Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

PacketFence – integracja z FingerBank i Nessusem

Data publikacji: 29-08-2017 Autor: Jacek Kurek
Dzięki siostrzanemu...

PacketFence to projekt softwarowego mechanizmu implementującego funkcje Network Access Control, który z łatwością zintegrujemy z wieloma urządzeniami sieciowymi wiodących producentów. Zapewnia m.in. możliwość współpracy z zewnętrznymi mechanizmami bezpieczeństwa, dzięki którym rozszerzymy funkcjonalność kontrolera dostępu do zasobów sieci, zwiększając poziom jej bezpieczeństwa.

PacketFence – oprogramowanie pozwalające na zbudowanie rozwiązania typu NAC (Network Access Control) opisywaliśmy szerzej w dwóch numerach „IT Professional” (4 i 5/2017). Omówiliśmy wówczas podstawowe możliwości pakietu, a także kwestie wdrożenia kontroli dostępu do sieci w różnych trybach i konfiguracjach. Interesującym i użytecznym rozszerzeniem funkcjonalności oferowanych przez PacketFence'a jest możliwość jego sparowania z FingerBankiem – siostrzanym projektem rozwijanym przez firmę inverse.ca. FingerBank to w istocie obszerna baza danych o „odciskach palców” (finger prints), czyli szeroko rozumianych śladach pozostawianych w związku z komunikacją sieciową przez różne usługi. Wiedza ta połączona z umiejętnością skorelowania pewnych typów zdarzeń daje nam możliwość stosunkowo precyzyjnej identyfikacji klientów korzystających z naszej sieci. To natomiast w przypadku omawianej funkcjonalności NAC może znaleźć zastosowanie w obszarze budowania bardziej złożonych reguł przyznawania i odbierania praw dostępu do sieci.

O przydatności informacji zawartych w finger prints wiedzą z pewnością wszyscy, którzy mieli sposobność korzystania ze skanerów sieciowych. Chodzi tu zarówno o najprostsze mechanizmy do badania dostępności portów, jak i o zaawansowane narzędzia do penetracji sieci. Na przykład wywołanie popularnego programu nmap z przełącznikiem -O spowoduje uwzględnienie podczas zainicjowanego skanowania opcji pozyskiwanych z owych odcisków. Dzięki temu z dużym prawdopodobieństwem będziemy w stanie zidentyfikować typ czy wersję systemu operacyjnego pracującego na badanym hoście. FingerBank jest właśnie projektem, który tego typu dane nie tylko gromadzi, ale, co najważniejsze, pozwala je ze sobą powiązać.

> Rodzaje odcisków

Każde urządzenie korzystające z zasobów choćby wyizolowanej sieci lokalnej pozostawia w związku z generowanym ruchem sieciowym wiele śladów. Ich typ oraz ilość zależy głównie od sposobu, w jaki dane urządzenie wymienia dane ze światem zewnętrznym. Najbardziej oczywistym i podstawowym śladem pozostawianym przez wszystkie bez wyjątku urządzenia są adresy MAC (Media Access Control). Pierwsze 24 bity tego unikatowego adresu w sposób ścisły identyfikują wytwórcę interfejsu sieciowego, a co za tym idzie, w pewnych specyficznych przypadkach również producenta całego urządzenia. Dotyczy to szczególnie przypadków, w których mamy do czynienia z urządzeniami kwalifikowanymi, takimi jak drukarki, kasy fiskalne czy specjalistyczna aparatura pomiarowa przesyłająca dane za pomocą sieci Ethernet. Baza prefiksów adresów MAC przyporządkowanych do poszczególnych vendorów to prawdziwa kopalnia informacji, do której dostęp może się okazać pomocny w przypisaniu urządzeń do określonych VLAN-ów czy blokowaniu dostępu do zasobów naszej infrastruktury (np. w związku z przyjętą polityką urządzenia danego producenta nie powinny korzystać z firmowej sieci).

Jednym z typowych śladów mających bezpośredni związek z naszą aktywnością w korzystaniu z zasobów światowego internetu są identyfikatory naszych przeglądarek webowych (user agent string). Choć w parametrze tym przedstawione powinny być informacje takie jak typ i wersja naszej przeglądarki (choćby w celu dostosowania odwiedzanej witryny do możliwości danego oprogramowania), to często wysyłane są tam również inne informacje nadmiarowe, takie jak wersja systemu operacyjnego, wersja kernela czy numer kompilacji. Ta mało istotna informacja w połączeniu z innymi przechowywanymi w FingerBanku danymi może już stanowić źródło użytecznych danych.

W większości przypadków sieci informatyczne o charakterze dostępowym obsługiwane są przez serwery protokołu dynamicznej konfiguracji hostów, do których klienci wysyłają według określonego standardu zapytania o podstawową konfigurację sieci (adres IP, maska sieci, adres bramy itp.). Nierzadko klienty DHCP odpytują serwer o specyficzne dla typu czy wersji systemu operacyjnego informacje (np. adres serwera WINS). To natomiast w połączeniu z innymi odciskami pozwala na całkiem trafną identyfikację hosta klienckiego.

> Integracja danych

Sam dostęp do wzorcowych śladów zgromadzonych w FingerBanku wydaje się mało użyteczny. Jeśli jednak przedmiotowe typy danych umiejętnie ze sobą zintegrujemy, to okaże się, że mamy do dyspozycji cenne źródło wiedzy pozwalającej z dużym prawdopodobieństwem na identyfikację hostów klienckich aktualnie podłączanych do naszej sieci.

[...]

Autor jest administratorem systemów Linux i sieci w firmie specjalizującej się w rozwiązaniach IT dla sieci handlowych oraz outsourcingu usług IT m.in. dla dużych sklepów internetowych. Zajmuje się także audytami bezpieczeństwa. Od kilkunastu lat publikuje w prasie informatycznej.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"