Steghide embed -e gost ctr -ef text.txt -cf picture.jpg -sf stego1.jpg

50. Самостоятельно просмотрите информацию о стегоконтейнере stego1.jpg, сохранив вывод команды в файл steginfo.txt, извлеките текст из стегоконтейнера stego1.jpg в текстовый файл text1.txt.

 

 

Лабораторная работа №5. Анализ сетевых пакетов и защита передачи данных в локальной сети

 

Процесс копирования пакетов называется перехватом. Анализаторы сетевых пакетов, или снифферы (англ. «tosniff» – нюхать), первоначально были разработаны как средство решения сетевых проблем. Сниффер –программно-аппаратное устройство или программа для перехвата и последующего анализа полученного трафика (либо только анализа готового дампа).

Перехват трафика может осуществляться:

· обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (hub) вместо коммутаторов (switch), в противном случае метод малоэффективен, поскольку на сниффер попадают лишь отдельные фреймы);

· подключением сниффера в разрыв канала;

· ответвлением (программным или аппаратным) трафика и направлением его копии на сниффер;

· через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;

· через атаку на канальном (MAC-spoofing) или сетевом уровне (IP-spoofing), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес.

Снифферы применяются как в благих, так и в деструктивных целях. Анализ прошедшего через сниффер трафика позволяет:

· обнаружить паразитный, вирусный и закольцованный трафик, наличие которого увеличивает загрузку сетевого оборудования и каналов связи (снифферы здесь малоэффективны; как правило, для этих целей используют сбор разнообразной статистики серверами и активным сетевым оборудованием и ее последующий анализ);

· выявить в сети вредоносное и несанкционированное ПО, например, сетевые сканеры, троянские программы, клиенты пиринговых сетей и другие (это обычно делают при помощи специализированных снифферов — мониторов сетевой активности);

· перехватить любой незашифрованный (а порой и зашифрованный) пользовательский трафик с целью получения паролей и другой информации;

· локализовать неисправность сети или ошибку конфигурации сетевых агентов (для этой цели снифферы часто применяются системными администраторами).

Поскольку в «классическом» сниффере анализ трафика происходит вручную, с применением лишь простейших средств автоматизации (анализ протоколов, восстановление TCP-потока, фильтрация), то он подходит для анализа лишь небольших его объемов.

· Системные администраторы используют его для решения проблем в сети.

· Аудиторы безопасности используют его для выявления проблем в сети.

· Разработчики используют его для отладки сетевых приложений.

· Обычные пользователи используют его для изучения внутреннего устройства сетевых протоколов.

Основы работы с NetworkMonitor

Инструмент Network Monitor, реализованный в Windows и Microsoft Systems Management Server (SMS), позволяет выполнять мониторинг сетевого трафика. Мониторинг можно проводить в реальном времени или, перехватив и сохранив сетевой трафик, анализировать его позднее. Сохраненные данные могут использоваться для устранения неполадок в локальных и распределенных сетях, а также практически во всех устройствах, которые задействуют для коммуникаций протокол TCP/IP. Network Monitor имеет три основные области применения.

Поиск неисправностей в сетевых соединениях. Это основная область применения Network Monitor. Если у вас есть два компьютера, при взаимодействии которых возникают трудности, можно воспользоваться функцией Network Trace для выяснения причины проблемы. Network Monitor также используется для просмотра пакетов TCP/IP, которые пересылаются между двумя устройствами, и данных, содержащихся в каждом из них.

Оценка сетевой производительности. Network Monitor дает ясную и полную картину работы сети. Если возникает подозрение, что с точки зрения сетевой производительности имеются уязвимые места, можно воспользоваться информацией Network Monitor — например, статистикой о сетевой нагрузке и данными об источниках сетевого трафика — для поиска таких слабых мест. Хотя обычно Network Monitor не используется как базовое средство для выявления проблем в сетевых коммуникациях, это превосходный вспомогательный инструмент, позволяющий отыскать причину неисправности и показать гораздо более детальную картину происходящего, чем это позволяет сделать Performance Monitor.

Поиск устройства, инициировавшего выдачу «маяка». Так называемый beaconing — процесс выдачи компьютерам в сети кольцевой топологии сигнала о том, что передача маркера прервана из-за серьезной ошибки. До появления коммутируемых сетей с помощью Network Monitor отслеживались проблемы в работе аппаратных сетевых устройств. Сейчас Network Monitor по-прежнему можно использовать для поиска фрагментированных или разрушенных пакетов, генерируемых несправным оборудованием, однако для этого следует установить полную версию Network Monitor, которая поддерживает работу удаленных агентов и перехватывает сетевые пакеты в сегменте даже в том случае, когда трафик не предназначен для станции, на которой запущен Network Monitor.

Для защиты сети от несанкционированно установленных утилит Network Monitor эта утилита может распознавать другие свои экземпляры, выполняющиеся в локальном сегменте сети.

При обнаружении других экземпляров Network Monitor, выполняющихся в сети, утилита выводит:

· имя компьютера, на котором установлен выполняющийся экземпляр;

· имя пользователя, зарегистрированного в данный момент на этом компьютере;

· состояние Network Monitor на удаленном компьютере (выполняется, захватывает или передает данные);

· адрес сетевой платы на удаленном компьютере;

· номер версии Network Monitor на удаленном компьютере.

Полная версия Network Monitor может перехватывать весь трафик сегмента вне зависимости от источника или приемника передаваемых пакетов.

Облегченная версия Network Monitor позволяет захватывать широковещательные пакеты и входящий и исходящий трафик той станции, на которой установлен Network Monitor.

 

Защита сетевого соединения с использованием протокола IPSес

IP Security (IPSec) - комплект протоколов, решающих вопросы шифрования, аутентификации и обеспечения защиты при транспортировке IP-пакетов.

Гарантии целостности и конфиденциальности данных в спецификации IPSec обеспечиваются за счет использования механизмов аутентификации и шифрования. Последние, в свою очередь, основаны на предварительном согласовании сторонами информационного обмена т.н. «контекста безопасности» – применяемых криптографических алгоритмов, алгоритмов управления ключевой информацией и их параметров.

 

Рис. 1. Архитектура IPSec.

 

Спецификация IPSec предусматривает возможность поддержки сторонами информационного обмена различных протоколов и параметров аутентификации и шифрования пакетов данных, а также различных схем распределения ключей. При этом результатом согласования контекста безопасности является установление индекса параметров безопасности (SPI), представляющего собой указатель на определенный элемент внутренней структуры стороны информационного обмена, описывающей возможные наборы параметров безопасности.

По сути работает на третьем, т. е. на сетевом уровне архитектуры. В результате передаваемые IP-пакеты защищены прозрачным для сетевых приложений и инфраструктуры, обеспечивая низкоуровневую защиту.

К IP-данным, готовым к передаче по виртуальной частной сети, IPSec добавляет заголовок для идентификации защищенных пакетов. Перед передачей по сети эти пакеты инкапсулируются в другие IP-пакеты.

Чтобы установить защищенное соединение, оба участника сеанса должны иметь возможность быстро согласовать параметры защиты, такие как алгоритмы аутентификации и ключи. IPSec поддерживает два типа схем управления ключами, с помощью которых участники могут согласовать параметры сеанса.

 

Задание

Изучить возможности перехвата передаваемых по сети данных с помощью Network Monitor, а также возможности защиты передачи с использованием протокола IPSec.

 

⇐ Предыдущая123

Поделиться: