TS Solution
Click to order
Cart
Запрос на спецификацию:
Total: 
Остались вопросы?
С удовольствием ответим на них в ближайшее время!
Call Close
Оставьте свой телефон и мы перезвоним вам!
Или позвоните нам:
+7 (499) 638 26 91

Подготовка «CEH»
Часть 1

22 ИЮЛЯ 2017
Проблемы безопасности являются невероятно актуальными на сегодняшний день. Для того, чтобы обезопасить свои сети от нежелательного проникновения, специалисту необходимо самому осваивать основные методы и способы взлома.

Экспертами разработана уникальная комплексная программа подготовки «Сертифицированный Этичный Хакер», направленная на подготовку специалистов высокого класса в области работы по успешному выявлению и решению проблем безопасности в смешанных компьютерных сетях, а также в сфере работы по расследованию хакерских инцидентов и мерам их профилактики.
Этичный Хакер — специалист по компьютерной безопасности, который специализируется на тестировании безопасности компьютерных систем.
ЭТАП РАЗВЕДКИ: СБОР ИНФОРМАЦИИ
ВВЕДЕНИЕ

Вы когда-нибудь читали «Искусство войны» Сунь-цзы? Если нет, позвольте мне предупредить вас: это произведение не из тех, что читают взахлёб в кровати затаив дыхание и предвкушая, чем всё закончится. Тем не менее, это шедевр, проницательно описывающий военную стратегию, что применима и сегодня, как тогда, во времена её написания китайским генералом, две тысячи лет назад. Мне кажется, что во времена написания произведения Сунь-цзы не мог представить какое мощное руководство он сотворит, но тот факт, что книга и по сей день, по-прежнему считается обязательной к прочтению для военных руководителей подтверждает, что Сунь-цзы кое-что да знал о ведении войны. Так как поле информационных технологий является виртуальным полем боя, то почему не использовать «Искусство войны» как пособие?

Две (или несколько) тысяч лет назад, для того чтобы переместить армию на некоторое расстояние приходилось тратить много времени и ресурсов. Получалось, что при большом переходе в короткие сроки армия могла настолько сильно устать, что уже физически не могла участвовать в сражении. В то же время, мы все это знаем, во время войны невозможно взять тайм-аут, чтобы попить водички. Сунь Цзы подходил к разработке стратегии ведения войны на интеллектуальном уровне. В основе стратегии была разведка. У него было твердое убеждение, что если вы затратили много времени и усилий, на изучение армии вашего врага, то во время борьбы с ним, победа будет такая, какую вы себе обеспечили на этапе разведки. Во времена Сунь-Цзы, разведка происходила «вручную»: было задействовано множество шпионов, которые осваивали вражеские территории, наблюдали, подслушивали, и докладывали о том, что происходит на стороне противника. Сунь-цзы говорил, что «шпионы так же важны, как и вода для армии».

На поле боя, где мы находимся, хоть оно и виртуально, суждения Сунь-Цзы остаются столь же актуальными. Вы хотите быть успешным в качестве Этичного Хакера? Тогда вам следует знать, как собрать информацию о ваших целях, прежде чем вы попытаетесь их атаковать. В этой главе собрана информация о необходимых инструментах и методах для сбора данных. Те из вас, что смакуют мысль о шпионах и шпионаже в целом, могут использовать людей-шпионов и старую добрую беготню, хотя теперь большая часть этого процесса происходит с помощью виртуальных средств. Во-первых, нам следует принять во внимание и убедиться, что мы знаем только то, что существует атака и уязвимости на поле виртуального боя.

ИССЛЕДОВАНИЕ УЯЗВИМОСТЕЙ

Я представляю, что могут сказать некоторые из вас. Я могу практически слышать вас, кричащих на страницу и пытающихся достучаться до меня, утверждая, что исследование уязвимостей не является частью footprinting'а (определение которому, мы дадим через минутку). И, честно говоря, я вынужден согласиться с вами: вы правы, это, безусловно, не является частью footprinting'а, как это определено в CEH. Тем не менее главная цель этой статьи: помочь вам ДЕЙСТВИТЕЛЬНО стать Этичным Хакером. Только применяя знания изо дня в день, вы становитесь их обладателем. Этот раздел посвящен не текущим уязвимостям, о которых вы уже собрали какие-то данные, – это будет позже. Раздел посвящен релевантным знаниям, которые сделают из вас эффективного специалиста.

Для тех из вас, кто только сейчас вовлекается в Этичное Хакерство, хочется подчеркнуть, что исследование уязвимостей является существенно важным шагом, который вы должны изучить и усвоить. Как можно быть готовым к атаке системы или сети, если нет понятия какие уязвимости там могут быть выявлены? Поэтому следует обратить пристальное внимание на исследование уязвимостей.

Исследование уязвимостей требует огромных усилий, от изучающих их специалистов. О большей части исследованных уязвимостях остаётся известным лишь то, как они могут коснуться нашей жизни. Крайне важно иметь в виду, что несмотря на то, что вся основная работа уже делается за вас, в вашей ответственности остаётся вовремя следить и реагировать на исследования. Большинство ваших исследований будет сводится к прочтению огромного количества информации, особенно с веб-сайтов. Главной задачей в этих исследованиях является отслеживание последних новостей, анализирование вспышек атак нулевого дня, вирусов и вредоносных программ, а также сбор рекомендаций по борьбе с ними. Идите в ногу с новостями и читайте, что происходит, но помните, что к тому времени, когда они появляются на первой странице kaspersky.com или FoxNews.com, вероятно прошло много времени.Хороший специалист знающий, что, где искать, и как это использовать, имеет преимущество в «сражении». Вот несколько сайтов, которые вам следует добавить в список избранных:

  • National Vulnerability Database (nvd.nist.gov)
  • Exploit-Database (exploit-db.com)
  • Securitytracker (www.securitytracker.com)
  • Securiteam (www.securiteam.com)
  • Secunia (www.secunia.com)
  • Hackerstorm Vulnerability Research Tool (www.hackerstorm.com)
  • HackerWatch (www.hackerwatch.org)
  • SecurityFocus (www.securityfocus.com)
  • Security Magazine (www.securitymagazine.com)
  • Dr Web (www.drweb.com)
  • Kaspersky Lab (www.kaspersky.com)
  • Checkpoint (www.checkpoint.com)
  • SRI International — R&D for Government and Business (www.sri.com)
Также вы можете сюда включить и другие источники, я лишь перечислил некоторую потрёпанную часть из Интернета. На этих сайтах люди обмениваются кодом, идеями, инструментами и многим другим в целях поиска и изучения уязвимостей в любом информационном ресурсе, утилите, программе и вообще, о любой вещи, которую можете встретить на поле информационных технологий. Но не забывайте, что люди, которых вы можете там встретить могут проводить исследования уязвимостей не только в неэтичных целях, но и преступных. Будьте осторожны.

Одно из великолепнейших мест, где можно встретить гуру информационной безопасности, это профессиональные мероприятия в организациях. Например, ISSA (Information Systems Security Association) проводящиеся по всей территории Соединенных Штатов, участие во встречах, которые, как правило, бесплатны.
Упражнение 1: Исследование уязвимостей
Это упражнение направлено на исследование одного из вышеуказанных ресурсов Hackerstorm Open.

  1. Создайте папку на диске С: \ с именем Hackerstorm (для хранения всего).
  2. Перейдите к www.hackerstorm.com на вкладку OSVDB, это бесплатный инструмент в верхней части. Дополнительная ссылка: http://freecode.com/projects/hackerstorm-vdb
  3. Нажмите кнопку Download GUI v.1.1, сохранив файл в папку Hackerstorm. Разархивируйте файлы в папку.
  4. Нажмите кнопку Download XML DB, сохраните файл в папку Hackerstorm распакуйте файлы в папку. Выберите «Да для всех» при появлении запроса о перезаписи файлов.
  5. В папке Hackerstorm дважды щелкните файл Start.html. Окно OSVDB появится на экране
  6. Нажмите кнопку Search OSVDB в нижней части. Прокрутите вниз, выберите Mozilla Organization, а затем нажмите кнопку Просмотр.
  7. На следующем экране выберите пункт View All. Прокрутите список уязвимостей, выберите одну из них, нажмите на неё. Прочитайте Описание, Решение, Детали, ссылки, и Участники. Так вы можете просмотреть любую информацию о конкретной уязвимости (см. Рисунок 2).
База данных этого инструмента обновляется ежедневно, так что вы можете скачать его и следить за новейшими изученными атаками, вирусами, уязвимостями до первых опубликованных новостей. Это отличный инструмент, для начала осваивания этапа разведки.

О использовании инструментов сканирования самих будет рассказано позже.
ПРИМЕЧАНИЕ

С чисто философской точки зрения имеет место Новому Этичному Хакеру следовать тактике Сунь-Цзы: «Определить» победу, прежде чем вступать в бой. Имейте в виду, что любая деятельность, осуществляемая без цели, представляет риск. Следовательно, если вы не уверены в том, зачем вы должны анализировать/собирать информацию, не делайте этого.
FOOTPRINTING

Сбор информации о вашей намеченной цели это больше, чем просто начальный шаг в общей атаке ­– это бесценный навык, который вам необходимо совершенствовать, как Этичному Хакеру. Я считаю, что большинство людей, желающих узнать больше в этой области, в итоге приходят к двум вопросам: какого рода информацию я ищу, и как я могу найти это? Оба вопроса – отличные, и на оба мы ответим в этом разделе.

Мне кажется важным, понимание того, что существует разница в определениях между разведкой и footprinting'ом. Для многих, разведка является более общим, всеохватывающим термином, как сбор информации по целям, в то время, как усилия footprinting-а направлены на планирование более высокого уровня, чтобы понять общую картину. Эти термины являются взаимозаменяемыми в СЕН языке, но вам следует помнить, что footprinting, это часть разведки.

На этапе footprinting, вы ищете любую информацию, которая может дать некоторое представление о цели, независимо от того, насколько она велика или мала. Особое значение в нашем случае имеют предметы, касающиеся высокого уровня архитектуры (какие маршрутизаторы используются, какие серверы закупаются), приложений и веб-сайтов (частные или публичные), мер физической безопасности (какой тип системы контроля используется, какие барьеры в нем присутствуют, какую деятельность совершают сотрудники и как часто?). Конечно, все, что предоставляет информацию о самих сотрудниках очень полезно, так как работники представляют собой одну из важнейших целей для вас в будущем. Тяжким трудом добывается лишь небольшая часть этой информации, большое количество данных лежит прямо перед вами, просто откройте свои виртуальные глаза.

Прежде всего, давайте разберёмся с парой терминов: активный и пассивый footprinting. Во время процесса активного footprining'а требуется, чтобы злоумышленник физически прикасался или менял что-то в настройках устройств или сетей, в то время как во время пассивного footprinting-а этого происходить не должно. Например, пассивный footprinting'ер может просматривать сайты или публичные записи, в то время как будет осуществляться сканирование вашего IP активным footprinting'ером. Вы считаетесь пассивным footprinting'ером, когда вы сёрфите Интернет, проверяете веб-сайты и смотрите DNS записи, и вы считаетесь активным footprinting'ером, когда вы собираете данные с сотрудников, используя методы социальной инженерии.
ПРИМЕЧАНИЕ

Footprinting – это процесс сбора информации в компьютерных системах и сетях. Это самый первый шаг сбора данных, обеспечивающий план целей в системе или сети на высоком уровне. Речь идет о сборе как можно большего количества информации, насколько это возможно.

На этапе footprinting'а, как и на других этапах хакерства, существует организованный путь от начала и до конца. Следует начать с информации, которую можно собрать за «50000 просмотров» с помощью веб-ресурсов, которые направлены на сбор данных о цели. Например, давайте рассмотрим термин конкурентной разведки (тем более, что это прямая цель Этичного Хакера). Пытливый ум собирает информацию, о субъекте, о его предпринимательской деятельности, о его конкурентах, о его клиентах, о его продуктах и маркетинге. Большая часть этой информации легкодоступна и ее можно получить с помощью различных средств. Есть несколько методов конкурентной разведки, о которых вам будет полезно узнать.

Отличное место, чтобы начать – это веб-сайт компании. Подумайте вот о чем: какую информацию сотрудники компании хотят выложить на их веб-сайт? Они хотят предоставить как можно больше информации для потенциальных заказчиков о том, кто они такие и что они могут предложить. Хотя, иногда, страница может быть буквально перегружена данными. Иногда публично доступная информация может включать в себя историю компании, списки каталогов, текущие и будущие планы, и даже техническую информацию. Разработанные, с целью расположить к себе клиентов, иногда сайты непреднамеренно дают хакерам подробную информацию о технических возможностях и составе сети.
ПРИМЕЧАНИЕ

Иногда сайты компаний имеют внутренние ссылки, направленные на сотрудников и деловых партнеров. Самый простой способ увидеть эти ссылки, для дальнейшего исследования – использовать Netcraft или другие линк экстракторы, от таких компаний как iWEBTOOL или Webmaster Alpha.

Кладезью информации о потенциальной цели являются вакансии рабочих мест. На ресурсах вроде hh.ru, superjob.ru, rabota.ru или на любом другом из множества подобных, вы можете в буквальном смысле слова найти все, что вы хотели бы знать о технической инфраструктуре компании. Например, с помощью листинга, что «кандидат должен быть хорошо разбирающемся в Windows 2003 Server, MS SQL 2000 и Veritas Backup». Сайты социальных сетей также могут предоставить актуальную информацию для вас. Например, такие, как Linkedin. Facebook и Twitter также являются большими источниками информации. И, только ради веселья, стоит проверить http://en.wikipedia.org/wiki/.

Наконец, еще два аспекта веб-footprinting'а стоит отметить. Первое, копирование веб-сайта непосредственно в вашу систему определенно поможет ускорить обработку объектов, и таких утилит как BlackWidow, Wget и TeleportPro. Второе, информация, касающаяся вашего исследования, могла быть размещена на сайте когда-то очень давно, а теперь её данные могут быть обновлены или удалены. Такие сайты как www.archive.org и Google Cache могут дать представление об информации, от которой, как они думали, давно избавились, но как говорится, один раз запостил – доступно навсегда.
ПРИМЕЧАНИЕ

Не так давно появилось два новых термина касающихся footprinting-а – анонимный и псевдонимный. После анонимного footprinting-а невозможно выследить атакующего, что тесно связано с псевдонимным, когда выслеживание атакующего будет выводить на другого человека.

Перечислить все методы сбора информации на этапе footprinting-а практически невозможно. Дело в том, что везде существуют возможности для сбора информации. Не забудьте включить в этот перечень и сбор данных с помощью поисковых систем, вы будите удивлены, сколько информации вы можете найти с помощью поиска по имени компании. Вот еще конкурентоспособные инструменты для сбора и анализа информации Google Alerts, Yahoo! Site Explorer, SEO для Firefox, SpyFu, Quarkbase и domaintools.com

Потратьте некоторое время, чтобы изучить эти методы по своему усмотрению. Помните, что все эти инструменты и возможности совершенно законны, каждый может использовать их в любое время, для любой цели.
Инструменты footprinting'а
ПРИМЕЧАНИЕ

Вы когда-нибудь смотрели на заголовок электронной почты? Вы можете получить интересные детали из него, посылая с поддельной электронной почты сообщение какой-либо компании, вы можете определить будущий вектор атаки по возвращенному письму.


FOOTPRINTING И DNS

DNS, как вам, несомненно, уже известно, предоставляет имя вIP-адрес (и наоборот) – это служба, позволяющая нам ввести имя ресурса, и попасть на его адрес.


ОСНОВЫ DNS

Система DNS состоит из серверов во всем мире. Каждый сервер содержит записи своего маленького уголка мира, известного как DNS пространство имен, и управляет ими. Каждая из этих записей дает указания определенному типу ресурсов. Некоторые записи представляют собой IP-адреса ведущие в отдельные системы в сети, в то время как другие предоставляют собой адреса для серверов электронной почты. Некоторые из адресов предоставляют ссылки на другие DNS серверы, которые помогают найти людям то, что они ищут.


ПРИМЕЧАНИЕ

Номера портов очень важны при обсуждении систем и сетей. Когда речь идет о DNS службе, используется 53 порт. При поиске имен обычно используется UDP протокол, в то время как при поиске зон используется TCP протокол.

Большие, огромные серверы могут обрабатывать пространство имен, как большой домен верхнего уровня «.ru», в то время как другой сервер ниже по линии содержит все записи для «tssolution.ru». Красота этой системы заключается в том, что каждый сервер беспокоится только о названии записи для своей собственной части пространства имен и знает, как связаться с сервером «выше по уровню». Система выглядит как перевернутое дерево, и можно пронаблюдать, как запрос конкретного ресурса может быть легко направлен на соответствующий сервер. Например, на рисунке 3-4, есть сервер anyname.com третьего уровня, который управляет всеми записями собственного пространства имен, так что любой, кто ищет ресурс с их сайта может связаться с сервером для нахождения адреса.
DNS система
Единственным недостатком этой системы является то, что по типу записей DNS, хакер может узнать о вашей конфигурации сети. Например, как вы думаете, может быть важно для злоумышленника, знать, какой сервер в сети держит и управляет всеми DNS-записями? Или где находятся серверы электронной почты? Черт возьми, если на то пошло, не будет ли полезно знать, где публичные сайты располагаются на самом деле?

Все это определяется путем изучения типов DNS-записей, который я так перечислил ниже:
Эти записи сохраняются и управляются с помощью авторитетного сервера вашего пространства имен, который разделяет их с другими вашими DNS-серверами. Процесс репликации всех этих записей известен как перенос зоны

Учитывая важность записей, хранящихся здесь, очевидно, что администраторы должны быть очень осторожны с тем, на какие IP адреса разрешено выполнять передачу зоны. Если вы разрешили передачу зоны на любой IP, то вы так же можете разместить карту сети на веб сайте во избежание проблем. Вот почему большинство администраторов ограничивают возможность даже просьб передач зоны небольшим списком серверов имен внутри своей сети.

Задумайтесь на минуту о DNS-поиске ресурсов в сети: к примеру, человек пытается подключиться к FTP-серверу для загрузки некоторых важных, конфиденциальных данных. Пользователь набирает ftp.anycomp.com, Enter. DNS-сервер ближе всего к пользователю, он проверяет свой кэш, чтобы увидеть, знает ли он адрес для ftp.anycomp.com. Если это не там, сервер ищет путь через архитектуру DNS, находя авторитетный сервер для anycomp.com, получает верный IP-адрес, который возвращается клиенту, и наконец начинается FTP сессия.


ПРИМЕЧАНИЕ

Когда речь идет о DNS, важно помнить, что есть два реальных сервера в вашей системе. Name resolvers просто отвечает на запросы. Авторитетные серверы держат записи для заданного пространства имен, информацию из административного источника, и ответы.

Предположим, что вы взломщик, и вы действительно хотите получить некие конфиденциальные данные. Одним из возможных способов сделать это может быть, изменение кэша на локальном сервере имен, например, указание на фиктивный сервер вместо реального адреса для ftp.anycomp.com. Пользователь, если он не внимателен, подключится и загрузит документы на ваш сервер. Этот процесс известен как DNS poisoning, и один из способов противостояния этому – ограничение времени хранения записи в кэше, пока они не обновятся. Есть множество других способов защиты от этого, но мы не будем их тут обсуждать, просто важно продемонстрировать насколько ценны такие записи для атакующего.

Запись SOA содержит большое количество информации, от имени хоста первичного сервера в пространстве имен DNS (зоны) , она содержит следующую информацию:

  • Source Host – Имя хоста сервера SOA.
  • Contact Email – Адрес электронной почты человека, ответственного за файл зоны.
  • Serial Number – Версия файла зоны. (При изменении файл зоны увеличивается).
  • Refresh Time – Временной интервал, через который, вторичный DNS сервер будет обновлять зону.
  • Retry Time – Временной интервал, через который, вторичный DNS сервер осуществит повторную попытку обновления зоны, если передача зоны была неудачна.
  • Expire time – Временной интервал в течение которого вторичный сервер будет пытаться завершить передачу зоны.
  • TTL – Минимальное время жизни всех записей в зоне. (Если не обновляются, с помощью передачи зон, они будут удалены)
Мы немного разобрались в структуре DNS и записей, хранящихся там. Теперь стало очевидным, почему DNS footprinting, как отслеживание записей и архитектуры DNS является важным навыком для изучения. Для нас, как для Этичных Хакеров, очень важно, изучать некоторые доступные для общего пользования инструменты DNS footprinting'а.
Упражнение 2: Демонстрация результатов атаки DNS
На самом деле в этом упражнении мы не собираемся ни менять DNS-записи на сервере, ни красть чего-либо. Мы будем использовать хост-файл, встроенный в Windows, чтобы продемонстрировать проблемы DNS поиска. Перед тем как система будет проверять свой собственный кэш или локальный DNS сервер, она смотрит, по умолчанию, файл с именем «хост» для определенной записи. Это упражнение покажет, насколько легко перенаправить цель на сайт, который она не собиралась посещать (при изменении записей на локальном сервере таким образом, пользователь увидит тот же результат).

Следуйте этим шагам:
  1. Откройте браузер и перейдите на www.google.com. DNS -запись этого сайта сейчас находится в кэше. Вы можете просмотреть его, набрав в командной строке Ipconfig/displaydns. Наберите IPCONFIG / flushdns, чтобы удалить все записи. Закройте браузер.
  2. С помощью проводника откройте C: \ Windows \ System32 \ Drivers \ Etc (Если вы используете 64-разрядную версию Windows XP или 7, то попробуйте открыть C: \ Windows \ SysWOW64 \ System32 \ Drivers \ и т.д.).
  3. Откройте файл «hosts» в блокноте. Сохраните копию, прежде чем продолжить.
  4. В конце файла хоста, введите 209.191.122.70 www.google.com (под последней строкой 127.0.0.1 или :: 1). Сохраните файл и выйдите из него.
  5. Снова откройте браузер и попытайтесь получить доступ к www.google.com. Ваш браузер, вместо гугла откроет Yahoo!. Мы обновили хосты файла, указав на адрес поисковой системы Yahoo! 's как Google.


ИНСТРУМЕНТЫ DNS FOOTPRINTING: whois, nslookup и dig

На заре сетей, системы DNS требовали не только разработку иерархического дизайна, но и кого-то, кто бы ими управлял. Кто-то должен был быть ответственным за регистрацию имён и соответствующих диапазонов адресов. В первую очередь, кто-то должен был раздавать адреса.

Управление IP-адресами началось с маленькой группы, известной как IANA (Internet Assigned Numbers Authority), а затем это дело продолжила ICANN (Internet Corporation for Assigned Names and Numbers). ICANN управляет распределением IP. Компании и частные лица получают здесь свои IP-адреса (диапазоны), после чего весь остальной мир может найти их с помощью DNS системы.

Наряду с такой регистрацией адресов, региональные интернет-регистраторы обеспечивают управление публичным пространством IP адресов в пределах своего географического региона.

Всего существует 5 региональных интернет-регистраторов:

  • ARIN (American Registry Internet Numbers): Северная и Южная Америка, а также страны Африки к югу от Сахары
  • APNIC (Asia-Pacific Network Information Centre): Азиатско-Тихоокеанский регион
  • RIPE (Réseaux IP Europeens): Европа, Ближний Восток, и Центральная Азия / Северная Африка.
  • LACNIC (Latin American and Caribbean Internet Addresses Registry): Латинская Америка и Карибский бассейн
  • AfriNIC (AfriNIC): Африка
Эти реестры управляют и контролируют все общественное пространство IP-адресов. Они представляют собой огромное количество информации для вас в footprinting-е. Собирать информацию в них очень легко, просто посетите их сайт (например, www.arin.net) и введите доменное имя. Вы получите информацию, о выделенном диапазоне сети, названии организации, сведения о серверах имен, сроки предоставления аренды адресов.

Вы также можете пользоваться инструментом, который известен как WHOIS. Первоначально созданный под Unix, он стал использоваться в операционных системах всего мира. Он запрашивает регистр и возвращает информацию о правах собственности на домен, адреса, местоположения, номера телефонов, DNS-серверы и др.

Вот еще несколько инструментов для тех же целей: www.geektools.com, www.dnsstuff.com, www.samspade.com, www.checkdns.net.

Еще один полезный инструмент DNS Footprinting это командная строка. Познакомимся с командой: Nslookup, которая является частью практически любой операционной системы. Это средство запроса DNS-сервера для получения информации.

ПРИМЕЧАНИЕ

Вам следует разбираться в сервисе WHOIS, уделите особое внимание на регистраторов, административные имена, номера контактных телефонов для физических лиц, а также имена серверов DNS.


СИНТАКСИС

nslookup [-options] {hostname | [-server]}

Команда может предоставить информацию, основываясь на выбранных параметрах, или может работать в интерактивном режиме, ожидая ввода последующих параметров от вас.На Microsoft Windows при вводе Nslookup вы увидите окно, отображающее ваш DNS-сервер по умолчанию и связанный с ним IP-адрес. Команда исполняется в интерактивном режиме. Набрав знак вопроса, вы увидите все возможные варианты вывода информации с помощью этой команды. Например, последующая команда MX передаст запрос команде Nslookup на то, что вы ищете записи о серверах электронной почты. Nslookup также может предоставить информацию о переносе зоны. Как уже говорилось ранее, передача зоны отличается от «обычного» запроса DNS тем, что она передает каждую запись DNS-сервера, а не только ту, что вы ищете. Чтобы использовать Nslookup для передачи зоны, сначала убедитесь, что вы подключены к серверу SOA зоны, а затем выполните следующие действия:

  1. Введите Nslookup в командной строке.
  2. Тип сервера <IPAddress>, IP-адрес SOA.
  3. Набор type=any.
  4. Введите ls -d domainname.com, где domainname.com это имя зоны.
После этого вы либо получите код ошибки, потому что администратор правильно сделал свою работу, либо копию передачи зоны, которая выглядит примерно так:

Статистика событий безопасности в защищаемой сети
Оповещения событий безопасности позволяют Проводить анализ активности сети, источников угроз и атакуемых узлы сети позволяют оповещения событий безопасности. Для детализации информации системой предотвращения вторжений осуществляется сканирование трафика. Существуют настраиваемые виджеты, содержащие графическую информацию и статистические данные:

• Event Trend отображает график, предоставляющий информацию о количестве сетевых атак, посещениях подозрительных URL, обращений файлов к ботнет-сетям из виртуальной среды в течение определенного периода времени.
• Тop Network Attacks отображает график, предоставляющий информацию о количестве и типе сетевых атак.
• Top Attacked Hosts отображает график, предоставляющий информацию о наиболее часто атакуемых хостах защищаемой сети.
• Top Communicated Botnet отображает график, предоставляющий информацию о наиболее частых взаимодействиях с ботнет-сетями.
• Top Botnet Infected Hosts отображает график, предоставляющий информацию о наиболее частых взаимодействиях с ботнет-сетями среди зараженных хостов защищаемой сети.
• Top Visited Suspicious URL Hosts отображает график, предоставляющий информацию о наиболее посещаемых подозрительных URL-адресах.
• Top Hosts Visiting Suspicious URL отображает график, предоставляющий информацию о хостах сети, наиболее часто посещающих подозрительные URL-адреса.

С использованием базы данных сигнатур системы предупреждения вторжений FortiSandbox сканирует перехватываемый трафик для выявления подключений к ботнет-серверам и сетевых атак. Затем этот трафик сравнивается с базой данных веб-фильтра. Пользователю предоставляется развернутая информация и возможность создания файла отчета.
Статистика обнаруженных URL
На странице «Сводные отчеты» раздела «Обнаруженные URL» также существуют настраиваемые виджеты, содержащие графическую информацию и статистические данные:

• Scanning Statistics отображает график, предоставляющий информацию об URL-адресах, сканируемых в ОС за выбранный период времени.
• Scanning Statistics by Type отображает график, предоставляющий информацию о типах URL, рейтинге и подсчете событий за выбранный период времени.
• Scanning Activity отображает количество чистых, подозрительных и вредоносных событий, которые произошли в определенное время в течение выбранного периода времени.
• Top Infectious URLs отображает график, предоставляющий информацию о наиболее популярных зараженных URL-адресах, обнаруженных в течение выбранного периода времени.

Чистые, неизвестные и файлы без рейтинга отображаются на странице «Чистые URL»
Выводы
Сетевое устройство безопасности FortiSandbox — это полнофункциональная сетевая «песочница», интегрированная с анализом угроз FortiGuard Labs и механизмами безопасности продуктов Fortinet (FortiGate, FortiClient, FortiWeb и FortiMail). Это обеспечивает безопасность контролируемой сети и конечных точек на каждом уровне защиты в режиме реального времени.
Физические устройства FortiSandbox предназначены для защиты вычислительных сетей крупных компаний и корпораций. Благодаря различным вариантам встраивания устройства позволяют распределять нагрузку и защищать удаленные сегменты сети. Устройства обладают высокой производительностью, однако покупка дополнительных функций может повысить себестоимость решения.
Для небольших компаний Fortinet предлагает FortiSandbox Cloud.
Достоинства
• Высокая производительность;
• Высокая скорость анализа сетевого трафика;
• Наличие большого числа сетевых портов;
• Возможность расширения за счет дополнительных интерфейсов;
• Поддержка нескольких режимов развертывания;
• Интеграция с другими продуктами Fortinet;
• Поддержка FortiGuard Labs;
• Поддержка масштабируемости и кластеризации;
• Управление единым средством централизованного управления FortiManager.
Недостатки
• Отсутствие русской локализации;
• Использование дополнительных функций безопасности и образов виртуальных машин требует приобретение дополнительных лицензий.
Читайте также: