ˇ Tato inovace pˇredmˇ etu Anal´ yza dat je spolufinancov´ ana Evropsk´ ym soci´ aln´ım fondem a St´ atn´ım rozpoˇ ctem CR, projekt ˇ c. CZ.1.07/2.2.00/28.0014, ”Interdisciplin´ arn´ı vzdˇ el´ av´ an´ı v ICT s jazykovou kompetenc´ı”.
Digit´ aln´ı anal´ yza Cisco smˇ erovaˇ c˚ u a pˇrep´ınaˇ c˚ u3 Anal´yza dat
Bc. Filip P´ avek ´ Ustav informatiky Filozoficko-pˇr´ırodovˇ edeck´ a fakulta Slezsk´ a univerzita v Opavˇ e
[email protected]
2012
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
Obsah prezentace
Obsah prezentace Zamˇ eˇr´ıme se na vlastn´ı sbˇer dat ze smˇerovaˇce a pˇrep´ınaˇce. Prezentace je rozdˇ ela dle zaˇr´ızn´ı na dvˇe ˇc´asti. U smˇ erovaˇce i pˇrep´ınaˇce zm´ın´ıme a vysvˇetl´ıme pˇr´ıkazy, kter´e
pouˇzijeme pro sbˇer nest´al´ych a st´al´ych dat. V prezentaci je uk´ az´ano pouze nˇekolik v´ypis˚ u s podrobnˇejˇs´ım
popisem. Ostatn´ı si uk´aˇzeme pˇri cviˇcen´ı na re´aln´em zaˇr´ızen´ı. Pˇri zkoum´ an´ı aktivn´ıch s´ıt’ov´ ych prvk˚ u je znalost pˇr´ıkaz˚ u a orientace v jednotliv´ ych v´ ypisech kl´ıˇ cov´ a.
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
Anal´ yza
Neˇz zaˇcneme zkoumat jednotliv´e pˇr´ıkazy a jejich v´ypisy, tak si zapoj´ıme a nakonfigurujeme s´ıt’ovou topologii. Mnoh´e v´ypisy se tak stanou zaj´ımavˇejˇs´ı.
Neˇ z zaˇcneme zkoum´at r˚ uzn´e pˇr´ıkazy a jejich v´ypisy, je nutn´e
zm´ınit tento pˇr´ıkaz. Pˇr´ıkaz nelze pˇri sbˇ eru dat jasnˇe pˇriˇradit ani k zaˇr´ızen´ı
(smˇerovaˇc, pˇrep´ınaˇc) ani ke konkr´etn´ımu typu dat (st´al´a,nest´al´a). Pˇri forenzn´ı anal´ yze m´aj´ı u ´daje ˇcas/datum d˚ uleˇzit´y v´yznam. Pˇr´ıkaz by mˇ el b´yt proveden nejen na zaˇc´atku a konci zkoum´an´ı
zaˇr´ızen´ı (pˇri pˇrihl´aˇsen´ı a odhl´aˇsen´ı), ale tak´e v jeho pr˚ ubˇehu. T´ım z´ısk´ ame pˇresnˇejˇs´ı ˇcasovou osu zkoum´an´ı.
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
Anal´ yza
Sbˇer st´al´ych dat ze smˇerovaˇce - pˇrehled pˇr´ıkaz˚ u
Sbˇ er st´ al´ ych dat ze smˇ erovaˇ ce - pˇrehled pˇr´ıkaz˚ u N´ azev show version show startup-config show file system show interfaces show diag show inventory show controllers show flash dir flash:/ dir nvram:/
Pˇr´ıkaz informace spojen´e s IOS konfigurace uloˇzen´a v NVRAM informace o souborov´em syst´emu detailn´ı informace o rozhran´ıch verze HW, s´eriov´e ˇc´ıslo souˇc´as´ı, chassis,. . . seriov´a ˇc´ısla rozhran´ı, n´azev, typ, chassis clock rate, DTE, DCE velikost pamˇeti Flash a IOS soubory a adres´aˇre ve Flash soubory a adres´aˇre v NVRAM
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
#show version (ˇc´ast v´ypisu) Informace o zaˇr´ızen´ı, velikost pamˇ et´ı RAM, NVRAM, Flash.
ˇ od zapnut´ı zaˇr´ızen´ı, verze bˇeˇz´ıc´ıho IOSu, zda probˇehl Cas restart.
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
#show startup-config Pokud existuje uloˇ zen´a konfigurace pak j´ı zobraz´ı. Startup-config se nach´ az´ı v pamˇeti NVRAM (konfigurace
naˇc´ıtan´a po restartu zaˇr´ızen´ı).
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
#show file systems Zobraz´ı informace o souborov´ ych syst´emech na zaˇr´ızen´ı. Co znamen´ a hvˇezdiˇcka ve v´ypisu? Zkuste pˇripojit USB flash
disk a zopakovat v´ypis.
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
#show interfaces Pˇr´ıkaz vyp´ıˇse podrobn´ e informace o kaˇzd´em rozhran´ı na
smˇerovaˇci (obr. ukazuje v´ypis pro rozhran´ı Se0/0).
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
Anal´ yza
#dir flash:/ Pˇr´ıkaz vyp´ıˇse obsah pamˇ eti Flash. Prozkoumejte, jak´y je rozdil
ve v´ypisech show flash a dir flash:/.
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
#show inventory Zobraz´ı informace o instalovan´ ych entit´ach na zaˇr´ızen´ı. Zkratky ve v´ ypise: PID (Product Identifier) jedineˇcn´e ˇc´ıslo
produktu, kter´e m˚ uˇze b´yt pouˇzito pˇri objedn´an´ı n´ahradn´ıho d´ılu, VID (Version Identifier) ˇc´ıslo oznaˇcuj´ıc´ı verzi produktu, SN (Serial Number) jedineˇcn´e seri´alov´e ˇc´ıslo produktu pˇriˇrazen´e v´yrobcem.
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
#show controllers Pˇr´ıkaz vypiˇse ke kaˇ zd´emu rozhran´ı instalovan´emu na zaˇr´ızen´ı
mnoho informac´ı. Na obr. bylo specifikov´ano rozhran´ı Se0/0/0. Pouˇ z´ıt´ı pˇr´ıkazu je zpravidla pˇri ˇreˇsen´ı probl´emu na fyzick´e
vrstvˇe. Podstatn´e informace pˇri zkoum´an´ı jsou typ kabelu pˇripojen´y do rozhran´ı a nastaven´y clock rate.
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
Sbˇer nest´al´ych dat ze smˇerovaˇce - pˇrehled pˇr´ıkaz˚ u
Sbˇ er nest´ al´ ych dat ze smˇ erovaˇ ce - pˇrehled pˇr´ıkaz˚ u N´ azev show ip protocols show running-config show banners show memory show arp show ip access-list show ip nat translation show ip dhcp binding show ip route
Pˇr´ıkaz aktu´alnˇe bˇeˇz´ıc´ı routovac´ı protokoly bˇeˇz´ıc´ı konfigurace v RAM obsah nastaven´ych banner˚ u obsah operaˇcn´ı pamˇeti ARP statistika k rozhran´ım obsah vˇsech ip acess-list˚ u aktu´aln´ı pˇreklady adres informace o pron´ajmu IP obsah routovac´ı tabulky
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
Anal´ yza
Sbˇer nest´al´ych dat ze smˇerovaˇce - pˇrehled pˇr´ıkaz˚ u Sbˇ er nest´ al´ ych dat ze smˇ erovaˇ ce - pˇrehled pˇr´ıkaz˚ u N´ azev show ip traffic show tcp show logging show history show users show ssh show reload show ip interface show ip interface brief show process memory show process cpu
Pˇr´ıkaz statistika provozu IP na zaˇr´ızen´ı informace o stavech spojen´ı z´aznamy o logov´an´ı posledn´ıch 10 zadan´ych pˇr´ıkaz˚ u pˇrihl´aˇsen´ı uˇzivatel´e aktu´aln´ı spojen´ı pˇres SSH napl´anovan´y restart zaˇr´ızen´ı detailn´ı informace o IP rozhran´ıch status a IP adresa rozhran´ıch statistika vyuˇzit´ı pamˇeti bˇeˇz´ıc´ımi procesy zobrazen´ı o vyt´ıˇzen´ı procesoru kaˇzd´ym procesem
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
#show ip protocols S´ıtˇ e, kter´e jsou routov´any, routovac´ı protokoly bˇeˇz´ıc´ı na
zaˇr´ızen´ı, filtry, metriky, redistribuce mezi routovac´ımi protokoly, ˇc´ısla AS, . . .
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
#show running-config Pˇr´ıkaz zajist´ı vyps´ an´ı aktu´alnˇe bˇeˇz´ıc´ı konfigurace. Zaj´ımav´e
v´ysledky m˚ uˇze pˇrin´est porovn´an´ı mezi soubory startup-config (Vaˇse konfigurace , kter´a by mˇela bˇeˇzet na zaˇr´ızen´ı) a running-config (konfigurace zmˇenˇena u ´toˇcn´ıkem a aktu´alnˇe bˇeˇz´ıc´ı na zaˇr´ızen´ı).
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
Anal´ yza
#show memory Pˇr´ıkaz vyp´ıˇse obsah pamˇ eti RAM. T´ım zachyt´ıme velmi citliv´a
a d˚ uleˇzit´a data pro zkoum´an´ı. Pˇri odpojen´ı od energie o tyto data pˇr´ıjdeme. V´ ypis n´am v podstatˇe uk´aˇze vˇse, co bˇeˇz´ı za zaˇr´ızen´ı.
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
Anal´ yza
#show ip route Pˇr´ıkaz vyp´ıˇse obsah smˇ erovac´ı tabulky. V pˇr´ıpadˇe pateˇrn´ıch
smˇerovaˇc˚ u m˚ uˇze tato tabulka obsahovat stovky z´aznam˚ u. Je nutn´e ovˇeˇrit, zda smˇerovac´ı tabulka obsahuje oˇcek´avan´e cesty. Nebo tam byl nˇejak´y z´aznam z´amˇernˇe vstˇr´ıknut“? ”
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
#show ip interface Zobraz´ı konfiguraci vˇsech rozhran´ı na smˇ erovaˇci s protokolem
IP. IP adresa, stav rozhran´ı, aplikovan´e access-listy, . . . V´ ypis n´ıˇze byl specifikov´an pro rozhran´ı Se0/0.
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
#show access-list Vyp´ıˇse obsah vˇsech access list˚ u konfigurovan´ych na smˇerovaˇci
(standard i extended). N´ azev access-listu za pˇr´ıkazem v´ypiˇse konkr´etn´ı access-list.
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
#show arp
Zobraz´ı vstupy v ARP tabulce. Pozor: Obr. v´ yˇse ukazuje na
stopy po ARP spoofingu. Obr. n´ıˇze klasick´a ARP tabulka.
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
#show users Pˇr´ıkaz vyp´ıˇse vˇsechny pˇrihl´ aˇsen´e uˇzivatele na zaˇr´ızen´ı (lok´alnˇe
pˇres consoly i vzd´alenˇe (Telnet, SSH, HTTPS).
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
#show process cpu Detailn´ı statistiky vyuˇ zit´ı procesoru pro kaˇzd´y proces. Link k podrobnˇ ejˇs´ımu popisu v´yznamu zkratek: odkaz.
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
Anal´ yza
#show ip dhcp binding
Tabulka z´ aznam˚ u ve v´ypise uveden´a n´ıˇze vznik´a potom, co
DHCP server pˇridˇeluje ze sv´eho definovan´eho poolu IP adresy. N´ıˇ ze jsou v tabulce zobrazeny parametry: IP adresa, MAC
adresa, doba pron´ajmu, typ pˇridˇelen´ı (automaticky, manu´alnˇe).
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
#show tcp a #show tcp statistic show tcp zobrazuje stavy vˇsech TCP spojen´ı jdouc´ıch pˇres
smˇerovaˇc a show tcp statistic vyp´ıˇse jednu spoleˇcnou statistiku protokolu TCP pro smˇerovaˇc.
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
#show banners ´ Udajnˇ e by pˇr´ıkaz mˇel vypsat vˇsechny nastaven´e bannery. J´a takov´y pˇr´ıkaz nezn´am a v´yˇse uveden´y pˇr´ıkaz nefunguje. Vˇsechny nastaven´ e bannery jsou vidˇet v konfiguraˇcn´ım
souboru running-config nebo startup-config. Jak´ e typy banneru zn´ate? Jak se nastavuj´ı? Jak´y text by mˇel
b´yt obsahem banneru?
Anal´ yza
Obsah
Smˇ erovaˇ c
#show history
Pˇr´ıkaz vyp´ıˇse defaultnˇ e historii deseti
naposledy zadan´ych pˇr´ıkaz˚ u. Velikost bufferu lze zmˇ enit pˇr´ıkazem
#terminal history size 0–250. Historie pˇr´ıkaz˚ u m˚ uˇze b´yt tedy u ´plnˇe zruˇsen´a nebo naopak velmi bohat´a. Patˇr´ı mezi velmi nest´ al´a data, protoˇze
historii pˇr´ıkaz˚ u m˚ uˇzeme sami zkoum´an´ım pˇrepsat.
Pˇrep´ınaˇ c
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
#show tech-support Tento pˇr´ıkaz pˇri spuˇstˇ en´ı provede hned 8 pˇr´ıkaz˚ u. Mezi pˇr´ıkazy jsou: #show version, #show running-config,
#show stacks, #show interface, #show controller, #show process cpu, #show process memory, #show buffer. Pouˇ zijeme-li pˇri zkoum´an´ı, na incidentem dotˇcen´em syst´emu,
tˇri pˇr´ıkazy pro sbˇer dat m´ısto dvaceti, nenech´ame za sebou v syst´emu takovou spouˇst’“. ”
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
Anal´ yza
Kopie soubor˚ u ze zaˇr´ızen´ı St´al´a data Pˇredmˇ etem zkoum´an´ı jsou pˇredevˇs´ım pamˇeti NVRAM a Flash. V pamˇ eti NVRAM konfiguraˇcn´ı soubor startup-config a v
pamˇeti Flash IOS. Pˇr´ıpadnˇe i v´ıce operaˇcn´ıch syst´em˚ u. Ve Flash pamˇ eti m˚ uˇze b´yt uloˇzeno prakticky cokoli (nikoli jen
operaˇcn´ı syst´emy). Nest´al´a data Jak jste mohli vidˇ et v´yˇse, existuje mnohem v´ıce pˇr´ıkaz˚ u pro sbˇer nest´al´ych dat ze smˇerovaˇce neˇz je tomu u st´al´ych dat. Z pamˇ et´ı n´as zaj´ım´a pˇredevˇs´ım obsah pamˇeti RAM.
Pozor: pˇri vytv´aˇren´ı kopi´ı soubor˚ u vypoˇcteme kontroln´ı souˇcet (hash) z origin´alu i z vytvoˇren´e kopie pro zajiˇstˇen´ı integrity.
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
Anal´ yza
Sbˇer st´al´ych dat z pˇrep´ınaˇce - pˇrehled pˇr´ıkaz˚ u Sbˇ er st´ al´ ych dat z pˇrep´ınaˇ ce - pˇrehled pˇr´ıkaz˚ u N´ azev show version show startup-config show vlan show file system show interfaces show diag show inventory show controllers show flash dir flash:/ dir nvram:/
Pˇr´ıkaz informace spojen´e s IOS konfigurace uloˇzen´a v NVRAM informace o virtu´aln´ıch LANs informace o souborov´em syst´emu detailn´ı informace o rozhran´ıch verze HW, s´eriov´e ˇc´ıslo souˇc´as´ı, chassis,. . . seriov´a ˇc´ısla rozhran´ı, n´azev, typ, chassis clock rate, DTE, DCE velikost pamˇeti Flash a IOS soubory a adres´aˇre ve Flash soubory a adres´aˇre v NVRAM
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
Anal´ yza
Sbˇer nest´al´ych dat z L2 a L3 pˇrep´ınaˇce - pˇrehled pˇr´ıkaz˚ u
Sbˇ er nest´ al´ ych dat z pˇrep´ınaˇ ce - pˇrehled pˇr´ıkaz˚ u N´ azev show ip protocols show running-config show banners show memory show arp show ip access-list show ip nat translation show ip dhcp binding show ip route
Pˇr´ıkaz aktu´alnˇe bˇeˇz´ıc´ı routovac´ı protokoly bˇeˇz´ıc´ı konfigurace v RAM obsah nastaven´ych banner˚ u obsah operaˇcn´ı pamˇeti ARP statistika k rozhran´ım obsah vˇsech ip acess-list˚ u aktu´aln´ı pˇreklady adres informace o pron´ajmu IP obsah routovac´ı tabulky
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
Anal´ yza
Sbˇer nest´al´ych dat z L2 a L3 pˇrep´ınaˇce - pˇrehled pˇr´ıkaz˚ u Sbˇ er nest´ al´ ych dat z pˇrep´ınaˇ ce - pˇrehled pˇr´ıkaz˚ u N´ azev show show show show show show show show show show
ip traffic tcp logging history users ssh reload ip interface ip interface brief process memory
show process cpu
Pˇr´ıkaz statistika provozu IP na zaˇr´ızen´ı informace o stavech spojen´ı z´aznamy o logov´an´ı posledn´ıch 10 zadan´ych pˇr´ıkaz˚ u pˇrihl´aˇsen´ı uˇzivatel´e aktu´aln´ı spojen´ı pˇres SSH napl´anovan´y restart zaˇr´ızen´ı detailn´ı informace o IP rozhran´ıch status a IP adresa rozhran´ıch statistika vyuˇzit´ı pamˇeti bˇeˇz´ıc´ımi procesy zobrazen´ı o vyt´ıˇzen´ı procesoru kaˇzd´ym procesem
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
Anal´ yza
Sbˇer nest´al´ych dat z L2 a L3 pˇrep´ınaˇce - pˇrehled pˇr´ıkaz˚ u Sbˇ er nest´ al´ ych dat z pˇrep´ınaˇ ce - pˇrehled pˇr´ıkaz˚ u N´ azev show vlan show mac-address-table show ip dhcp snooping binding show port-security show spanning-tree
Pˇr´ıkaz informace o VLANs obsah CAM tabulky seznam pˇridˇelen´ych IP seznam rozhran´ı s port-security STP pro kaˇzdou VLAN
Jak si m˚ uˇzete vˇsimnout, mnoho pˇr´ıkaz˚ u je totoˇzn´ych z pˇr´ıkazy
uveden´ymi v sekci o smˇerovaˇci. Pˇr´ıkaz˚ u je v´ıce, protoˇze zab´ıraj´ı mnoˇzinu L2 i L3 smˇerovaˇc˚ u.
(V pˇr´ıpadˇe L2 zaˇr´ızen´ı by pˇr´ıkazy, jako show ip protocols, show ip route, atd. ze seznamu vypadly.) ˇ ım v´ıce pokroˇcil´ych technologi´ı je v s´ıti nastaveno C´ (zabezpeˇcen´ı proti DHCP snoopingu, ARP spoofingu, FHRP, atd), t´ım jsou vyˇzadov´any hlubˇs´ı znalosti pˇri zkoum´an´ı.
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
#show vlan Z´akladn´ı charakteristika Zobraz´ı informace o VLAN’s. Proˇ c vytv´aˇret VLAN’s? M˚ uˇzeme vidˇet, pˇridˇelen´ı port˚ u do jednotliv´ych VLAN’s. Defaultnˇ e jsou vˇsechny porty na Cisco pˇrep´ınaˇci ve VLAN1.
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
#show mac-address-table Z´akladn´ı charakteristika Vyp´ıˇse obsah CAM tabulky. Syntax pˇr´ıkazu m˚ uˇze b´yt r˚ uzn´a! Vyd´ıte, za kter´ ym portem je jak´a MAC adresa (PC). Jak se v tabulce projev´ı MAC Address Flooding?
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
#show spanning-tree Z´akladn´ı charakteristika Vyp´ıˇse informace o Spanning-tree protokolu na pˇrep´ınaˇ ci pro vˇsechny nakonfigurovan´e VLANs. Pˇr´ıkaz lze specifikovat pro konkr´ etn´ı VLAN ˇci rozhran´ı. N´ıˇ ze je na obr. ˇc´ast v´ypisu t´ykaj´ıc´ı se VLAN20.
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
#Kopie soubor˚ u ze zaˇr´ızen´ı St´al´a data Z´ aj´ım´a n´as pˇredevˇs´ım obsah pamˇeti NVRAM a Flash. V pamˇ eti NVRAM konfiguraˇcn´ı soubor startup-config a v
pamˇeti Flash IOS. V pamˇeti Flash je novˇe soubor Vlan.dat (pro jednoduchost, m˚ uˇze b´yt i smˇerovaˇci). Ve Flash pamˇ eti m˚ uˇze b´yt uloˇzeno prakticky cokoli, proto
dˇel´ame kopii vˇseho. Nest´al´a data Pˇri sbˇ eru nest´al´ych dat n´as zaj´ım´a pˇredevˇs´ım obsah pamˇeti RAM. Velmi uˇ ziteˇcn´e mohou b´yt v´ypisy informuj´ıc´ı o pokusech
obelst´ıt L2 port-securitu. Pozor: pˇri vytv´aˇren´ı kopi´ı soubor˚ u vypoˇcteme kontroln´ı souˇcet (hash) z origin´alu i z vytvoˇren´e kopie pro zajiˇstˇen´ı integrity.
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
Anal´ yza
V´ysledky anal´yzy Vˇsechna st´ al´a i nest´al´a data ze smˇerovaˇc˚ u a pˇrep´ınaˇc˚ u jsou jiˇz
zajiˇstˇena. V´ ysledkem anal´yzy m´a b´yt zachytit chov´an´ı na z´akladˇe
z´ıskan´ych podklad˚ u a odpovˇed’ tak na nˇekolik ot´azek. Forezn´ı anal´ yza prakticky zpˇetnˇe rekonstruje vˇsechny ud´alosti
(na z´akladˇe d˚ ukaz˚ u), kter´e vedli k dan´ym ud´alostem. Jde o to urˇ cit: co, kdy, jak se to stalo. V´ysledkem je i proˇc se
to v˚ ubec mohlo st´at (napˇr. nedostateˇcn´a nebo chybn´a konfigurace). Jedn´ım z v´ ysledk˚ u anal´yzy m˚ uˇze b´yt identifikace ˇskodliv´eho
chov´an´ı. V tom pˇr´ıpadˇe mezi v´ysledky anal´yzy patˇr´ı i urˇcit, kdo (IP adresa, hostname, . . . ) napˇr. pronikl do syst´emu. Zkoum´ an´ı je prov´adˇeno vˇzdy na kopi´ıch origin´aln´ıch dat.
Vˇsechny procesy zkoum´an´ı mus´ı b´yt moˇzn´e zopakovat.
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
Anal´ yza
Kde a co pˇri zkoum´an´ı hledat Pˇr´ıklady Pokud nebylo na zaˇr´ızen´ı od posledn´ıho restartu pracov´ ano (coˇz se dozv´ıme od administr´ator˚ u), m˚ uˇze b´yt zaj´ımav´e zkotrolovat historii naposledy zadan´ych pˇr´ıkaz˚ u. Odpovˇ ed’ na ot´azku zda-li bylo zaˇr´ızen´ı restartov´ano najdeme ve v´ypisu show version. V´ıme, ˇ ze na zaˇr´ızen´ı je spuˇstnˇe naˇse konfigurace (naˇctena
z NVRAM) neznamen´a, ˇze skuteˇcnˇe tomu je i po incidentu. Porovnejte obˇe konfigurace. Nastaven´ a L2 port securita m˚ uˇze prozradit pokusy o pˇripojen´ı
nezn´am´eho zaˇr´ızen´ı do naˇs´ı s´ıtˇe. Zkontrolujte zda nedoˇslo k z´ amˇern´emu poˇskozen´ı operaˇcn´ıho
syst´emu (napˇr. Rootkit). Ovˇeˇrte porovn´an´ım hash funkc´ı.
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
Kde a co pˇri zkoum´an´ı hledat Pˇr´ıklady Odpov´ıd´ a verze nahr´at´eho operaˇcn´ıho syst´emu v zaˇr´ızen´ı dokumentaci? ARP cache na zaˇr´ızen´ı m˚ uˇze vykazovat zn´amky u ´toku ARP
spoofing (napˇr. dvˇe r˚ uzn´e IP adresy maj´ı stejnou MAC adresu). Otr´aven´a cache“ bude i na PC obˇeti“. ” ” Zkontrolujte obsah smˇ erovac´ı tabulky. Nejedn´a-li se o p´ateˇrn´ı smˇerovaˇc, nemˇelo by b´yt n´aroˇcn´e ovˇeˇrit zda se v tabulce neobjevila z´amˇernˇe injeknut´a“ routa. ” Logy mohou mnoho napovˇ edˇet. Napˇr. pokusy o pˇr´ıhl´aˇsen´ı, kde byl mnohosetkr´at pˇrekroˇcen nastaven´y limit na zad´an´ı chybn´eho hesla (napˇr. brute-force u ´tok) nebo z´anamy o konfiguraci zaˇr´ızen´ı prob´ıhaj´ıc´ı ve tˇri hodiny r´ano (kdy z administr´ator˚ u nikdo nic nedˇelal).
Anal´ yza
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
Anal´ yza
Kde a co pˇri zkoum´an´ı hledat Pˇr´ıklady Co V´ as m˚ uˇze zaj´ımat u access-list˚ u kromˇe kontroly zda nebyl nˇejak´y access-list upraven? Ovˇ eˇrte, zda pouˇz´ıt´a kombinace HW a operaˇcn´ıho syst´emu
(IOS), nem´a nˇejak´e zn´am´e bezpeˇcnostn´ı d´ıry“, kter´ych mohl ” u ´toˇcn´ık vyuˇz´ıt. To m˚ uˇze v´yznamnˇe zkr´atit ˇcas zkoum´an´ı. Nenaistalovan´e patche“ mohou odpovˇed’ na ot´azku, jak se ” u ´toˇcn´ık k n´am dostal. Kontrola rol´ı ve spanning-tree (proti dokumentaci s´ıtˇ e) m˚ uˇze
odhalit pokusy o zmˇenu s´ıt’ov´e topologie. Kdo je Root Bridge? Jak lze ovlivnit v´ybˇer Root Bridge v s´ıti? Obsah CAM tabulky a velk´ y traffic na portu m˚ uˇze snadno
odhalit MAC Address Flooding.
Obsah
Smˇ erovaˇ c
Pˇrep´ınaˇ c
Dˇekuji za pozornost!
Anal´ yza
