51276

ПРОГРАММНО-АППАРАТНАЯ ЗАЩИТА ИНФОРМАЦИИ

Лабораторная работа

Информатика, кибернетика и программирование

Межсетевые экраны по понятным причинам используются для сетей TCP IP и классифицируются в соответствии с уровнем эталонной модели взаимодействия открытых систем сетевой моделью OSI. Вопервых сетевая модель сетей TCP IP предусматривает только 5 уровней физический интерфейсный сетевой транспортный и прикладной в то время как модель OSI 7 уровней физический канальный сетевой транспортный сеансовый презентационный и прикладной. Для сканирования всех 131070 портов от 1 до 65535 для TCP и UDP на всех узлах может понадобиться...

Русский

2014-02-10

967 KB

73 чел.

Министерство образования и науки РФ

Государственное образовательное учреждение

высшего профессионального образования

«Тульский государственный университет»

Политехнический институт

Кафедра «Технологии полиграфического производства и защиты информации»

СБОРНИК МЕТОДИЧЕСКИХ УКАЗАНИЙ

К ЛАБОРАТОРНЫМ РАБОТАМ

по дисциплине

ПРОГРАММНО-АППАРАТНАЯ ЗАЩИТА ИНФОРМАЦИИ

Направление подготовки: 090100 – Информационная безопасность 

Специальность: 090103 – Организация и технология защиты информации

Формы обучения: очная

Тула 2010 г.

Методические указания к лабораторным работам составлены доцентом В.А.Селищевым и обсуждены на заседании кафедры ТППиЗИ факультета транспортных и технологических систем

протокол № ____ от «____» _____________ 20____г.

Зав. кафедрой _____________________А.К. Талалаев

Методические указания к лабораторным работам пересмотрены и  утверждены  на заседании кафедры ТППиЗИ факультета транспортных и технологических систем

протокол № ____ от «____» _____________ 20____г.

Зав. кафедрой _____________________А.К. Талалаев

ЛАБОРАТОРНАЯ  РАБОТА  № 1

ИССЛЕДОВАНИЕ РАБОТЫ МЕЖСЕТЕВОГО ЭКРАНА

VIPNET OFFICE FIREWALL

1. Цель и задачи работы.

Изучение функционирования программного обеспечения VIPNET OFFICE FIREWALL, приобретение навыков по работе с данным продуктом.

2. Теоретические сведения.

        Межсетевые экраны (firewall) - это средство, которое разграничивает доступ между двумя сетями (или, в частном случае, узлами) с различными требованиями по обеспечению безопасности. В самом распространенном случае межсетевой экран устанавливается между корпоративной сетью и Internet.

       Межсетевой экран, защищающий сразу множество (не менее двух) узлов, призван решить две задачи, каждая из которых по-своему важна и в зависимости от организации, использующей межсетевой экран, имеет более высокий приоритет по сравнению с другой:

    - Ограничение доступа внешних (по отношению к защищаемой сети) пользователей к внутренним ресурсам корпоративной сети. К таким пользователям могут быть отнесены партнеры, удаленные пользователи, хакеры и даже сотрудники самой компании, пытающие получить доступ к серверам баз данных, защищаемых межсетевым экраном.

    - Разграничение доступа пользователей защищаемой сети к внешним ресурсам. Решение этой задачи позволяет, например, регулировать доступ к серверам, не требуемым для выполнения служебных обязанностей.

3. Объекты исследования, оборудование, инструмент.

Программное обеспечение VIPNET OFFICE FIREWALL, документация VIPNET OFFICE FIREWALL

4. Подготовка к работе.

4.1. Изучить теоретические сведения (п. 2).

4.2. Включить ПК, открыть  файл с документацией VIPNET OFFICE FIREWALL

5. Программа работы.

5.1. Изучить назначение, основные возможности, систему окон и меню ПО VIPNET OFFICE FIREWALL

5.2. Изучить главы 8 – 11 документации

6.Контрольные вопросы

6.1. Что представляет собой внешний интерфейс?

6.2. Что представляет собой внутренний интерфейс?

6.3. Что представляют собой режимы безопасности интерфейса?

6.4. Что такое антиспуфинг?

6.5. В чем заключаются функции режима «Бумеранг»?

6.6. В чем заключаются правила  фильтрации IP-трафика?

6.7. Чем отличаются между собой режимы жесткого и мягкого бумеранга?

6.8. Чем отличаются между собой режимы «1» и «5» безопасности интерфейса?

6.9. Какова структура сетевого фильтра?

6.10. В чем заключаются достоинства системы обнаружения атак?

6.11. Для чего нужна трансляция  сетевых  адресов (NAT)?

6.12. В чем заключаются следующие виды атак: атака Land, атака Jolt2, атака Smurf?

Содержание отчета

  1.  Тема и цель лабораторной работы.
  2.  Краткое изложение теоретической части.
  3.  Составить базу знаний по изучаемому в п.5 материалу.
  4.  Ответы на вопросы.

ЛАБОРАТОРНАЯ  РАБОТА  № 2

ИССЛЕДОВАНИЕ РАБОТЫ ПЕРСОНАЛЬНОГО СЕТЕВОГО ЭКРАНА

VIPNET PERSONAL FIREWALL

1. Цель и задачи работы.

Изучение функционирования программного обеспечения VIPNET PERSONAL FIREWALL, приобретение навыков по работе с данным продуктом.

2. Теоретические сведения.

Благодаря своей открытой архитектуре сеть Internet стала одним из самых удобных средств коммуникации. Вместе с тем открытость Internet породила множество проблем, связанных с безопасностью. Здесь как нельзя лучше подходит изречение: «Каждый — за себя, только Бог — за всех». Любой имеющий выход в Internet компьютер должен рассматриваться как потенциальный объект для атаки. Проблема особенно остро стоит в случае организаций, поскольку им необходимо контролировать работу в Internet большого количества компьютеров и сетевых устройств.

Безопасность при подключении к Internet обеспечивается с помощью следующих специализированных средств:

межсетевых экранов;

сетевых сканеров, призванных находить изъяны и потенциально опасные участки внутри сетей;

снифферов, или анализаторов протоколов, позволяющих отслеживать входящий и исходящий трафики;

средств протоколирования событий в сетях;

средств построения виртуальных частных сетей и организации закрытых каналов обмена данными.

Важное место в списке средств обеспечения безопасного подключения к Internet занимают межсетевые экраны (часто называемые брандмауэрами, или, по-английски, firewall). Согласно «Руководящему документу. Межсетевые экраны» Гостехкомиссии при Президенте РФ «межсетевым экраном называется локальное (однокомпонентное) или функционально-распределенное средство (комплекс), которое реализует контроль за информацией, поступающей в автоматизированную систему и/или выходящей из нее, и обеспечивает защиту автоматизированной системы посредством фильтрации информации, т. е. анализа по совокупности критериев и принятия решения об ее распространении в (из) автоматизированной системе». К сожалению, такое определение имеет чересчур общий характер и подразумевает слишком расширенное толкование.

В обиходе межсетевыми экранами (МЭ) называют средства защиты, устанавливаемые между общедоступной (такой, как Internet) и внутренней сетью. Межсетевой экран выполняет двойную функцию. Во-первых, он призван ограничить доступ во внутреннюю сеть со стороны общедоступной сети за счет применения фильтров и средств аутентификации, чтобы злоумышленники не могли получить несанкционированный доступ к информации или нарушить нормальную работу сетевой инфраструктуры. Во-вторых, МЭ служит для контроля и регулирования доступа пользователей внутренней сети к ресурсам общедоступной сети, когда те представляют угрозу безопасности или отвлекают сотрудников от работы (порнографические, игровые, спортивные серверы).

Сейчас, правда, сетевые экраны устанавливают и внутри корпоративных сетей, в целях ограничения доступа пользователей к особо важным ресурсам сети, например к серверам, содержащим финансовую информацию или сведения, относящиеся к коммерческой тайне. Существуют также персональные межсетевые экраны, призванные регулировать доступ к отдельным компьютерам и устанавливаемые на эти компьютеры.

Межсетевые экраны по понятным причинам используются для сетей TCP/IP и классифицируются в соответствии с уровнем эталонной модели взаимодействия открытых систем (сетевой моделью) OSI. Однако такая классификация, в силу ряда обстоятельств носит достаточно условный характер. Во-первых, сетевая модель сетей TCP/IP предусматривает только 5 уровней (физический, интерфейсный, сетевой, транспортный и прикладной), в то время как модель OSI — 7 уровней (физический, канальный, сетевой, транспортный, сеансовый, презентационный и прикладной). Поэтому установить однозначное соответствие между этими моделями далеко не всегда возможно. Во-вторых, большинство выпускаемых межсетевых экранов обеспечивают работу сразу на нескольких уровнях иерархии OSI. В-третьих, некоторые экраны функционируют в режиме, который трудно соотнести с каким-то строго определенным уровнем иерархии.

Тем не менее поддерживаемый уровень сетевой модели OSI является основной характеристикой при классификации межсетевых экранов. Различают следующие типы межсетевых экранов:

  •  управляемые коммутаторы (канальный уровень);
  •  сетевые фильтры (сетевой уровень);
  •  шлюзы сеансового уровня (circuit-level proxy);
  •  посредники прикладного уровня;
  •  инспекторы состояния (stateful inspection), представляющие собой межсетевые экраны сеансового уровня с расширенными возможностями.

Существует также понятие «межсетевой экран экспертного уровня». Такие МЭ обычно базируются на посредниках прикладного уровня или инспекторах состояния, но обязательно комплектуются шлюзами сеансового уровня и сетевыми фильтрами. К МЭ экспертного класса относятся почти все имеющиеся на рынке коммерческие брандмауэры.

Межсетевые экраны могут опираться на один из двух взаимоисключающих принципов обработки поступающих пакетов данных. Первый принцип гласит: «Что явно не запрещено, то разрешено». Т. е. если МЭ получил пакет, не подпадающий не под одно из принятых ограничений или не идентифицированный правилами обработки, то он передается далее. Противоположный принцип — «Что явно не разрешено, то запрещено» — гарантирует гораздо большую защищенность, но оборачивается дополнительной нагрузкой на администратора. В этом случае внутренняя сеть изначально полностью недоступна, и администратор вручную устанавливает разрешенные при обмене данными с общедоступной сетью сетевые адреса, протоколы, службы и операции.

Правила обработки информации во многих межсетевых экранах экспертного класса могут иметь многоуровневую иерархическую структуру. Например, они могут позволять задать такую схему: «Все компьютеры локальной сети недоступны извне, за исключением доступа к серверу A по протоколу ftp и к серверу B по протоколу telnet, однако при этом запрещен доступ к серверу A с операцией PUT сервиса ftp».

Межсетевые экраны могут выполнять над поступающими пакетами данных одну из двух операций: пропустить пакет далее (allow) или отбросить пакет (deny). Некоторые МЭ имеют еще одну операцию — reject, при которой пакет отбрасывается, но отправителю сообщается по протоколу ICMP о недоступности сервиса на компьютере-получателе информации. В противовес этому при операции deny отправитель не информируется о недоступности сервиса, что является более безопасным.

3. Объекты исследования, оборудование, инструмент.

Программное обеспечение VIPNET PERSONAL FIREWALL, документация VIPNET PERSONAL FIREWALL

4. Подготовка к работе.

4.1. Изучить теоретические сведения (п. 2).

4.2. Включить ПК, открыть  файл с документацией VIPNET PERSONAL FIREWALL

5. Программа работы.

5.1. Изучить назначение, основные режимы использования, систему окон и меню ПО VIPNET PERSONAL FIREWALL

5.2. Изучить главы 8 – 11 документации

6.Контрольные вопросы

6.1. Чем отличаются между собой МЭ VIPNET OFFICE FIREWALL и МЭ VIPNET PERSONAL FIREWALL?

6.2. Чем отличаются между собой режимы «3» и «4» безопасности интерфейса?

6.3. Какова структура настроек фильтра МЭ VIPNET PERSONAL FIREWALL?

6.4. В чем заключаются функции системы обнаружения атак?

6.5. В чем заключаются следующие виды событий системы обнаружения вторжений: IP-опции нулевой длины, ICMP-запрос маски подсети, фрагментация ICMP-заголовка?

Содержание отчета

  1.  Тема и цель лабораторной работы.
  2.  Краткое изложение теоретической части.
  3.  Составить базу знаний по изучаемому в п.5 материалу.
  4.  Ответы на вопросы.

ЛАБОРАТОРНАЯ  РАБОТА  № 3

ИССЛЕДОВАНИЕ РАБОТЫ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ДЛЯ СОЗДАНИЯ ЗАЩИЩЕННЫХ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ (VPN)

VIPNET OFFICE 

1. Цель и задачи работы.

Изучение функционирования программного обеспечения VIPNET OFFICE, приобретение навыков по работе с данным продуктом.

  1.  Теоретические сведения.

Системы построения VPN

Из пункта А в пункт Б необходимо передать информацию таким образом, чтобы к ней никто не смог получить доступ. Вполне реальная и часто возникающая на практике ситуация, особенно в последнее время. В качестве пунктов А и Б могут выступать отдельные узлы или целые сегменты сетей. В случае с передачей информации между сетями в качестве защитной меры может выступать выделенный канал связи, принадлежащей компании, информация которой требует защиты. Однако поддержание таких каналов связи - это очень дорогое удовольствие. Проще, если информация будет передаваться по обычным каналам связи (например, через Internet), но каким-либо способом будет отделена или скрыта от трафика других компаний, циркулирующего в Internet. Но не стоит думать, что задача конфиденциальной передачи информации возникает в глобальных сетях. Такая потребность может возникнуть и в локальных сетях, в которых требуется отделать один тип трафика, от другого (например, трафик платежной системы от трафика информационно-аналитической системы). Итак, как сделать так, чтобы информация могла передаваться по тем же проводам, что и обычная информация, но при этом была недоступна для других? Помочь в этом может технология виртуальных частных сетей (virtual private network, VPN).

Классификация

Можно выделить два основных способа реализации VPN:

    - Разделение трафика в канале передачи;

    - Шифрование трафика в канале передачи.

Разделение трафика в канале передачи.

Первая технология достаточно недавно получила широкое распространение. Она может применяться как в глобальных, так и в локальных сетях. Причем второй случай распространен чаще - это всем известная технология виртуальных локальных сетей (VLAN), используемая для структуризации современных локальных сетей, построенных на базе коммутаторов. Однако помимо структуризации VLAN могут применяться и для отделения одного типа трафика от другого. Т.к. VLAN реализуются на канальном уровне, то их область применения не выходит за рамки локальной сети, но и тут они неплохо справляются со своими задачами. В частности, независимо от адреса канального уровня (уникального, группового или широковещательного) смешение данных из разных VLAN невозможно. В то же время внутри одной VLAN кадры передаются как обычно, только на тот порт, на который указывает адрес назначения кадра.

Узлы, входящие в VLAN могут группироваться на основе различных признаков:

    - Группировка по портам. Классический и самый простой способ формирования VLAN, согласно которому каждому порту коммутатора соответствует номер VLAN.

    - Группировка по MAC-адресам. Принадлежность к VLAN определяется по MAC-адресам сетевых пакетов.

    - Группировка по номерам подсетей сетевого уровня. В данном случае VLAN является аналогом обычной подсетью, которая известна по протоколам IP или IPX.

    - Группировка по меткам. Самый эффективный и надежный способ группирования узлов в VLAN, согласно которому номер виртуальной сети добавляется к кадру, передаваемому между коммутаторами.

Существуют и другие способы формирования VLAN, но все они менее распространены, чем вышеназванные. Технология VLAN реализована сейчас в большинстве коммутаторов ведущих сетевых производителей.


В глобальных сетях распространение получил аналог VLAN - технология MPLS (MultiProtocol Label Switching), которая также использует метки для разделения трафика и образования виртуальных каналов в IP-, ATM- и других сетях. Однако у технологии MPLS есть один недостаток (с точки зрения безопасности) - он может применяться только для связи "сеть - сеть" и не применим для соединения с отдельными узлами. Есть и второй недостаток - данные разных пользователей хоть и не смешиваются, но все-таки к ним можно получить данные, прослушивая сетевой трафик. Кроме того, провайдер, предлагающий услуги MPLS будет иметь доступ ко всей передаваемой информации. Однако данные технологии все же имеют право на существование, т.к. обеспечивают некоторый уровень защищенности информации и достаточно дешевы. Основным поставщиком MPLS является компания Cisco Systems.

Шифрование трафика в канале передачи

Большую известность получила технология шифрования трафика, которая скрывает от глаз содержание данных, передаваемых по открытым сетям. Именно эта технология применяется многими разработчиками средств сетевой безопасности.

Варианты построения

Можно выделить четыре основных варианта построения сети VPN, которые используются во всем мире. Данная классификация предлагается компанией Check Point Software Technologies, которая не без основания считается законодателем моды в области VPN.

1. Вариант «Intranet VPN», который позволяет объединить в единую защищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи. Именно этот вариант получил широкое распространение во всем мире, и именно его в первую очередь реализуют компании-разработчики.

2. Вариант "Remote Access VPN", который позволяет реализовать защищенное взаимодействие между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который подключается к корпоративным ресурсам из дома (домашний пользователь) или через notebook (мобильный пользователь). Данный вариант отличается от первого тем, что удаленный пользователь, как правило, не имеет статического адреса, и он подключается к защищаемому ресурсу не через выделенное устройство VPN, а прямиком со своего собственного компьютера, на котором и устанавливается программное обеспечение, реализующее функции VPN.

Компонент VPN для удаленного пользователя может быть выполнен как в программном, так и в программно-аппаратном виде. В первом случае программное обеспечение может быть как встроенным в операционную систему (например, в Windows 2000), так и разработанным специально. Во втором случае для реализации VPN используются небольшие устройства класса SOHO (Small Office\Home Office), которые не требуют серьезной настройки и могут быть использованы даже неквалифицированным персоналом. Такие устройства получают сейчас широкое распространение за рубежом.

3. Вариант «Client/Server VPN», который обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, описанную выше. Но вместо разделения трафика, используется его шифрование.

4. Последний вариант «Extranet VPN» предназначен для тех сетей, к которым подключаются так называемые пользователи "со стороны" (партнеры, заказчики, клиенты и т.д.), уровень доверия к которым намного ниже, чем к своим сотрудникам. Хотя по статистике чаще всего именно сотрудники являются причиной компьютерных преступлений и злоупотреблений.

Варианты реализации

Средства построения VPN могут быть реализованы по-разному:

    - В виде специализированного программно-аппаратного обеспечения, предназначенного именно для решения задач VPN. Основное преимущество таких устройств - их высокая производительность и, более высокая по сравнению с другими решениями, защищенность. Такие устройства могут применяться в тех случаях, когда необходимо обеспечить защищенный доступ большого числа абонентов. Недостаток таких решений состоит в том, что управляются они отдельно от других решений по безопасности, что усложняет задачу администрирования инфраструктуры безопасности, особенно при условии нехватки сотрудников отдела защиты информации. На первое место эта проблема выходит при построении крупной и территориально-распределенной сети, насчитывающей десятки устройств построения VPN. И это не считая такого же числа межсетевых экранов, систем обнаружения атак и т.д. Примером такого решения является Cisco 1720 или Cisco 3000

    - В виде программного решения, устанавливаемого на обычный компьютер, функционирующий, как правило, под управлением операционной системы Unix. Российские разработчики «полюбили» ОС FreeBSD. Именно на ее изученной «вдоль и поперек» базе построены отечественные решения «Континент-К» и «Шип». Для ускорения обработки трафика могут быть использованы специальные аппаратные ускорители, заменяющие функции программного шифрования. Также в виде программного решения реализуется абонентские пункты, предназначенные для подключения к защищаемой сети удаленных и мобильных пользователей.

   - Интегрированные решения, в которых функции построения VPN реализуются наряду с функцией фильтрации сетевого трафика, обеспечения качества обслуживания или распределения полосы пропускания. Основное

 

преимущество такого решения - централизованное управление всеми компонентами с единой консоли. Второе преимущество - более низкая стоимость в расчете на каждый компонент по сравнению с ситуацией, когда такие компоненты приобретаются отдельно. Пожалуй, самым известным примером такого интегрированного решения является VPN-1 от компании Check Point Software, включающий в себя помимо VPN-модуля, модуль, реализующий функции межсетевого экрана, модуль, отвечающий за балансировку нагрузки, распределение полосы пропускания и т.д. Кроме того, это решение имеет сертификат Гостехкомиссии России.

3. Объекты исследования, оборудование, инструмент.

Программное обеспечение VIPNET OFFICE, документация VIPNET OFFICE 

4. Подготовка к работе.

4.1. Изучить теоретические сведения (п. 2).

4.2. Включить ПК, открыть  файл с документацией VIPNET OFFICE 

5. Программа работы.

5.1. Изучить общие положения гл. 1 документации ПО VIPNET OFFICE 

5.2. Изучить главу 6 документации.

6. Контрольные вопросы

6.1. Для каких целей используется программное обеспечение VIPNET OFFICE?

6.2. Каковы функции ViPNet Manager?

6.3. Каковы функции ViPNet  Координатор?

6.4. Каковы функции ViPNet Клиент?

6.5. Какие сервисные функции  предоставляет пакет ViPNet OFFICE?

Содержание отчета

  1.  Тема и цель лабораторной работы.
  2.  Краткое изложение теоретической части.
  3.  Составить базу знаний по изучаемому в п.5 материалу.
  4.  Ответы на вопросы.

ЛАБОРАТОРНАЯ  РАБОТА  № 4

ИССЛЕДОВАНИЕ РАБОТЫ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

ViPNet DISCguise

предназначенного для защиты от несанкционированного доступа

к файлам и каталогам любого формата на жестких дисках, дискетах и других носителях информации.

1. Цель и задачи работы.

Изучение функционирования программного обеспечения ViPNet DISCguise,

приобретение навыков по работе с данным продуктом.

  1.  Теоретические сведения.

Общая характеристика средств защиты

информации в КС от несанкционированного доступа

Угроза несанкционированного доступа к информационным ресурсам КС представляется достаточно опасной с точки зрения возможных последствий. Для несанкционированного доступа злоумышленник обычно использует:

- знания о КС и умения работать с ней;

- сведения о системе защиты информации;

- сбои или отказы технических и программных средств;

- ошибки в работе обслуживающего персонала и пользователей.

Часто реализация угрозы НСД не требует постоянного участия в этом процессе злоумышленника, а осуществляется с помощью разработанных им программных средств, которые вводятся в КС в виде соответствующих закладок.

Для защиты информации от НСД создается система разграничения доступа (СРД), контролирующая любые запросы к информационным ресурсам КС со стороны пользователей (или их программ) по установленным для них правилам и видам доступа.

В системе разграничения доступа по отношению к любому субъекту доступа (пользователю, программе, техническому средству) должны быть предусмотрены следующие основные этапы доступа в КС:

- идентификация субъектов и объектов доступа;

- установление подлинности (аутентификация);

-определение полномочий для последующего контроля и разграничения доступа к компьютерным ресурсам.

 

3. Объекты исследования, оборудование, инструмент.

     Программное обеспечение ViPNet DISCguise, документация

ViPNet DISCguise

4. Подготовка к работе.

4.1. Изучить теоретические сведения (п. 2).

4.2. Включить ПК, открыть  файл с документацией ViPNet DISCguise

5. Программа работы.

5.1. Изучить общие положения гл. 1 документации ПО ViPNet DISCguise

5.2. Изучить главу 4 - 6 документации.

6. Контрольные вопросы

6.1. Для каких целей используется программное обеспечение ViPNet DISCguise?

6.2. В чем отличие между ключами recov.pub и recov.sec?

6.3. В чем заключается особенность хранения ключа recov.sec?

6.4. Какие алгоритмы шифрования поддерживаются пакетом ViPNet DISCguise?

Содержание отчета

  1.  Тема и цель лабораторной работы.
  2.  Краткое изложение теоретической части.
  3.  Составить базу знаний по изучаемому в п.5 материалу.
  4.  Ответы на вопросы.

ЛАБОРАТОРНАЯ  РАБОТА  № 5

ИССЛЕДОВАНИЕ РАБОТЫ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

ViPNet SafeDisk

предназначенного для надежной защиты конфиденциальной информации.

1. Цель и задачи работы.

Изучение функционирования программного обеспечения ViPNet SafeDisk приобретение навыков по работе с данным продуктом.

  1.  Теоретические сведения.

Общая характеристика средств защиты

информации в КС от несанкционированного доступа

     Как показывает практика, несанкционированный доступ (НСД) представляет одну из наиболее серьезных угроз для злоумышленного завладения защищаемой информацией в современных АСОД. Как ни покажется странным, но для ПЭВМ опасность данной угрозы по сравнению с большими ЭВМ повышается, чему способствуют следующие объективно существующие обстоятельства:

1) подавляющая часть ПЭВМ располагается непосредственно в рабочих комнатах специалистов, что создаст благоприятные условия для доступа к ним посторонних лиц;

2) многие ПЭВМ служат коллективным средством обработки информации, что обезличивает ответственность, в том числе и за защиту информации;

3)  современные ПЭВМ оснащены несъемными накопителями на ЖМД очень большой емкости, причем информация на них сохраняется даже в обесточенном состоянии;

4) накопители па ГМД производятся в таком массовом количестве, что уже используются для распространения информации так же, как и бумажные носи гели;

5) первоначально ПЭВМ создавались именно как персональное средство автоматизации обработки информации, а потому и по оснащались специально средствами защиты от НСД.

    Основные механизмы защиты ПЭВМ от НСД могут быть представлены следующим перечнем:

1) физическая защита ПЭВМ и носителей информации;

2) опознавание (аутентификация) пользователей  и  используемых компонентов обработки информации;

3) разграничение доступа к элементам защищаемой информации;

4) криптографическое закрытие защищаемой информации, хранимой на носителях (архивация данных);

5) криптографическое закрытие защищаемой информации в процессе непосредственной ее обработки;

6) регистрация всех обращений к защищаемой информации.

Ниже излагаются общее содержание и способы использования перечисленных механизмов.

 

3. Объекты исследования, оборудование, инструмент.

     Программное обеспечение ViPNet SafeDisk, документация ViPNet SafeDisk

4. Подготовка к работе.

4.1. Изучить теоретические сведения (п. 2).

4.2. Включить ПК, открыть  файл с документацией ViPNet SafeDisk

5. Программа работы.

5.1. Изучить общие положения гл. 1 документации ПО ViPNet SafeDisk

5.2. Изучить главу 4 - 14 документации.

6. Контрольные вопросы

6.1. Для каких целей используется программное обеспечение ViPNet SafeDisk?

6.2. В чем заключаются принципы защиты информации ПО ViPNet SafeDisk?

6.3. С какими видами электронных ключей поддерживает работу программное обеспечение ViPNet SafeDisk?

6.4. Какова особенность использования ПО ViPNet SafeDisk в режимах «опасность» и «большая опасность»?

6.5. Какова особенность использования ПО ViPNet SafeDisk в режиме работы под контролем злоумышленников?

Содержание отчета

  1.  Тема и цель лабораторной работы.
  2.  Краткое изложение теоретической части.
  3.  Составить базу знаний по изучаемому в п.5 материалу.
  4.  Ответы на вопросы.

ЛАБОРАТОРНАЯ  РАБОТА  № 6

ИССЛЕДОВАНИЕ РАБОТЫ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

ViPNet Генератор паролей,

предназначенного для создания легко запоминаемых

случайных паролей

1. Цель и задачи работы.

Изучение функционирования программного обеспечения ViPNet Генератор паролей приобретение навыков по работе с данным продуктом.

2. Теоретические сведения.

Наиболее часто применяемыми методами идентификации и аутентификации пользователей являются методы, основанные на использовании паролей. В простейшем случае пароль представляет собой некоторую последовательность символов, сохраняемую в секрете и предъявляемую при обращении к компьютерной системе. Для ввода пароля, как правило, используется штатная клавиатура КС. В процессе ввода пароль не должен отображаться на экране монитора. Чтобы пользователь мог ориентироваться в количестве введенных символов, на экран выдаются специальные символы (например звездочки).

Пароль должен запоминаться субъектом доступа. Запись пароля значительно повышает вероятность его компрометации (нарушения конфиденциальности). Легко запоминаемый пароль должен быть в то же время сложным для отгадывания. Не рекомендуется использовать для этой цели имена, фамилии, даты рождения и т.п.

Желательным является наличие в пароле парадоксального сочетания букв, слов, полученного, например, путем набора русских букв пароля на латинском регистре. Другими словами, чем не тривиальнее пароль, тем сложнее он становится для отгадывания. Однако такой пароль труднее запомнить и его приходится записывать на бумаге.

Для того чтобы воспрепятствовать использованию злоумышленником похищенного пароля, в его тексте должны быть мысленно предусмотрены не записываемые на бумаге пробелы или другие символы в начале, внутри, а также в конце основных символов пароля. В этом случае незаконно полученный лист бумаги с основными символами пароля не будет достаточным условием раскрытия пароля в целом.

Вероятность подбора пароля уменьшается также при увеличении его длины и времени задержки между разрешенными попытками повторного ввода неправильно введенного пароля.

Ожидаемое время раскрытия пароля ТР можно вычислить по следующей приближенной формуле:

ТР = (А·S·t) / 2,

где t = E / R – время, необходимое на попытку введения пароля;

R – скорость передачи символов пароля (симв. / мин);

E – число символов в сообщении, передаваемом в систему при попытке получить к ней доступ (включая пароль и служебные символы);

S – длина пароля;

A – число символов в алфавите, из которых составляется пароль (например 26 символов латинского алфавита).

В приведенной формуле учитывается, что злоумышленник имеет возможность непрерывно осуществлять подбор пароля. Например, если А = 26, t = 2с и S = 6 символов, то ожидаемое время раскрытия ТР пароля приблизительно равно одному году. Если в данном примере после каждой неудачной попытки ввода пароля предусмотреть временную задержку в 10 с, то ожидаемое время раскрытия пароля увеличится в 5 раз.

Следует также отметить, что на безопасное время раскрытия пароля оказывает существенное влияние длина пароля S (в степенной зависимости). Так, если для трехсимвольного пароля, выбранного из 26-символьного алфавита, время ТР составит 3 месяца, то для четырехсимвольного – 65 лет.

3. Объекты исследования, оборудование, инструмент.

     Программное обеспечение ViPNet Генератор паролей, документация ViPNet Генератор паролей

4. Подготовка к работе.

4.1. Изучить теоретические сведения (п. 2).

4.2. Включить ПК, открыть  файл с документацией ViPNet Генератор паролей

5. Программа работы.

5.1. Изучить общие положения гл. 1 документации ПО ViPNet Генератор паролей

5.2. Изучить главу 4 - 6 документации.

6. Контрольные вопросы

6.1. Для каких целей используется программное обеспечение ViPNet  Генератор  паролей?

6.2. Приведите пример создания пароля программой ViPNet  Генератор  паролей на основе какой нибудь фразы.

6.3. Для чего используется вкладка «электронная рулетка»?

6.4. Каковы минимальные требования к ПК для установки на нем программного обеспечения ViPNet  Генератор  паролей?

Содержание отчета

  1.  Тема и цель лабораторной работы.
  2.  Краткое изложение теоретической части.
  3.  Составить базу знаний по изучаемому в п.5 материалу.
  4.  Ответы на вопросы.

ЛАБОРАТОРНАЯ  РАБОТА  № 7

ИССЛЕДОВАНИЕ РАБОТЫ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

DeviceLock 

предназначенного для контроля доступа пользователей к дисководам, CD-ROMам, другим сменным устройствам, адаптерам WiFi и Bluetooth, а также к USB, FireWire, инфракрасным, COM и LPT портам.

1. Цель и задачи работы.

Изучение функционирования программного обеспечения DeviceLock, 

приобретение навыков по работе с данным продуктом.

  1.  Теоретические сведения.

Сущность разграничения доступа к элементам защищаемой информации заключается в том, чтобы каждому зарегистрированному пользователю предоставить возможности беспрепятственного доступа к информации в пределах его полномочий, и исключить возможности превышения своих полномочий. В этих целях разработаны и реализованы на практике методы и средства разграничения доступа к устройствам ЭВМ, к программам обработки информации, к полям (областям ЗУ) и к массивам (базам) данных. Само разграничение может осуществляться несколькими способами, а именно:

  •  1) по уровням (кольцам) секретности;
  •  2) по специальным спискам;
  •  3) по так называемым матрицам полномочий;
  •  4) по специальным мандатам.

Разграничение доступа по уровням (кольцам) секретности заключается в том, что защищаемые данные распределяются по массивам (базам) таким образом, чтобы в каждом массиве (каждой базе) содержались данные одного уровня секретности (например, только с грифом "конфиденциально" , или только "секретно", или только "совершенно секретно", иди каким-либо другим). Каждому зарегистрированному пользователю предоставляется вполне определенный уровень допуска (например, "секретно", "совершенно секретно" и т.п.). Тогда пользователю разрешается доступ к массиву (базе) своего уровня и массивам (базам) низших уровней, и запрещается доступ к массивам (базам) более высоких уровней.

Разграничение доступа по специальным спискам заключается в том, что для каждого элемента защищаемых данных (файла, базы, программы) составляется список всех тех пользователей, которым предоставлено право доступа к соответствующему элементу, или, наоборот, для каждого зарегистрированного пользователя составляется список тех элементов защищаемых данных, к которым ему предоставлено право доступа.

Разграничение доступа по матрицам полномочий предполагает формирование двумерной матрицы, по строкам которой содержатся идентификаторы зарегистрированных пользователей, а по столбцам - идентификаторы защищаемых элементов данных. Элементы матрицы содержат информацию об уровне полномочий соответствующего пользователя относительно соответствующего элемента. Например, при размерах элементов матрицы в два бита их содержание может быть следующим: 00 - доступ запрещен, 01 - разрешено только чтение, 10 - разрешена только запись, 11 - разрешены и чтение и запись.

Разграничение доступа по мандатам есть способ разового разрешения на допуск к защищаемому элементу данных. Заключается он в том, что каждому защищаемому элементу присваивается персональная уникальная метка, после чего доступ к этому элементу будет разрешен только тому пользователю, который в своем запросе предъявит метку элемента (мандат), которую ему может выдать администратор защиты или владелец элемента.

3. Объекты исследования, оборудование, инструмент.

     Программное обеспечение DeviceLock, документация DeviceLock

4. Подготовка к работе.

4.1. Изучить теоретические сведения (п. 2).

4.2. Включить ПК, открыть  файл с документацией DeviceLock.

5. Программа работы.

5.1. Изучить общие положения гл. 1 документации ПО DeviceLock. 

5.2. Изучить главу 2 документации.

5.3. Просмотреть видеокурс (кликнуть на  devlock.exe)

5.4. Просмотреть видеокурс (кликнуть на  portslock.exe)

5.5. Просмотреть видеокурс (кликнуть на  rtm.exe)

6. Контрольные вопросы

6.1. Для каких целей используется программное обеспечение DeviceLock?

6.2. Каковы функциональные особенности (решаемые задачи) ПО DeviceLock?

6.3. Что представляет собой белый список USB устройств?

6.4. Какие типы протоколирования аудита поддерживаются программой DeviceLock?

6.5. В чем отличие dlservice.exe от dlmanager.exe?

Содержание отчета

  1.  Тема и цель лабораторной работы.
  2.  Краткое изложение теоретической части.
  3.  Составить базу знаний по изучаемому в п.5 материалу.
  4.  Ответы на вопросы.

ЛАБОРАТОРНАЯ  РАБОТА  № 8

ИССЛЕДОВАНИЕ РАБОТЫ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Safe.n.Sec

предназначенного для защиты данных пользователя от неизвестных угроз и уязвимостей

1. Цель и задачи работы.

Изучение функционирования программного обеспечения Safe.n.Sec, 

приобретение навыков по работе с данным продуктом.

  1.  Теоретические сведения.

     Безопасность  информации  -  один  из  важнейших  параметров  любой

компьютерной  системы.  Для  ее  обеспечения  создано   большое количество программных и  аппаратных  средств.  Часть  из  них  занимается шифрованием информации,  часть  -  разграничением  доступа  к  данным. Особую  проблему представляют  собой  компьютерные  вирусы.  Это отдельный  класс  программ, направленных на нарушение работы  системы  и порчу  данных.  Среди  вирусов выделяют ряд разновидностей. Некоторые из них постоянно находятся  в  памяти компьютера, некоторые производят деструктивные действия разовыми  "ударами".

     Существует так же целый класс программ, внешне  вполне  благопристойных,  но на  самом  деле  портящих  систему.  Такие  программы  называют  "троянскими конями".  Одним  из   основных   свойств   компьютерных   вирусов   является способность к "размножению" - т.е. самораспространению внутри  компьютера  и компьютерной сети.

     С тех пор,  как  различные  офисные  прикладные  программные  средства

получили возможность работать со специально для них написанными  программами (например, для Microsoft Office можно  писать  приложения  на  языке  Visual Basic)  появилась  новая   разновидность   вредоносных   программ   -   т.н. МакроВирусы. Вирусы этого типа распространяются вместе  с  обычными  файлами документов, и содержатся внутри них в качестве обычных подпрограмм.

     Не так давно (этой весной) прокатилась эпидемия вируса Win95.CIH и его

многочисленных подвидов. Этот вирус  разрушал  содержимое  BIOS  компьютера, делая невозможной ее работу. Часто приходилось даже выбрасывать  испорченные этим вирусом материнские платы.

     С учетом мощного  развития  средств  коммуникации  и  резко  возросших

объемов  обмена  данными  проблема  защиты  от  вирусов   становится   очень актуальной. Практически,  с  каждым  полученным,  например,  по  электронной почте  документом  может  быть  получен  макровирус,  а  каждая   запущенная программа  может  (теоретически)  заразить  компьютер  и   сделать   систему неработоспособной.

     Поэтому среди  систем  безопасности  важнейшим  направлением  является борьба с вирусами. Существует целый ряд средств, специально  предназначенных для решения этой задачи. Некоторые из них запускаются в режиме  сканирования и просматривают содержимое жестких дисков и  оперативной  памяти  компьютера на предмет наличия вирусов. Некоторые же должны быть  постоянно  запущены  и находиться в памяти компьютера. При этом  они  стараются  следить  за  всеми выполняющимися задачами.

     

3. Объекты исследования, оборудование, инструмент.

     Программное обеспечение Safe.n.Sec, документация Safe.n.Sec

4. Подготовка к работе.

4.1. Изучить теоретические сведения (п. 2).

4.2. Включить ПК, открыть  файл с документацией Safe.n.Sec.

5. Программа работы.

5.1. Изучить общие положения гл. 2 документации ПО Safe.n.Sec. 

5.2. Изучить главу 4 - 7 документации.

6. Контрольные вопросы

6.1. Для каких целей используется программное обеспечение Safe'n'Sec?

6.2. Какие виды угроз компьютерным системам Вы знаете?

6.3. Каковы функции выполняет программа Safe'n'Sec»?

6.4. В чем отличие технологий проактивной защиты от реактивных технологий?

6.5. Каковы минимальные требования к ПК для установки на нем программного обеспечения Safe'n'Sec?

6.6. Какие уровни  проверки  компьютера  на  присутствие  известного вредоносного кода предусмотрены в ПО Safe'n'Sec?  

Содержание отчета

  1.  Тема и цель лабораторной работы.
  2.  Краткое изложение теоретической части.
  3.  Составить базу знаний по изучаемому в п.5 материалу.
  4.  Ответы на вопросы.

ЛАБОРАТОРНАЯ РАБОТА № 9

ПОДСИСТЕМЫ ПАРОЛЬНОЙ АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ. ГЕНЕРАТОРЫ ПАРОЛЕЙ.

ОЦЕНКА СТЕПЕНИ СТОЙКОСТИ ПАРОЛЬНОЙ ЗАЩИТЫ

1. Цель и задачи работы.

Исследование парольных подсистем аутентификации пользователей. Реализация простейшего генератора паролей, обладающего требуемой стойкостью к взлому.

2. Теоретические сведения.

Под идентификацией пользователя понимают присвоение ему некоторого несекретного идентификатора, который он должен предъявить СЗИ при осуществлении доступа к объекту. В качестве идентификатора может быть использован, например, login, физическое устройство, и т.д.

Под аутентификацией понимают подтверждение пользователем своего идентификатора, проверка его подлинности. Данный этап необходим для устранения фальсификации идентификатора, предотвращения несанкционированного доступа в случае утери пользователем идентификатора.

Подсистемы идентификации и аутентификации пользователя играют очень важную роль для систем защиты информации.

Стойкость подсистемы идентификации и аутентификации пользователя в системе защиты информации (СЗИ) во многом определяет устойчивость к взлому самой СЗИ. Данная стойкость определяется гарантией того, что злоумышленник не сможет пройти аутентификацию, присвоив чужой идентификатор или украв его.

Парольные системы идентификации/аутентификации является одними из основных и наиболее распространенных в СЗИ методами пользовательской аутентификации в силу их простоты и прозрачности. В данном случае, информацией, аутентифицирующей пользователя, является некоторый секретный пароль, известный только легальному пользователю.

Парольная аутентификация пользователя является, как правило, передним краем обороны СЗИ. В связи с этим, модуль аутентификации по паролю наиболее часто подвергается атакам со стороны злоумышленника. Цель злоумышленника в данном случае – подобрать аутентифицирующую информацию (пароль) легального пользователя.

Методы парольной аутентификации пользователя являются наиболее простыми методами аутентификации и при несоблюдении определенных требований к выбору пароля являются достаточно уязвимыми.

Основными минимальными требованиями к выбору пароля и к подсистеме парольной аутентификации пользователя являются следующие.

К паролю

1. Минимальная длина пароля должна быть не менее 6 символов.

2. Пароль должен состоять из различных групп символов (малые и большие латинские буквы, цифры, специальные символы ‘(’, ‘)’, ‘#’ и т.д.).

3. В качестве пароля не должны использоваться реальные слова, имена, фамилии и т.д.

К подсистеме парольной аутентификации.

1. Администратор СЗИ должен устанавливать максимальный срок действия пароля, после чего, он должен быть сменен.

2. В подсистеме парольной аутентификации должно быть установлено ограничение числа попыток ввода пароля (как правило, не более 3).

3. В подсистеме парольной аутентификации должна быть установлена временная задержка при вводе неправильного пароля.

Как правило, для помощи администратору безопасности в формировании паролей подчиненных ему пользователей, удовлетворяющих перечисленным требованиям к паролям, используются особые программы - автоматические генераторы паролей пользователей.

При выполнении перечисленных требований к паролям и к подсистеме парольной аутентификации, единственно возможным методом взлома данной подсистемы злоумышленником является прямой перебор паролей (brute forcing). В данном случае, количественная оценка стойкости парольной защиты осуществляется следующим образом.

Количественная оценка стойкости парольной защиты

Пусть A – мощность алфавита паролей (количество символов, которые могут быть использованы при составлении пароля. Например, если пароль состоит только из малых английских букв, то A=26).

L – длина пароля.

- число всевозможных паролей длины L, которые можно составить из символов алфавита A.

V – скорость перебора паролей злоумышленником.

T – максимальный срок действия пароля.

Тогда, вероятность P подбора пароля злоумышленником в течении срока его действия V определяется по следующей формуле.

Эту формулу можно использовать в обратную сторону для решения следующей задачи:

ЗАДАЧА. Определить минимальные мощность алфавита паролей A и длину паролей L, обеспечивающих вероятность подбора пароля злоумышленником не более заданной P, при скорости подбора паролей V, максимальном сроке действия пароля T.

Данная задача имеет неоднозначное решение. При исходных данных V,T,P однозначно можно определить лишь нижнюю границу S* числа всевозможных паролей. Целочисленное значение нижней границы вычисляется по следующей формуле

  (1)

где  - целая часть числа, взятая с округлением вверх.

После нахождения нижней границы S* необходимо выбрать такие A и L для формирования S=AL, чтобы выполнялось неравенство (2).

 (2)

При выборе S, удовлетворяющего неравенству (2), вероятность подбора пароля злоумышленника (при заданных V и T) будет меньше, чем заданная P.

Необходимо отметить, что при осуществлении вычислений по формулам (1) и (2), величины должны быть приведены к одним размерностям.

Пример

Исходные данные – P=10-6, T=7 дней = 1 неделя, V=10 паролей / минуту = 10*60*24*7=100800 паролей в неделю.

Тогда, .

Условию  удовлетворяют, например, такие комбинации A и L, как A=26, L=8 (пароль состоит из 8 малых символов английского алфавита), A=36, L=6 (пароль состоит из 6 символов, среди которых могут быть малые латинские буквы и произвольные цифры).

3. Объекты исследования, оборудование, инструмент.

Программное обеспечение Simple Passwords.

4. Подготовка к работе.

4.1. Изучить теоретические сведения (п. 2).

4.2. Включить ПК. Запустить программное обеспечение Simple Passwords.

5. Программа работы.

5.1. В таблице 1 найти для вашего варианта значения характеристик P,V,T, а также группы символов, используемых при формировании пароля.

5.2. Вычислить мощность алфавита паролей A, соответствующую Вашему варианту.

5.3. Вычислить по формуле (1) нижнюю границу S* для заданных P,V,T.

5.4. Зная мощность алфавита паролей A, вычислить минимальную длину пароля L, при котором выполняется условие (2).

5.5. Используя программу Simple Passwords задать исходные и вычисленные характеристики парольного генератора, соответствующие Вашему варианту. Построенный генератор будет обладать стойкостью ко взлому не менее заданной P.

5.6. Сформировать в парольном генераторе Simple Passwords 20 паролей, которые внести в отчет (пример оформления отчета приведен в конце лабораторной работы).

5.7. Реализовать на языке программирования программу, реализующую генератор паролей с характеристиками, соответствующими Вашему варианту. Программа, аналогично Simple Passwords, должна формировать случайную последовательность символов длины L, должны использоваться символы из тех групп, которые выданы Вашему варианту.

Замечания:

При реализации программы могут быть полезны следующие функции

1. RANDOM(N) – возвращает случайное число .

2. RANDOMIZE – сбрасывает начальное состояние датчика случайных чисел случайным образом.

3. CHR(X) – возвращает символ с ASCII кодом X. Коды различных групп символов приведены ниже.

Коды символов

Коды английских символов : «A»=65,…,«Z»=90, «a»=97,…, «z» =122.

Коды цифр : «0» = 48, «9» = 57.

! - 33, “ – 34, # - 35, $ - 36, % - 37, & - 38, ‘ – 39, ( - 40, ) – 41, * - 42.

Коды русских символов : «А» - 128, … «Я» - 159, «а» - 160,…, «п» - 175, «р» - 224,…, «я» - 239.

6. Контрольные вопросы

6.1. Что понимается под идентификацией и аутентификацией пользователя?

6.2. Чем определяется стойкость к взлому подсистемы идентификации и аутентификации пользователя?

6.3. Перечислите основные требования к выбору пароля и к реализации подсистемы парольной аутентификации пользователя.

6.4. Как количественно оценить стойкость подсистемы парольной аутентификации к взлому?

6.5. Как изменится стойкость к взлому подсистемы парольной аутентификации при увеличении характеристик P,V,T? При их уменьшении?

Таблица 1

Вариант

P

V

T

Используемые группы символов пароля

1

10-4

15 паролей/мин

2 недели

1. Цифры (0-9)

2. Латинские строчные буквы (a-z)

2

10-5

3 паролей/мин

10 дней

1. Латинские прописные буквы (A-Z)

2. Русские строчные буквы (а-я)

3

10-6

10 паролей/мин

5 дней

1. Русские прописные буквы (А-Я)

2. Специальные символы.

4

10-7

11 паролей/мин

6 дней

1. Цифры (0-9)

2. Латинские прописные буквы (A-Z)

5

10-4

100 паролей/день

12 дней

1. Русские прописные буквы (А-Я)

2. Латинские строчные буквы (a-z)

6

10-5

10 паролей/день

1 месяц

1. Русские строчные буквы (а-я)

2. Специальные символы.

7

10-6

20 паролей/мин

3 недели

1. Цифры (0-9)

2. Русские строчные буквы (а-я)

8

10-7

15 паролей/мин

20 дней

1. Латинские строчные буквы (a-z)

2. Латинские прописные буквы (A-Z)

9

10-4

3 паролей/мин

15 дней

1. Русские прописные буквы (А-Я)

2. Русские строчные буквы (а-я)

10

10-5

10 паролей/мин

1 неделя

1. Цифры (0-9)

2. Специальные символы.

11

10-6

11 паролей/мин

2 недели

1. Цифры (0-9)

2. Русские прописные буквы (А-Я)

12

10-7

100 паролей/день

10 дней

1. Латинские строчные буквы (a-z)

2. Русские прописные буквы (А-Я)

13

10-4

10 паролей/день

5 дней

1. Цифры (0-9)

2. Латинские строчные буквы (a-z)

14

10-5

20 паролей/мин

6 дней

1. Латинские прописные буквы (A-Z)

2. Русские строчные буквы (а-я)

15

10-6

15 паролей/мин

12 дней

1. Русские прописные буквы (А-Я)

2. Специальные символы.

16

10-7

3 паролей/мин

1 месяц

1. Цифры (0-9)

2. Латинские прописные буквы (A-Z)

17

10-4

10 паролей/мин

3 недели

1. Русские прописные буквы (А-Я)

2. Латинские строчные буквы (a-z)

18

10-5

11 паролей/мин

20 дней

1. Русские строчные буквы (а-я)

2. Специальные символы.

19

10-6

100 паролей/день

15 дней

1. Цифры (0-9)

2. Русские строчные буквы (а-я)

20

10-7

10 паролей/день

1 неделя

1. Латинские строчные буквы (a-z)

2. Латинские прописные буквы (A-Z)

21

10-4

20 паролей/мин

2 недели

1. Русские прописные буквы (А-Я)

2. Русские строчные буквы (а-я)

22

10-5

15 паролей/мин

10 дней

1. Цифры (0-9)

2. Специальные символы.

23

10-6

3 паролей/мин

5 дней

1. Цифры (0-9)

2. Русские прописные буквы (А-Я)

24

10-7

10 паролей/мин

6 дней

1. Латинские строчные буквы (a-z)

2. Русские прописные буквы (А-Я)

25

10-4

11 паролей/мин

12 дней

1. Цифры (0-9)

2. Латинские строчные буквы (a-z)

26

10-5

100 паролей/день

1 месяц

1. Латинские прописные буквы (A-Z)

2. Русские строчные буквы (а-я)

27

10-6

10 паролей/день

3 недели

1. Русские прописные буквы (А-Я)

2. Специальные символы.

28

10-7

20 паролей/мин

20 дней

1. Цифры (0-9)

2. Латинские прописные буквы (A-Z)

29

10-4

15 паролей/мин

15 дней

1. Русские прописные буквы (А-Я)

2. Латинские строчные буквы (a-z)

30

10-5

3 паролей/мин

1 неделя

1. Русские строчные буквы (а-я)

2. Специальные символы.

Содержание отчета

Отчет должен содержать сведения по следующему примеру:

ЛАБОРАТОРНАЯ РАБОТА №

НАЗВАНИЕ ЛАБОРАТОРНОЙ РАБОТЫ

ЦЕЛЬ ЛАБОРАТОРНОЙ РАБОТЫ

ВЫПОЛНИЛ: ст. гр. …..   ФИО

ВАРИАНТ № …

P=…

V=…

T=…

S*= (привести вычисления) = ….

В качестве алфавита символов, используемых при генерации пароля, были использованы следующие наборы _______________. Мощность данного набора A =_____.

При минимальном значении L=… выполняется условие S*S=AL.

Примеры паролей, сгенерированных программой Simple Passwords^

1) …

2) …

3) …

6) …

ТЕКСТ ПРОГРАММЫ

Примеры сгенерированных программой паролей:

1) …..

2) …..

3) …..

4) …..

5) …..

ЛАБОРАТОРНАЯ  РАБОТА № 10

ЗАЩИТА ДОКУМЕНТОВ MICROSOFT OFFICE.

ЗАЩИТА ИНФОРМАЦИИ В АРХИВАХ

1. Цель и задачи работы.

Изучить способы защиты документов в пакете MICROSOFT OFFICE и в архивах. Исследовать стойкость данных защит к взлому.

2. Теоретические сведения.

Защита документов Microsoft Office

Программный пакет Microsoft Office является наиболее популярным и часто используемым пакетом при подготовке электронных документов. При работе с приложениями MS Office возникает проблема обеспечения защиты информации, содержащейся в документе, для чего в пакет Microsoft Office были введены различные типы защит.

Существует 3 основных типа защит документов в Microsoft Word.

1. Защита документа от записи исправлений (Сервис -> Установить защиту).

2. Защита документа от изменений (доступ по чтению).

3. Защита на открытие документа (Сервис->Параметры->Сохранение для OFFICE 2000 или Сервис->Параметры->Безопасность для OFFICE XP)

Первые 2 типа защит обладают нулевой криптостойкостью (стойкостью ко взлому).

Защита от записи (доступ только по чтению)

В случае установки данного типа защиты, при открытии документа от пользователя будет запрошен пароль, разрешающий запись документа. Если пароль не будет введен, то будет дано разрешение только на чтение документа.

Этот метод защиты является самым слабым. Пароль защиты записи хранится в документе в открытом виде. Его можно найти любым редактором кода. Этот пароль даже не хэшируется. Защищать документ этим типом защиты крайне не рекомендуется, его криптостойкость равна нулю. Совет – если пользоваться этим методом защиты, то пароль лучше задавать на русском языке, в этом случае его несколько труднее обнаружить.

Защита от изменений

В случае установки данного типа защиты, вплоть до ее снятия, все изменения, вносимые пользователем в документ, будут подчеркиваться и отмечаться красным цветом.

Криптостойкость данной защиты не намного отличается от предыдущего типа. Пароль также хранится в документе, отличие только в том, что он хэшируется. Длина хэша – 32 бита. Для снятия защиты можно либо заменить хэш на заранее известный, либо вычислить первый подходящий под хэш пароль. Для такой длины хэша подходящих паролей может быть несколько. Существует возможность заменить хэш на хэш-образ, соответствующий пустому паролю.

Защита на открытие документа

В случае установки данного типа защиты, при открытии документа от пользователя будет запрашиваться пароль, не введя который нельзя будет изучить содержимое документа.

Из всех рассмотренных способов защиты в Word, данный метод является самым стойким. При установке пароля, документ шифруется по симметричному алгоритму RC4. В документе хранится зашифрованный хэш-образ пароля, используемый при проверке. Хэш имеет длину 128 бит и формируется по алгоритму MD5. Единственный способ нахождения пароля – полный перебор. Если длина пароля большая, и пароль выбран в соответствие с требованиями, то взломать данный тип защиты за приемлемое время довольно сложно.

Защита документов Microsoft Excel

При защите документов Excel, отличие заключается только во введении паролей на ячейки/листы/книги.

Защита листа

Защита листа позволяет защитить его элементы, например, ячейки с формулами, запретив доступ к ним всем пользователям, или предоставить доступ отдельным пользователям к определенным диапазонам ячеек. Можно запретить вставку, удаление и форматирование строк и столбцов, изменение содержимого заблокированных ячеек или перемещение курсора на заблокированные или разблокированные ячейки и т.д.

Защита листа реализуется через функцию Сервис->Защита->Защитить лист.

После открытия данного окна, пользователь может разрешить выполнение над элементами листа необходимые действия. Остальные действия по умолчанию запрещены. Для блокирования и разблокирования определенных ячеек необходимо использовать функцию     ФОРМАТ ЯЧЕЕК->ЗАЩИТА.

Используя функцию ЗАЩИТА->РАЗРЕШИТЬ ИЗМЕНЕНИЕ ДИАПАЗОНОВ, можно разрешить определенным группам пользователей выполнять операции над ячейками без ввода пароля. Другие пользователи будут получать запрос на ввод пароля и после его ввода смогут редактировать диапазон.

Для реализации данного типа защиты используется хэширование паролей (16 бит). Существует множество паролей, которые подходят под известный хэш-образ. Можно попытаться, например, защитить лист паролем «test» и попытаться открыть его при помощи пароля «zzyw».

Защита книги

Защитить книгу можно используя функцию             СЕРВИС-> ЗАЩИТА->ЗАЩИТИТЬ КНИГУ.

С помощью данной функции, можно запретить добавление и удаление листов, или отображение скрытых листов. Кроме этого, можно запретить изменение размеров или положения окна, настроенного для отображения книги. Действие такой защиты распространяется на всю книгу.

Защита информации в архивах

Парольная защита архивов является одним из наиболее часто используемых защит при передаче конфиденциальных документов по открытому каналу. Большинство современных архиваторов позволяют защитить свое содержание от несанкционированной распаковки. Однако, используемые в различных архиваторах методы различаются по степени защищенности используемых в них алгоритмов шифрования.

Известны различные методы атаки на архивные пароли. Одни методы атакуют собственно алгоритм шифрования, используемый в архиве, другие – человеческий фактор.

1. Атака полным перебором – самый трудоемкий метод, но позволяет вскрыть все архивы. Атака осуществляется на основании заданной длины пароля и набора символов, которые перебираются. Скорость атаки зависит от алгоритма проверки пароля, а также от количества символов в наборе и длины.

2. Атака по словарю – атака на человеческий фактор. Алгоритм нахождения пароля, основанный на предположении, что пароль представляет собой некоторое осмысленное слово, либо выражение, введенное на каком-либо языке. По сравнению с методом прямого перебора, скорость взлома значительно возрастает, поскольку любой язык мира содержит меньше слов, чем все возможное множество символов. Для применения этой атаки необходим словарь.

3. Атака посредством изменения одного байта в программе – самый простейший метод взлома. Может использоваться в случаях отсутствия продуманной защиты архивного шифрования.

4. Атака, основанная на правилах. В данном случае осуществляется полный перебор паролей, но состоящих из заданного набора символов. Эти наборы символов указываются экспертом.

5. Атака по открытому тексту. Данный метод позволяет легко вскрыть пароль архива, если известна часть кода открытого текста архива. Например, если архивируется программа, написанная на языке C++, то однозначно в ней присутствует такой открытый текст, как # include.

Метод атаки по открытому тексту может применять к следующим архиваторам: ARJ (необходимо знать открытую последовательность символов длиной не менее длины пароля), ZIP (надо знать по крайней мере 13 символов открытого текста), RAR 1.5 (надо знать 3-4 байта открытого текста).

Для защиты от взлома, пользователь должен выбирать архиватор со стойким к взлому алгоритмом шифрования, а также использовать длинные пароли (не менее 6 символов).

Алгоритмы шифрования архиваторов

Архиватор ARJ использует очень слабый алгоритм шифрования -  систему Вернама. В архивированном тексте присутствует некоторая неслучайная информация -  например, таблица  Хаффмана и некоторая другая  служебная информация. Поэтому, точно зная или предсказав с некоторой вероятностью значение этих служебных переменных, можно с той же вероятностью определить и соответствующие символы пароля. Использование слабых алгоритмов часто приводит к успеху  атаки  по  открытому  тексту.  В  случае архиватора ARJ, если злоумышленнику известен хотя бы один файл из зашифрованного архива, или известен непрерывный участок открытого текста длиной большей либо равной длине пароля, он с легкостью определит пароль архива и извлечет оттуда  все остальные файлы. Дешифрование по методу Вернама позволяет достичь скорости  перебора в 300000 паролей/сек. на машине класса Pentium/120.

Система шифрования  RAR-архивов (версии 1.5x)  хотя и является лучшей, чем у ARJ, все  же позволяет вести перебор  с достаточно высокой  скоростью. Криптостойкость при атаке с использованием открытого  текста оценивается  в  2^40  итераций,  причем из открытого текста необходимо иметь только первые три байта.

Система шифрования RAR-архивов  версии выше 2.0 является пока  лучшей из всех  архиваторов.  Криптостойкость при  отсутствии открытого  текста равняется 255^128, что невообразимо велико. Знание открытого текста никак не  поможет злоумышленнику при вскрытии пароля (данные архивы не атакуются по открытому тексту). Скорость перебора паролей архиваторов RAR последних версий чрезвычайно мала. Перечисленные свойства делают архиваторы RAR последних версий наиболее предпочтительными для формирования закрытых архивов.

3. Объекты исследования, оборудование, инструмент.

Программное обеспечение: Advanced Office XP Password Recovery, AdvancedArchive Password Recovery, архиватор RAR, архиватор ZIP.

4. Подготовка к работе.

4.1. Изучить теоретические сведения (п. 2).

4.2. Включить ПК. Проверить установлены ли архиваторы  RAR и ZIP на данном ПК (при необходимости установить).

5. Программа работы.

ЗАМЕЧАНИЕ. Ответы на вопросы, помеченные значком верхнего регистра n, внести в отчет.

5.1. Защита документов в Microsoft Word.

5.1.1. Исследовать все типы защит в Microsoft Word – защиту от записи, от исправлений и защиту на открытие документа. Изучить функции данных защит.

5.1.2 Сформировать в Word произвольный документ и поставить на него защиту от записи. В качестве пароля выбрать легко читаемую последовательность символов на английском языке. Сохраните данный документ на диске и выйдите из Word.

5.1.3. Откройте сохраненный файл в редакторе кода либо в режиме View FAR либо NC. Найдите в исходном коде сохраненного документа введенный Вами пароль. Действительно ли он хранится в документе в прямом виде?

5.1.4 Запустить программу аудита паролей Advanced Office XP Password Recovery и выяснить введенный пароль. Перебирает ли компьютер пароли в этом случае? Почему? Следует отметить, что ограничения, заложенные в демо-версии программы, не позволяют выводить на экран пароли длиной более 4 символов.

5.1.5. Защитить документ от записи исправлений и попытаться выяснить пароль с помощью программы Advanced Office XP Password Recovery. Осуществляется ли перебор в этом случае? Почему?

5.1.6. Поставить защиту на открытие документа (4 символа) и вскрыть его с помощью Advanced Office XP Password Recovery. Осуществляется ли перебор в этом случае? Какова скорость перебора паролей1? Поэкспериментировать с различными наборами символов. Если Вы не обладаете никакими априорными знаниями о пароле, то какой набор символов необходимо использовать? Сколько времени занял перебор паролей из 4 символов (при переборе всех печатаемых символов пароля)2?

5.1.7. Дать рекомендации по защите документов Office. Какую защиту необходимо ставить? Какой пароль выбирать?

5.1.8. Попытаться ввести в качестве пароля некое словарное английское слово, например, «house», и попытаться осуществить атаку по словарю. Как быстро программа сумела подобрать пароль? Насколько безопасно использовать словарные слова в качестве пароля?

5.2. Защита документов в Microsoft Excel

5.2.1. Исследовать все типы защит в Microsoft Excel (защиту на открытие и запись документа, защиту на лист, книгу, ячейки). Изучить функции данных защит. Какие из них требуют ввода пароля?

5.2.2. Защитить книгу и лист. Попытаться взломать защиту с помощью Advanced Office XP Password Recovery. Осуществляет ли перебор паролей данная программа? Почему? Сделать вывод о хранении различных паролей в Excel. Как надежны эти защиты? (Незарегистрированная версия Advanced Office XP Password Recovery показывает только 3-символьные пароли).

5.2.3. Поставить защиту на лист с паролем «test» и попытаться снять ее с паролем «zzyw». Что можно сказать об используемой для сокрытия паролей функции хэширования?

5.2.4. Попытаться поступить аналогичным образом с защитой книги. Является ли функция хэширования в данном случае более мощной, чем при защите на лист?

5.3. Защита архивов RAR.

5.3.1. Заархивировать в архиваторе RAR файл «x41-pno.txt». В качестве пароля указать «123» (демо-версия позволяет использовать только 3 символа).

5.3.2. Запустить Advanced Archive Password Recovery и попытаться найти пароль любым из доступных способов.

5.3.3. Поставить метку «Все печатаемые символы» и измерить скорость перебора паролей. Какова эта скорость3? Вычислить, сколько понадобится времени, чтобы найти пароль архива, состоящий из 9 символов4?

5.3.4 Заархивировать «x41-pno.txt» еще раз. В качестве пароля указать английское слово “house”. Сколько времени понадобилось программе, чтобы найти данный пароль из 5 букв? Можно ли рекомендовать пользователю защищать архивы, используя словарные слова?

5.3.5. Попытаться осуществить атаку на тот же самый архив по открытому тексту. Доступна ли она?

5.4. Защита архивов ZIP.

5.4.1 Защитить файл «Project1.cpp» с помощью архиватора ZIP. В качестве пароля указать “12345”.

5.4.2 Запустить Advanced Archive Password Recovery и попытаться найти пароль любым из доступных способов.

5.4.3. Поставить метку «Все печатаемые символы» и измерить скорость извлечения паролей. Какова эта скорость5? Вычислить, сколько понадобится времени, чтобы найти пароль архива, состоящий из 9 символов6? Во сколько раз это время меньше, чем это для RAR архивов?

5.4.4 Попытаться применить атаку к архиватору ZIP по маске и словарную атаку.

5.5. Атака по открытому тексту на архивы ZIP.

5.5.1 Закрыть все файлы из каталога PROG в архиве ZIP. В качестве пароля задать «123456789».

5.5.2. Закрыть файл «Project1.cpp» в архиве без задания пароля.

5.5.3. Осуществить атаку по открытому тексту на архив с паролем. В качестве открытого текста задать открытый архив с программой «Project.cpp».

5.5.4 Взлом будет осуществляться в 2 стадии. Сколько паролей взломщик оставил как «похожие на верный пароль» на первой стадии7? Сколько времени занял весь взлом8?

5.5.5. Сравнить время взлома при атаке по открытому тексту со временем атаки «в лоб» для 9 символов, вычисленным в предыдущем задании. Сделать вывод.

5.5.6. Оформить отчет по лабораторной работе.

6. Контрольные вопросы

6.1. Перечислите типы защиты Microsoft Word и Excel. Какая из этих защит самая стойкая к взлому?

6.2. Охарактеризуйте особенности реализации Microsoft всех типов защиты документов Word и Excel.

6.3. Охарактеризуйте, в чем заключался просчет Microsoft при реализации защиты от записи документа Word и защиты от изменений?

6.4. Какой из архивов ARJ, ZIP, RAR 3.0 является наиболее стойким к взлому.

6.5. Охарактеризуйте, что понимают под атакой по открытому тексту.

6.6. Зная, что собой представляет система Вернама, опишите методику атаки по открытому тексту на архив ARJ.

Содержание отчета

1. Тема и цель лабораторной работы.

2. Краткое изложение теоретической части.

3. Внести в отчет ответы на вопросы, помеченные значком верхнего регистра n (см. п.5)

4. Ответы на вопросы (п.6).

ЛАБОРАТОРНАЯ  РАБОТА № 11

Обнаружение уязвимостей сетевого узла с помощью сканеров безопасности

1. Цель и задачи работы.

Познакомиться на практике с проблемой обнаружения уязвимостей сетевого узла при помощи сканеров безопасности. Определить способы устранения обнаруженных уязвимостей.

2. Теоретические сведения.

Одной из важнейших проблем при анализе защищенности сетевого узла является проблема поиска уязвимостей в системе защиты. Под понятием уязвимость понимают слабость в системе защиты, которая дает возможность реализовать ту или иную угрозу. Под угрозой понимают совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности и конфиденциальности информации, хранящейся, обрабатывающейся и проходящей через сетевую компьютерную систему. Уязвимости могут являться как следствием ошибочного администрирования компьютерной системы, так и следствием ошибок, допущенных при реализации механизмов безопасности разработчиком ПО.

Для облегчения работы специалистов существуют программы, позволяющие сократить суммарно потраченное время на поиск уязвимостей, за счет автоматизации операций по оценке защищенности систем. Такие программы называют сканерами безопасности. Сканеры выявляют слабые места в безопасности на удаленном либо локальном ПК. Некоторые из них способны выдавать рекомендации по устранению обнаруженных уязвимостей. 

Примечание

Несанкционированные проверки уязвимости удаленного компьютера могут быть отнесены к уголовно наказуемому деянию согласно статьям 272 и 274 УК РФ (максимальное наказание – лишение свободы на срок до пяти лет). См. также файл-приложение к лабораторной работе:

УК_РФ_Глава_28_Преступления_в_сфере_компьютерной_информации.txt

Принципы работы сканера безопасности

Основной модуль программы подсоединяется по сети к удаленному компьютеру. В зависимости от активных сервисов формируются проверки и тесты. Сканирование – механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия – по косвенным признакам. Найденные при сканировании каждого порта заголовки сравнивается с таблицей правил определения сетевых устройств, операционных систем и возможных уязвимостей. На основе проведенного сравнения делается вывод о наличии или отсутствии потенциальной уязвимости.

При любой оценке безопасности большая сложность заключается в выяснении списка программного обеспечения, установленного в сети, наличие точного перечня портов и использующих их служб может быть одним из важнейших условий полной идентификации всех уязвимых мест. Для сканирования всех 131070 портов (от 1 до 65535 для TCP и UDP) на всех узлах может понадобиться много дней и даже недель. Поэтому лучше обратиться к более коротким спискам портов и служб, чтобы определить в первую очередь наличие самых опасных уязвимых мест (см. Приложение 1).

Протоколы семейства TCP/IP, используемые в качестве основы взаимодействия в Internet, не соответствуют современным требованиям по обеспечению безопасности. Наличие неустранимых уязвимостей в базовых протоколах TCP/IP приводит к появлению все новых видов атак, направленных на получение НСД, отказа в обслуживании и т.д. Новые разновидности информационных воздействий на сетевые сервисы представляют реальную угрозу доступности и целостности данных. В связи с этим, очень большую актуальность имеет создание сканеров безопасности, позволяющих обнаруживать такие угрозы, в том числе и самые новейшие.

Технологии анализа защищенности являются действенным методом, позволяющим проанализировать и реализовать политику сетевой безопасности прежде, чем осуществится попытка ее разрушения снаружи или изнутри организации.

Сканеры безопасности – обоюдоострое оружие. Ими может воспользоваться как администратор компьютерной системы для выявления незащищенных мест, так и злоумышленник.

Классы сканеров безопасности

1. Сканеры безопасности сетевых сервисов и протоколов (IP-Tools, XSpider, NMap).

2. Сканеры безопасности операционных систем (System Scanner).

3. Сканеры безопасности приложений (XSpider, System Scanner, VForce, AppDetective).

Сканеры безопасности сетевых сервисов и протоколов

Они сканируют локальную или удаленную машину с целью обнаружения уязвимостей и начинают с получения предварительной информации о проверяемой системе: о разрешенных протоколах и открытых портах, версии ОС и т.д. Некоторые сканеры могут попытаться сымитировать атаку на сетевой узел (реализацией моделей атак).

Сканеры безопасности операционных систем

Средства этого класса предназначены для проверки настроек ОС, влияющих на ее защищенность. К таким настройкам относятся: учетные записи пользователей, длина паролей и срок их действия, права пользователей на доступ к критичным системным файлам, уязвимые системные файлы и т.п. Данные сканеры могут проверить систему на наличие уязвимостей в прикладных программах и аппаратуре, уязвимостей связанных с недостатками в конфигурировании системы (не согласующиеся с политиками безопасности).

Сканеры безопасности приложений

Несмотря на то, что особую популярность приобретают универсальные сканеры, качество проверок, определяемое их глубиной, возможно обеспечить только специализированными сканерами, разработанными для конкретных прикладных программ, WEB-серверов и СУБД. Как правило, их работа основана на специализированной методологии и использовании обширной базы знаний по уязвимостям конкретной прикладной системы.

Недостатки сканеров безопасности

1. Обычно они могут только проверить известные уязвимости в системе безопасности. Их эффективность зависит в значительной степени от точности и быстродействия источника информации об уязвимостях.

2. Испытание на известную уязвимость может пройти неудачно. Иногда единственный способ определить, действительно ли система имеет некоторую известную слабость, состоит в том, чтобы пробовать задействовать это слабое место и понаблюдать, как система будет себя вести. Такой способ наиболее эффективен, но может иметь опасные последствия для всей системы. Альтернативой является следующее: собрать наиболее важную информацию (например, тип службы и версию) и на этом основании принять решение. Этот подход безопасен, но менее точен и часто ведет к большому количеству ложных подозрений.

Сканеры нового поколения используют более интеллектуальные методы сканирования, и помогают уменьшить зависимость от знания предыдущих атак. Интеллектуальное сканирование находится в стадии бурного развития, неудачи автоматических сканеров свидетельствуют о более фундаментальных недостатках в концепции сканирования уязвимостей. Поэтому нужно всегда помнить, что сканер не обнаружит все уязвимости системы, и будет часто сообщать о проблемах, которых, на самом деле, нет. Кроме того, современные сканеры не понимают взаимозависимости между системами, контекст, в котором компьютерные системы существуют, и роль, которую люди играют в действии компьютерных систем.

ОБЗОР СКАНЕРА БЕЗОПАСНОСТИ NMAP

NMapthe Network Mapper. Консольная программа NMap предназначена для сканирования сетей с любым количеством объектов, определения состояния объектов сканируемой сети а также портов и соответствующих им служб. Для этого NMap использует много различных методов сканирования, таких, как UDP, TCP connect(), TCP SYN (полуоткрытое), FTP proxy (прорыв через ftp), Reverse-ident, ICMP (ping), FIN, ACK, Xmas tree, SYN и NULL-сканирование (для определения действий соответствующих служб см. «Справку Windows»).

NMap также поддерживает большой набор дополнительных возможностей, а именно: определение ОС удаленного хоста с использованием отпечатков стека TCP/IP, «невидимое» сканирование, динамическое вычисление времени задержки и повтор передачи пакетов, параллельное сканирование, определение неактивных хостов методом параллельного ping-опроса, сканирование с использованием ложных хостов, определение наличия пакетных фильтров, прямое (без использования portmapper) RPC-сканирование, сканирование с использованием IP-фрагментации а также произвольное указание IP-адресов и номеров портов сканируемых сетей.

Результатом работы NMap является список отсканированных портов удаленной машины с указанием номера и состояния порта, типа используемого протокола а также названия службы, закрепленной за этим портом.

Порт характеризуется тремя возможными состояниями: «открыт», «фильтруемый» и «нефильтруемый». Состояние «открыт» означает, что удаленная машина прослушивает данный порт. Состояние «фильтруемый» означает, что межсетевой экран, пакетный фильтр или другое устройство блокирует доступ к этому порту и NMap не смог определить его состояние. «Нефильтруемый» означает, что по результатам сканирования NMap воспринял данный порт как закрытый, при этом средства защиты не помешали NMap определить его состояние. Это состояние NMap определяет в любом случае.

В зависимости от указанных опций, NMap также может определить следующие характеристики сканируемого хоста: метод генерации TCP ISN, имя пользователя (username) владельца процесса, зарезервировавшего сканируемый порт, символьные имена, соответствующие сканируемым IP-адресам и т.д.

Команда использования NMap (в консольном режиме):

nmap [Метод(ы) сканирования] [Опции] <Хост или сеть #1,[#N]>

Основные методы сканирования

-sT (scan TCP) – использовать метод TCP connect(). Наиболее общий метод сканирования TCP-портов. Функция connect(), присутствующая в любой ОС, позволяет создать соединение с любым портом удаленной машины. Если указанный в качестве аргумента порт открыт и прослушивается сканируемой машиной, то результат выполнения connect() будет успешным (т.е. соединение будет установлено), в противном случае указанный порт является закрытым, либо доступ к нему заблокирован средствами защиты. Для того, чтобы использовать данный метод, пользователь может не иметь никаких привилегий на сканирующем хосте. Этот метод сканирования легко обнаруживается целевым (т.е. сканируемым) хостом, поскольку его log-файл будет содержать запротоколированные многочисленные попытки соединения и ошибки выполнения данной операции. Службы, обрабатывающие подключения, немедленно заблокируют доступ адресу, вызвавшему эти ошибки.

-sS (scan SYN) – использовать метод TCP SYN. Этот метод часто называют полуоткрытым сканированием, поскольку при этом полное TCP-соединение с портом сканируемой машины не устанавливается. NMap посылает SYN-пакет, как бы намереваясь открыть настоящее соединение, и ожидает ответ. Наличие флагов SYN|ACK в ответе указывает на то, что порт удаленной машины открыт и прослушивается. Флаг RST в ответе означает обратное. Если NMap принял пакет SYN|ACK, то в ответ немедленно отправляет RST-пакет для сброса еще не установленного соединения (реально эту операцию выполняет сама ОС). Очень немного сайтов способны обнаружить такое сканирование. Пользователь должен иметь статус root для формирования поддельного SYN-пакета.

-sF,-sX,-sN (scan FIN, scan Xmas, scan NULL) – «невидимое» FIN, Xmas Tree и NULL-сканирование. Эти методы используются в случае, если SYN-сканирование по каким-либо причинам оказалось неработоспособным (некоторые межсетевые экраны и пакетные фильтры ожидают и блокируют поддельные SYN-пакеты на защищенные ими порты).

-sP (scan Ping) – ping-сканирование. Иногда вам необходимо лишь узнать адреса активных хостов в сканируемой сети. NMap делает это, послав ICMP-сообщение «запрос эха» на каждый указанный IP-адрес. Хост, отправивший ответ на эхо, является активным.

-sV (scan Version) – включение режима определения версий служб, за которыми закреплены сканируемые порты. После окончания сканирования будет получен список открытых TCP и/или UDP-портов. Без этой опции в списке напротив каждого порта будет указана служба, которая обычно использует данный порт (эта информация берется из базы данных общеизвестных портов, файл nmap-services).

-sU (scan UDP) – сканировать UDP-порты. Этот метод используется для определения, какие UDP-порты (RFC 768) на сканируемом хосте являются открытыми. На каждый порт сканируемой машины отправляется UDP-пакет без данных. Если в ответ было получено ICMP-сообщение «порт недоступен», это означает, что порт закрыт. В противном случае предполагается, что сканируемый порт открыт. Надо помнить, что сканирование UDP-портов проходит очень медленно, поскольку практически все ОС следуют рекомендации RFC 1812 (раздел 4.3.2.8) по ограничению скорости генерирования ICMP-сообщений «порт недоступен». Например, ядро Linux ограничивает генерирование таких сообщений до 80 за 4 секунды с простоем 0,25 секунды, если это ограничение было превышено. У ОС Solaris ограничение составляет 2 сообщения в секунду, и поэтому сканирование Solaris проходит еще более медленно. Microsoft не использует в своих ОС никаких ограничений, поэтому можно достаточно быстро просканировать все 65535 UDP-портов хоста, работающего под управлением ОС Windows.

-sO (scan Open protocol) – сканирование протоколов IP. Данный метод используется для определения IP-протоколов, поддерживаемых сканируемым хостом.

-sI <zombie_хост[:порт]> (scan Idle) – позволяет произвести «абсолютно невидимое» сканирование портов. Атакующий может просканировать цель, не посылая при этом пакетов от своего IP-адреса. Вместо этого используется метод IdleScan, позволяющий просканировать жертву через так называемый хост-«зомби». Кроме абсолютной невидимости, этот тип сканирования позволяет определить политику доверия между машинами на уровне протокола IP.

-sA (scan ACK) – использовать ACK-сканирование. Этот дополнительный метод используется для определения набора правил (ruleset) межсетевого экрана. В частности, он помогает определить, защищен ли сканируемый хост таким экраном или просто пакетным фильтром, блокирующим входящие SYN-пакеты.

-sW (scan Window) – использовать метод TCP Window. Этот метод похож на ACK-сканирование, за исключением того, что иногда с его помощью можно определять открытые порты точно так же, как и фильтруемые/нефильтруемые.

-sR (scan RPC) – использовать RPC-сканирование. Этот метод используется совместно с другими методами сканирования и позволяет определить программу, которая обслуживает RPC-порт, и номер ее версии.

-sL (scan List) – получить список сканируемых адресов. Эта опция позволяет вам получить список адресов хостов, которые будут просканированы NMap, до начала процесса сканирования. Опция может использоваться в случае, когда вам необходимо определить имена большого количества хостов по их адресам и т.д.

-b <ftp_relay хост> (bounche scan) – использовать атаку «прорыв через FTP». Интересной возможностью протокола FTP (RFC 959) является поддержка «доверенных» (proxy) ftp-соединений. Другими словами, с доверенного хоста можно соединиться с целевым ftp-сервером и отправить файл, находящийся на нем, на любой адрес Internet! Данная возможность известна с 1985 года (когда был написан этот RFC). NMap использует эту уязвимость для сканирования портов с «доверенного» ftp-сервера. Итак, злоумышленник можете подключиться к ftp-серверу «над» файрволлом и затем просканировать заблокированные им порты (например 139-й). Если ftp-сервер позволяет читать и записывать данные в какой-либо каталог (например /incoming), он также может отправить любые данные на эти порты. Аргумент, указываемый после -b, представляет собой URL сервера ftp, используемого в качестве «доверенного». Формат URL следующий: имя_пользователя:пароль@сервер:порт. Адрес сервера нужно указать обязательно, остальное можно не указывать.

Дополнительные опции

Эти опции не обязательные (т.е. нормальная работа NMap возможна и без их указания).

-h (show help) – печатает справку по использованию Nmap с указанием опций и краткого их описания, не запуская саму программу.

-P0 (Ping 0) – не производить ping-опрос хостов перед их непосредственным сканированием.

-PT (Ping TCP) – использовать TCP-ping. Вместо посылки запроса ICMP-эха, Nmap отправляет TCP ACK-пакет на сканируемый хост и ожидает ответ. Если хост активен, то в ответ должен прийти RST-пакет.

-PS (Ping SYN) – опция, также используемая для ping-опроса. При этом вместо ACK-пакета TCP-ping используется SYN-пакет. Активные хосты посылают в ответ RST-пакеты (реже SYN|ACK).

-PU [portlist] (Ping UDP) – использовать UDP-ping. NMap отправляет UDP-пакеты на указанный хост и ожидает в ответ ICMP «port unreachable» (или ответы от открытых портов UDP) если хост активен.

-PE (Ping ICMP) – эта опция использует в качестве ping-запроса нормальный ping-пакет (запрос ICMP-эха). Опция применяется для поиска активных хостов а также адресов сетей с возможностью широковещания. Такие сети пересылают прибывший ICMP-пакет всем своим объектам. Как правило, такие сети представляют собой «живую мишень» для злоумышленника.

-PP – использует пакет ICMP «timestamp request (code 13)» для определения активных хостов.

-PB (Ping Both) – режим ping-опроса по умолчанию. Использует одновременно запросы типа ACK и ICMP.

-O (Operating system detection) – эта опция позволяет определить операционную систему сканируемого хоста с помощью метода отпечатков стека TCP/IP. Другими словами, NMap активизирует мощный алгоритм, функционирующий на основе анализа свойств сетевого программного обеспечения установленной на нем ОС. В результате сканирования получается формализованный «отпечаток», состоящий из стандартных тестовых запросов и ответов хоста на них. Затем полученный отпечаток сравнивается с имеющейся базой стандартных ответов известных ОС, хранящейся в файле nmap-os-fingerprinting, и на основании этого принимается решение о типе и версии ОС сканируемого хоста. Этот метод требует наличия хотя бы одного закрытого и одного открытого порта на целевом хосте.

-A – Эта опция включает режим additional advanced aggressive, и разрешает опции -O, -sV, -T4, -v.

-I (Ident scan) – использовать reverse-ident сканирование. Протокол Ident (RFC 1413) позволяет вскрыть имя пользователя (username) процесса, использующего TCP, даже если этот процесс не инициализировал соединение. Так, например, вы можете подключиться к порту http и затем использовать identd для поиска на сервере пользователя root. Это может быть сделано только при установлении «полного» TCP-соединения с портом сканируемой машины (т.е. необходимо использовать опцию -sT). NMap опрашивает identd сканируемого хоста параллельно с каждым открытым портом. Естественно, этот метод не будет работать, если на целевом хосте не запущен identd.

-f (use fragmentation) – эта опция используется совместно с SYN, FIN, Xmas или NULL-сканировании и указывает на необходимость использования IP-фрагментации с малым размером фрагментов. Это значительно усложняет фильтрацию пакетов, работу систем обнаружения и других подобных средств защиты, и позволяет NMap скрыть свои действия.

-v (verbose output) – использовать режим «подробного отчета». Эту опцию рекомендуется использовать в любых случаях, поскольку при этом NMap подробно сообщает о ходе выполнения текущей операции.

-iR (input Random) – если вы укажете эту опцию, NMap будет сканировать случайно выбранные им хосты, адреса которых получены с помощью генератора случайных величин. Этот процесс будет длиться, пока вы его не остановите. Функция может пригодиться для статистического исследования Internet.

-p <диапазон(ы)_портов> (ports) – эта опция указывает NMap, какие порты необходимо просканировать. Например, -p 23 означает сканирование 23 порта на целевой машины. По умолчанию Nmap сканирует все порты в диапазоне 1-1024, поскольку все они перечислены в файле services.

-F (Fast scan) – быстрое сканирование.

--data_length <число> – эта опция добавляет к большинству пакетов (кроме пакетов для определения ОС) указанное число нулевых байт. Повышает конспирацию, т.к обычно NMap посылает пакет, содержащий только заголовок. Таким образом, TCP-пакет имеет длину 40 байт, а ICMP «echo requests» 28 байт.

--packet_trace Показывать все принимаемые и передаваемые пакеты в формате TCPDump.

Задание цели

Все, что не является опцией или ее аргументом, NMap воспринимает как адрес или имя целевого хоста (т.е. хоста, подвергаемого сканированию). Простейший способ задать сканируемый хост – указать его имя или адрес в командной строке после указания опций и аргументов.

Для сканирования подсети IP-адресов, необходимо указать параметр

/<mask>

– маска, после имени или IP-адреса сканируемого хоста.

Маска может принимать следующие значения:

/0 – сканировать весь Интернет;

/16 – сканировать адреса класса B;

/24 – сканировать адреса класса С;

/32 – сканировать только указанный хост.

NMap позволяет также гибко указать целевые IP-адреса, используя списки и диапазоны для каждого их элемента. Например, необходимо просканировать подсеть класса B с адресом 128.210.*.*. Задать эту сеть можно любым из следующих способов:

128.210.*.*

128.210.0-255.0-255

128.210.1-50,51-255.1,2,3,4,5-255

128.210.0.0/16

Все эти строки эквивалентны.

Если необходимо просканировать, например, все IP-адреса, оканчивающиеся на 5.6 либо 5.7, то можно указать в качестве целевого IP-адреса строку:

*.*.5.6-7

Примечание

Более подробно о сканере безопасности NMap читайте в файле-приложении к лабораторной работе:

Волков_Сетевой_сканер_NMap_Руководство_пользователя_2003.htm

ОБЗОР СКАНЕРА БЕЗОПАСНОСТИ XSPIDER

Сканер безопасности XSpider является разработкой фирмы Positive Technologies. В отличии от сканера NMap, сканер XSpider имеет удобный графический интерфейс, более интеллектуальные алгоритмы поиска уязвимостей, большую обновляемую базу уязвимостей, а также возможность создания полноценных отчетов по безопасности системы и многое другое.

Особо стоит упомянуть эвристические алгоритмы, использующиеся в XSpider. Он не только занимается простым перебором уязвимостей из базы, но и выполняет дополнительный анализ по ходу работы, исходя из особенностей текущей ситуации. Благодаря этому, XSpider может иногда обнаружить специфическую уязвимость, информация о которой еще не была опубликована.

Центральной концепцией XSpider является Задача. Она включает в себя набор проверяемых хостов. В одну Задачу имеет смысл объединять хосты, которые следует проверять сходным образом. Как только Задача сформирована, ей можно присвоить Профиль – набор настроек, которые определяют нюансы сканирования. Если этого не сделать – будет использоваться Профиль по умолчанию.

Выполнение Задачи можно автоматизировать, то есть присвоить ей расписание, по которому она будет выполняться. Для каждой Задачи хранится полная история всех сканирований. Результаты любого из них можно загрузить и работать с ними, как со «свежими». Это удобно и для анализа развития ситуации, и для того, чтобы случайно не потерять какие-то результаты работы. Задачи, как файлы, можно открывать, сохранять и т.п. Каждой Задаче соответствует файл на диске, находящийся по умолчанию в стандартном каталоге XSpider (Tasks).

Одновременно XSpider может обрабатывать много Задач, каждая из которых может содержать много хостов. Единственное, что стоит учесть – пропускную способность канала, связывающего XSpider с проверяемыми компьютерами. Учитывая, что трафик, создаваемый XSpider на один хост, невелик, то перегрузка канала возможна либо при очень большом (сотни) числе одновременно сканируемых хостов, либо, если канал очень узкий. Через настройки можно регулировать максимальное число проверяемых хостов на одну Задачу. То есть, даже если в Задаче, например, 100 хостов, можно указать, что одновременно должны сканироваться 50. При этом остальные будут стоять в очереди и проверятся последовательно.

Примечание

Более подробно о сканере безопасности XSpider читайте в файле-приложении к лабораторной работе:

Киреев_XSpider_7_5_2006.chm

3. Объекты исследования, оборудование, инструмент.

Программное обеспечение: сканер безопасности NMap 4.2, сканер безопасности XSpider 7.5 Demo, стандартные средства администрирования Windows.

4. Подготовка к работе.

4.1. Изучить теоретические сведения (п. 2).

4.2. Включить ПК. Установить сканер безопасности NMap 4.2, сканер безопасности XSpider 7.5 Demo.

5. Программа работы.

Лабораторная работа предполагает использование двух сканеров безопасности: NMap 4.2 и XSpider 7.5 Demo. Если на вашей ЭВМ они отсутствуют, установите их из каталога \DATA\SOFT\ данной лабораторной работы. В качестве цели сканирования использовать только компьютеры локальной сети лаборатории. Не использовать потенциально опасные команды без разрешения преподавателя. После окончания работы привести все настройки компьютера в исходное состояние.

1. Выяснить IP-адрес вашего компьютера, маску подсети и основной шлюз. Данную информацию можно получить, посмотрев свойства протокола TCP/IP (Сетевое окружение – Свойства). Или выполнив команду ipconfig в командной строке (Пуск – Выполнить – cmd).

2. Выберите компьютер-жертву среди компьютеров лаборатории. Определите его IP-адрес. Его можно узнать либо у других студентов, либо уточнить у лаборанта.

3. Откройте консоль (Пуск – Выполнить – cmd). Запустите сканер NMap. Используя приведенный в лабораторной работе перечень стандартных опций определите, если возможно:

– имя сканируемого компьютера,

– количество открытых портов,

– имена открытых портов и названия сервисов, соответствующих им.

В отчет внести также использованные для этих целей команды или группу команд.

4. Используя маску, продемонстрируйте возможности NMap при сканировании диапазона ЭВМ в лаборатории. Использовать не менее трех команд (произвольных, не использованных ранее). В отчет внесите маску, команды для сканера и полученные результаты с пояснением.

5. Запустить сканер безопасности XSpider и войти в модуль Сканеры (Вид – Сканирование). Ввести адрес сканируемой Вами ЭВМ в окне ввода IP адреса (Правка – Добавить хост) и осуществить сканирование безопасности (Сканирование – Старт).

– Внесите в отчет открытые порты и сервисы обнаруженные XSpider. Сравните результаты с полученными от NMap.

– Возможна ли удаленная DoS-атака на ЭВМ? Если да, внесите в отчет порт, номер и имя сервиса.

6. После окончания сканирования сгенерируйте отчет средствами Xspider. Проанализируйте его.

– Какие обнаружены уязвимости?

– Какие рекомендации по их устранению выдает XSpider?.

Выполните указанные действия по устранению уязвимостей. Для исправления ошибок реестра используйте команду Пуск – Выполнить – regedt32. Кроме того возможно придется использовать средства администрирования Windows (Панель управления – Администрирование – Службы, Управление компьютером и т.д.), а также средства аудита пользователей (Панель управления – Учетные записи пользователей). Просканируйте систему заново. Есть ли изменения?

– Внесите в отчет уязвимости, которые вам удалось исправить, а также ваши действия по их устранению.

7. Опираясь на опыт лабораторной работы, внесите в отчет ваши рекомендации по более надежной защите сетевого узла.

6. Контрольные вопросы

6.1. Что такое уязвимость и угроза сетевого узла?

6.2.В связи с чем возникают уязвимости?

6.3. Что такое сканер безопасности и для чего он служит?

6.4. Законно ли применение сканера безопасности?

6.5. В чем принцип работы сканера безопасности?

6.6 Какие сложности могут возникнуть при оценке безопасности?

6.7 Перечислите классы сканеров безопасности и охарактеризуйте их.

6.8. Перечислите недостатки сканеров безопасности.

6.9. Являются ли сканеры безопасности абсолютно надежным способом анализа безопасности сетевой компьютерной системы?

6.10. Каковы основные возможности программы NMap?

6.11 К какому классу сканеров возможно отнести программу NMap?

6.12. Перечислите основные методы сканирования программы NMap.

6.13 Какие дополнительные возможности присутствуют в NMap?

6.14. Каковы результаты работы программы NMap?

6.15. Каковы отличительные особенности сканера XSpider от других?

Содержание отчета

Название работы

Обнаружение уязвимостей сетевого узла с помощью сканеров безопасности.

Цель

Познакомиться на практике с проблемой обнаружения уязвимостей сетевого узла при помощи сканеров безопасности. Определить способы устранения обнаруженных уязвимостей.

Выполнил

Студент гр. № ______

ФИО ________________________________________________________

Ход работы

  1.  Лабораторная работа выполнялась на ЭВМ с IP адресом: ___.___.___.___, маской подсети: ___.___.___.___ и основным шлюзом: ___.___.___.___.
  2.  IP адрес целевой ЭВМ: ___.___.___.___.
  3.  Использовались следующие опции сканирования: ________________.

Имя сканируемой ЭВМ: ____________________,

использовалась команда: _____________________.

Количество открытых портов: ____.

Открыты порты: __________________________________________________,

доступны сервисы: _________________________________________________,

использовалась команда: _____________________.

  1.  Использована маска: _________________. Диапазон составляют ЭВМ с адресами от: ___.___.___.___, до: ___.___.___.___.

Команда 1: _____________________.

Результат: ________________________________________________________.

Пояснение: _______________________________________________________.

Команда 2: _____________________.

Результат: ________________________________________________________.

Пояснение: _______________________________________________________.

Команда 3: _____________________.

Результат: ________________________________________________________.

Пояснение: _______________________________________________________.

  1.  Открытые порты обнаруженные XSpider: ________________________

__________________________________________________________________,

доступны сервисы: _________________________________________________.

DoS-атака возможна на TCP порт с номером: ______, сервисом: ______.

  1.  Обнаруженные уязвимости и рекомендации по их устранению:

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________.

Удалось исправить следующие уязвимости: ____________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________.

Для этого были выполнены следующие действия: _______________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________.

  1.  Рекомендации по более надежной защите сетевого узла:

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________.


ПРИЛОЖЕНИЕ 1.

СПИСОК ПОРТОВ И СЛУЖБ

Порты, приведенные в этой таблице, очень часто служат для сбора информации или получения доступа к компьютерным системам.

Служба или приложение

Порт / Протокол

Echo

systat

chargen

ftp-data

ssh

telnet

SMTP

nameserver

whois

tacacs

xns-time

xns-time

dns-lookup

dns-zone

whois++

bootps

bootps

oracle-sqlnet

tftp

gopher

finger

http

Альт. порт Web (http)

kerberos или альт. порт Web (http)

pop2

рорЗ

sunrpc

sqlserv

nntp

ntp

ntrpc-or-dce (epmap)

netbios-ns

netbios-dgm

netbios

imap

snmp

snmp-trap

xdmcp

bgp

snmp-checkpoint

Idap

netware-ip

timbuktu

https/ssl

ms-smb-alternate

ipsec-internet-key-exchange (ike)

exec

rlogin

rwho

rshell

syslog

printer

printer

talk

ntalk

route

netware- ncp

irc-serv

uucp

klogin

mount

remotelypossible

rsync

samba-swat

службы w2k rpc

socks

kpop

bmc-patrol-db

note's

timbuktu-sn/1

ms-sql

citrix

sybase-sql-anywhere

funkproxy

Ingres-lock

oracle-srv

oracle-tli

pptp

winsock-proxy

radius

remotely-anywhere

cisco-mgmt

nfs

compaq-web

Sybase

openview

realsecure

nessusd

ccmail

ms-active-dir-global-catalog

bmc-patrol-agent

mysql

ssql

ms-termserv

cisco-mgmt

nfs-lockd

rwhois

postgress

secured

pcanywhere

vnc

vnc-java

xwindows

cisco-mgmt

arcserve

ape

ire

font-service

web

web

web

web

blackice-icecap

cisco-xremote

jetdirect

dragon-ids

Агент системного сканирования iss

Консоль системного сканирования iss

stel

netbus

trinoo_bcast

trinoo_master

quake

backorifice

rpc-solaris

snmp-solaris

reachout

bo2k

bo2k

netprowler-manager

pcanywhere-def

7/tcp

11/tcp

19/tcp

21/tcp

22/tcp

23/tcp

25/tcp

42/tcp

43/tcp

49/udp

52/tcp

52/udp

53/udp

53/tcp

63/tcp/udp

67/tcp/udp

68/tcp/udp

66/tcp

69/udp

70/tcp/udp

79/tcp

80/tcp

81/tcp

88/tcp

109/tcp

110/tcp

111/tcp

118/tcp

119/tcp

123/tcp/udp

135/tcp/udp

137/tcp/udp

138/tcp/udp

139/tcp

143/tcp

161/udp

162/udp

177/tep/udp

179/tcp

256/tcp

389/tcp

396/tcp

407/tcp

443/tcp

445/tcp/udp

500/udp

512/tcp

513/tcp

513/udp

514/tcp

514/udp

515/tcp

515/udp

517/tcp/udp

518/tcp/udp

520/udp

524/tcp

529/tcp/udp

540/tcp/udp

543/tcp/udp

645/udp

799/tcp

873/tcp

901 /top

1024-1030/tcp, 1024-1030/udp

1080/tcp

1109/tcp

1313/tcp

1352/tcp

1417-1420/tcp/udp

1433/tcp

1494/tcp

1498/tcp

1505/tcp/udp

1524/tcp

1525/tcp

1527/tcp

1723/tcp

1745/tcp

1812/udp

2000/tcp

2001 /tcp

2049/tcp

2301/tcp

2368

2447/tcp

2998/tcp

3001/tcp

3264/tcp/udp

3268/tcp/udp

3300/tcp

3306/tcp

3351 /tcp

3389/tcp

4001 /tcp

4045/tcp

4321/tcp/udp

5432/tcp

5500/udp

5631/tcp

5800/tcp

5900/tcp

6000/tcp

6001/tcp

6050/tcp

6549/tcp

6667/tcp

7100/tcp/udp

8000/tcp

8001/tcp

8002/tcp

8080/tcp

8081/tcp

9001 /tcp

9100/tcp

9111/tcp

9991 /tcp

9992/tcp

10005/tcp

12345/tcp

27444/tcp

27665/tcp

27960/udp

31337/udp

32771/tcp

32780/udp

43188/tcp

54320/tcp

54321/udp

61440/tcp

65301/tcp

ЛАБОРАТОРНАЯ  РАБОТА № 12

Сканеры безопасности операционных систем

1. Цель и задачи работы.

Познакомиться на практике со сканером безопасности уровня ОС System Scanner. Выявить отличия между сканерами безопасности локальных и удаленных систем.

2. Теоретические сведения.

Сканеры безопасности уровня ОС позволяют обнаружить следующие типы уязвимостей локального сканируемого узла:

  •  уязвимости прикладных программ и аппаратуры;
  •  уязвимости, связанные с недостатками в конфигурировании системы;
  •  недостатки в конфигурировании, не согласующиеся с политикой безопасности.

Такие сканеры могут выявлять уязвимости в процессе интерактивного или автоматического сканирования и давать рекомендации по их устранению.

В настоящее время существует множество программных продуктов для проведения аудита и анализа защищенности информационных систем. В данной лабораторной работе будет рассмотрен один из известных сканеров безопасности уровня ОС System Scanner.

SYSTEM SCANNER

Система анализа защищенности System Scanner (S2) разработана американской компанией Internet Security Systems Inc. (ISS) и предназначена для решения одного из важных аспектов управления сетевой безопасностью – обнаружения уязвимостей. В отличие от систем Internet Scanner и аналогичных ей (таких как XSpider, NMap), анализирующей уязвимости на уровне сетевых сервисов, система S2 анализирует уязвимости на уровне операционной системы. Кроме того, система S2 проводит анализ защищенности сканируемого компьютера изнутри, в то время как система Internet Scanner – снаружи. На основе проведенных тестов система System Scanner вырабатывает отчеты, содержащие подробное описание каждой обнаруженной уязвимости, ее расположение на узлах корпоративной сети и рекомендации по их коррекции или устранению.

Большинство нарушений безопасности связано с сотрудниками организации (до 80% всех нарушений). Поэтому система System Scanner, обеспечивающая не только поиск уязвимостей, но и их автоматическое устранение, является важной составляющей комплексной системы безопасности организации.

Система System Scanner позволяет создать эталонную конфигурацию различных узлов корпоративной сети и сравнивать текущие конфигурации этих узлов с эталонными значениями. Эталонная конфигурация может быть создана для пользователей, групп, сервисов и демонов, файлов и разделяемых ресурсов. Регулярное применение системы System Scanner позволяет обеспечить глобальный охват всех аспектов информационной безопасности корпоративной сети изнутри, т.е. она направлена на выявление внутренних злоумышленников.

Компоненты системы System Scanner

System Scanner состоит из двух компонентов: агента и консоли управления. Агенты, устанавливаемые на каждый контролируемый узел, обнаруживают уязвимости и иные нарушения политики безопасности, в том числе и неправильную конфигурацию. Консоль управляет по защищенному соединению всеми агентами, а также позволяет создать большое число различных отчетов, содержащих подробную информацию о каждом нарушении политики безопасности и пошаговых рекомендациях по их устранению (со ссылками на сервера производителей «заплаток»).

Поддерживаемые операционные системы

Система System Scanner может быть использована для анализа защищенности следующих операционных систем:

  •  Windows NT;
  •  System Scanner 2000;
  •  Digital UNIX (Tru64 UNIX);
  •  HP UX;
  •  Red Hat LINUX;
  •  Digital UNIX;
  •  AIX;
  •  NCR (SVR4 на Intel);
  •  Sequent PTX/4;
  •  SCO OpenServer;
  •  SCO UnixWare;
  •  ICL DRS/NX;
  •  SIEMENS SINIX;
  •  Sun Solaris 1;
  •  SIEMENS (PYRAMID).

Применение системы System Scanner

Система System Scanner может быть использована для:

  •  анализа и управления настройками различных операционных систем, используемых в организации для обеспечения ее нормального функционирования;
  •  обнаружения уязвимостей, позволяющих «обойти» существующие защитные механизмы, как, например: неправильная конфигурация ОС или системного ПО, изменение любых файлов, «слабые» пароли и т.д.;
  •  анализа изменений уровня защищенности корпоративной сети.

Система System Scanner может применяться:

  •  отделами автоматизации для анализа настроек операционных систем, используемых в корпоративной сети;
  •  отделами защиты информации для обнаружения и устранения уязвимостей на узлах корпоративной сети;
  •  аудиторскими компаниями для проведения соответствующих проверок.

Возможности системы System Scanner

Система System Scanner обеспечивает высокий уровень анализа защищенности за счет проведения всесторонних проверок и следующих ключевых возможностей.

1. Большое число проводимых проверок. Система System Scanner проводит более 1500 (более 1100 для Windows и более 430 для Unix) проверок различных типов, включая:

системные проверки (системная конфигурация, системный доступ, ключевые файлы и т.д.);

проверки пользователей и групп (идентификаторы, пароли, личные директории, время входа в систему и т.д.);

проверки паролей («слабые» пароли, password shadowing, длина и срок действия паролей и т.п.);

проверки файлов (права доступа, наследование, suid и sgid и т.д.);

контроль целостности (файлов, ключей системного реестра и т.д.);

проверки политики аудита;

проверки демона cron и сервиса at;

проверки сетевой конфигурации (настройки сетевых демонов, NIS, стек TCP/IP и т.п.);

проверки устройств (для Unix);

анализ журналов регистрации (syslog и EventLog);

проверки привилегий и другие проверки.

2. Периодическое обновление базы данных уязвимостей позволяет поддерживать уровень защищенности корпоративной сети на необходимом уровне.

3. Создание своих собственных проверок. Система System Scanner обладает уникальным механизмом FlexCheck, позволяющим добавлять свои собственные проверки, учитывающие специфику программного обеспечения, используемого в корпоративной сети. Данная возможность достигается за счет применения специального языка, позволяющего быстро создать свои собственные проверки.

4. Для получения описаний новых уязвимостей без обновления всего программного обеспечения в системе System Scanner реализован механизм X-Press Update, который позволяет получать новые описания через Internet с защищенного Web-сервера компании ISS. При необходимости установленные новые проверки можно деинсталлировать. При помощи этого же механизма возможно обновление самой системы System Scanner для расширения ее функциональных возможностей (новые отчеты, новые функции меню и т.д.).

5. Задание шаблонов для различных групп сканируемых узлов. Существуют 75 различных шаблонов сканирования, например:

accountPolicy – проверка параметров политики учетных записей;

allfrozenfiles – контроль целостности файлов;

antivirus – проверка наличия на узле антивирусных систем;

auditPolicy – проверка политики аудита;

boot-options – проверка параметров загрузки системы;

c2-configuration – проверка соответствия конфигурации узла требованиям класса защищенности C2;

denialOfService – проверка осуществимости атак типа «отказ в обслуживании»;

fileChecks – проверки файловой системы;

frozenRegistry – контроль целостности системного реестра;

ftp – проверки FTP;

iis – проверки MS Internet Information Server;

internetExplorer – проверка конфигурации Internet Explorer;

modemChecks – проверка наличия модема на контролируемом узле;

navChecks – проверка конфигурации Netscape Navigator;

password – проверки «слабостей» паролей;

ras – проверки Remote Access Service;

services – проверки сервисов, запущенных на сканируемом узле;

shares – поиска разделяемых ресурсов;

sysinfo – сбор системной информации о сканируемом узле;

userChecks – проверки учетных записей пользователей.

6. Централизованное управление процессом сканирования. Централизованное управление процессом анализа защищенности всех узлов сети с одного рабочего места делает систему System Scanner незаменимым помощником специалистов отделов технической защиты информации или управлений автоматизации любой организации.

7. Параллельное сканирование нескольких узлов корпоративной сети.

8. Централизованное обновление компонентов системы на удаленных узлах;

9. Создание сценариев для устранения найденных проблем. Система System Scanner обладает уникальной возможностью по созданию скриптов (fix script), корректирующих или устраняющих обнаруженные в процессе анализа защищенности проблемы. Кроме того, в процессе создания fix-скрипта система S2 также создает скрипт, позволяющий отменить изменения, сделанные fix-скриптом. Это может потребоваться в том случае, если сделанные изменения нарушили нормальное функционирование отдельных узлов корпоративной сети.

10. Запуск процесса сканирования по расписанию. Для периодического проведения анализа защищенности существует возможность запуска системы System Scanner по расписанию. Для этого можно использовать утилита CRON. При помощи данной утилиты администратор может не только запускать систему S2 для проведения локального или удаленного сканирования, но и создавать отчеты по результатам сканирования. Для ОС Windows NT задание графика запуска осуществляется из консоли системы S2.

11. Возможность работы из командной строки.

12. Контроль целостности объектов контролируемого узла. В системе System Scanner реализован механизм контроля целостности системных и пользовательских файлов, а также ключей системного реестра, что позволяет обнаруживать любые, в том числе и несанкционированные их изменения.

13. Многоуровневая защита всей собранной информации. Вся собираемая информация об уязвимости ресурсов корпоративной сети защищается от несанкционированного ознакомления и изменения. Кроме того, применяемые механизмы защиты не позволяют несанкционированно использовать систему System Scanner для обнаружения уязвимостей на узлах «чужой» сети и запускать ее пользователями, не обладающими правами администратора.

14. Анализ журналов регистрации.

15. Интеграция с системой SAFEsuite Decisions. Для более эффективного обеспечения процесса анализа защищенности крупной, территориально-распределенной сети данные, собираемые системой System Scanner могут быть загружены в систему поддержки принятия решения SAFEsuite Decisions, где они будут проанализированы на более высоком уровне с дополнительной корреляцией их с данными, полученными от систем Internet Scanner, Database Scanner, RealSecure, межсетевых экранов и других средств защиты.

16. Реагирование в реальном режиме времени. Система System Scanner позволяет в реальном режиме времени посылать сообщения об уязвимостях по электронной почте или, при помощи SNMP, на консоль системы управления сетью (например, HP OpenView). Кроме того, система System Scanner позволяет автоматически устранять обнаруженные уязвимости.

17. Мощная система генерации отчетов. Система System Scanner обладает очень мощной подсистемой генерации отчетов, позволяющей легко создавать различные формы отчетов. Возможность детализации данных о сканировании облегчает чтение подготовленных документов как руководителям организации, так и техническим специалистам. Создаваемые отчеты могут содержать как подробную текстовую информацию об уязвимостях и методах их устранения, так и графическую информацию, позволяющую наглядно продемонстрировать уровень защищенности узлов корпоративной сети.

18. Различные форматы отчетов. Подсистема генерации отчетов позволяет создавать документы в нескольких форматах:

текстовом;

HTML;

CSV и многих других.

19. Мощная система подсказки. Система System Scanner обладает мощной системой подсказки, которая помогает эффективно и надлежащим образом проводить анализ защищенности корпоративной сети. Секция описания уязвимостей содержит не только подробную информацию об уязвимости и пошаговых инструкциях по ее устранению, но и гипертекстовые ссылки на Web- и FTP-сервера производителей программного обеспечения, на которых можно получить последние версии ПО, patch или hotfix, устраняющие найденные проблемы.

20. Простота использования и интуитивно понятный графический интерфейс. Процесс проведения анализа защищенности очень прост и заключается в выполнении всего 3-х операций:

задание глубины (шаблона) сканирования;

запуск процесса сканирования;

генерация и анализ отчета.

21. Невысокие системные требования к программному и аппаратному обеспечению.

Функционирование System Scanner

Система System Scanner выполняет анализ защищенности узла с двух позиций. Во-первых, анализируются настройки операционной системы, которые могут быть использованы злоумышленниками для осуществления атаки. А во-вторых, сканируемая система проверяется на наличие «следов», уже оставленных злоумышленниками (т.е. система System Scanner может контролировать целостность заданных файлов и анализировать журналы регистрации ОС).

Для увеличения скорости проведения анализа защищенности крупной сети могут быть инициированы несколько параллельных процессов сканирования. Ответы от сканируемых узлов обрабатываются, после чего данные об уязвимостях записываются в специальную базу данных. На основе собранной информации система генерации отчетов создает отчет, содержащий различную информацию в зависимости от выбранной степени детализации.

Как было сказано выше, для работы с системой S2 достаточно выбрать одну из политик безопасности и запустить сканирование. System Scanner включает в себя множество политик сканирования, организованных в группы. Политика сканирования каждой группы отвечает за проверку требований безопасности для отдельной области.

Начальные политики (Initial Policies) – при начальная защита ОС.

Политика

Имя

Область проверки

Initial-1

Внешние атаки

Сетевые сервисы – FTP, RAS, доступ к реестру, аудит входа в систему

Initial-2

Суперпользователи

Конфигурация аудита, анализ журналов аудита, учетные записи администраторских групп

Initial – 3

Обычные пользователи

Политика учетных записей, права и привилегии пользователей

Initial – 4

Файлы и устройства

Только для UNIX

Initial – 5

Системные файлы

Файлы системного каталога, критичные ключи в реестре

Initial – 6

Все файлы

Все файлы на хосте

Поддерживающие политики (Maintenance Policies) – предназначены для периодического мониторинга безопасности системы (чем выше номер политики – тем реже).

Политика

Имя

Частота

Область проверки

Maintenance – 1

Внешние атаки

Ежечасно, ежедневно

Сетевые сервисы – FTP, RAS, доступ к реестру, аудит входа в систему

Maintenance – 2

Суперпользователи

Ежечасно, ежедневно

Конфигурация аудита, анализ журналов аудита, учетные записи администраторских групп

Maintenance – 3

Системные файлы

Раз в день, раз в 2 дня

Файлы системного каталога, критичные ключи в реестре

Maintenance – 4

Обычные пользователи

Раз в день, раз в неделю

Политика учетных записей, права и привилегии пользователей

Maintenance – 5

Файлы и устройства

Раз в день, раз в неделю

Только для UNIX

Maintenance – 6

Все файлы

Раз в неделю, раз в месяц

Все файлы на хосте

После проверки соответствия уровня защищенности одной из выбранных политик безопасности, остается лишь изучить отчет, либо передать его экспертам для дальнейшего анализа.

Примечание

Более подробно о возможностях системы S2 и ее настройке и применении, читайте в файле-приложении к лабораторной работе (каталог \FOR_READING\):

SystemScanner.chm

3. Объекты исследования, оборудование, инструмент.

Программное обеспечение: сканер безопасности System Scanner 4.2.5., сервер баз данных SQL Server 2000 Service Pack 3.

4. Подготовка к работе.

4.1. Изучить теоретические сведения (п. 2).

4.2. Включить ПК.  Установить ПО сканер безопасности System Scanner 4.2.5. и сервер баз данных SQL Server 2000 Service Pack 3.

5. Программа работы.

Необходимые для выполнения лабораторной работы программы находятся в каталоге \DATA\. 

5.1. Установить сервер баз данных SQL Server 2000 Service Pack 3.

5.2. Установить System Scanner 4.2.5. Console и System Scanner 4.2.5. Agent.

5.3. Запустите консоль управления System Scanner (ПУСКПРОГРАММЫ – ISS – System Scanner 4.2. Console). В случае, если консоль не запускается, убедитесь, что запущены все необходимые для работы System Scanner службы (СВОЙСТВА «МОЙ КОМПЬЮТЕР» – УПРАВЛЕНИЕСЛУЖБЫ), такие как: System Scanner Agent, System Scanner Cal, System Scanner Active Monitor и служба SQL сервера (например, SQLSERVERAGENT). Возможно, потребуется их перезапуск.

5.4. Самостоятельно изучить возможности программы и работу с ней (можете использовать файл-приложение SystemScanner.chm).

5.5. Выполнить сканирование локальной машины по всем 6-ти политикам типа Initial (SESSIONRUN, выберете сессию и нажмите START). В отчет внести IP-адрес локальной машины, на которой производилась проверка.

5.6. Проанализировать сгенерированные результаты сканирования по каждой из политик типа Initial и внести в отчет обнаруженные уязвимости.

5.7. Используя рекомендации System Scanner попытаться закрыть некоторые из найденных уязвимостей (те, которые возможно). В отчете внести в таблицу уязвимости, которые вы пытались закрыть, а также результат – удалось это сделать или нет, с пояснениями ваших действий.

5.8. Выполнить сканирование локальной машины по одной из политик типа Maintenance. Внести в отчет выбранную политику и результаты проверки системы.

5.9. Какие дополнительные уязвимости были обнаружены (отсутствующие в результатах сканирования по политикам типа Initial)? Внесите их в отчет.

5.10. Внесите в отчет выводы по результатам проведенного анализа локальной системы, содержащий вашу экспертную оценку текущего уровня защищенности системы, рекомендации по поддержанию или приведению системы к минимальному (базовому, Initial) уровню защищенности и т.д.

6. Контрольные вопросы

6.1. Наличие каких уязвимостей проверяют сканеры безопасности уровня операционной системы?

6.2. В чем заключаются различия применения сканеров безопасности локальных и удаленных систем? Для ответа на данный вопрос вспомните особенности работы сканеров XSpider и NMap.

6.3. System Scanner направлена на внешних или на внутренних злоумышленников?

6.4. Из каких компонентов состоит System Scanner? Охарактеризуйте их.

6.5. Для чего может быть использована система System Scanner?

6.6. Кем может применяться система System Scanner?

6.7. Каковы возможности системы System Scanner? Какие параметры системы она проверяет?

6.8. Как функционирует System Scanner?

6.9. Охарактеризуйте политики начального уровня (Initial Policies).

6.10. Охарактеризуйте поддерживающие политики (Maintenance Policies).

Содержание отчета

Название работы

Сканеры безопасности операционных систем.

Цель

Познакомиться на практике со сканером безопасности уровня ОС System Scanner. Выявить отличия между сканерами безопасности локальных и удаленных систем.

Выполнил

Студент гр. № ______

ФИО ________________________________________________________

Отчет

1. Сканирование проводилось на узле с IP-адресом: ___.___.___.___.

2. Результаты сканирования системы с политикой безопасности Initial-1:

3. Результаты сканирования системы с политикой безопасности Initial-2:

4. Результаты сканирования системы с политикой безопасности Initial-3:

5. Результаты сканирования системы с политикой безопасности Initial-4:

6. Результаты сканирования системы с политикой безопасности Initial-5:

7. Результаты сканирования системы с политикой безопасности Initial-6:

  1.  Уязвимости:
  2.  

Наименование

Успех

(+, –)

Примечание

Уязвимость №1

+

Закрыта при помощи исправления ключа реестра:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Network\Persistent Connections

Уязвимость №2

Отсутствуют права администратора системы

Уязвимость №3

+

Закрыта при помощи смены пароля на вход в систему

9. Результаты сканирования системы с политикой безопасности Maintenance-____:

10. Обнаружены дополнительные уязвимости:

11. Заключение эксперта по текущему уровню защищенности системы с IP-адресом: ___.___.___.___.

  Библиографический список рекомендуемой литературы

1. Расторгуев, С. П. Основы информационной безопасности : учеб. пособие для вузов / С. П. Расторгуев .— М. : ACADEMIA, 2007 .— 192 с. : ил. — (Высшее профессиональное образование:Информационная безопасность) .— Библиогр. в конце кн. — ISBN 978-5-7695-3098-2 (в пер.) : 191.00.

2. Куприянов, А.И. Основы защиты информации : учеб.пособие / А.И.Куприянов,А.В.Сахаров,В.А.Шевцов .— 2-е изд.,стер. — М. : Академия, 2007 .— 256с. : ил. — (Высшее профессиональное образование:Радиоэлектроника) .— Библиогр.в конце кн. — ISBN 978-5-7695-4416-3 /в пер./ : 247.00.

3. Хорев, П.Б. Методы и средства защиты информации в компьютерных системах : учеб.пособие для вузов / П.Б.Хорев .— М. : Академия, 2005 .— 256с. : ил. — (Высш.проф.образование) .— Библиогр.в конце кн. — ISBN 5-7695-1839-1 /в пер./ : 164.59.

4. Девянин, П.Н. Модели безопасности компьютерных систем : учебное пособие для вузов / П.Н.Девянин .— М. : Академия, 2005 .— 144с. : ил. — (Высш.проф.образование) .— Библиогр.в конце кн. — ISBN 5-7695-2053-1 : 90.34.


 

А также другие работы, которые могут Вас заинтересовать

68037. Літературна подорож «У гості до Кобзаря» (Т.Г. Шевченко і Донеччина) 823.5 KB
  Шевченка прикрашений рушником. На дошці висить карта Донецької області чи України на якій прапорцями позначені місця з якими пов’язане ім’я Тараса Шевченка. Шевченка наші земляки М. Звучить українська народна пісня Заповіт вірші Тараса Шевченка.
68038. Сценарій виховного заходу «Кохання моє неприховане…» 97 KB
  Майнової Виховний захід на тему €œКохання моє неприховане покликаний навчати пізнавати поважати себе та інших розвивати культуру моральних почуттів культуру відносин духовність виховувати почуття людської гідності. Кохання любов одна з проблем що хвилюють кожну людину протягом усього життя.
68039. Колектив - велика сила: всі за одного, один за всіх - будь яка справа має успіх 310.5 KB
  Уточнити уявлення дітей про життя, працю в колективі; ознайомити з правилами чемності для хлопчиків і дівчат. Розвивати вміння оцінювати свої вчинки, визначати свою роль у колективі, авторитет колективу. Виховувати почуття колективізму, дружби, товаришування, прищеплювати бажання удосконалювати себе.
68040. Колективізм – як риса особистості 86 KB
  Створення учнівського самоврядування в гуртожитку не є засобом звільнення вихователів від педагогічних обов’язків і завантаження ними учнів. Завдання органів учнівського самоврядування в гуртожитку Працюючи з молоддю в гуртожитку ВПУ25 не один рік дійшла висновку...
68041. СЛЕДСТВИЕ ВЕДУТ КОЛОБКИ 65.5 KB
  На сцене появляются дети. Выходят на сцену дети. Колобки директору: Ой подождите Еще отличники опоздали Первоклассники дети: Мы не отличники. Дети: Думать писать и читать Научил нас любимый учитель Учил нас буквы складывать считать Цветы растить и бабочек ловить.
68042. Музыкально-библиотечный урок «Следствие ведут колобки!» 5.74 MB
  Извините вы кто У нас идет урок Знаю Но следы ведут именно в этот кабинет Следствие не может быть остановлено Я должен срочно найти этого человека Я располагаю сведениями что он близко знаком вот с ним Слайд 1 Чебурашка А еще с ними: Слайд 2 3 Герои из мультфильма Каникулы в Простоквашино...
68043. Ранок «Новорічний Колобок» 77.5 KB
  З Новим роком добрі люди! Щастя, сили вам, добра! Хай у Вас все добре буде! Свято починать пора! З Новим роком вас вітаю Зичу свят веселих вам. Щастя, радості бажаю Дітям, гостям і батькам.
68044. ЭКОЛОГИЧЕСКАЯ СКАЗКА «КОЛОБОК» 52 KB
  Вступительное слово Сегодня 3-Б класс приглашает вас на сказку. А о чем она подумайте сами. Не зря говорится: «Сказка ложь да в ней намек, добрым молодцам урок. Занавес раздвигается. Декорации – избушка с окошком. Из трубы дым идет. Вдали лес. Звучит музыка «В гостях у сказки».
68045. Монотипія «Світ комах» 184.5 KB
  Актуалізація опорних знань Діти сьогодні ми з вами здійснимо подорож до дивовижного світу найменших створінь природи світу комах. Яких комах ви знаєте Чим комахи відрізняються від інших істот Чим вони корисні та чим вони шкідливі Як слід ставитись до комах.