Установка Microsoft Exchange Server 2010 на раз, два, три. Руководство для начинающих. Часть 16. Аудит журнала брандмауэра Microsoft Exchange Server 2010.

 

Поэтому следует чаще сканировать сеть и закрыть все необязательные сетевые порты. Внешнее сканирование портов брандмауэра позволяет обнаружить все откликающиеся службы (например, Web или электронная почта), размещенные на внутренних серверах. Эти серверы также следует защитить. Настройте привычный сканер портов (например, Network Mapper — Nmap) на проверку нужной группы портов UDP или TCP. Как правило, сканирование портов TCP — процедура более надежная, чем сканирование UDP, благодаря более глубокой обратной связи с ориентированными на соединения протоколами TCP. Существуют версии Nmap как для Windows, так и для Unix. Запустить базовую процедуру сканирования просто, хотя в программе реализованы и гораздо более сложные функции. Для поиска открытых портов на тестовом компьютере я запустил утилита команду — nmap. У неё очень много полезных опций, но они не очень подходят к нашей теме. Приведу самое простое использование сканирования портов:

nmap 192.168.0.161

Экран 1. Базовый сеанс сканирования nmap

На этом экране показаны результаты сеанса сканирования — в данном случае компьютера Windows 2003 в стандартной конфигурации. Данные, собранные в результате сканирования портов, показывают наличие шести открытых портов TCP.

  • ·         Порт 135 используется функцией отображения конечных точек RPC, реализованной во многих технологиях Windows — например, приложениях COM/DCOM, DFS, журналах событий, механизмах репликации файлов, формирования очередей сообщений и Microsoft Outlook. Данный порт должен быть блокирован в брандмауэре на периметре сети, но трудно закрыть его и одновременно сохранить функциональность Windows.
  • ·         Порт 139 используется сеансовой службой NetBIOS, которая активизирует браузер поиска других компьютеров, службы совместного использования файлов, Net Logon и службу сервера. Его трудно закрыть, как и порт 135.
  • ·         Порт 445 используется Windows для совместной работы с файлами. Чтобы закрыть этот порт, следует блокировать File and Printer Sharing for Microsoft Networks. Закрытие этого порта не мешает соединению компьютера с другими удаленными ресурсами; однако другие компьютеры не смогут подключиться к данной системе.
  • ·         Порты 1025 и 1026 открываются динамически и используются другими системными процессами Windows, в частности различными службами.
  • ·         Порт 3389 используется Remote Desktop, которая не активизирована по умолчанию, но на моем тестовом компьютере активна. Чтобы закрыть порт, следует перейти к вкладке Remote в диалоговом окне System Properties и сбросить флажок Allow users to connect remotely to this computer.

В то же время сканирование другого хоста сети показало совершенно другую картину:

nmap 192.168.0.2

Starting Nmap 4.62 ( http://nmap.org ) at 2009-09-01 16:56 MSD Interesting ports on (192.168.0.2): Not shown: 1705 closed ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 25/tcp open smtp 110/tcp open pop3 111/tcp open rpcbind 139/tcp open netbios-ssn 389/tcp open ldap 445/tcp open microsoft-ds 995/tcp open pop3s 5432/tcp open postgresql MAC Address: 00:80:48:2A:42:30 (Compex Incorporated) Nmap done: 1 IP address (1 host up) scanned in 0.571 seconds

 

Обязательно следует выполнить поиск открытых портов UDP и закрыть лишние. Программа сканирования показывает открытые порты компьютера, которые видны из сети. Аналогичные результаты можно получить с помощью инструментов, расположенных на хост-системе.

Хост-сканирование.

Помимо использования сетевого сканера портов, сканирование (проверку) системы Windows в поисках открытых портов можно выполнить и на хост-системе, для этого надо в режиме командной строки cmd.exe запустить программу netstat. Её вывод очень длинный, немного непонятный с первого раза. Поэтому мы воспользуемся некоторыми ключами:

-n — не пытаться преобразовать ip-адреса в dns-доменные имена

-a — вывод информации обо всех открытых портах системы (включая»слушающие» —принимающие соединения порты), если этот ключ не используется, то отображаются только активные порты.

-p — показать программу (сервис), которая слушает этот порт:

-t — tcp

-u — udp

netstat -pnatu

 

Разберем вывод:

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 3016/sshd tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 3516/dovecot tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 3506/vsftpd tcp 0 0 192.168.0.1:3128 0.0.0.0:* LISTEN 3597/(squid) tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 3414/master tcp 0 0 192.168.0.1:53 0.0.0.0:* LISTEN 2991/named tcp 0 300 192.168.0.1:22 192.168.0.2:2497 ESTABLISHED 32318/sshd: user udp 0 0 192.168.0.1:53 0.0.0.0:* LISTEN 2991/named

Отображен список слушающих (LISTEN) и установленных (ESTABLISHED) соединений. Видим, что установленное только одно — на tcp порт 22, программа, обслуживающая этот порт — sshd (secure shell deamon). Что еще видно из списка: на 22 порту висит ссш, на 21 — фтп, 25 и 110 — почта, 3128 — прокси, 53 — днс. Эта команда работает как в Windows, так и в UNIX. Netstat выдает список активных портов компьютера. В Windows 2003 Windows XP следует добавить параметр -o, чтобы получить для каждого активного порта соответствующий идентификатор (имя) процесса, которому принадлежит этот порт. (program identifier — PID). Для записи информации обо всех открытых портах системы в текстовый файл report.txt надо набрать- netstat -a -o > report.txt.

Экран 2. Список открытых портов, полученный с помощью netstat

На этом экране показаны выходные результаты Netstat для того же компьютера, сканирование портов которого выполнялось ранее. Следует обратить внимание на то, что закрыто несколько портов, которые прежде были активны.

Настройка сетевого анализатора.

Ранее отмечалось, что один из способов определить порты, используемые приложениями, — отслеживать трафик между компьютерами с помощью сетевого анализатора. Чтобы увидеть весь трафик, необходимо подключить сетевой анализатор к концентратору или монитору портов в коммутаторе. Каждому порту концентратора виден весь трафик каждого компьютера, подключенного к этому концентратору, но концентраторы — устаревшая технология, и большинство компаний заменяют их коммутаторами, которые обеспечивают хорошую производительность, но неудобны для анализа: каждый порт коммутатора принимает только трафик, направляемый одному компьютеру, подключенному к данному порту. Чтобы анализировать всю сеть, нужно отслеживать трафик, направляемый в каждый порт коммутатора.

Для этого требуется настроить монитор порта (разные поставщики называют его span port или mirrored port) в коммутаторе. Установить монитор порта в коммутаторе Cisco Catalyst компании Cisco Systems не составляет труда. Нужно зарегистрироваться на коммутаторе и активизировать режим Enable, затем перейти в режим configure terminal и ввести номер интерфейса порта коммутатора, на который следует посылать весь контролируемый трафик. Наконец, необходимо указать все отслеживаемые порты. Например, следующие команды обеспечивают мониторинг трех портов Fast Ethernet и пересылку копии трафика в порт 24.

interface FastEthernet0/24

port monitor FastEthernet0/1

port monitor FastEthernet0/2

port monitor FastEthernet0/3

end

В данном примере сетевой анализатор, подключенный к порту 24, будет просматривать весь исходящий и входящий трафик компьютеров, подключенных к первым трем портам коммутатора. Для просмотра созданной конфигурации следует ввести команду:

show run

Чтобы сохранить новую конфигурацию, нужно использовать команду:

write memory

Первоначальный анализ.

Рассмотрим пример анализа данных, проходящих через сеть. Если для сетевого анализа используется компьютер Linux, то можно получить исчерпывающее представление о типе и частоте пакетов в сети с помощью такой программы, как IPTraf в режиме Statistical. Детали трафика можно выяснить с использованием программы Tcpdump.

В таблице:

proto/port pkts bytes pktsto bytesto pktsfrom bytesfrom
tcp/22 23519 2568136 8002 343008 15517 2225128
udp/138 149 34459 77 17802 72 16657
tcp/80 42 8808 21 2280 21 6528
udp/137 34 2652 17 1326 17 1326
udp/53 16 1606 8 544 8 1062
udp/68 8 2400 4 1312 4 1088
udp/67 8 2400 4 1088 4 1312
udp/123 2 152 1 76 1 76
udp/441 1 229 0 0 1 229
udp/303 1 229 0 0 1 229
udp/454 1 229 0 0 1 229
udp/317 1 229 0 0 1 229
udp/469 1 229 0 0 1 229

 

приведены статистические выходные данные, собранные с помощью IPTraf в небольшой сети с Active Directory (AD) в течение 15 минут. Для краткости, тестирование проводилось вечером, когда никто из пользователей не обращался в сеть. В примере не показаны все порты Windows, но продемонстрированы приемы оценки портов и их привязки к службам и приложениям.

TCP 22. Наиболее активно работающий сетевой порт. Известно, что он используется программой Secure Shell (SSH), которую я применяю для подключения компьютера Linux с утилитой IPTraf.

UDP 138. Второй по частоте использования — UDP-порт 138, задействованный службой NetBIOS Datagram Service. В упомянутом выше документе Microsoft указывается, что данный порт используется несколькими службами Windows, в том числе Computer Browser, DFS, License, Messenger, Net Logon и Server. В группу портов TCP и UDP 135-139 входит несколько специфических портов, используемых многими приложениями Windows. По всей вероятности, некоторые из этих портов придется держать открытыми, что, к сожалению, открывает доступ к другим приложениям Windows.

TCP 80. Третий порт в списке — TCP-порт 80, который используется для незашифрованного трафика HTTP (Web). Но в режиме Statistics программы IPTraf нельзя определить, указывает ли данный трафик на попытки клиента обратиться к Web-серверу внутри сети или внутренний компьютер просто обращается к Web-серверу в Internet (более подробно о таком сценарии будет рассказано в следующем разделе).

UDP 137 и UDP 53. Эти порты используются службами преобразования имен Windows — в данном случае, NetBIOS и DNS.

UDP 67 и UDP 68. UDP-порты 67 и 68 используются DHCP-сервером для назначения динамических IP-адресов.

UDP 123. Данный порт зарезервирован для протокола Network Time Protocol (NTP) или, в случае Windows, Simple Network Time Protocol (SNTP). Этот протокол синхронизирует время между компьютером и NTP-сервером, например контроллером домена (DC). Остальные порты получили лишь по одному пакету. Чтобы исследовать их, можно собирать статистику в течение более длительного времени и выявить закономерности, либо параллельно запустить Tcpdump и собрать больше данных, в частности, IP-адреса источника и назначения. Даже из приведенного общего вида можно извлечь информацию об этих пакетах. Например, каждый пакет имеет размер 229 байт; можно предположить, что одно приложение перескакивает между разными портами, но, чтобы утверждать это, требуется дополнительная информация.

Аудит журнала брандмауэра.

Еще один полезный способ обнаружения сетевых приложений, которые отправляют или получают данные по сети, — собирать и анализировать больше данных в журнале брандмауэра. Записи Deny, в которых приводится информация с внешнего интерфейса брандмауэра, вряд ли будут полезны из-за «шумового трафика» (например, от червей, сканеров, тестирования по ping), засоряющего Internet. Но если записывать в журнал разрешенные пакеты с внутреннего интерфейса, то можно увидеть весь входящий и исходящий сетевой трафик. Чтобы увидеть «сырые» данные трафика в сети, можно установить сетевой анализатор, который подключается к сети и записывает все обнаруженные сетевые пакеты. Самый широко распространенный бесплатный сетевой анализатор — Tcpdump для UNIX (версия для Windows называется Windump), который легко устанавливается на компьютере. После установки программы следует настроить ее для работы в режиме приема всех сетевых пакетов, чтобы регистрировать весь трафик, а затем подключить к монитору порта на сетевом коммутаторе и отслеживать весь трафик, проходящий через сеть. О настройке монитора порта будет рассказано ниже. Tcpdump — чрезвычайно гибкая программа, с помощью которой можно просматривать сетевой трафик с использованием специализированных фильтров и показывать только информацию об IP-адресах и портах либо все пакеты. Трудно просмотреть сетевые дампы в больших сетях без помощи соответствующих фильтров, но следует соблюдать осторожность, чтобы не потерять важные данные.

Подготовка набора правил брандмауэра.

Согласно статистике из Интернет, компьютер, на котором не установлен и должным образом не настроен firewall и который находится в Сети, остается не зараженным всего 2 минуты. Указанного промежутка времени достаточно, чтобы другие компьютеры в Сети, уже зараженные вирусами либо находящиеся под контролем недоброжелателей обнаружили незащищенный компьютер и предприняли попытки воспользоваться уязвимостями операционной системы.

 

http://ru.wikibooks.org/wiki/TCP/IP

http://orbiter.ucoz.ru/publ/27-1-0-132

http://help.fregat.com/general/ports

http://help.fregat.com/general/firewall

http://linuxforum.ru/viewtopic.php?id=129

http://www.xnets.ru/plugins/content/content.php?content.207.5

http://www.russianproxy.ru/node/325

http://www.alexhost.ru/hosting_article_44.php

http://sysadminblog.ru/windows/2010/05/21/probros-portov-port-forwarding-v-windows-2003-server-1.html

http://www.alexhost.ru/hosting_article_53.php

http://sysadminblog.ru/cisco/2010/05/25/nastroyka-probrosa-portov-port-forwarding-v-cisco-2.html

http://sysadminblog.ru/blog/cisco/12.html

http://sysadminblog.ru/microsoft/2011/03/14/porty-ispolzuemye-microsoft-exchange-server-2010.html

http://www.alexhost.ru/hosting_article_46.php

http://technet.microsoft.com/ru-ru/library/bb331973.aspx

http://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1%82%D0%B5%D0%B2%D1%8B%D0%B5_%D1%81%D0%B5%D1%80%D0%B2%D0%B8%D1%81%D1%8B

http://gorposmos.ru/index/nastrojka_routera_v_internet_seti_spidi_lajn_3/0-266

http://forum.spydc.ru/index.php?showtopic=22

http://www.tradetelecom.ru/advice/news_detail.php?ID=114122

http://gorposmos.ru/index/nastrojka_routera_v_internet_seti_spidi_lajn_3/0-266

 

Пока нет комментариев.

Вы должны зайти чтобы оставить комментарийt.

Нет трэкбэков.
 

You need to log in to vote

The blog owner requires users to be logged in to be able to vote for this post.

Alternatively, if you do not have an account yet you can create one here.

Powered by Vote It Up