Файл: Основыинформационнойбезопасности.pdf

215
Рис. 5.9. Подробное описание отсутствующих обновлений
Microsoft Office
При наличии подключения к сети Интернет, перейдя по приво- димой в отчете ссылке, можно получить информацию об отсутству- ющем обновлении безопасности и скачать его.
Нужно отметить, что установка обновлений для систем с высо- кими требованиями в области непрерывности работы требует предва- рительной тщательной проверки совместимости обновлений с ис- пользующимися приложениями. Подобная проверка обычно произво- дится на тестовых системах с близкой конфигурацией ПО. В то же время для небольших организаций и пользователей домашних ком- пьютеров такая проверка зачастую неосуществима. Поэтому надо быть готовым к тому, чтобы восстановить систему после неудачного обновления. Для ОС семейства Windows, если после установки об- новлений загрузка в нормальном режиме стала невозможна, можно использовать специальные режимы загрузки — безопасный режим или режим загрузки последней удачной конфигурации.
Также надо отметить еще одну особенность. На данный момент
Baseline Security analyzer не существует в локализованной русско-

216 язычной версии. И содержащиеся там ссылки на пакеты обновлений могут указывать на иные языковые версии, что может создать про- блемы при обновлении локализованных продуктов.
Для удобства работы с отчетом его материалы можно распеча- тать или скопировать в буфер обмена и через него поместить отчет, например, в документ Word.
Кроме версии программы с графическим интерфейсом, суще- ствует также утилита с интерфейсом командной строки. Называется она mbsacli.exe и находится в том же каталоге, куда устанавли- вался Baseline Security analyzer, например, «C:\Program Files\Microsoft
Baseline Security Analyzer 2». У утилиты есть достаточно много пара- метров, получить информацию о них можно при запуске с клю- чом “/?”.
Запуск без ключей приведет к сканированию локального ком- пьютера с выводом результатов на консоль. Чтобы сохранить резуль- таты сканирования, можно перенаправить вывод в какой-либо файл.
Например: mbsacli > mylog.txt.
Ключ /xmlout приводит к запуску утилиты в режиме проверки обновлений: проверка на уязвимости, явившиеся результатом неудач- ного администрирования, проводиться не будет. Отчет формируется в формате xml. Например: mbsacli /xmlout > c:\myxmlog.xml.
Задания.
Выполните проверку Вашего компьютера с помощью Microsoft
Baseline Security analyzer. В отчете о выполнении лабораторной рабо- ты укажите:
- как был оценен уровень уязвимости компьютера;
- какие проверки проводились, в какой области обнаружено наибольшее количество уязвимостей;
- опишите наиболее серьезные уязвимости каждого типа, выяв- ленные на компьютере.

217
Проведите анализ результатов: какие уязвимости можно устра- нить, какие — нельзя из-за особенностей конфигурации ПО или ис- пользования компьютера.
Выполните удаленную проверку соседнего компьютера из сети лаборатории (или другой виртуальной машины). Опишите наиболее серьезные уязвимости.
Выполните проверку нескольких компьютеров с помощью ути- литы mbsacli. Для этого, предварительно создайте текстовый файл с перечнем имен компьютеров или ip-адресов и запускайте mbsacli с ключом /listfile, после которого указывается имя файла с пе- речнем компьютеров. В результате должно быть получено сообщение примерно следующего содержания:
Computer Name, IP Address, Assessment, Report Name
-------------------------------------------------
HOME\MYNBOOK, 127.0.0.1, Severe Risk, HOME - MYNBOOK
(06.10.2013 13-51)
Для того чтобы увидеть подробные результаты проверки, надо повторно запустить mbsacli с ключом /ld, после которого указы- вается имя отчета. Вывод можно перенаправить в текстовый файл для дальнейшей обработки. Например: mbsacli /ld "HOME - MYNBOOK (06.10.2013 13-51)
" > c:\test\report1.txt
После выполнения задания проанализируйте результаты, кратко опишите их в отчете по лабораторной работе.
5.4. ИСПОЛЬЗОВАНИЕ СКАНЕРОВ БЕЗОПАСНОСТИ
ДЛЯ ПОЛУЧЕНИЯ ИНФОРМАЦИИ О ХОСТАХ В СЕТИ
Цель работы.
Приобретение практических навыков определения работающих сетевых приложений с помощью сетевого сканера безопасности.

218
Теоретические сведения.
Сетевые сканеры безопасности — программные средства, поз- воляющие проверить уровень уязвимости сетей. Они имитируют раз- личные обращения к сетевым узлам, выявляя операционные системы компьютеров, запущенные сервисы, имеющиеся уязвимости. В неко- торых случаях сканеры безопасности также имитируют реализацию различных атак, чтобы проверить уровень подверженности им ком- пьютеров защищаемой сети.
При проведении анализа рисков сканеры безопасности могут использоваться как в процессе инвентаризации ресурсов, так и для оценки уровня уязвимости узлов сети.
В данной лабораторной работе используется ПО NMAP, которое свободно доступно на сайте http://nmap.org/.
Сканирование можно проводить при помощи утилиты команд- ной строки nmap или с помощью графической оболочки для нее —
Zenmap GUI.
По руководству пользователя, доступному по ссылке http://nmap.org/man/ru/, изучите вопросы, связанные с определением цели сканирования, способами сканирования портов, определения версий операционной системы и используемых служб. Кратко опи- шите это в отчете.
План работы.
Проведите исследование для виртуальных машин с Windows
Server, работающих на вашем и соседних компьютерах. Сначала вы- полните сканирование при включенном межсетевом экране виртуаль- ной машины, потом — при отключенном (настройка делается в Па- нель управления ->Система и безопасность -> Брандмауэр Windows).
Опишите и проанализируйте полученные результаты. Какие се- тевые службы запущены на исследуемых виртуальных машинах? При описании можно использовать материалы технической статьи «Служ- бы и сетевые порты в Microsoft Windows» доступной по ссылке http://support.microsoft.com/?kbid=832017.

219
Установите виртуальную машину роль «Web-сервер» и проверь- те запуск web-сервера IIS с сайтом по умолчанию.
Повторно проведите сканирование данной виртуальной маши- ны. Что показал сканер?
5.5. ВСТРОЕННЫЙ МЕЖСЕТЕВОЙ ЭКРАН (FIREWALL)
WINDOWS SERVER 2008
Цель работы.
Приобретение практических навыков настройки межсетевого экрана.
Используемые программные средства.
Компьютерная сеть учебного класса и виртуальные машины с
ОС Windows Server.
Теоретические сведения.
Персональный межсетевой экран появился в операционных си- стемах семейства Windows, начиная с Windows XP / Windows Server
2003. В Windows Server 2008 возможности этого компонента суще- ственно расширены, что позволяет более гибко производить настрой- ки.
Описание работы.
Текущие настройки можно посмотреть, запустив из Панели управления (Control Panel) Windows Firewall и выбрав в открывшемся окне ссылку Change Settings.
Появившееся окно управления параметрами межсетевого экрана содержит 3 вкладки (рис. 5.10, а, б, в). Первая из них позволяет вклю- чить или отключить межсетевой экран. Во включенном состоянии он может разрешать определенные входящие подключения или запре- щать все входящие подключения (флажок Block all incoming connec- tions).
Исключения из общего «блокирующего» правила определяются на вкладке Exceptions. Там есть ряд предопределенных правил, также пользователь может добавлять свои. Если нужно, чтобы какое-то приложение при включенном межсетевом экране обслуживало вхо-

220 дящие подключения, для него должно быть описано правило. Сделать это можно либо указав программу (кнопка Add program), либо описав разрешаемый порт и протокол (кнопка Add Port). Пример формирова- ния подобного правила представлен на рис. 5.10, г. Там дается разре- шение для подключения на TCP-порт 8080. Если надо ограничить пе- речень ip-адресов, с которых производится подключение, это можно сделать, нажав кнопку Change Scope (по умолчанию, разрешены под- ключения с любого адреса).
а)
б)
в)
г)
Рис. 5.10. Окно управления параметрами межсетевого экрана

221
Установка флажка «Notify me when Windows Firewall blocks a new program» приводит к тому, что при попытке нового приложения принимать входящие подключения, пользователю будет выдано со- общение. Если пользователь разрешит такой программе работать, для нее будет сформировано разрешающее правило.
Вкладка Advanced (рис. 5.10, в) позволяет включить или отклю- чить межсетевой экран для отдельных сетевых интерфейсов.
Задание 1.
1. Откройте окно управления межсетевым экраном.
2. Опишите действующие настройки.
3. Создайте новое разрешающее правило.
Рис. 5.11. Окно оснастки Windows Firewall with Advanced Security
Пока что работа с межсетевым экраном практически не отлича- лась от того, что было в Windows Server 2003. Новые возможности мы увидим, если из меню Administrative Tools запустить оснастку Win- dows Firewall with Advanced Security (рис. 5.11). В окне оснастки

222 можно увидеть настройки для разных профилей и выполнить более тонкую настройку правил фильтрации.
Правила фильтрации разделены на две группы — входящие правила и исходящие правила. В приведенном на рис. 5.11 примере настройки выполняются на контроллере домена. И для контроллеров определено правило, разрешающее отправку ICMP-пакетов echo re- quest (они, в частности, отправляются, если надо проверить доступ- ность удаленного узла с помощью команды ping).
Задание 2.
1. Найдите правило, разрешающее отсылку ICMP-пакетов echo request. Проверьте его работу для какого-нибудь узла из локальной или внешней сети, используя его ip-адрес (например, командой ping
192.168.1.10 можно проверить доступность компьютера с указ- ным адресом). Если ответ пришел, можно переходить ко второй части задания. Если ответа нет, попробуйте найти такой узел, который пришлет ответ.
Рис. 5.12. Главное окно оснастки Windows Firewall with Advanced Security

223 2. Выбрав кнопку New Rule, создайте правило, запрещающее отправку ICMP-пакетов на данный узел. Проверьте его работу.
Теперь рассмотрим настройку, связанную с ведением журналов межсетевого экрана. По умолчанию журналирование отключено. Но если возникает подозрение, что межсетевой экран мешает установле- нию какого-то типа сетевых соединений, можно включить эту опцию и проанализировать журнал.
На рис. 5.12 представлено главное окно оснастки. Выберем пункт Firewall Properties и активируем ведение журнала отброшенных пакетов (рис. 5.13). Для этого в группе Logging в окне рис. 5.13, a надо нажать кнопку Customize и выполнить настройку, представлен- ную на рис. 5.13, б.
а)
б)
Рис. 5.13. Настройка параметров журнала событий
Задание 3.
1. Активируйте ведение журнала.
2. Выполните команду ping для проверки доступности узла, для которого создавалось блокирующее правило.
3. Проверьте содержимое файла журнала (путь к нему описан в окне, аналогичном представленному на рис. 5.13, б). Найдите записи, соответствующие сброшенным (англ. drop) ICMP-пакетам.

224
5.6. ИСПОЛЬЗОВАНИЕ ЦИФРОВЫХ СЕРТИФИКАТОВ
Цель работы.
Ознакомление с порядком использования цифровых сертифика- тов X.509 в протоколах защиты данных SSL/TLS и S/MIME.
Используемые программные средства.
Компьютер с подключением к сети Интернет, браузер, Microsoft
Outlook или другой почтовый клиент, поддерживающий S/MIME.
Описание работы.
В ходе данной лабораторной работы будут рассмотрены некото- рые вопросы использования цифровых сертификатов.
Начнем с их использования протоколом SSL/TLS (на самом деле это два разных протокола, но так как TLS разработан на базе SSL, принцип использования сертификатов один и тот же). Этот протокол широко применяется в сети Интернет для защиты данных передавае- мых между Web-сервером и браузером клиента. Для аутентификации сервера в нем используется сертификат X.509.
Рис. 5.14. Защищенное соединение с сайтом
Для примера обратимся на сайт Рамблер-почты (mail.rambler.ru).
Для обеспечения безопасности передаваемых данных устанавливается защищенное соединение (рис. 5.14), на что указывает префикс https в строке адреса и изображение закрытого замка (в случае браузера In-

225 ternet Explorer). Если щелкнуть мышью по изображению замка, то увидим представленное на рис. 5.14 сообщение о том, что подлин- ность узла с помощью сертификата подтверждает удостоверяющий центр Thawte. Это значит, что мы на самом деле обратились на под- линный сайт Рамблер-почты (а не подделанный нарушителями) и мо- жем безопасно вводить логин и пароль.
Нажав на ссылку «Просмотр сертификата» (англ. View certifi- cates) можно узнать подробности о получателе и издателе, другие па- раметры сертификата (рис. 5.15).
Рис. 5.15. Параметры сертификата
Задание.
Просмотрите параметры сертификата какого-либо защищенного сайта, например «Личного кабинета сотрудника СПбГПУ» https://staff.spbstu.ru или Сбербанк Онлайн https://online.sberbank.ru.
Опишите, кем на какой срок, для какого субъекта сертификат был вы- дан.
Теперь рассмотрим другой вариант — мы подключаемся по SSL к Web-серверу, а браузер не может проверить его подлинность или

226 сообщает, что используется сертификат, выданный для другого Web- сервера. Например, подобная ситуация произойдет при подключении в раздел Интернет-обслуживания оператора мобильной связи Tele2 по ссылке https://www.selfcare.tele2.ru/work.html (на рис. 5.16).
Рис. 5.16. Браузер сообщает о проблеме с сертификатом
Если нажать ссылку «Продолжить открытие этого Web-узла»
(англ. Continue to this website), можно будет просмотреть сертификат.
Задание.
Разберитесь, в чем проблема с указанным сертификатом (на вся- кий случай в конце описания лабораторной работы приведен ответ).
Теперь рассмотрим, как хранятся сертификаты. Операционная система Windows поддерживает защищенные хранилища ключей и сертификатов. Работать с хранилищем можно, используя настройку консоль управления MMC «Сертификаты».
Из меню Пуск-> Выполнить запустите консоль командой mmc.
В меню Консоль выберите Добавить или удалить оснастку, а в списке оснасток выберите Сертификаты (англ. Certificates). Ес- ли будет предложен выбор (а это произойдет, если вы работаете с правами администратора), выберите пункт «Моей учетной записи».
С помощью оснастки можно просматривать сертификаты теку- щего пользователя. Если ранее сертификаты не запрашивались, то в разделе «Личные сертификаты» элементов не будет.