piątek, 8 maja 2015

Oprogramowanie skanujące sieć lokalną

# Angry IP Scanner -  to skaner IP, który charakteryzuje bardzo duża szybkość działania. Oprogramowanie skanuje adresy IP każdej klasy, wyświetla czas odpowiedzi i jeśli jest to możliwe, nazwę hosta.
Program umożliwia m.in sprawdzenie geolokalizacji adresu IP oraz w miarę możliwości adresu MAC karty. Nie zabrakło także możliwości analizy otwartych portów.
Aplikacja jest również w stanie odczytywać NetBIOS czy stworzyć listę ulubionych adresów IP. Angry IP nie wymaga instalacji, a jednocześnie zużywa śladowe ilości zasobów komputera.



# Nmap - (z ang. Network mapper) – program komputerowy autorstwa Fyodora (Gordon Lyon), służący do skanowania portów i wykrywania usług w sieci.
Program implementuje wiele różnych technik testowania portów TCP, w tym niestandardowe podejścia wynikające ze specyfiki implementacji stosów sieciowych, które potencjalnie mogą omijać zapory sieciowe lub platformy Intrusion Detection System. Dodatkowo Nmap posiada możliwość identyfikacji systemów operacyjnych na skanowanych hostach.

Metody skanowania portów

Oto niektóre z metod dostępnych w nmapie:
  • skanowanie oparte na pełnym połączeniu TCP (nmap -sT) – listuje porty, z którymi udało się nawiązać połączenie
  • skanowanie SYN (tzw. półotwarte) (nmap -sS) – polega na wysyłaniu pakietów z ustawioną flagą SYN i oczekiwaniu na odpowiedź. Jeżeli serwer odpowie pakietem SYN-ACK oznacza to otwarty port. Serwer oczekuje na pakiet z bitem ACK, jednak nigdy go nie otrzymuje, a połączenie nie jest logowane.
  • metoda ACK (nmap -sA) – wykorzystywana jest najczęściej do poznania ustawień firewalla (rozpoznawania prostych filtrów pakietów). Nmap wysyła do wskazanych portów pakiety ACK. Jeśli otrzyma pakiet RST, port uznawany jest za niefiltrowany, jeżeli zaś nie otrzymuje odpowiedzi, uznaje go za filtrowany
  • skanowanie FIN (nmap -sF) – korzysta z pakietów z ustawioną wyłącznie flagą FIN, czego host docelowy nie oczekuje. Porty niewykorzystane odpowiadają wówczas pakietem RST
  • metoda Xmas Tree (nmap -sX) – wykorzystuje pakiety z bitami FIN, URG i PUSH, porty zamknięte odpowiadają pakietem z flagą RST
  • skanowanie Null (nmap -sN) – korzysta z pakietów bez ustawionych żadnych flag
  • skanowanie portów UDP (nmap -sU) – listuje otwarte porty, korzystające z protokołu UDP
  • skanowanie ping (nmap -sP) – pozwala ono określić, które z hostów są aktywne w danym momencie
  • skanowanie RPC (nmap -sR) – znajduje usługi dostępne przez RPC
Nmap jest jednak skanerem aktywnym. Wiąże się to z generowaniem przez niego dużej ilości ruchu, a w związku z tym – mimo dużej skuteczności – można wykryć jego używanie. Z pomocą przychodzą tu tzw. skanery pasywne, np. p0f, właściwie skanujące wcześniej uzyskany zapis (z np. dumpcap czy tcpdump) z sieci. Opcje nmap pozwalają relatywnie utrudnić wykrycie IP, z którego przeprowadzany jest skan z -D <dekoy>, gdzie wprowadza się szereg mylących hostów. Inna opcja pozwala 'obciążyć winą' inny (zombie) komputer np. # nmap -sI <zombieHost[:probeport]>, który może być wykazywany w niezbyt zaawansowanym systemie rozpoznającym skanowania sieci.
przykład
  • szybkie skanowanie 'domowej' sieci lokalnej, prywatnej C klasy IP od 1 do 255:
# nmap -A -T4 192.168.1.1-255
 
w efekcie powinno się uzyskać informacje o prawdopodobnym sprzęcie i wersjach oprogramowania komputerów w tej sieci, o czasie ich włączenia (uptime) o otwartych i zblokowanych portach i o wszystkich MAC adresach każdego PC. Dla admina informacje sprzętowe są to informacje przydatne do inwentaryzacji sieci, a wersje oprogramowania w połączeniu z otwartymi portami mogą służyć do uszczelnienia sieci.

# N Top

Urządzenia pomiarowe i diagnostyczne

     Podczas, wykonywania sieci można wykorzystać proste urządzenie jakim jest tester okablowania, pozwalający wykryć usterki takie jak, brak przejścia lub nieprawidłowe połączenie.

     Przy odbiorze instalacji, należy wykonać bardziej szczegółowe testy mające na celu sprawdzenie odpowiednich parametrów wymaganych przez przyjęte standardy i normy (dopuszczenie sieci do użytku może wymagać uzyskania certyfikatu zgodności z normami). Sprawdzeniu podlega każdy tor transmisyjny. Do tego rodzaju testów wykorzystuje się urządzenia diagnostyczne do certyfikacji sieci, które wykonują niezbędne pomiary i sporządzają raporty, które po wydrukowani, należy dołączyć do dokumentacji po wykonawczej.

     Parametry pomiarowe sieci Ethernet (100Mb/s):

#  NEXT - przesłuch zbliżony - określa poziom sygnału zaindukowanego w jednej parze przewodów od sygnału pochodzącego z trzech pozostałych par. Miarą tego parametru jest różnica mocy sygnału przesyłanego w parze zakłócającej i sygnału w parze zakłócanej (im parametr jest lepszy, tym lepszej jakości jest transmisja).

# Attenuation (tłumienie) - określa o ile zmniejszy się moc sygnału w danej parze, po przejściu przez cały tor kablowy,

# Wire map (mapa połączeń) - określa w jakiej sekwencji ułożone są w złączu lub gnieździe poszczególne pary przewodów (EIA/TIA 568-A lub EIA/TIA 568B),

# Length (długość) - określa długość mierzonego toru transmisyjnego, która jest na ogół większa od długości kabla,

     W przypadku sieci gigabitowych należy dodatkowo wykonać pomiar parametrów:

#  PS NEXT (power sum NEXT) - rozwinięcie parametru NEXT, podczas pomiaru mierzony jest poziom sygnału indukowanego w danej parze, pochodzącej o wszystkich pozostałych par, wartość PS NEXT jest znacznie wyższa niż NEXT,

# Attenuation To Cross-Talk-Ratio (PS ACR) - różnica pomiędzy tłumieniem, a przesłuchem NEXT (im większa wartość parametru, tym lepsza jakość transmisji),

# FEXT (przesłuch zdalny) - jest mierzony na przeciwnym końcu, na przeciwnym końcu kabla niż sygnał wywołujący zakłócenie,

# ELFEXT - w odróżnieniu od FEXT jest niezależny od długości badanego tory, gdyż uwzględnia tłumienie (matematycznie jest to wynik różnicy pomiędzy FEXT a tłumieniem na danym torze,

# PS ELFEXT - parametr uwzględniający zakłócenia od wszystkich trzech pozostałych par,

# Return Loss (straty odbiciowe) - echo, parametr określa stosunek mocy sygnału wprowadzonego do toru transmisyjnego, do mocy sygnału odbitego, który stanowi źródło zakłóceń,

#Propagation Delay Skew - określa różnicę pomiędzy najszybszą i najwolniejszą parą w skrętce,

  W przypadku sieci światłowodowych należy określić parametry jak:

# tłumienie,

# długość toru transmisyjnego (dopuszczalna długość zależna jest od ilości modów, spawów),

W celu ustalenia miejsca wystąpienia uszkodzenia należy wykorzystać reflektometr!