Информационная безопасность: защита и нападение

ИнформацИонная 

безопасность:

защИта И нападенИе

А. А. Бирюков

Второе издание, переработанное и дополненное

Москва, 2017

УДК 004.065
ББК 32.973.26-018.2

Б64

Бирюков А. А.

Б64
Информационная безопасность: защита и нападение. – 2-е изд., перераб. и 
доп. – М.: ДМК Пресс, 2017. – 434 с.: ил.

ISBN 978-5-97060-435-9

В книге приводится как техническая информация, описывающая атаки и защиту 

от них, так и рекомендации по организации процесса обеспечения информационной безопасности. Рассмотрены практические примеры для организации защиты 
персональных данных в соответствии с Федеральным законом от 27 июля 2006 г. 
№ 152-ФЗ «О персональных данных» и другими нормативными актами.

Во втором издании проведена актуализация технической информации, а также 

описано более глубокое погружение в практические аспекты, связанные с проведением аудитов по безопасности и тестов на проникновение для различных систем. 
Подробно рассматриваются современные решения по маршрутизации, беспроводной 
связи и другим направлениям развития информационных технологий.

Книга предназначена для системных администраторов и пользователей малых 

и средних сетей, осуществляющих защиту корпоративных ресурсов.

УДК  004.065
ББК  32.973.26-018.2

Все права защищены. Ни одна из частей этого документа не может быть воспроизведена, 

опубликована, сохранена в электронной базе данных или передана в любой форме или любыми 
средствами, такими как электронные, механические, записывающие или иначе, для любой цели 
без предварительного письменного разрешения владельца права.

Все торговые марки и названия программ являются собственностью их владельцев.
Материал, изложенный в данной книге, многократно проверен. Но, поскольку вероятность 

технических ошибок все равно существует, издательство не может гарантировать абсолютную 
точность и правильность приводимых сведений. По этой причине издательство не несет ответственности за возможные ошибки, связанные с использованием книги.

© Бирюков А. А., 2017

ISBN 978-5-97060-435-9
© Оформление, издание, ДМК Пресс, 2017

ОГЛАВЛЕНИЕ

Вступление........................................................................10

Глава.1..Теоретические.основы.........................................25

1.1. Модель OSI .............................................................................................................26

1.1.1. Прикладной (7) уровень (Application Layer) ...............................................27
1.1.2. Представительский (6) уровень (Presentation Layer)  .................................28
1.1.3. Сеансовый (5) уровень (Session Layer) ........................................................28
1.1.4. Транспортный (4) уровень (Transport Layer) ................................................28
1.1.5. Сетевой (3) уровень (Network Layer)  .........................................................28
1.1.6. Канальный (2) уровень (Data Link Layer)  ....................................................29
1.1.7. Физический (1) уровень (Physical Layer) .....................................................29
1.2. Модель DOD ...........................................................................................................31

1.3. Заключение ............................................................................................................31

Глава.2..Классификация.атак.по.уровням..
иерархической.модели.OSI...............................................32

2.1. Атаки на физическом уровне ...............................................................................32

2.1.1. Концентраторы ..............................................................................................32
2.2. Атаки на канальном уровне ..................................................................................36

2.2.1.  Атаки на коммутаторы    ..............................................................................36
2.2.2. Переполнение CAM-таблицы .......................................................................36
2.2.3. VLAN Hoping ..................................................................................................40
2.2.4. Атака на STP ..................................................................................................41
2.2.5. MAC Spoofing ................................................................................................46
2.2.6. Атака на PVLAN (Private VLAN) ...................................................................47
2.2.7. Атака на DHCP ..............................................................................................48
2.2.8. ARP-spoofing ..................................................................................................49
2.2.9. Заключение ....................................................................................................53
2.3. Атаки на сетевом уровне.......................................................................................54

Оглавление

2.3.1. Атаки на маршрутизаторы ...........................................................................54
2.3.2. Среды со статической маршрутизацией .....................................................57
2.3.3. Безопасность статической маршрутизации.................................................58
2.3.4. Среды с динамической маршрутизацией ....................................................58
2.3.5. Scapy – универсальное средство для реализации сетевых атак ..............59
2.3.6. Среды с протоколом RIP ...............................................................................63
2.3.7. Безопасность протокола RIP .........................................................................64
2.3.8. Ложные маршруты RIP ..................................................................................66
2.3.9. Понижение версии протокола RIP ...............................................................71
2.3.10. Взлом хэша MD5 .........................................................................................72
2.3.11. Обеспечение безопасности протокола RIP ..............................................74
2.3.12. Среды с протоколом OSPF .........................................................................75
2.3.13. Безопасность протокола OSPF ...................................................................82
2.3.14. Среды с протоколом BGP ...........................................................................83
2.3.15. Атака BGP Router Masquerading ................................................................84
2.3.16. Атаки на MD5 для BGP ...............................................................................84
2.3.17. «Слепые» DoS-атаки на BGP-маршрутизаторы .......................................85
2.3.18. Безопасность протокола BGP .....................................................................86
2.3.19. Атаки на BGP ...............................................................................................89
2.3.20. Вопросы безопасности ...............................................................................90
2.3.21. Среды с протоколом IS-IS ...........................................................................91
2.3.22. Атаки на протокол IS-IS ..............................................................................92
2.3.23. Среды с протоколом MPLS .........................................................................94
2.3.24. Безопасность протокола MPLS ...................................................................96
2.3.25. IPSec как средство защиты на сетевом уровне .........................................97
2.3.26. Целостность данных ....................................................................................97
2.3.27. Защита соединения .....................................................................................98
2.3.28. Заключение .............................................................................................. 108
2.4. Атаки на транспортном уровне ......................................................................... 108
2.4.1. Транспортный протокол TCP ...................................................................... 108
2.4.2. Известные проблемы .................................................................................. 111
2.4.3. Атаки на TCP ............................................................................................... 112
2.4.4. IP-spoofing ................................................................................................... 112
2.4.5. TCP hijacking ................................................................................................ 114
2.4.6. Десинхронизация нулевыми данными ...................................................... 114
2.4.7. Сканирование сети..................................................................................... 115
2.4.8. SYN-флуд .................................................................................................... 116
2.4.9. Атака Teardrop  .......................................................................................... 118
2.4.10. Безопасность TCP ..................................................................................... 118

Оглавление

2.4.11. Атаки на UDP ............................................................................................ 119
2.4.12. UDP Storm  ................................................................................................ 120
2.4.13. Безопасность UDP .................................................................................... 121
2.4.14. Протокол ICMP ......................................................................................... 121
2.4.15. Методология атак на ICMP ..................................................................... 121
2.4.16. Обработка сообщений ICMP .................................................................. 122
2.4.17. Сброс соединений (reset) ........................................................................ 124
2.4.18. Снижение скорости .................................................................................. 124
2.4.19. Безопасность ICMP .................................................................................. 124
2.5. Атаки на уровне приложений ............................................................................ 125

2.5.1. Безопасность прикладного уровня ............................................................ 125
2.5.2. Протокол SNMP .......................................................................................... 125
2.5.3. Протокол Syslog ......................................................................................... 129
2.5.4. Протокол DNS ............................................................................................ 132
2.5.5. Безопасность DNS ...................................................................................... 134
2.5.6. Веб-приложения ......................................................................................... 134
2.5.7. Атаки на веб через управление сессиями ................................................ 135
2.5.8. Защита DNS ................................................................................................ 141
2.5.9. SQL-инъекции.............................................................................................. 142
2.6. Угрозы IP-телефонии ........................................................................................... 144

2.6.1. Возможные угрозы VoIP ............................................................................. 146
2.6.2. Поиск устройств VoIP ................................................................................. 147
2.6.3. Перехват данных ........................................................................................ 148
2.6.4. Отказ в обслуживании ............................................................................... 149
2.6.5. Подмена номера ........................................................................................ 150
2.6.6. Атаки на диспетчеров  ............................................................................... 151
2.6.7. Хищение сервисов и телефонный спам .................................................... 152
2.7. Анализ удаленных сетевых служб ..................................................................... 153

2.7.1. ICMP как инструмент исследования сети ................................................. 154
2.7.2. Утилита fping  .............................................................................................. 156
2.7.3. Утилита Nmap ............................................................................................. 157
2.7.4. Использование «Broadcast ICMP»  ........................................................... 157
2.7.5. ICMP-пакеты, сообщающие об ошибках ................................................. 158
2.7.6. UDP Discovery ............................................................................................. 159
2.7.7. Исследование с помощью TCP .................................................................. 160
2.7.8. Использование флага SYN  ....................................................................... 161
2.7.9. Использование протокола IP ..................................................................... 162
2.7.10. Посылки фрагмента IP-датаграммы  ....................................................... 162

Оглавление

2.7.11. Идентификация узла с помощью протокола ARP ................................. 163
2.7.12. Меры защиты ........................................................................................... 164
2.7.13. Идентификация ОС и приложений ......................................................... 165
2.7.14. Отслеживание маршрутов  ..................................................................... 165
2.7.15. Сканирование портов .............................................................................. 166
2.7.16. Идентификация сервисов и приложений ............................................... 169
2.7.17. Особенности работы протоколов  .......................................................... 172
2.7.18. Идентификация операционных систем .................................................. 174
2.8. Заключение ......................................................................................................... 174

Глава.3..Атаки.на.беспроводные.устройства................... 175

3.1. Атаки на Wi-Fi ..................................................................................................... 175

3.1.1. Протоколы защиты ..................................................................................... 175
3.1.2. Протокол WEP ............................................................................................ 176
3.1.3. Протокол WPA ............................................................................................ 176
3.1.4. Физическая защита .................................................................................... 178
3.1.5. Сокрытие ESSID .......................................................................................... 178
3.1.6. Возможные угрозы ..................................................................................... 178
3.1.7. Отказ в обслуживании ............................................................................... 179
3.1.8. Поддельные сети ......................................................................................... 181
3.1.9. Ошибки при настройке .............................................................................. 182
3.1.10. Взлом ключей шифрования ..................................................................... 182
3.1.11. Уязвимость 196 ......................................................................................... 183
3.1.12. В обход защиты ........................................................................................ 183
3.1.13. Защита через Web  .................................................................................. 184
3.1.13. Проводим пентест Wi-Fi   ......................................................................... 184
3.1.14. Заключение .............................................................................................. 191
3.2. Безопасность Bluetooth ....................................................................................... 191

3.2.1. Угрозы Bluetooth ......................................................................................... 191
3.2.2. Другие беспроводные угрозы ................................................................... 194
3.3. Заключение ......................................................................................................... 195

Глава.4..Уязвимости........................................................ 196

4.1. Основные типы уязвимостей .............................................................................. 196

4.1.1. Уязвимости проектирования ...................................................................... 196
4.1.2. Уязвимости реализации ............................................................................. 197
4.1.3. Уязвимости эксплуатации .......................................................................... 197

Оглавление

4.2. Примеры уязвимостей ......................................................................................... 200

4.2.1. Права доступа к файлам   ......................................................................... 200
4.2.2. Оперативная память ................................................................................... 202
4.2.3. Объявление памяти .................................................................................... 202
4.2.4. Завершение нулевым байтом .................................................................... 203
4.2.5. Сегментация памяти программы ............................................................... 203
4.2.6. Переполнение буфера ............................................................................... 207
4.2.7. Переполнения в стеке ................................................................................ 208
4.2.8. Эксплоит без кода эксплоита .................................................................... 212
4.2.9. Переполнения в куче и bss ........................................................................ 214
4.2.10. Перезапись указателей функций ............................................................ 215
4.2.11. Форматные строки ................................................................................... 215
4.2.12. Сканирование приложений на наличие уязвимостей ........................... 220
4.2.12. Эксплуатация найденных уязвимостей ................................................... 222
4.3. Защита от уязвимостей....................................................................................... 228

4.3.1. WSUS ........................................................................................................... 228
4.4. Заключение ......................................................................................................... 229

Глава.5..Атаки.в.виртуальной.среде................................ 230

5.1. Технологии виртуализации................................................................................. 230

5.2. Сетевые угрозы в виртуальной среде ................................................................ 233

5.3. Защита виртуальной среды ................................................................................ 234

5.3.1. Trend Micro Deep Security .......................................................................... 234
5.3.2. Схема защиты Deep Security ..................................................................... 236
5.3.3. Защита веб-приложений ........................................................................... 238
5.3.4. Подводя итоги ............................................................................................. 241
5.4. Security Code vGate............................................................................................. 241

5.4.1. Что защищает vGate? ................................................................................ 242
5.4.2. Разграничение прав ................................................................................... 243
5.4.3. Ограничение управления и политики ....................................................... 243
5.5. Виртуальные угрозы будущего .......................................................................... 245

5.6. Заключение ......................................................................................................... 248

Глава.6..Облачные.технологии........................................ 249

6.1. Принцип облака .................................................................................................. 249

6.1.1. Структура ЦОД .......................................................................................... 250
6.1.2. Виды ЦОД  .................................................................................................. 251

Оглавление

6.1.3. Требования к надежности .......................................................................... 252
6.2. Безопасность облачных систем .......................................................................... 252

6.2.1. Контроль над ситуацией ............................................................................ 256
6.2.2. Ситуационный центр .................................................................................. 256
6.2.3. Основные элементы построения системы ИБ облака .............................. 257
6.3. Заключение ......................................................................................................... 258

Глава.7..Средства.защиты............................................... 259

7.1. Организация защиты от вирусов ....................................................................... 260

7.1.1. Способы обнаружения вирусов  ............................................................... 261
7.1.2. Проблемы антивирусов .............................................................................. 265
7.1.3. Архитектура антивирусной защиты .......................................................... 269
7.1.4. Борьба с нежелательной почтой ............................................................... 272
7.2. Межсетевые экраны ............................................................................................ 276

7.2.1. Принципы работы межсетевых экранов ................................................... 277
7.2.2. Аппаратные и программные МЭ ............................................................... 279
7.2.2. Специальные МЭ  ....................................................................................... 279
7.3. Средства обнаружения и предотвращения вторжений ................................... 281

7.3.1. Системы IDS/IPS ......................................................................................... 281
7.3.2. Мониторинг событий ИБ в Windows 2008 ............................................... 287
7.3.3. Промышленные решения мониторинга событий ...................................... 296
7.4. Средства предотвращения утечек ..................................................................... 309

7.4.1. Каналы утечек............................................................................................. 312
7.4.2. Принципы работы DLP ................................................................................ 315
7.4.3. Сравнение систем DLP ............................................................................... 320
7.4.4. Заключение ................................................................................................. 326
7.5. Средства шифрования ........................................................................................ 326

7.5.1. Симметричное шифрование ...................................................................... 326
7.5.2. Инфраструктура открытого ключа............................................................ 327
7.6. Системы двухфакторной аутентификации ........................................................ 368

7.6.1. Принципы работы двухфакторной аутентификации ............................... 369
7.6.2. Сравнение систем ....................................................................................... 372
7.6.3. Заключение ................................................................................................. 379
7.7. Однократная аутентификация ........................................................................... 379

7.7.1. Принципы работы однократной аутентификации ................................... 381
7.7.2. Сравнение систем ....................................................................................... 383
7.8. Honeypot – ловушка для хакера........................................................................ 389

Оглавление

7.8.1. Принципы работы ....................................................................................... 390
7.9. Заключение ......................................................................................................... 393

Глава.8..Нормативная.документация.............................. 395

8.1. Политики ИБ ........................................................................................................ 395
8.2. Регламент управления инцидентами .................................................................. 409
8.3. Заключение ......................................................................................................... 423

Приложение..Kali.Linux.–.наш.инструментарий............... 424

9.1. Немного о LiveCD ................................................................................................ 424
9.2. Инструментарий Kali Linux ................................................................................. 427
9.2.1. Сбор сведений Information Gathering ....................................................... 429
9.2.2. Анализ уязвимостей Vulnerability Analysis ............................................... 429
9.2.3. Анализ веб-приложений Web Application Analysis .................................. 429
9.2.4. Работа с базами данных Database Assessment ........................................ 430
9.2.5. Взлом паролей Password Attacks ............................................................... 430
9.2.6. Работа с беспроводными сетями Wireless Attacks ................................... 430
9.2.7. Инструменты кракера Reverse Engineering .............................................. 430
9.2.8. Средства Exploitation Tools ........................................................................ 430
9.2.9. Средства перехвата Sniffing & Spoofing ................................................... 430
9.2.10. Инструменты для закрепления Post Exploitation .................................... 431
9.2.11. Средства расследования Forensics .......................................................... 431
9.2.12. Построение отчетов Reporting Tools ....................................................... 431
9.2.13. Работа с людьми Social Engineering Tools............................................... 431
9.2.14. Системные сервисы System Services ........................................................ 431
9.4. Заключение ......................................................................................................... 432
9.5. События BGP  ....................................................................................................... 432
9.6. Использованные источники ................................................................................ 433

В последние два десятилетия информационные технологии совершили настоящий прорыв. Появление гипертекста, IP-телефонии, увеличение тактовых 
частот процессоров и пропускной способности каналов связи, развитие «облачных 
технологий» и мобильных устройств и многое другое. Все это существенно усложнило процесс не только разработки, но и обслуживания ИТ-инфраструктуры. 
Появилась новая профессия – системный администратор. 
Системный администратор является специалистом, обеспечивающим бесперебойную работу всей ИТ-инфраструктуры компании. Далеко не последнее 
место в работе сисадмина занимает обеспечение информационной безопасности 
корпоративных ресурсов.
Для обеспечения информационной безопасности администратору нужно как 
самому корректно устанавливать программное обеспечение, так и устанавливать 
обновления и исправления на уже использующееся ПО. Решение данных задач, 
особенно в крупных компаниях, требует зачастую много времени и большого 
числа специалистов, так как обычно в крупных компаниях обслуживанием системы телефонии, серверов электронной почты, веб-ресурсов и других систем 
занимаются разные специалисты. Но при этом каждая из этих систем должна 
быть построена с учетом требований по обеспечению информационной безопасности. Однако информационные системы, как правило, взаимосвязаны, например 
серверы электронной почты под управлением Microsoft Exchange должны входить 
в домен Active Directory, система IP-телефонии связана с почтовой системой, 
а веб-серверы связаны с серверами баз данных. Кроме того, благодаря развитию 
концепции BYOD (Bring Your Own Device – Принеси свое устройство с собой) 
многие сотрудники теперь используют для работы свои мобильные устройства: 
планшеты и телефоны. Эффективное обеспечение информационной безопасности 
для таких интегрированных систем требует от соответствующего специалиста обширных технических знаний в смежных областях, так как иначе плохая защищенность одного элемента интегрированной системы может свести на нет все усилия 
по защите других ее элементов. Как говорится, прочность всей цепи определяется 
прочностью ее самого слабого звена. 
Лучше всего непосредственно при построении корпоративной сети использовать наиболее жесткие настройки для всех ресурсов. Как правило, производители 
приложений и оборудования сами рекомендуют использовать наиболее защищенные режимы работы и подробно описывают их настройку (например, использование сложных паролей для входа пользователей в систему, защита электронной 

ВСТУПЛЕНИЕ

вступление

почты от нежелательных рассылок, отключение учетных записей пользователей 
по умолчанию, запрет удаленного доступа к корпоративным ресурсам и т. д.).
Однако типичной ситуацией является наличие какой-либо корпоративной 
инфраструктуры, которая строилась на протяжении нескольких лет различными 
специалистами, на разных моделях оборудования и приложений. При этом в данную инфраструктуру встраиваются «облачные» сервисы, такие как «облачное» 
хранилище файлов, офисные приложения и другое. Также здесь актуальна проблема, уже упоминавшаяся ранее, с использованием мобильных устройств. В таких 
случаях корпоративные ресурсы по различным причинам содержат уязвимости 
и недостатки, связанные с информационной безопасностью.
У системного администратора, как правило, много работы. Особенно в небольших компаниях, где порядка 100 рабочих мест, полтора-два десятка серверов 
и один, максимум два человека должны все это обслуживать. В результате эти 
специалисты ежедневно заняты текущей работой, такой как: решение проблем 
пользователей, замена картриджей в принтерах и бумаги в факсах, подготовка 
рабочих мест для новых пользователей и много другой «текучки». При этом зачастую задачи по обеспечению безопасной настройки программного обеспечения 
и оборудования, написания инструкций и политик по информационной безопасности для пользователей и др. ставятся на задний план и, как правило, не выполняются. Причиной этого является как занятость системных администраторов, так 
и отсутствие у них соответствующих знаний и навыков для обеспечения информационной безопасности. 
Для крупных компаний эта проблема не так актуальна, потому что, например, 
в больших банках имеется отдел или даже департамент по обеспечению информационной безопасности. Соответственно, решением задач ИБ занимаются уже 
не системные администраторы, а администраторы по безопасности. При этом системные администраторы и администраторы по ИБ выполняют различные задачи, 
одни обслуживают ИТ-ресурсы и обеспечивают их функциональность, а другие 
обеспечивают безопасность ИТ-инфраструктуры. Администраторы по ИБ готовят 
политики и инструкции для системных администраторов. 
Но в любом случае, независимо от того, кто отвечает за обеспечение информационной безопасности – системный администратор или администратор 
по ИБ, этому специалисту необходимо регулярно производить оценку защищенности корпоративных ИТ-ресурсов, то есть производить аудит информационной 
безопас ности системы. 
Конечно, многие крупные организации предпочитают привлекать для осуществления проверки защищенности корпоративной информационной системы 
профессиональных аудиторов. Однако это имеет смысл только для крупных организаций, к которым предъявляются требования различных стандартов (ГОСТ, 
ISO и др.). Небольшим компаниям подобный аудит просто не по карману, и поэтому задача осуществления практического аудита ложится на системного администратора как на главного специалиста по корпоративной сети. К тому же такие 
проверки необходимо делать регулярно, что также накладывает дополнительные 
расходы.

вступление

Комментарии ко второму изданию

Эта книга является вторым изданием. В отличие от предыдущей версии, здесь 
я несколько сократил описание устаревших технологий и протоколов, оставив лишь необходимые основы. При этом больше внимания было уделено 
современным решениям. Также со времени первого издания вышли новые 
версии операционных систем и приложений, которые представлены в этой 
книге, поэтому во втором издании данная информация актуализирована. Кроме того, в книгу добавлены описания новых технологий и соответствующих 
угроз безопас ности. 
Отдельно в книге рассматриваются изменения в российском законодательстве, связанные с информационной безопасностью.
Более подробно основные отличия второго издания от первого представлены 
в табл. 1.1.

Таблица 1.1. Изменения во втором издании

Глава
Что изменилось во втором издании
вступление
Добавлен материал по хакерским USB-устройствам на базе 
макетной платы Teensy, предназначенным для хищения  
информации с пользовательских машин
1 «теоретические основы»
Добавлен небольшой материал по модели DOD. в остальном 
данная глава оставлена без изменений
2 «Классификация атак 
по уровням иерархической 
модели OSI»

Разделы этой главы подверглись наибольшим изменениям:
1.  Добавлены описания протоколов IS-IS и MPLS и возможные 
варианты реализации атак на них.
2.  сокращено описание большинства протоколов, описанных 
в главе.
3. Добавлено описание работы с утилитой Scapy.
4.  Более подробно рассмотрены вопросы безопасности  
протокола BGP.
5.  примеры работы с IPSec рассмотрены для Windows Server 
2008
3 «атаки на беспроводные 
устройства»
в эту главу добавлен раздел, посвященный проведению аудита 
безопасности беспроводных соединений, в котором описываются практические действия, выполняемые хакером для проникновения. также приводится концепция устройства для перехвата 
информации с беспроводных периферийных устройств типа 
клавиатура и мышь
4 «уязвимости»
Эта глава существенно переработана. помимо теоретического 
описания того, что такое уязвимости, в главе также приводится 
описание работы со сканерами уязвимостей Nessus и Open 
VAS, от установки до проведения непосредственного сканирования. также в главе приводится подробное описание работы 
с пакетом Metasploit Framework, от начальной настройки до 
эксплуатации найденных при сканировании уязвимостей
5 «атаки в виртуальной 
среде»
Обновлена информация об используемых для защиты технологиях и продуктах

КОмментаРии КО втОРОму изДанию

Окончание табл. 1.1
Глава
Что изменилось во втором издании
6 «Облачные технологии»
глава дополнена новыми требованиями регуляторов в части 
размещения облачных систем
7 «средства защиты»
в данной главе добавлены российские аналоги наиболее 
распространенных средств защиты информации. в частности, 
делается подробное описание таких средств, как SIEM,  
двухфакторная аутентификация и т. д.
8 «нормативная документация»
Оставлено без изменений

приложения
Добавлено актуальное описание Kali-Linux, добавлена  
библиография. сокращен раздел, посвященный событиям BGP

Почему «защита и нападение»

Моя книга называется «Информационная безопасность: защита и нападение». 
С понятием «защита», я думаю, ни у кого вопросов не возникнет. Администратор 
ИБ должен осуществлять защиту корпоративных ИТ-ресурсов. А вот причем 
здесь нападение? Для того чтобы эффективно защищать что-либо, необходимо 
хорошо знать способы нападения, дабы уметь предугадывать действия нападающих и предотвращать их.
А теперь поговорим о том, как все это связано с тематикой данной книги. Для 
кого она предназначена? Эта книга предназначена прежде всего для системных 
администраторов и специалистов по информационной безопасности, которые хотели бы разобраться в практических аспектах защиты корпоративных ресурсов от 
различных угроз. Основной упор при написании книги я делал именно на практические аспекты, то есть здесь не будет «размышлений на тему». Вместо пространных размышлений я постарался сделать основной упор на практические способы 
решения проблем ИБ, то есть здесь будут много описываться различные сценарии 
и настройки приложений и сетевого оборудования, работа со средствами по поиску уязвимостей и многое другое. Также мы поговорим о том, как нужно писать 
инструкции и политики по обеспечению ИБ, и коснемся законодательных основ 
обеспечения ИБ в контексте нормативно-правовых актов Российской Федерации.
Итак, мы определились с тем, что эта книга является в определенной степени 
практическим руководством. Но у многих может возникнуть вопрос, а как насчет 
хакеров. Является ли эта книга руководством для компьютерных взломщиков? 
Отвечу так: в общем случае для начинающего хакера данная книга может оказаться полезной в плане изучения основ ИБ, средств проникновения и защиты 
сетей и приложений. Однако использовать на практике для взломов конкретных 
систем приведенные в книге эксплоиты и утилиты вряд ли получится, так как 
за то время, пока писалась и издавалась данная книга, были выпущены заплатки 
и обновления, закрывающие эти уязвимости. Кроме того, многие приведенные 
примеры уязвимостей и некорректных настроек сознательно упрощены автором, 
для того чтобы дать читателю представление об общем типе подобных уязвимостей и средствах борьбы с ними, а не для того, чтобы научить проникать в чужие 

вступление

сети. Так что, юные исследователи компьютерных систем, если вы хотите узнать, 
как что работает в компьютерных системах, то эта книга для вас, но если вы хотите 
узнать, как взломать Пентагон, то тут она вряд ли сможет вам помочь.
Вот мы и подошли к основному вопросу, который рассматривается в моей 
книге, – поиску и устранению угроз безопасности информационной системы. Задача обнаружения и тем более устранения угроз безопасности информационной 
системы не является тривиальной. Как уже упоминалось выше, современные корпоративные сети состоят из множества различных устройств и приложений, и для 
обнаружения угроз необходимо иметь четкое представление о принципах работы 
данных систем, используемых протоколах, средствах защиты и многом другом. 
В своей книге я постараюсь уделить как можно больше внимания практическим аспектам информационной безопасности применительно к техническим 
аспектам функционирования различных систем. То есть при рассмотрении вопросов, связанных с защитой локальной сети, я также расскажу об общих принципах 
функционирования различных сетевых протоколов и устройств. Возможно, для 
кого-то из читателей это покажется лишним напоминанием прописных истин, и он 
пропустит данные разделы, но мне все же хотелось бы, чтобы практический материал, приведенный в этой книге, был понятен даже начинающим специалистам. 
Да, говоря о практике, замечу, что для выполнения многих примеров, описанных в этой книге, вам потребуется дистрибутив Kali Linux. Более подробно 
узнать об этом дистрибутиве вы можете в приложениях.
Надеюсь, я сумел привлечь внимание читателя. Теперь перейдем к обсуждению ряда теоретических основ информационной безопасности, без которых вам 
будет сложно понять дальнейший материал. 

Социальная инженерия вместо пролога

Прежде чем начать обсуждение технических аспектов обеспечения информационной безопасности, нелишним будет рассмотреть некоторые вопросы, связанные 
с социальной инженерией. В частности, рассмотрим, какую информацию о сети 
своей потенциальной жертвы злоумышленник может почерпнуть из открытых 
источников, не прибегая к каким-либо специальным средствам и вредоносному 
программному обеспечению.
В любой корпоративной сети, как правило, используется множество разнообразных устройств и приложений. Активное сетевое оборудование (Cisco, DLink, 
Huawei), операционные системы (Windows, разнообразные Linux и Unix), вебсерверы (Apache, IIS, WebSphere), системы управления базами данных (MSSQL, 
MySQL, Oracle) и другие программные продукты – все это можно встретить в корпоративной сети даже средних размеров. Отдельной строкой идут средства информационной безопасности: антивирусы, межсетевые экраны, системы обнаружения 
вторжений. Конечно, системный администратор всегда должен хорошо знать свою 
сеть (хотя на практике часто бывает не совсем так). А вот потенциальным злоумышленникам знать о том, что используется в сети, совсем не обязательно и даже 
крайне нежелательно.

сОциальная инженеРия вместО пРОлОга

Чем грозит наличие у злоумышленника знаний  
о вашей сети?

Идентификация сетевых ресурсов является важным подготовительным этапом 
перед осуществлением взлома. Если хакер знает, что ваш корпоративный портал 
работает под управлением IIS 7 под управлением Windows Server 2008, то ему 
необходимо найти уязвимости, которым подвержены данные программные продукты. Для этого проще всего поискать в базах уязвимостей. В случае если найти 
ничего не удалось, то особо продвинутый взломщик может попытаться самостоятельно найти «лазейку», собрав у себя точную копию взламываемой системы и попытавшись самостоятельно проанализировать код. Для этого есть специальные 
инструменты, которых мы коснемся в этом разделе. Проведя анализ уязвимостей 
«офлайн», затем хакер сможет быстро провести атаку и внедрить в атакуемую 
систему вредоносный код. 
Далее в этой книге мы еще будем подробно рассматривать вопросы, посвященные удаленному анализу сетевых служб. В этом разделе мы рассмотрим такой 
малоизученный, но тем не менее важный аспект, как социальная инженерия.

«Разбираем» XSpider

Ознакомившись с предыдущими абзацами, многие могут задаться вопросом: зачем мне все это нужно, у меня же есть специализированный сканер уязвимостей, 
например XSpider или MaxPatrol. Однако здесь стоит заметить, что коммерческие 
сканеры стоят недешево, и их, как правило, используют только для сканирования 
наиболее важных узлов в сети. Например, тех, что участвуют в обработке персональных данных в соответствии с ФЗ № 152. Кроме этого, не стоит полагаться 
лишь на автоматизированные средства, которые при желании можно обмануть. 
При использовании социальной инженерии можно получить достоверную информацию, причем зачастую ее сообщает сам администратор целевой сети.

Социальная инженерия

Выше в этом разделе я попытался обосновать саму необходимость удаленного анализа сети для системных администраторов. Зная методы злоумышленников, легче 
от них защититься. Однако, говоря об информационной безопасности, все почемуто сразу вспоминают про антивирусы, межсетевые экраны и прочие технические 
средства. А вот про людей, работающих в компании, при этом часто забывают. 
А ведь массу полезной информации хакер может почерпнуть из общения с сотрудниками компании и из открытых источников, не прибегая при этом к помощи 
вредоносных программ и других технических средств. Кстати, уязвимости, связанные с человеческим фактором, не получится обнаружить с помощью XSpider.
Конечно, работа с персоналом – это прежде всего задача HR-департамента 
(отдела кадров). Служба персонала осуществляет прием сотрудника на работу, 
подписание соответствующих документов, ознакомление с различными правила

вступление

ми, политиками и регламентами. Однако сотрудники отделов ИТ и ИБ должны 
также участвовать в этом процессе. В компании должна быть разработана политика информационной безопасности.

Исходные данные

Прежде всего условимся о том, что известно злоумышленнику. Будем считать, 
что в самой компании у него нет никаких знакомых-инсайдеров, которые могут 
сообщить интересующую информацию. Также условимся, что хакер не нарушает закона. Он не использует всевозможных средств прослушивания, «жучков», 
скрытых камер и прочего. В этом разделе мы не будем использовать никакие 
специализированные утилиты. Вся информация будет добываться исключительно 
из открытых источников. 
Пусть он знает только название компании, сеть которой ему необходимо 
взломать. Кто-то посчитает, что этого недостаточно, для того чтобы начать взлом, 
и будет неправ. 
Введя в поисковой системе название компании, злоумышленник быстро найдет ее официальный сайт. Вряд ли сейчас найдется хоть одна уважающая себя 
организация, у которой отсутствует свой сайт. А реклама – как известно, двигатель торговли, и для связи могут использоваться не только стандартные телефон 
и e-mail, но и более современные ICQ и Skype. В контексте удаленного анализа 
сети нам наиболее интересны электронная почта и Skype.
Также на корпоративном портале, помимо контактной информации, как правило, есть раздел Вакансии. Начнем сбор информации с этого пункта.

Анализируем вакансии

В разделе Вакансии могут оказаться описания требований к соискателям, в том 
числе и для ИТ-специалистов. В случае если такого раздела нет, можно попробовать поискать вакансии данной компании на сайтах по поиску работы. В описании 
вакансии системного администратора очень часто указывается наименование оборудования, операционных систем и приложений, с которыми придется работать. 
Вот пример описания реальной вакансии в одной компании:

Сетевой администратор в большую компанию ~ 1000 человек. 
Филиалы компании в регионах по всей стране и СНГ.
Обязанности и требования: 
•  поддержка сетевых устройств: коммутаторов, маршрутизаторов и межсетевых экранов Checkpoint, Cisco, 3COM; 
• мониторинг работы сетевых устройств и каналов связи на базе решений HPOpenView; 
• обеспечение сетевого взаимодействия с филиалами; 
•  взаимодействие с провайдером услуг связи в процессе всего жизненного цикла предоставляемой услуги связи; 
•  обеспечение максимально быстрого восстановления работоспособности сетевой инфраструктуры. 

сОциальная инженеРия вместО пРОлОга

Из этого на вид безобидного описания злоумышленник может сделать следующие выводы: в сети компании порядка 1000 машин, сеть географически распределенная, значит, используется VPN или арендованы каналы. В качестве средств 
защиты, скорее всего, используются Checkpoint, маршрутизация и коммутация на 
Cisco и 3Com. Для подключения к Интернету, вероятно, используются каналы связи 
только одного провайдера. Пока все достаточно размыто, осталось много вопросов.
Для их уточнения взломщику необходимо перейти к личному общению со 
специалистами. Для этого злоумышленнику проще всего воспользоваться той 
контактной информацией, которая предоставлена на сайте. Например, позвонить 
и поинтересоваться опубликованными на сайте вакансиями. Многие компании 
в целях экономии времени начальное собеседование проводят по телефону. Таким 
образом, специалисты по персоналу отсеивают явно неподходящих кандидатов. 
Злоумышленнику из общения с HR-менеджером вряд ли удастся получить много 
полезной технической информации, разве что уточнить количество пользователей 
и филиалов, да и то не всегда. Зато в процессе телефонного интервью злоумышленник может показать себя квалифицированным специалистом в требуемой области и быть приглашенным на собеседование. 
На собеседования к квалифицированным кандидатам зачастую приглашают 
большое число специалистов (сетевых администраторов, инженеров по серверам, 
безопасников). Тут для злоумышленника большой простор для деятельности. 
В процессе дискуссии можно ненавязчиво узнать число филиалов. Кроме того, 
потенциального работника будут «гонять» прежде всего по тем технологиям, которые используются в корпоративной сети. Например, системные администраторы 
компании интересуются знаниями соискателя в области серверных операционных систем Windows и ActiveDirectory. Соискатель рассказывает про Windows 
2008, затем про Windows 2012. Между делом упоминая RODC и преимущества 
его использования. На что собеседующие отвечают, что пока не все контроллеры 
используют Windows 2008. И уровень домена пока Windows 2003. Далее обсуждается тема миграции доменов, вследствие чего выясняется, что все филиалы 
находятся в одном домене. Поддомены не используются.

Беседа как источник информации

Далее в процессе собеседования «берут слово» сетевики и безопасники. Они 
спрашивают, с чем и как приходилось работать, какие модели оборудования использовались для межсетевого экранирования, какие протоколы использовались 
для динамической маршрутизации, какие корпоративные антивирусы знакомы 
соискателю, внедрял ли он систему управления событиями безопасности. По степени их внимания к определенным темам можно сделать вывод об используемом 
в организации оборудовании. 

Анализируем результат

В результате беседы выясняется, что в сети используется «зоопарк» решений. 
В некоторых филиалах используются программные межсетевые экраны на базе