predrag.alargic@useens.

net

Zatita informacionih sistema i podataka

Predrag Alargi, Msc

Snimanje sistema
Veba 2

Snimanje sistema
ta je snimanje sistema ?
Snimanje sistema je sistematino prikupljanje i
identifikacija svih delova informacionih sistema.
Snimanje sistema je esto i najtea faza razotkrivanja
sistema bezbednosti, ali je to istovremeno i
najvanija faza.

Snimanje sistema

Tehnologija

Identifikuje

Internet

Ime domena, Mrene blokove,

Specifine IP adrese sistema ,
Mehanizme upravljanja, Sisteme za
otkrivanje upada...

Intranet

Koridenje mrenih protokola,

Interna imena domena, Mrenej
blokove, Arhitektura sistema,
Sisteme za otkrivanje upada...

Daljinski pristup

Vrstu sistema za daljinski pristup,

Mehanizme autorizacije, VPN i
srodne protokole...

Ekstranet

Mehanizme upravljanja pristupom,

Vrste portova...

Snimanje sistema

Jedan od najlakih naina KRAE IDENTITETA

moemo pokazati na slededem primeru :
Odlaskom na sajt : http://www.iana.org/whois
I kucanjem podataka u deo predvien za
pretraivanje sajta koji nam je interesantan za
preuzimanje, npr. www.fpps.edu.rs
Dobijamo slededi rezultat :

Snimanje sistema

% IANA WHOIS server

% for more information on IANA, visit http://www.iana.org
% This query returned 1 object
refer:
domain:

whois.rnids.rs
RS

organisation: Serbian National Register of

organisation: Internet Domain Names (RNIDS)
address: Zorza Klemansoa 18a
address: Belgrade 11008
address: Serbia
contact: administrative
name:
RNIDS Admin Contact
organisation: Serbian National Register of
organisation: Internet Domain Names (RNIDS)
address: Zorza Klemansoa 18a
address: Belgrade 11008
address: Serbia
phone:
+381117281281
fax-no:
+381117281282
e-mail:
tld-admin@rnids.rs

contact: technical
name:
RNIDS Tech Contact
organisation: Serbian National Register of

organisation: Internet Domain Names (RNIDS)

address: Zorza Klemansoa 18a
address: Belgrade 11000
address: Serbia
phone:
+381117281281
fax-no:
+381117281282
e-mail:
tld-tech@rnids.rs
nserver:
nserver:
nserver:
nserver:
nserver:
nserver:
nserver:
nserver:

A.NIC.RS 91.199.17.59
B.NIC.RS 195.178.32.2
D.NIC.RS 193.0.9.107 2001:67c:e0:0:0:0:0:107
F.NIC.RS 2001:500:14:6032:ad:0:0:1 204.61.216.32
G.NIC.RS 147.91.8.6
H.NIC.RS 91.199.17.60
K.NIC.RS 192.5.4.1 2001:500:2e:0:0:0:0:1
L.NIC.RS 194.146.106.114 2001:67c:1010:29:0:0:0:53

whois:

whois.rnids.rs

status:
ACTIVE
remarks: Registration information: http://www.rnids.rs
created: 2007-09-24
changed: 2012-10-09
source:
IANA

Snimanje sistema

Ovim postupkom se svaka IP adresa na svetu moe

propratiti do svog vlasnika ili barem do osobe za
kontakt, koja eventualno moe biti voljna da vam
saopti preostale pojedinosti.
Pretraivanjem WHOIS servera moemo dobiti i ceo
opseg IP adresa koje poseduje sajt pod svojim
imenom, kao i njegov AS broj

Snimanje sistema

Svi ovi podaci su bitni onome ko eli da preuzme

identitet vlasnika domena.
Napada lakovernim osobama u organizaciji se esto
lano predstavlja kao administrator.
Napada de nesmotrenom korisniku ak poslati, u
ime administratora, struno napisanu poruku.
Veliki broj korisnika de promenuti lozinku u bilo ta
to im predloi napada, sve dok veruje da takav
zahtev alje slubeniku tehnike podrke.

Snimanje sistema
Sa druge strane napada moe, svojim saznanjima
da zameni identited administratora sajta i predstavi
se tehnikoj podrci kao pravi administrator
(saznavi bitne podatke) i zatraiti podatke koji su
njemu bitne, kao to je mail administratora, trenutna
ifra (ako nije kriptnovana) i dr.

Snimanje sistema
Odbrana :
Kada organizacija registruje svoj domen na
Internetu, mora da objavi i podatke o njegovom
administratoru, registrovanim mreama blokovima
i serverima. Meutim, to ne znai da pri tom ne
treba uzeti u obzir bezbednost, naprotiv podatke
treba sroiti tako da oteaju posao napadau.
Deava se da administrator napusti organizaciju !
Deava se da se podaci ne auriraju redovno !

Snimanje sistema
Ispitivanje DNSa
ta je DNS ?
DNS je distribuirana baza podataka pomodu koje se
IP adrese spreslikavaju u imena umreenih raunara i
obrnuto !
Ako je DNS nebezbedno konfigurisan, mogude je
otkriti podatke o organizaciji.
Najozbiljniji
propust
u
konfiguraciji
koje
administrator moe da naini, jeste da omogudi
neovlatenim korisnicima Interneta da prenesu zone
DNS-a.

Snimanje sistema

Prenos zone (eng. Zone transfer) dozvoljava

sekundarnom serveru da svoju bazu podataka sa
zonama aurira sa primarnog servera. Tako se
postie da sistem nastavi da radi ako primarni DNS
server otkae.
Isprobajmo nekoliko metoda za prenos zona i
analizirajmo podatke koje moemo na taj nain da
prikupimo.

Snimanje sistema

Zone se jednostavno prenose uz program NSLOOKUP

, koji se isporuuje sa vedinom Linux i Windows
sistema.
Komandu moemo da upotrebimo interaktivno :
nslookup
Default server : Dns6.sbb.rs
Address: 89.216.1.40

Snimanje sistema
Kada se pokrene, program de ispisati podrazumevani
server imena koji koristi, to je po pravilu DNS server
organizacije ili DNS server davaoca usluge Interneta.
Zbog toga nslookup-u moramo runo da zadamo
DNS server imena domena za www.fpps.edu.rs
(192.x.x.x)

Komanda treba da izgleda ovako :

Snimanje sistema

nslookup
Default server : Dns6.sbb.rs
Address: 89.216.1.40
Set type=any
Ls d dns6.sbb.rs >> /tmp/zone_out

Snimanje sistema
Naredba Set type=any omogudava nam da
preuzmemo svaki raspoloiv DNS zapis i dobijemo
potpunu listu.
Poto prenesomo zonu, pregledademo datoteku i u
njoj potraiti informacije koje bi nam eventualno
mogle pomodi da se ne usmerimo na odreene
sisteme.
Poto sajt www.fpps.edu.rs ne dozvoljava prenos
zone nedemo dobiti nikakav izvetaj.

Snimanje sistema

Slededi korak koji je bitan je pradenje topologije i

potencijalne puteve pristupanja :
http://www.yougetsignal.com/tools/visual-tracert/
Pradenjem paketa moemo videti gde su kritine
take i mogudi napadi
Opcijom TRACEROUTE i adresom DNS servera, posle
komande NSLOOKUP moemo takoe ispratiti
putanje, odnosno vorita koja su nam bitna zbog
preuzimanja kontrole pristupa .

Snimanje sistema

Odbrana od snimanja sistema :

Mnogi komercijalni sistemi za spreavanje upada
(eng. Network intrusion detection system, NIDS) i
sistemi za spreavanje upada (eng. Intrusion
prevention system, IPS) uspede da uhvate ovu
vrstu pokuaja upoznavanja mree.
Snort (potpuno besplatan alat) moe da otkrije
skoro svaki NIDS upad.
Ovaj program belei pristigle zahteve programa
TRACEROOT i generie lane odgovore na njih.

Hvala na panji