Методы мониторинга и обеспечения безопасности для поддержания работоспособности корпоративной сети

HackWare.ru

В предыдущей статье я показал, как установить Python на Windows. Я упомянул, что благодаря Python можно запускать программы и скрипты работу с которыми я показываю в Kali Linux или в другом дистрибутиве Linux. В этой статье я продемонстрирую, как можно использовать Python на Windows, запуская утилиты, с помощью которых можно узнать о других устройствах в локальной сети, выполнить начальный сбор информации о веб-приложениях и найти пользователей на популярных сайтах и даже выполнить некоторые простые атаки.

Всё это мы будем делать на примере Habu — набора разнообразных инструментов.

Программы Habu написаны на Python, поэтому могут работать как на Linux, так и на Windows. Причём особый интерес эти утилиты представляют именно для пользователей Windows, поскольку на этой операционной системе для них отсутствуют альтернативы. По этой причине я буду показывать работу этих программ именно в Windows.

Начать нужно с установки Python и PIP на Windows. Затем выполните команду:

Как можно увидеть, было установлено много зависимостей.

Для работы некоторых функций (например, для трассировки) нужна установленная программа Winpcap или Npcap. Подробности об этих программах и для чего они нужны, вы можете прочитать в начале статьи «Взлом Wi-Fi без пользователей в Windows (с использованием Wireshark и Npcap для захвата PMKID)».

Вы можете установить отдельно Npcap или более старый вариант Winpcap, но ещё одним вариантом является установка Wireshark в Windows, которая поставляется с Npcap. Если вас интересуют вопросы исследования сети, тестирования на проникновение, то вам пригодится программа Wireshark, установите её.

Для обновления Habu и всех зависимостей, просто выполните команду установки ещё раз — если будут найдены новые версии пакетов, то они будут обновлены:

Теперь приступим к знакомству с утилитами Habu — их много, более 70, полный их список, а также опции, вы найдёте на странице https://kali.tools/?p=5172. В этой статье я отобрал самые интересные из этих утилит.

Методы мониторинга состояния сети

Выбор способов и объектов мониторинга сети зависит от множества факторов – конфигурации сети, действующих в ней сервисов и служб, конфигурации серверов и установленного на них ПО, возможностей ПО, используемого для мониторинга и т.п. На самом общем уровне можно говорить о таких элементах как:

1. проверка физической доступности оборудования;
2. проверка состояния (работоспособности) служб и сервисов, запущенных в сети;
3. детальная проверка не критичных, но важных параметров функционирования сети: производительности, загрузки и т.п.;
4. проверка параметров, специфичных для сервисов и служб данного конкретного окружения (наличие некоторых значений в таблицах БД, содержимое лог-файлов).

Начальный уровень любой проверки – тестирование физической доступности оборудования (которая может быть нарушена в результате отключения самого оборудования либо отказе каналов связи). Как минимум, это означает проверку доступности по ICMP-протоколу (ping), причем желательно проверять не только факт наличия ответа, но и время прохождения сигнала, и количество потерянных запросов: аномальные значения этих величин, как правило, сигнализируют о серьезных проблемах в конфигурации сети. Некоторые из этих проблем легко отследить при помощи трассировки маршрута (traceroute) – ее также можно автоматизировать при наличии «эталонных маршрутов».

Следующий этап – проверка принципиальной работоспособности критичных служб. Как правило, это означает TCP-подключение к соответствующему порту сервера, на котором должна быть запущена служба, и, возможно, выполнение тестового запроса (например, аутентификации на почтовом сервере по протоколу SMTP или POP или запрос тестовой страницы от веб-сервера).

В большинстве случаев, желательно проверять не только факт ответа службы/сервиса, но и задержки – впрочем, то относится уже к следующей по важности задаче: проверке нагрузки. Помимо времени отклика устройств и служб для различных типов серверов существуют другие принципиально важные проверки: память и загруженность процессора (веб-сервер, сервер БД), место на диске (файл-сервер), и более специфические – например, статус принтеров у сервера печати.

Способы проверки этих величин варьируются, но один из основных, доступных почти всегда – проверка по SNMP-протоколу. Помимо этого, можно использовать специфические средства, предоставляемые ОС проверяемого оборудования: к примеру, современные серверные версии ОС Windows на системном уровне предоставляют так называемые счетчики производительности (performance counters), из которых можно «считать» довольно подробную информацию о состоянии компьютера.

Наконец, многие окружения требуют специфических проверок – запросов к БД, контролирующих работу некоего приложения; проверка файлов отчетов или значений настроек; отслеживание наличия некоторого файла (например, создаваемого при «падении» системы).

Colasoft Capsa Free

Этот бесплатный анализатор трафика локальной сети позволяет идентифицировать и отслеживать более 300 сетевых протоколов, и позволяет создавать настраиваемые отчеты. Он включает в себя мониторинг электронной почты и диаграммы последовательности TCP-синхронизации , все это собрано в одной настраиваемой панели.

Другие функции включают в себя анализ безопасности сети. Например, отслеживание DoS/DDoS-атак , активности червей и обнаружение ARP-атак . А также декодирование пакетов и отображение информации, статистические данные о каждом хосте в сети, контроль обмена пакетами и реконструкция потока. Capsa Free поддерживает все 32-битные и 64-битные версии Windows XP .

Минимальные системные требования для установки: 2 Гб оперативной памяти и процессор 2,8 ГГц. У вас также должно быть соединение с интернет по сети Ethernet ( совместимой с NDIS 3 или выше ), Fast Ethernet или Gigabit с драйвером со смешанным режимом. Он позволяет пассивно фиксировать все пакеты, передаваемые по Ethernet-кабелю .

NetResView

18 сентября, 2020 0

NetResView – небольшая бесплатная программа, которая отображает список всех сетевых ресурсов (компьютеры, общедоступные диски и принтера) в локальной сети. Данная программа показывает сетевые ресурсы из… Скачать

Zabbix

Zabbix — это полномасштабный инструмент для сетевого и системного мониторинга сети, который объединяет несколько функций в одной веб-консоли. Он может быть сконфигурирован для мониторинга и сбора данных с самых разных серверов и сетевых устройств, обеспечивая обслуживание и мониторинг производительности каждого объекта.

Zabbix позволяет производить мониторинг серверов и сетей с помощью широкого набора инструментов, включая мониторинг гипервизоров виртуализации и стеков веб-приложений.

В основном, Zabbix работает с программными агентами, запущенными на контролируемых системах. Но это решение также может работать и без агентов, используя протокол SNMP или другие возможности для осуществления мониторинга. Zabbix поддерживает VMware и другие гипервизоры виртуализации, предоставляя подробные данные о производительности гипервизора и его активности. Особое внимание также уделяется мониторингу серверов приложений Java, веб-сервисов и баз данных.

Хосты могут добавляться вручную или через процесс автоматического обнаружения. Широкий набор шаблонов по умолчанию применяется к наиболее распространенным вариантам использования, таким как Linux, FreeBSD и Windows-сервера; широко-используемые службы, такие как SMTP и HTTP, а также ICMP и IPMI для подробного мониторинга аппаратной части сети. Кроме того, пользовательские проверки, написанные на Perl, Python или почти на любом другом языке, могут быть интегрированы в Zabbix.

Zabbix позволяет настраивать панели мониторинга и веб-интерфейс, чтобы сфокусировать внимание на наиболее важных компонентах сети. Уведомления и эскалации проблем могут основываться на настраиваемых действиях, которые применяются к хостам или группам хостов. Действия могут даже настраиваться для запуска удаленных команд, поэтому некий ваш сценарий может запускаться на контролируемом хосте, если наблюдаются определенные критерии событий.

Программа отображает в виде графиков данные о производительности, такие как пропускная способность сети и загрузка процессора, а также собирает их для настраиваемых систем отображения. Кроме того, Zabbix поддерживает настраиваемые карты, экраны и даже слайд-шоу, отображающие текущий статус контролируемых устройств.

Zabbix может быть сложным для реализации на начальном этапе, но разумное использование автоматического обнаружения и различных шаблонов может частично облегчить трудности с интеграцией. В дополнение к устанавливаемому пакету, Zabbix доступен как виртуальное устройство для нескольких популярных гипервизоров.

Kismet

Kismet – это полезное open-source приложение для системных администраторов, которое позволяет всесторонне анализировать сетевой трафик, обнаруживать в нем аномалии, предотвращать сбои и может быть использовано с системами на базе *NIX/Windows/Cygwin/macOS. Kismet нередко используется именно для анализа беспроводных локальных сетей на основе стандарта 802.11 b (в том числе, даже сетей со скрытым SSID).

С его помощью вы без труда найдете некорректно сконфигурированные и даже нелегально работающие точки доступа (которые злоумышленники используют для перехвата трафика) и прочие скрытые устройства, которые могут быть потенциально «вредны» для вашей сети. Для этих целей в приложении очень хорошо проработана возможность обнаружения различных типов сетевых атак – как на уровне сети, так и на уровне каналов связи. Как только одна или несколько атак будут обнаружены, системный администратор получит тревожный сигнал и сможет предпринять меры по устранению угрозы.

Плюсы	Минусы
Бесплатна	Не проста в использовании
Пакетный сниффер	Медленный сканер
Минималистичный интерфейс	Трудно обучиться

Преимущества опенсорсных инструментов мониторинга VDS

• Расходы. Инструменты мониторинга сервера с открытым исходным кодом обычно можно установить и использовать бесплатно.
• Отсутствие жесткой привязки к ПО. Подобные приложения работают с любым типом среды или конфигурации.
• Права на данные. При развертывании программы мониторинга серверов с открытым исходным кодом в собственной инфраструктуре, пользователь сохраняет полное право собственности на данные, которые оно собирает. Это далеко не всегда относится к коммерческим инструментам, которые собирают и хранят данные о сервисной инфраструктуре.
• Интеграции. Большинство инструментов мониторинга с открытым исходным кодом легко интегрируются с другими инструментами или сервисами. Это может быть полезно, если вы хотите связать используемый инструмент с другим, который выполняет такие задачи, как хранение данных и визуализация.

Основным недостатком платформ мониторинга с открытым исходным кодом является то, что их сложнее развернуть и управлять ими. В результате косвенные расходы на персонал, необходимый для их обслуживания, могут быть выше.

Еще одна сложность — получение профессиональной технической поддержки. Хотя у многих опнсорсных инструментов есть вариант платной поддержки, для чего привлекаются сторонние коммерческие компании.

Даже само разнообразие инструментов мониторинга ИТ-инфраструктуры с открытым исходным кодом может вызвать затруднение при выборе. Ведь некоторые из них обладают ограниченным функционалом и не могут считаться универсальным решением.

Маленькие, но полезные инструменты

Список не был бы полным без упоминания нескольких вариантов аппаратного мониторинга.

59. IPMIutil

60. Glint Computer Activity Monitor

61. RealTemp

Утилита для мониторинга температур процессоров Intel, она не требует инсталляции, отслеживает текущие, минимальные и максимальные значения температур для каждого ядра и старт троттлинга.

62. SpeedFan

Утилита, которая позволяет контролировать температуру и скорости вращения вентиляторов в системе, следит за показателями датчиков материнской платы, видеокарты и жестких дисков.