книги хакеры / журнал хакер / 214_Optimized

FAQ

ответы на вопросы читателей

(есть вопросы? шли на FAQ@GLC.RU)

КАК ЗАЩИТИТЬ ЛОКАЛЬНУЮ СЕТЬ ОТ ARP-СПУФИНГА

Если хакер запустит снифер (к примеру, Wireshark) в локальной сети, то ничего интересного он не увидит, кроме своих бродкастов и прочей служебной информации. Поэтому для перехвата трафика обычно используются слабости самого протокола ARP. Разберемся, как можно компенсировать их.

ARP spoofing attack

Протокол ARP используется для преобразования IP-адреса в MAC-адрес. Исторически ARP не имеет никакой защиты или хотя бы проверки подлинности запросов. Повторю: совсем никакой! А еще возможна отправка ARP-ответов без ARP-запросов — это так называемый gratuitous ARP. Он-то нас и интересует. Чтобы провернуть подобную схему, можно воспользоваться тулзой Cain

&Abel. Думаю, ты о ней знаешь.

Спомощью Cain & Abel злоумышленник может вклиниться и перехватить трафик в одном широковещательном домене. Защититься от этой напасти можно при помощи механизма Dynamic ARP Inspection (Protection).

Для корректной работы Dynamic ARP Inspection необходимо указывать, какие порты коммутатора будут доверенными, а какие — нет. Под ненадежным портом подразумевается тот порт, к которому подключены клиенты. Для ненадежных портов выполняется ряд проверок сообщений ARP. А к доверенным портам коммутатора относятся те порты, к которым подключен другой коммутатор. Сообщения протокола ARP, полученные с доверенных портов, не отбрасываются.

Коммутатор перехватывает все ARP-запросы и ARP-ответы на ненадежных портах, прежде чем перенаправлять их. Также на ненадежных портах коммутатор проверяет соответствие MAC-адреса IP-адресу.

Проверка соответствия MAC-адреса IP-адресу может выполняться на основании статических записей или базы данных привязки DHCP.

На коммутаторах Cisco этот механизм во VLAN включается командой

Switch(conig)# ip arp inspection vlan 1

А вот как выглядит настройка доверенного порта:

Switch(conig)# interface gigabitethernet1/0/1

Switch(conig-if)# ip arp inspection trust

Если у тебя нет коммутатора, способного защитить от атак подобного типа, можешь установить arpwatch (ссылка на файл). Это демон, который отслеживает соответствие между IP- и MAC-адресами и при обнаружении аномалий фиксирует это в системном логе. Документацию можно глянуть вот здесь.

Как сам понимаешь, главный недостаток arpwatch, как и, в принципе, всех программ подобного рода, в том, что он должен работать на хостах, которые он защищает, или хотя бы на маршрутизаторе, ведущем в защищаемую сеть. Однако маршрутизатор не всегда работает под управлением UNIX или Linux. Чаще всего это специализированный аппаратный маршрутизатор или коммутатор третьего уровня.

Чтобы защитить такой маршрутизатор, нужно получать от него ARP-табли- цу по SNMP и анализировать ее на другой машине. Так, к примеру, действует программа remarp.

ШЕСТЬ ШАГОВ, КОТОРЫЕ ПОЗВОЛЯТ СНЯТЬ БЛОКИРОВКУ ЭКРАНА НА ANDROID

Иногда выключить функцию блокировки экрана на Android оказывается нелегко: соответствующий пункт меню может быть просто неактивен. При этом телефон позволяет установить другое приложение для блокировки, но выключить ее совсем не дает. Если ты столкнулся с этой проблемой и убирать блокировку действительно есть смысл, то вот как этого добиться.

1.Первым делом глянь, не стоит ли у тебя шифрование устройства или карты памяти. Как сам понимаешь, для снятия блокировки меню устройство нужно расшифровать.

2.Проверить, нет ли установленного соединения VPN. Одно из условий его работы как раз установка защиты экрана устройства. Для устранения проблемы сеть VPN придется удалить.

3.Заглянуть в меню «Безопасность Администраторы устройства» и убрать всех, кто там засел. Кстати, приложения, попавшие в этот список, просто так удалить тоже не выйдет. Сначала нужно снять галку, а уже потом удалять приложение. Так же и с блокировкой экрана: снимай галки и пробуй убрать защиту экрана.

4.При установке корпоративной почты она автоматом попадает в администраторы устройства и требует защиты экрана. Лечится снятием галки и удалением всех подобных приложений.

5.Если такая функциональность предусмотрена производителем, то можно запуститься в безопасном режиме и посмотреть, есть ли возможность убрать блокировку экрана. Если меню доступно, значит, одно из приложений продолжает мешать. Программу нужно найти и удалить. Безопасный режим отличается от обычного тем, что запускает телефон без приложений. Активируется он по-разному в устройствах разных производителей. К примеру, в аппаратах Samsung при появлении логотипа во время загрузки нужно нажать кнопку уменьшения громкости и держать до полного запуска. Внизу будет отображено сообщение о входе в безопасный режим. Если у тебя трубка другой марки, поищи инструкцию в руководстве пользователя.

6.Если ничего не помогло, то остается только одно — сброс и восстановление заводских настроек. Последствия, конечно, могут быть тяжкими, но это, увы, один из самых действенных и безотказных способов.

ВЫНОСИМ МФУ В ОТДЕЛЬНУЮ ПОДСЕТЬ И УЧИМСЯ ИСПОЛЬЗОВАТЬ REGMON ДЛЯ ОТСЛЕЖИВАНИЯ РЕЕСТРА WINDOWS

Обычная ситуация: в офис купили новенькое МФУ, подключили его к сети, и оно трудится на благо человечества. Но со временем захотелось перенести его в отдельную подсеть. Задача вроде бы тривиальная: меняем адрес у принтера, и готово. Но не тут-то было! Принтер будет печатать, как и прежде, а вот сканер при этом работать перестает. Что ж, заглянем в логи Windows 8, чтобы узнать, что пошло не так.

Параметры отдельных приложений разбросаны по реестру так, что найти их не очень-то просто. Интересующие нас настройки сканера хранятся по следующим путям:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\

{6BDD1FC6-810F-11D0-BEC7-08002BE2092F}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\IMAGE

Нас интересует параметр PortID, его нужно править на необходимый. Эту ветку можно попробовать найти поиском, введя используемый адрес. Способ нормальный, но иногда поиск не спасает. В таких ситуациях на выручку приходит утилита Regmon.

Regmon

При помощи Regmon можно отследить, к каким ключам реестра обращается процесс. Для этого после запуска тулзы нажми Crtl + L и в открывшемся окне вводи в поле Include имя файла. Затем в меню Edit выбери пункт Clear Display (это нужно для того, чтобы не рыться потом в дебрях ключей). Теперь запускаем нашу программу и смотрим, куда она обращается. Ну а в случае с МФУ есть еще один действенный способ: просто переустановить драйверы (причем лучше сначала снести их, а потом поставить заново).

КАК НАУЧИТЬ НАСТОЛЬНЫЙ КОМПЬЮТЕР САМОСТОЯТЕЛЬНО ВКЛЮЧАТЬСЯ И ВЫПОЛНЯТЬ ЗАДАЧИ ПРИ ПОМОЩИ XSTARTER

Если ты любишь все автоматизировать и представлять себе, что живешь в киберпанковском будущем, то тебя наверняка заинтересует возможность научить компьютер самостоятельно включаться утром, открывать новостные сайты, врубать музыку и делать прочие полезные вещи.

Включить комп можно всего несколькими способами. Первый из них — через BIOS. Второй — через софт, но именно включить таким образом не получится, только вывести из сна (по факту он все равно будет включен). Если ты так и так не выключаешь машину на ночь, то это не проблема. А вот если не хочешь, чтобы компьютер шумел и тратил электричество, то автоматически включаться он сможет, только если матплата поддерживает такую функцию. Проверить это просто: нужно зайти в CMOS Setup и поискать там параметр Power Management Setup. Внутри должен быть параметр Power-On by Alarm, которому мы присвоим значение Enabled и тем самым разрешим включать компьютер по расписанию. Обычно после выставления этого пункта становятся доступны пункты с тонкой настройкой времени включения.

После сохранения значений компьютер будет включаться самостоятельно. А для настройки выключения по расписанию и запуска программ есть уже масса вариантов. Если совсем не заморачиваться, то можно воспользоваться стандартным планировщиком задач Windows и написать какой-нибудь bat. Но я бы предложил вместо этого использовать xStarter, это очень легковесная программка, в которой можно настроить кучу всего.

xStarter

Здесь можно писать свои макросы, причем даже со сложной логикой и использованием условных переходов, выбирать различные действия из уже готовых шаблонов и многое другое. Применение этой программе можно найти как на домашнем компьютере, так и на рабочем. Среди возможностей xStarter:

•выполнение файловых операций;

•расширенный планировщик задач;

•обеспечение сохранности данных;

•отслеживание изменений файлов и каталогов;

•создание и запуск макросов Windows;

•синхронизация каталогов;

•работа с электронной почтой, файлами по FTP и HTTP;

•ну и конечно, запуск программ по расписанию.

Как видишь, не так уж и сложно организовать автоматику. А пользы — уйма.

ВЫБИРАЕМ СРЕДСТВО РАЗВЕРТЫВАНИЯ ПО В КОРПОРАТИВНЫХ СЕТЯХ

При развертывании программного обеспечения всегда стоишь перед выбором. Или упростить схему, но больше бегать, или же усложнить, но сократить время на рутинную работу. К сожалению, окончательного решения нет, но есть интересные.

С обновлениями, предположим, все ясно. Ставим WSUS и настраиваем, какие обновления делать, а какие нет. Ну и мониторим пользователей: у кого давно ничего не обновлялось, у кого пропала связь с сервером обновления. Впрочем, бывают ситуации, когда нужно обновлять нестандартное ПО. Тогда на помощь приходит программа SCCM Shavlik, которая работает совместно

сSCCM. Главный ее недостаток — это цена (порядка 50 долларов за одну машину в год). Не каждая компания готова столько тратить ради удобства администратора.

Вкачестве альтернативы можно, конечно, использовать GPO, но тут встает вопрос удобства. Каждую программу придется преобразовать в *.msi с помощью одного из приложений независимых поставщиков, к примеру WinINSTALL, InstallShield или же Wise for Windows Installer.

Хорошо, если речь идет о каком-то одном пакетном установщике, а как быть

смонстрами масштаба Microsoft Office? Тут так просто уже не отделаться, создание пакета займет время. Плюс настройка и обкатка политик — тоже затратное дело и не всегда на выходе дает то, что планировал в самом начале.

У некоторых специфичных программ (банковские клиенты, например, или генераторы отчетов) свои особенности, причем иногда такие, что после ознакомления с ними админы начинают вздрагивать от одного названия этих прекрасных софтин. К такому софту нужен особый подход. Можно, к примеру, взять и запустить программный комплекс по декларациям в качестве сервиса, указав привилегированного пользователя как владельца службы. Это даст ему возможность обновляться самостоятельно, без твоего участия. А это, поверь, очень удобно, потому что обновления будут приходить чуть ли не каждый день.

Самым лучшим решением, пожалуй, будет совмещение разных методов. Это и GPO, и скрипты на том же PowerShell, и, конечно же, использование возможностей, встроенных в саму программу. Главное — вовремя прочитать до-

кументацию, а не спешить наломать дров.

№ 11 (214)

MEGANEWS

Мария Нефёдова nefedova.maria@gameland.ru

РЕКЛАМА

Мария Самсоненко

Менеджер по рекламе samsonenko@glc.ru

РАСПРОСТРАНЕНИЕ И ПОДПИСКА

Подробная информация по подписке: paywall@glc.ru Отдел распространения

Наталья Алехина (lapina@glc.ru) Адрес для писем: Москва, 109147, а/я 50

Вслучаевозникновениявопросовпо качествупечати:claim@glc.ru.Адресредакции:115280,Москва,ул.ЛенинскаяСлобода,д.19,Омегаплаза.Издатель: ООО «Эрсиа»: 606400, Нижегородская обл., Балахнинский р-н, г. Балахна, Советская пл., д. 13. Учредитель: ООО «Принтер Эдишионс», 614111, Пермскийкрай,г.Пермь,ул.Яблочкова,д.26.ЗарегистрировановФедеральнойслужбепонадзорувсфересвязи,информационныхтехнологийимассо- выхкоммуникаций(Роскомнадзоре),свидетельствоПИ№ФС77-56756от29.01.2014года.Мнениередакциине обязательносовпадаетс мнениемавторов.Всематериалыв номерепредоставляютсякакинформацияк размышлению.Лица,использующиеданнуюинформациюв противозаконныхцелях, могутбытьпривлеченык ответственности.Редакцияне несетответственностиза содержаниерекламныхобъявленийв номере.По вопросамлицензирования и получения прав на использование редакционных материалов журнала обращайтесь по адресу: xakep@glc.ru. © Журнал «Хакер», РФ, 2016