Знання основ мережевих технологій є невід’ємною складовою успішної пентестінгової діяльності. Вони допомагають пентестерам аналізувати, оцінювати та виявляти потенційні вразливості в мережах та системах забезпечення. Розуміння принципів мережевих протоколів, архітектури та комунікаційних моделей дає можливість ефективно виявляти потенційні загрози та ризики для мережевої інфраструктури. Мережеві знання також дозволяють пентестерам розробляти та використовувати спеціалізовані інструменти для виявлення і використання вразливостей, що сприяє підвищенню рівня безпеки. Таким чином, основи мережевих технологій стають фундаментом для успішного виконання завдань з пентестінгу та забезпечення безпеки мереж та систем.
Розуміння основ мережевих технологій дозволяє пентестерам ефективно проводити аналіз і дослідження мереж та їх складових. Вони можуть ідентифікувати можливі вразливості, а також проникати в системи та пристрої, використовуючи знання про мережеві протоколи та комунікаційні механізми. Дізнавшися про архітектуру мережі, пентестери можуть виявляти та аналізувати маршрути, які можуть бути використані для несанкціонованого доступу. Окрім цього, знання мережевих технологій дає можливість аналізувати трафік, який пересилається через мережу, і виявляти аномальну активність чи спроби вторгнення. Вони можуть розробляти та впроваджувати стратегії тестування на проникнення, що базуються на знаннях про мережеві протоколи та взаємодію між системами. Отже, основи мережевих технологій роблять пентестерів більш компетентними у виявленні та виправленні безпекових проблем, а також допомагають забезпечувати надійну захист мереж та інфраструктури в цілому.
Кожна організація прагне зробити свою архітектуру максимально ефективною, задовольняючи власні потреби або потреби сторонніх користувачів, витрачаючи при цьому мінімум часу та ресурсів на безпеку. Ідеально захищена система – це утопія. Тому аналіз безпеки системи зводиться до пошуку вразливостей. Делегування тестування системи вашим співробітникам може призвести до отримання ненадійних і оманливих звітів про ваші можливості безпеки. Тому компанії потрібна третя, незацікавлена особа, яка зможе ефективно перевірити систему на наявність вразливостей – пентестер.
Зміст:
Локальна мережа – фундамент будь-якої компанії.
Засоби та системи мережевої безпеки.
Як вивчити основи мереж.
Кожна компанія, незалежно від її функції та діяльності, включає локальну комп’ютерну мережу (LAN). Локальна мережа є основою, без якої організація не може існувати. Локальні мережі відповідають за взаємодію співробітників один з одним або з Інтернетом, автоматизацію роботи і надання послуг клієнтам. Пентестер повинен знати структуру, заходи захисту та типи запланованого обладнання.
Дуже часто доводиться діяти за принципом «чорної скриньки». Тому потрібно бути готовим до будь-яких несподіванок і знати характеристики основних постачальників мережевого обладнання (Cisco, Juniper, Huawei). Ці пристрої стануть основою будь-якої передової мережі. За своєю структурою локальна мережа є досить типовою і відповідає певним рекомендаціям і стандартам проектування. Стандартом де-факто для майже всіх мереж у світі є трирівнева архітектура Cisco.
Вона складається з трьох компонентів:
Рівень ядра (core layer)
Рівень розподілу чи агрегації (aggregation/distribution layer)
Рівень доступу (access layer)
Не заглиблюватимемося в глибоку теорію. Розглянемо одночасно типову структуру будь-якої організації.
У цьому прикладі умовна організація має доступ через двох провайдерів (ISP – Internet Service Provider). Канали провайдера підключені до двох прикордонних маршрутизаторів, що забезпечує резервування зв’язку. Не обов’язково мати 2. Це можуть зробити тільки великі організації. На вході в мережу необхідно розмістити один або кілька мережевих моніторів. Зазвичай це реалізація брандмауера з використанням дорогого апаратного забезпечення (наприклад, Cisco ASA).
Великі організації також відокремлюють територію від загальнодоступних служб, щоб обмежити доступ до приватної мережі (DMZ — демілітаризована зона). Наприклад, офіційний веб-сайт організації може бути розміщений на сервері DMZ. Потужні маршрутизатори або комутатори L3 розташовані в центрі. Ці пристрої забезпечать максимальну ефективність обробки великих потоків пакетів і з’єднання інших частин мережі. Розподільні пристрої забезпечать резервне підключення для підвищення відмовостійкості мережі (комутатори L2/L3).
Рівень доступу перемикає підключених користувачів у приватній підмережі до великої локальної приватної мережі. Зазвичай організація не обмежується однією фізичною будівлею і має (або матиме) власні філії, і як хороший роботодавець вони підтримують співробітників, які працюють віддалено. Тепер є місце для технології віртуальної приватної мережі (VPN). Це тема окремої статті.
Розглянемо типові пристрої мережної безпеки. Дотримуюся думки виділяти класичні засоби та некласичні. До класичних засобів відноситимемо міжмережеві екрани (Firewall), системи виявлення вторгнень (IDS) та системи запобігання вторгненням (IPS).
Міжмережевий екран (МСЕ) – це пристрій забезпечення безпеки мережі, який здійснює моніторинг вхідного та вихідного мережного трафіку і на підставі встановленого набору правил безпеки приймає рішення пропустити або блокувати конкретний трафік. Міжмережні екрани використовуються як перша лінія захисту мереж вже більше 25 років.
Вони ставлять бар’єр між захищеними, контрольованими внутрішніми мережами, яким можна довіряти, та ненадійними зовнішніми мережами, такими як Інтернет. Міжмережевий екран може бути апаратним, програмним або змішаним. Однак атаки можуть починатися і з внутрішніх вузлів – у разі, якщо атакований хост розташований у тій самій мережі, трафік не перетне межу мережного периметра, і міжмережевий екран буде задіяний.
Традиційне виявлення атак на рівні мережі передбачає збір та аналіз мережного трафіку за певним набором сигнатур, які відповідають відомим атакам. Це вимагає наявності сенсорів (IDS/IPS) на ключових ділянках мережі, які намагаються виявити відомі погані патерни у мережевому трафіку. Intrusion Detection System (IDS) – система виявлення вторгнень – програмний продукт або пристрій, призначені для виявлення несанкціонованої та шкідливої активності в комп’ютерній мережі або на окремому хості. Завдання IDS — виявити проникнення кіберзлочинців в інфраструктуру та сформувати оповіщення безпеки (функцій реагування, наприклад, блокування небажаної активності, в таких системах немає), яке буде передано до SIEM-системи для подальшої обробки.
Системи виявлення погроз відрізняються від класичних МСЕ, оскільки останні спираються на набір статичних правил і просто обмежують трафік між пристроями або сегментами мережі, не надсилаючи повідомлень. Еволюцією ідеї IDS стала система запобігання вторгненням (IPS), яка здатна не тільки виявляти, але й блокувати загрози. Але з кількох причин цей підхід сьогодні вже не актуальний: по-перше, сигнатури безсилі проти атак нульового дня, а також передових методів приховування шкідливого коду та каналів контролю.
По-друге, сучасні цільові атаки (APT) можуть «перетинати» периметр традиційних мереж, де датчики традиційно встановлюються та працюють зсередини мережі. Взаємодія між робочими станціями та серверами всередині мережі часто виходить за рамки IDS/IPS. Тому що встановлення спеціалізованих датчиків у всіх сегментах мережі та моніторинг кожної робочої станції є технічно складним і фінансово дорогим завданням.
До некласичних засобів віднесемо технології та системи мережного моніторингу. Наприклад, Zabbix чи Netflow. PS Тема ще однієї статті. Моніторинг мережі суттєво ускладнить атаку як поза мережею організації, так і всередині неї. Не надто великі організації часто нехтують цим аспектом мережевої безпеки.
Тут варіантів безліч:
Офіційні курси від мережевих гігантів – Cisco, Juniper, Huawei (дорого, але дуже корисно). Тішить те, що Інтернет рясніє злитими курсами. Можна підібрати за різним рівнем підготовки, від простого до просунутого. У Huawei повно безкоштовних курсів – https://e.huawei.com/en/talent/#/ .
Офіційна чи додаткова література від тих-таки гігантів. В Інтернеті також можна пошукати, без проблем знайти у спеціалізованих телеграм-каналах. Найкраще вивчати іноземну літературу. На жаль, вони зрозуміліше та докладніше все описують.
Статті в Інтернеті. На хабрі їхня нескінченна кількість.
Youtube канали. Візуально все ж таки приємніше сприймати інформацію. Ось список непоганих каналів: https://www.youtube.com/c/Certbros (англійською, але все зрозуміло), https://www.youtube.com/c/linkmeup-podcast/featured (плейлист мережі для самих маленьких», так само є окремий блог на хабрі, там детальніше).
І, звісно, вишенька на торті. Легендарні RFC. Як же без багатотисячних томів стандартів?
Як висновок хочемо сказати, що знання основ мережевих технологій – необхідна база для будь-якого спеціаліста в галузі ІБ. Не розуміючи, як працює мережа, які протоколи використовуються, які мережеві пристрої стоять на периметрі мережі та всередині неї, неможливо належним чином протестувати її на вразливості.
480 
766 
534 