Vysoká škola ekonomická v Praze

Transkript

1 Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Vyšší odborná škola informačních služeb Svatopluk Ježek Diagnostika síťového provozu v síti LAN v prostředí OS Windows v konkrétní firmě bakalářská práce 2010

2 Prohlášení Prohlašuji, že jsem tuto bakalářskou práci zpracoval samostatně a že jsem uvedl všechny použité prameny a literaturu, ze které jsem čerpal. V Praze, dne 27. června 2010 Svatopluk Ježek

3 Poděkování Rád bych touto cestou poděkoval za podporu všem, kteří napomohli ke zpracovávání této práce, zejména pak firmě ABM Real, a.s. za umožnění přístupu k její počítačové síti a svému bratrovi Bc. Jakubu Ježkovi.

4 Abstrakt Tato práce poskytuje informace nejen o principech fungování sítí a jejich základních prvcích (zařízeních, protokolech, síťových modelech), ale také o možnostech diagnostiky síťového provozu a o průběhu jejího vlastního provedení v konkrétní firmě. Práce obsahuje i podrobný popis vybraného diagnostického nástroje, který byl pro provedení praktické části použit. Významnou částí práce i součástí vlastní diagnostiky je popis dané počítačové sítě. V práci je dále podstatná část, která se věnuje odhalení slabých míst dané podnikové sítě, a část, která obsahuje návrhy řešení problémů, které jsou způsobeny těmito slabinami. Klíčová slova Počítačová síť, Wireshark, Diagnostika, Síťový provoz

5 Abstract This bachelor thesis provides information not only about principles of networks operation and their constituent elements (devices, protocols, network models), but also about the possibilities of diagnostics of network traffic over its own performance in a certain company. The thesis includes a detailed description of the selected diagnostic instrument that was used for practical part of this thesis. An important part of this thesis, as well as the part of diagnosis, is a description of the computer network. In this work there also follows an important part which is dedicated to reveal weaknesses in the corporate network, and part, which contains proposals for resolving the problems caused by these weaknesses. Key words Computer network, Wireshark, Diagnostics, Network traffic

6 Strana 5 Obsah Úvod Terminologie Výhody počítačových sítí Taxonomie počítačových sítí dle rozsahu Počítačové sítě typu WAN Počítačové sítě typu MAN Počítačové sítě typu LAN Počítačové sítě typu PAN Dělení sítí založených na standardu Ethernet Klasický Ethernet Fast Ethernet Gigabit Ethernet Síťový model OSI Fyzická vrstva Linková vrstva Síťová vrstva Transportní vrstva Relační vrstva Prezentační vrstva Aplikační vrstva Síťový model TCP/IP Vrstva síťového rozhraní Internetová vrstva Transportní vrstva Aplikační vrstva Síťové protokoly Protokol TCP... 19

7 Strana Protokol UDP Protokol IP Protokol ARP Protokl DHCP Síťové HW prvky Opakovač Rozbočovač Most Brána Síťová karta Přepínač Směrovač Odposlouchávání datové komunikace Legislativní omezení ARP Spoofing MAC Flooding Rogue DHCP Sniffing Nástroje pro diagnostiku sítí Komerční Nekomerční Nástroje integrované do operačního systému Windows Nástroj pro sledování zatížení sítě Tcpdump (Windump) Netflow Wireshark Wireshark obecně Instalace na OS Windows... 30

8 Strana Instalace programu Wireshark Instalace nástroje WinPcap Princip práce s programem Wireshark Popis uživatelského rozhraní programu Wireshark Filtrování procházejících a zachycených paketů Tvorba zachytávacích filtrů Tvorba zobrazovacích filtrů Popis počítačové sítě firmy Firma Popis původní sítě Popis nové sítě HW audit pro osobní použití Možnosti HW auditu Provedení HW auditu SW audit pro osobní použití Možnosti SW auditu Provedení SW auditu Aplikace diagnostického nástroje Wireshark Důvody diagnostiky síťového provozu Pravidla pro užívání sítě Spuštění v konkrétní síti MAC flooding v praxi Nastavení filtrů pro konkrétní síť Analýza výstupů Výstupy průměrný provoz v pracovní den Výstupy průměrný provoz o víkendu Odhalení případných slabin sítě Odhalení nezabezpečené bezdrátové sítě... 49

9 Strana Odhalení neznámé komunikace Odhalení příčiny omezeného vzdáleného přístupu Potencionálně rizikové aplikace Doporučení Řešení potíží s nezabezpečenou bezdrátovou sítí Nastavení firewallu Přechod z LogMeIn na OpenVPN Závěr Seznam použitých zkratek Seznam obrázků a tabulek Seznam použitých zdrojů Přílohy Příloha 1 - Postup instalace analytického nástroje Wireshark Příloha 2 - Postup instalace nástroje WinPcap Příloha 3 Tabulka provedených měření... 66

10 Strana 9 Úvod V dnešní době je pojem jako počítačová síť chápán jako samozřejmá součást slovníku nejen těch lidí, kteří se pohybují v prostředí ICT 1, ale také lidí z jiných oborů. Avšak jen malé procento zmíněných by dokázalo srozumitelně definovat tento pojem a jeho význam. Ještě méně lidí by pak dokázalo popsat, jak počítačová síť funguje, jak je sestavena a mnohdy i k čemu vlastně slouží. Lze se domnívat, že při zmínce o diagnostice či administraci počítačové sítě by měl dotázaný člověk obdobný, ne-li větší, problém s popisem těchto činností. Tato oblast je přitom klíčová pro každou firmu, která hodlá být úspěšná a vlastní nějaký informační systém. Informační systémy jsou totiž dnes přímo závislé na kvalitě a technickém zázemí počítačové sítě. Dalším samostatným, ale ne menším, problémem je nepochybně otázka zabezpečení počítačové sítě. Pracovníci většiny firem mnohdy souhlasně kývají hlavou, když se hovoří o hackerech, když se probírá zabezpečení sítě před útoky zvenčí a když se jim klade na srdce, aby chránili nejen svá, ale zejména firemní data. Bohužel se ale rady síťových administrátorů a bezpečnostních analytiků až příliš často míjejí účinkem. V této bakalářské práci tedy i z tohoto důvodu, pominu-li vlastní zájem v této problematice, objasním jednak základní terminologii z této oblasti, která je nezbytná pro další pochopení souvislostí s diagnostikou počítačových sítí, dále se budu věnovat použitelným freeware 2 i komerčním softwarovým nástrojům určeným právě k diagnostice, kdy budu zvláštní pozornost věnovat programu WireShark 3. Tento diagnostický nástroj použiji k analýze počítačové sítě zmapované během její nové realizace ve firmě ABM Real, a.s.. Cílem mé práce je tedy zpracovat přehledný dokument o možnostech diagnostiky síťového provozu a o jejím provedení v konkrétní firmě, přičemž výstupy této diagnostiky zhodnotím a nastíním případná zlepšení. To vše z důvodu ověření správnosti fungování zmíněné podnikové sítě a pro odhalení některých rizik, které dané síti mohou hrozit. 1 ICT = z angl. Information and Comunication Technologies, tedy Informační a komunikační technoligie 2 freeware = software (počítačová aplikace) šířený zdarma 3 oficiální stránky programu WireShark na

11 Teoretická část Strana 10

12 Strana 11 1 Terminologie Tato kapitola je věnována vysvětlení základních termínů, které souvisejí s tématem počítačových sítí a jejich pochopení a osvojení je nezbytné jak k orientaci v dalších částech této práce, tak i k porozumění principu fungování počítačových sítí. Počítačové sítě mají oproti samostatným pracovním stanicím, které nejsou propojeny s jinými počítači hned několik výhod. Představíme-li si situaci, kdy máme dva navzájem nepropojené počítače v jedné firmě, na kterých pracují dva manažeři, kteří si navzájem analyzují například nějaké databázové výstupy. Pokud nebudou mít počítače propojeny, bude nutné, aby data, která si chtějí předávat, přenášeli fyzicky například na disketě, optickém disku (CD, DVD atd.) nebo na flashdisku 4. Takto by museli s daty cestovat z patra do patra osobně nebo si neustále telefonovat, což by efektivitu jejich práce rapidně snižovalo. [2] 1.1 Výhody počítačových sítí Při propojení počítačů je možné tato data sdílet. To je asi největší, nicméně pouze jedna z mnoha výhod, které počítačové sítě poskytují. Mezi další výhody patří zejména: [19] Rychlost Snižování nákladů na komunikaci Přehlednost Uchovávání a ochrana informací Lepší zálohování 1.2 Taxonomie počítačových sítí dle rozsahu Počítačové sítě se od sebe samozřejmě liší. Kritérií pro jejich členění je hned několik, například podle typu sítě (peer-to-peer nebo sítě založené na serverech) nebo podle jejich topologie 5 - zde rozpoznáváme několik různých způsobů zapojení pracovních stanic v počítačové síti. Avšak jejich nejvýraznější a nejzásadnější rozdělení je podle velikosti, od které se ostatní kritéria odvíjejí. Podle rozsahu, nebo, chceme-li podle prostorového omezení, můžeme počítačové sítě vždy zařadit do jedné z následujících čtyř skupin (viz obrázek 1). [10] 4 flashdisk = flashdisc = přenosové datové médium 5 topologie = prostorové uspořádání z hlediska způsobu zapojení jednotlivých stanic

13 Strana 12 Obrázek 1 Schéma dělení počítačových sítí zdroj: autor Počítačové sítě typu WAN WAN, neboli Wide Area Network 6 jsou sítě, které nejsou jakkoliv prostorově omezené. V této kategorii můžeme spíše hovořit například o celostátní nebo až globální síti. V této kategorii jsou sítě, které omezením v prostoru nespadají do žádné ze dvou následujících typů. [18] Počítačové sítě typu MAN Tyto počítačové sítě jsou v literatuře často omezeny pro okruh 5 50 km. Jak nám napovídá název Metropolitan Area Network, jedná se o počítačovou síť, která povětšinou spadá do katastru jednoho města nebo obce (popřípadě u velkých firem). Tato síť většinou bývá realizována skupinou obyvatel v rámci tohoto města s cílem snadnějšího přístupu k informacím a datům a zřízení výhodnějšího připojení k internetu. [20] Jako příklad pro lepší představu mohu uvést metropolitní počítačovou síť, která funguje v místě mého bydliště Czela.net 7. Tato metropolitní síť je v provozu již od roku 2003 a poskytuje jak připojení k internetu, tak různé další služby v rámci metropolitní sítě, například telefonování přes internet nebo tzv. IP TV, neboli amatérské televizní internetové vysílání. [3] 6 Wide Area Network (WAN) = z angl. - rozsáhlá síť 7 oficiální internetové stránky OS Czela.net na

14 Strana Počítačové sítě typu LAN LAN, jinak také Local Area Network, jsou počítačové sítě, které jsou prostorově nejvíce omezené (pomineme-li sítě PAN). Tyto sítě jsou téměř vždy v soukromé správě a k nim připojená zařízení pracují v režimu, kdy sdílí jedno přenosové médium (radiové vlny, kabelový systém). Lokální síť je základním kamenem pro sítě WAN ty jsou tvořeny několika navzájem propojenými sítěmi LAN. Z pohledu velikosti sítí je tedy tento typ nejčastější. Počítačové sítě tohoto typu používají nejčastěji, kromě jiných, technologii Ethernet o této technologii hovořím v další části. [18] Počítačové sítě typu PAN Některé zdroje mohou uvádět také tento typ počítačové sítě. Zkratka PAN znamená Private Area Network, přeloženo soukromá síť. Tento typ sítě povětšinou pracuje na principu bezdrátové technologie, jako paříklad Bluetooth 8 nebo IrDA 9 a je využíván pouze pro osobní účely uživatelů. Jedná se o počítačové sítě, u kterých není vyžadována nijak zvláště vysoká rychlost, uživatelům jde zejména o stabilní přenos dat s možností jeho zabezpečení. Tyto počítačové sítě jsou prostorově omezeny řádově v desítkách centimetrů. [18] 1.3 Dělení sítí založených na standardu Ethernet Ethernet je název pro standard protokolů, které počítače používají ke vzájemné komunikaci. Protokol lze chápat, jako schopnost jednoho počítače hovořit takovým jazykem, kterému druhý počítač rozumí a naopak. Ethernet byl vyvinut pro komunikaci stanic na jednom sdíleném přenosovém médiu (viz výše). Jedná se o tzv. protokol všeměrového vysílání, jelikož vysílá data od jednoho počítače všem ostatním počítačům ve stejném segmentu sítě. Data potažmo informace, které vysílající stanice odesílá nemohou být odeslána v jednom celku právě z důvodu toho, že i ostatní stanice na síti neustále komunikují. Je tedy nezbytné, aby data byla rozdělena na určité poměrné části. Tyto části / bloky kompletní zprávy nazýváme pakety. Každý z těchto paketů má vlastní hlavičku, která zjednodušeně obsahuje jak adresu počítače, kterému má paket doručen, tak i adresu počítače, který paket odesílá. Data, resp. pakety jsou odeslány všem počítačům na stejném segmentu sítě, a každý 8 Bluetooth = bezdrátová technologie přenosu dat, např. z mobilního telefonu do PC 9 IrDA = bezdrátový datový přenos prostřednictvím signálů infračerveného světla

15 Strana 14 z počítačů si přečte hlavičku každého paketu a zjišťuje tak, jestli je paket určen pro něj. [16] Protokol Ethernetu zajišťuje také zpětnou odpověď na paket od počítače, kterému byl doručen, k počítači, který paket odeslal. Tato služba je praktická pro kontrolu celistvosti odeslané zprávy a pro případné zjednání nápravy, nedorazí-li pakety všechny. [11] Stejně jako ostatní oblasti IT, také Ethernet procházel a prochází historickým vývojem. O standardizaci Ethernetu pro veřejné používání se staral IEEE 10. Standardy IEEE, zabývající se Ethernetem dělíme do tří skupin následovně. [2] Klasický Ethernet V dnešní době se již téměř nepoužívá. Maximální přenosová rychlost je 10 Mb/s. Mezi klasický Ethernet řadíme například typy 10Base2, 10Base5, 10BaseT nebo 10BaseFL, u které byl poprvé použit optický kabel. U těchto typů Ethernetu se naposledy setkáváme se sběrnicovou topologií sítě. [2] Fast Ethernet Fast Ethernet je dnes nejpoužívanějším typem Ethernetu jak v domácích sítích, tak i v menších podnicích. Maximální přenosová rychlost je 100 Mb/s. Topologie sítí tohoto typu je nejčastěji hvězdicová, která využívá buďto UTP 11 nebo STP 12 kabely, popřípadě optické kabely. U kabelů UTP nebo STP je maximální délka segmentu 100 metrů. U optického kabelu je pro metodu half-duplex (viz ) maximální délka 412 metrů, u full-duplex (viz 1.4.5) je to pak 2000 metrů. [2] Gigabit Ethernet Gigabitový Ethernet označuje skupinu standardů, která prochází v dnešní době nesmírným rozmachem. Gigabit označuje nejvyšší rychlost přenosu tímto typem Ethernetu, tedy 1000 Mb/s. [2] Jak již bylo řečeno, data, odesílaná prostřednictvím Ethernetu jsou odeslána pro všechny počítače, které se nacházejí v dané síti. Na data určená pro jeden počítač odpovídá právě tento počítač, jehož adresa se shoduje s adresou příjemce v hlavičce 10 Institute of Electrical and Electronical Engineers 11 UTP = Unshielted Twisted Pair 12 STP = Shielted Twisted Pair

16 Strana 15 paktu. Ostatní počítače si za normálních okolností paketů, jež nejsou určeny pro ně, nevšímají. Ale právě jen za normálních okolností. Diagnostika sítí a provozu na nich využívá právě toho, že tyto okolnosti pozmění a umožní i jiným počítačům zachytávat pakety, které nejsou primárně určeny právě jim. Je několik možností, jak datovou komunikaci odposlouchávat. O těchto možnostech se však zmiňuji dále. 1.4 Síťový model OSI Jelikož jsem v části 1.3 zmínil jakési pakety, hlavičky a adresy, je nezbytné, abych zde nyní popsal, co jednotlivé výrazy znamenají v prostředí počítačových sítí. Takzvaný referenční model OSI, neboli Open Systems Interconnection je standard vyvinutý v roce 1984 společností ISO 13 za účelem sjednocení způsobů spolupráce komponent síťových protokolů. Tento model rozděluje síťové funkce do sedmi vrstev (viz obrázek 2) a definuje, jak se informace (data) vytvořená v nějaké aplikaci v počítači A převedou pomocí síťového média do počítače B, tak, aby byly v téže aplikaci na počítači B čitelné. Jednotlivé vrstvy modelu OSI představují logické seskupení postupných úkonů, které jsou v rámci umožnění komunikovatelnosti prováděny. REFERNEČNÍ MODEL OSI TCP/IP MODEL APLIKAČNÍ PREZENTAČNÍ APLIKAČNÍ RELAČNÍ TRANSPORTNÍ TRANSPORTNÍ SIŤOVÁ INTERNETOVÁ LINKOVÁ FYZICKÁ VRSTVA SÍŤOVÉHO ROZHRANÍ obrázek 2 Síťový model OSI a síťový model TCP/IP zdroj: autor 13 ISO = International Standards Organization = mezinárodní standardizační organizace

17 Strana 16 Tato terminologie je nejčastěji a široce používaná v analytických, administrátorských či jiných kruzích, které souvisejí s problematikou počítačových sítí. [5] Nyní vysvětlím, co jednotlivé vrstvy znamenají a jakou úlohu mají v komunikaci počítačů v síti Fyzická vrstva Informace a data mají na této vrstvě podobu signálu (ať už se jedná o elektrické, optické nebo akustické signály), který je přenášen po všech přenosových médiích v binární podobě jedniček a nul (respektive stavu kdy síťovým prvkem prochází nebo neprochází el. Proud). Přenosovými médii můžeme nazvat například koaxiální kabel, optický kabel či vzduch. Fyzická vrstva tedy definuje nejzákladnější tedy elektronické vlastnosti sítí. Zde si všímáme zejména vlastností jako změny napětí (1/0), rychlosti přenosu nebo maximální vzdálenost pro přenos. [2] Linková vrstva Někdy také označovaná jako datová nebo spojová. Linková vrstva má přípravnou funkci pro data, která k ní přijdou z vrstev nad ní. Tato data se zde připravují na cestu přenosovým médiem. V této vrstvě hovoříme o fyzickém adresování, detekci chyb, řízení přístupu k fyzickému přenosovému médiu a řešíme zde vlastní topologii sítě. Linková vrstva obsahuje dvě podvrstvy MAC 14 a LLC 15. [2] Podvrstva MAC V podvrstvě MAC se zpracovává Fyzické adresování. Fyzické adresování existuje proto, že v jednom segmentu sítě může být (a bývá) několik zařízení. Tato zařízení, nejen počítače, musejí být jednoznačně identifikovatelná. K tomu slouží jejich fyzická adresa, jinak také MAC, která je pro každé toto zařízení jedinečná (přidělovaná výrobcem síťového zařízení za dohledu IEEE). Tato MAC adresa je dvanáctimístné hexadecimální číslo seřazené po dvojicích, je pevně vypáleno do paměti síťového zařízení (síťové karty) a určeno pouze ke čtení. Podvrstva MAC má důležitou funkci při přístupu různých počítačů k síti a znemožňuje jim současné odesílání dat a tím možnému vzniku kolizí mezi daty. K tomu používá (na Ethernetových sítích) metodu CSMA/CD, neboli Carrier Sense Multiple Access / Collision Detection. [2] 14 MAC = Media Access Control 15 LLC = Logical Link Control

18 Strana Podvrstva LLC Funkcí této podvrstvy, v české terminologii označované jako podvrstva linkových spojů, je správa a řízení přenosů dat založená na datových spojích (nicméně může zajišťovat i nespojované služby). Další funkcí je zprostředkování komunikace mezi podvrstvou MAC a vyššími vrstvami. [2] Síťová vrstva Síťová vrstva má za úkol řadit pakety určené k odeslání. V pořadí třetí vrstva je důležitá z hlediska výběru optimální trasy paketů v síti, z tohoto důvodu musí zjišťovat fyzické adresy nejen příjemců, ale i adresy dalších zařízení, která leží na trase paketů. Těmito zařízeními jsou směrovače a přepínače (1.6.7 a 1.6.6). V síťové vrstvě rozpoznáváme protokol IP (viz 1.5.3). [2] Transportní vrstva V transportní vrstvě se logicky řeší transport, resp. přenos, dat po jednotlivých uzlech. Transportní vrstva pracuje s protokolem TCP (viz 1.5.1), pomocí něhož řídí tok dat od jednoho uzlu k jinému, přičemž se pomocí provádění kontrolních součtů ujišťuje, byl-li přenos kompletní. Pokud tomu tak není, je na této vrstvě možné přenos opakovat díky preventivnímu ukládání odesílaných dat. Další důležitou funkcí je také logická adresace portů. Což jsou čísla aplikací v přijímajícím počítači, kterým je sada paketů určena. Bez adresace portů by příjemce jen složitě rozpoznával, která aplikace ten který paket vyžaduje. [2] Relační vrstva Relační vrstva je odpovědná za vytvoření, sledování a následné ukončení komunikační relace mezi dvěma komunikujícími stanicemi. Poté, co je vytvořena sada paketů k odeslání, naváže spojení odesílatele s příjemcem. Nejdůležitější akcí relační vrstvy je vytváření hlaviček paketů, které obsahují informace o začátku a konci zprávy. Hlavička také obsahuje informace o tom, jakým způsobem bude komunikace probíhat. Na výběr jsou dva způsoby, Full-Duplex 16 a Half-Duplex 17, způsob je vybrán také na relační vrstvě. Možnost Full-duplex znamená, že počítače mohou v jeden moment na přenosovém médiu komunikovat současně, jako například při telefonické konverzaci. 16 Full-Duplex = v české terminologii také plně - duplexová metoda 17 Half-Duplex = v české terminoligii také polo - duplexová metoda

19 Strana 18 Možnost Half-duplex lze přirovnat ke komunikaci prostřednictvím radiostanic (vysílaček). Vždy jeden počítač vysílá a druhý přijímá, poté, co první počítač ukončí vysílání, muže teprve tehdy své vysílání zahájit druhý počítač. [2] Prezentační vrstva Tato vrstva zajišťuje překlad dat do formy, která je srozumitelná pro určenou aplikaci. Jelikož se data při odesílání běžně kódují, šifrují nebo komprimují, je do hlavičky paketu připsána informace o použité metodě komprese, šifrování nebo kódování. Podle toho je prezentační vrstva schopna přetransformovat zprávu do původní formy. Procesy probíhající na této vrstvě jsou samozřejmě obousměrné, tzn., že vrstva je schopna data jak komprimovat atd., tak i dekomprimovat atd., podle toho, jestli zprávu vysílá nebo přijímá. [2] Aplikační vrstva Aplikační vrstva je jediná, která má přímou návaznost na uživatele systému, respektive na aplikaci, se kterou uživatel pracuje. Vytvoří-li se nějaká zpráva v určité aplikaci, pak tato aplikace předá data aplikační vrstvě, která je dále zpracuje. Paketům jsou přiřazeny hlavičky aplikační vrstvy, které obsahují údaje o vysílajícím a přijímajícím počítači. [2] 1.5 Síťový model TCP/IP Koncepce modelu ISO OSI není jedinou koncepcí, která umožňuje síťovou komunikaci. V současné době je nejvíce používaný model TCP/IP. V další části (část 1.6) jsou popsány síťové protokoly, model TCP/IP však není složen pouze z protokolu TCP a IP, ale jedná se o celou sadu protokolů. Koncepce TCP/IP je na rozdíl od modelu OSI rozdělena pouze do čtyř vrstev (viz obrázek 2). [17] Vrstva síťového rozhraní Tato vrstva má v modelu TCP/IP na starosti souhrn veškerých činností, které jsou spojeny s ovládáním dané přenosové cesty resp. sítě, a s vysíláním a příjmem paketů. Často se můžeme setkat také s označením Ethernetová vrstva, což má spojitost s lokálními počítačovými sítěmi typu Ethernet. [17] Internetová vrstva Internetová vrstva, popřípadě síťová vrstva, je realizována pomocí protokolu IP a její funkce je stejná jako funkce síťové vrstvy v modelu ISO/OSI.

20 Strana Transportní vrstva Pracuje s protokoly TCP a UDP (voz dále body a 1.6.2), to podle toho, jedná-li se o zabezpečený nebo nezabezpečený přenos dat. Vrstva má za úkol rozdělovat odesílaná data na segmenty a popřípadě kontrolovat správnost jejich doručení. [17] Aplikační vrstva Aplikační vrstvu tvoří hned několik protokolů, které spolupracují s jednotlivými aplikacemi. Například protokol HTTP 18 slouží pro komunikaci internetových prohlížečů s různými internetovými servery. [17] 1.6 Síťové protokoly V předchozích částech práce byly krátce zmíněny protokoly. Tento pojem se úzce dotýká jednotlivých vrstev modelu OSI a je stejně podstatnou částí, jako dosud pospané termíny. Jelikož se v dalších částech této práce budu na protokoly odkazovat, je dobré alespoň krátce tuto problematiku popsat. Síťové protokoly jsou sady pravidel předem odsouhlaseného chování (nejen) počítačů, které jsou odpovědné za předávání jednotlivých paketů mezi dvěma uzly počítačové sítě. Máli počítačová síť fungovat korektně, musejí se všechna zařízení chovat podle těchto pravidel. [16] Protokol TCP Pakety odesílané pod protokolem TCP jsou nejčastějším typem paketů. S tímto protokolem se můžeme setkat, jak bylo zmíněno v bodě 1.4.4, na 4. vrstvě modelu OSI, kde je jeho nejdůležitější rolí tzv. Handshake, což znamená, že, má-li být zahájen přenos paketů, musí s ním souhlasit obě strany jak odesílatel, tak i příjemce. Tato fáze je zajišťovaná odesláním tzv. SYN dotazu (jinak také paketu, který obsahuje příznak SYN) k adresovanému počítači. Ten, akceptuje-li přenos, odešle odpověď SYN a ACK. Odesílatel přijme odpověď a odesílá nazpět vyrozumění ACK, že zahájí přenos dat, který bezprostředně následuje. Další, neméně důležitou funkcí protokolu TCP je dohled nad posloupností paketů, které se odesílaní k příjemci dat. [16] Protokol UDP Protokol UDP je podobný protokolu TCP, přičemž protokol UDP je oproti protokolu TCP nespojovaný. Protokol UDP má důležitou funkci při přiřazování názvů 18 HTTP = Hypertext Transfer Protocol

21 Strana 20 hostitelů k jednotlivým IP adresám. Toto přiřazování umožňuje služba DNS, neboli Domain Name System. Protokolem UDP jsou dále zajišťovány například protokoly VoIP, streamování videa nebo komunikace při hraní multiplayer 19 počítačových her. [16] Protokol IP Internet Protocol je protokolem 3., síťové, vrstvy modelu OSI, jenž má úkol zajišťovat adresaci přenášených dat a zejména fragmentovat objemná data na jednotlivé pakety. K těmto paketům je přidělena IP hlavička a tím vytvořen tzv. IP datagram. V hlavičce IP je obsažena IP adresa 20 příjemce a odesílatele, čímž se rozumí vlastní adresování mezi počítači. Adresa IP je 32-bitová sekvence čísel (pořípadě zapsaná jako 4 desítková čísla oddělená tečkou) tvořena dvěma částmi, jednak částí, která přesně a jednoznačně určuje jednotlivé počítače(hostitele) v dané síti a částí, označující samotnou síť, ve které se hostitel nachází. Jednotlivá čísla v IP adrese mohou nabývat hodnot (pro desítkový zápis). [16] Příkladem zápisu IP adresy je zápis v desítkové soustavě nebo zápis v binárních číslech Protokol ARP Protokol ARP (Address Resolution Protocol) je postup, jak zjišťovat IP adresu cílového a odesílajícího počítače z hlavičky IP. Když totiž pakety přecházejí ze síťové vrstvy do linkové, tak jsou linkovou vrstvou chápána jako obyčejná data. Je tedy za potřebí, aby linková vrstva a zařízení na ní byla schopna přečíst hlavičku s IP adresou jako adresu určeného počítače a ne jako data. Jinými slovy, ARP protokol převádí IP adresu v hlavičce paketu na fyzickou adresu. [16] 19 multiplayer = způsob hraní počítačové hry, kdy se jí účastní více hráčů ve stejnou chvíli. 20 IP adresa = jedinečná adresa počítače v rámci sítě

22 Strana Protokl DHCP DHCP je protokol dynamického přiřazování adres IP jednotlivým počítačům v segmentu sítě. Oproti předchozím protokolům nemá DHCP žádnou tabulku s převodními parametry, které by kladly nároky na datové úložiště (přestože je v dnešní době kapacita datových úložišť na každé pracovní stanici více než nevyužitá). Protokol DHCP zapůjčuje volnou IP adresu počítači při každém připojení do sítě, která tento protokol používá. Po odpojení příslušného počítače ze sítě je IP adresa opět uvolněna pro jinou stanici, která by se chtěla připojit. Toto řešení je v dnešní době laptopů velice výhodné. [16] 1.7 Síťové HW prvky Protokoly, vrstvy, pakety a další více či méně abstraktní pojmy se musejí opírat o hmatatelnou podobu sítě (i v případě bezdrátového řešení počítačové sítě). Každá počítačová síť v našem případě LAN je složena z hardwarových komponent, které fungování softwarových komponent umožňují. Přenosová média, jako koaxiální kabely, kroucené dvojlinky, optické kabely nebo i vzduch v případě bezdrátového spojení, je potřeba volit nejen dle rozsahu síťě, ale i podle dalších omezení (např. cena, nároky na prostor). S ohledem na hlavní cíl práce, nebudu jednotlivé typy popisovat, nicméně nejčastěji používaným přenosovým médiem (resp. kabelem) v sítích LAN je tzv. kroucená dvojlinka. Tento typ kabelu je použit také ve výše zmíněné konkrétní firmě. Síťovými prvky rozumíme taková zařízení, která se aktivně podílejí na chodu dané počítačové sítě např. vybírají nejoptimálnější cestu pro pakety, určují, které stanici mají být data odeslána atd. Těmito prvky jsou: Opakovač Opakovače, neboli repeatery jsou zařízení používaná na sběrnicové topologii počítačových sítí. Jejich úkolem je eliminovat důsledek slábnutí nebo zkreslování signálu procházejícím po kabelu, s narůstající délkou kabelu totiž přichází efekt útlumu síly signálu. S tím se zhoršuje rozpoznatelnost signálu pro jednotlivé stanice a dochází k chybám. [13] Rozbočovač Toto zařízení je propojovacím centrem pro jednotlivé pracovní stanice a servery v sítích s hvězdicovou topologií. Přebírá signál z jednoho místa a následně jej odesílá dalším zařízením a to všem. Je to pouze pasivní prostředek sítě. [13]

23 Strana Most Mosty (bridge) jsou důležité prvky v rozsáhlejších počítačových sítích. Jejich nejdůležitější funkcí je snižování zatížení sítě tím, že rozpoznávají procházející data a z jednotlivých paketů čtou IP adresy. Podle IP adresy odesílají pakety do jednotlivých částí sítí. Praktické na mostech je také to, že je pomocí nich možné propojit i sítě, používající navzájem odlišné standardy. Mosty jsou využívané také pro jednotlivé sítě LAN, které jsou od sebe navzájem vzdáleny a jejich propojení je přitom žádoucí. Například mezi jednotlivými patry v administrativní budově. [13] Brána Jinak také gateway, je překladatel při komunikaci sítí, které jsou funkčně odlišné. Brány splňují tedy stejné funkce jako mosty, nicméně oproti nim mají tu výhodu, že mohou komunikaci zprostředkovávat mezi jinými architekturami i prostředími sítí. Brány aktivně mění formáty odesílaných zpráv tak, aby vyhovovaly formátu příjemce. [13] Síťová karta Síťové karty jsou zařízení umístěná přímo v pracovních stanicích, která umožňují připojení k síti jak fyzické, tak i logické. NIC 21, jak jsou síťové karty označovány, musí na vstupu transformovat bity putující po síti na Bajty srozumitelné pro pracovní stanici (a naopak při odesílání dat). Síťové karty také řídí přistup zařízení k síti. Každá karta NIC má pevně danou fyzickou adresu MAC. [13] Přepínač Přepínač, neboli switch, je rozbočovač, který aktivně rozpoznává hlavičku paketu a čte z ní, pro který počítač je paket určen. Switch si při prvním připojení sám vytvoří tabulku s adresami počítačů, které jsou k němu připojeny na jednotlivých výstupech. Toto zařízení musí být připojenu k elektrickému rozvodu, jelikož jeho funkcí, kromě směrování je i obnova signálu (jako u opakovače). [13] Směrovač Směrovače (routery) jsou sofistikované síťové prvky, které jsou (kromě jiných funkcí) schopné vybírat pro data putující po sítí tu nejoptimálnější trasu. V sítích LAN je nejčastěji využíván pro připojení k Internetu. [13] 21 NIC = Network Interface Card

24 Strana Odposlouchávání datové komunikace Odposlouchávání datové komunikace je činnost, při které je nějakým způsobem umožněno přijímat pakety, které nejsou určeny přímo pro stanici, která je k odposlouchávání využita. Při vyslovení slova odposlouchávání a při přečtení předešlého souvětí jistě vyvstane myšlenka na kolizi s platnými právními předpisy. [23] Legislativní omezení Zde je nutné podotknout, že odposlouchávání datové komunikace lze chápat skutečně jako nelegální, ovšem pouze tehdy, není-li využito ku prospěchu věci. Mnoho správců sítě, síťových analytiků a bezpečnostních techniků používá prostředky k odposlechu dat cíleně a v rámci podnikových směrnic ke zjištění celistvosti sítě, detekci možného napadení sítě a zjištění bezpečnostních mezer. Tehdy se nemůže jednat o porušení zákona. Proto bych rád i pro potřeby a účely této práce osvětlil, že použití odposlechu datové komunikace pro účely diagnostiky síťového provozu je zcela legální. [16] V zásadě existuje několik metod, jak se dostat k datům, která putují po síti LAN (resp. i po jiné síti). Některé metody byly vyvinuty čistě jako analytické, ale přesto povětšinou bohužel byly, jsou a budou zneužívány k útokům na mnohé podnikové sítě za účelem poškození, pozměnění či pouhého čtení důvěrných podnikových dat ARP Spoofing Metoda ARP spoofingu je odvozena od slabiny protokolu ARP. Princip spoofingu spočívá v tom, že ARP protokol překládá fyzickou MAC adresu na adresu IP a naopak. Člověku, který chce zachytávat data pak stačí jen obejít tento překlad a využít nějakého programu (z široké škály dostupných programů), kterým zajistí, aby jeho počítač odpovídal na všechny dotazy protokolu ARP na MAC adresu. Počítač tohoto uživatele - útočníka pak odpovídá, že je to právě on, kterému mají být data odeslána. Počítač, který data odesílá nepozná, že jde o jiný počítač,protože se řídí pevně danými pravidly když ti někdo odpoví, odešli mu data. [23], [14] MAC Flooding Volně by se dalo přeložit jako zaplavování adresami MAC. Princip tohoto útoku (hovoříme-li o této metodě v negativním slova smyslu) spočívá v tom, že zařízení, na které chceme přijímat data, která nejsou primárně určena přímo pro nás, je připojeno k síti LAN přes switch. Pomocí speciálního softwaru můžeme zmást switch tím, že

25 Strana 24 naše stanice bude generovat náhodně adresy MAC a bude je odesílat na switch. Tím se brzy zahltí tabulka MAC adres, kterou přepínače obsahují a využívají k orientaci při odesílání paketů. Dojde-li k tomuto zahlcení, pak se switche přepnou do režimu, kdy pracují jako rozbočovače a lze použít techniku Spoofingu a úspěšně odposlouchávat. [4], [14] Rogue DHCP Tento způsob nabourání se do sítě probíhá tak, že se do sítě LAN připojí falešný DHCP server a pracovní stanice se tak mohou připojovat právě přes tento DHCP server. Připojený DHCP server jednak poskytuje pracovním stanicím IP adresy, ale může také poskytovat adresu DNS serveru. Komunikace je pak přesměrována na tento připojený DHCP server a tím je možné opět zachytávat data. [16] Sniffing Sniffing je obecnější název pro odposlouchávání dat odesílaných prostřednictvím počítačové sítě. Jako sniffingové procesy lze označit všechny výše uvedené metody zachytávání datové komunikace. Sniffing je uskutečňován pomocí speciální programů tzv. snifferů. Pojem sniffer může současně označovat člověka, který odposlech či zachytávání dat a paketů provádí. Nástroje, které jsou k diagnostice počítačové sítě používané popíši v další kapitole. [4], [12]

26 Strana 25 2 Nástroje pro diagnostiku sítí Nástroje pro diagnostiku sítě mají různý charakter. Z jednoho pohledu je můžeme chápat jako hardwarové nástroje, které slouží k ověření průchodnosti signálu kabelem, k měření napětí či odporu kabelů nebo k měření síly signálu v případě přenosu signálu bezdrátově. Z pohledu druhého nástroji rozumíme programové vybavení pracovních stanic, které například umožňuje měřit objem či povahu dat, která sítí procházejí. Tyto nástroje lze z hlediska jejich pořízení, respektive nákladů na jejich pořízení rozdělit do dvou skupin, jednak komerční nástroje tedy placené, a jednak nástroje volně dostupné, nekomerční tedy zdarma. [1], [8] 2.1 Komerční Softwarové nástroje určené pro diagnostiku síťového provozu mají oproti nástrojům s otevřeným kódem několik výhod. Hlavní z nich je to, že - pokud někomu finanční prostředky dovolí jejich pořízení poskytují pevné zázemí vydavatelské firmy, která o svůj produkt a své zákazníky samozřejmě pečuje. Pokud se tedy stane, že něco nefunguje, je vždy, na koho se obrátit. Firemní zázemí také zaručuje určitou sjednocenost výrobků. Tyto skutečnosti jsou samozřejmě více než pravdivé, přesto většinou hlavní kritérium, tedy cena, hovoří proti pořízení komerčního výrobku. [8] 2.2 Nekomerční Oproti komerčním nástrojům, mají freeware a opensource nástroje nespornou výhodu v nulové ceně pořízení. Při výše popsaných výhodách komerčních verzí softwaru, nelze konstatovat, že tyto výhody mají všechny placené výrobky. Naproti tomu lze ale s určitostí tvrdit, že většina nástrojů určených k diagnostice, které jsou distribuovány v rámci volné licence, nebo jako otevřené zdrojové kódy aplikace, či jako balíčky služeb, za které se nemusí platit, má tolik nadšených a dostatečně fundovaných fanoušků, že mnohdy i předčí zákaznický servis mnoha firem. Při řešení možných potíží existuje nespočet diskusních fór, která se věnují této problematice a jejichž přispěvatelé mají jednak teoretické znalosti, ale i zkušenosti z praxe. Diagnostických utilit 22 existuje nespočet, proto popíši jen některé (použitelné na platformách OS Windows a často používané). [8] 22 Utility = z angl. = užitečná pomůcka

27 Strana Nástroje integrované do operačního systému Windows Jako původní nástroje můžeme označit jednoduché příkazy či programy, které jsou součástí operačního systému Windows. Tyto příkazy slouží k základnímu nastavování a analyzování počítačové sítě. Přestože se nejedná o složité nástroje, ve většině případů budou použity k analýze určitého problému jako první. Uvedu jen ty nejznámější a nejčastěji používané. Ping Jedná se o nástroj, který posílá vzdálené pracovní stanici zprávu Echo prostřednictvím části protokolu IP. Adresovaný počítač pokud funguje optimálně odpovídá na zprávu odezvou Echo Reply prostřednictvím stejné části protokolu IP. Program ping následně z odpovědi vyhodnocuje statistiky. Program ping je velice praktický nástroj ke zjištění základní otázky, jestli je analyzované zařízení připojeno k síti, popřípadě vůbec zapnuté. Příkaz ping funguje bohužel pouze tehdy, nemá-li dotazovaný počítač zakázánu odezvu na ping v tom případě nemusí to, že odezva nedorazila nutně znamenat poruchu připojení nebo nepřítomnost zařízení. [21] Traceroute Program Traceroute je velice praktický nástroj pro zjištění směrovačů na trase odeslaného paketu. Používá se zejména k potvrzení nebo vyvrácení podezření na chybné směrování při diagnostice problému na síti. Protokol IP při průchodu dat sítí totiž přímo do paketu zapisuje údaje o tom, přes které směrovače přešel. To je ovšem poněkud nepraktické neboť kapacita je omezena a všechny směrovače by nebylo možné zapsat. Místo toho se využívá zvláštní části hlavičky paketu, kte je uvedena hodnota TTL 23. Ta původně slouží k tomu, aby pakety po síti nebloudily věčně, jelikož by došlo k jejímu kolapsu. Při každém průchodu paketu přes směrovače se hodnota TTL sníží o 1 z původní hodnoty (z intervalu <1 255> - většinou přímo 255). Pokud hodnota TTL dosáhne 0, pak směrovač, na kterém této hodnoty dosáhne, musí původnímu odesilateli zprávy oznámit chybovou hláškou, že paket zanikl. Princip programu traceroute spočívá v postupném odesílání paketů n s hodnotami TTL=n. Tedy, první paket má TTL = 1, druhý paket TTL = 2 atd. směrovače postupně odesílají chybové hlášky a jejich adresy jsou odesílatelem paketů uchovávány. [21] 23 TTL = Time To Live

28 Strana 27 Nástroj Diagnostika sítě systému Windows Tento nástroj řadím, stejně jako ping a traceroute do stejné skupiny. Nástroj je volně ke stažení na servisních internetových stránkách 24 společnosti Microsoft. Předpokladem pro jeho volné stažení je ovšem zakoupení licence OS Windows. Je to ucelený balíček testovacích algoritmů pro vyhodnocení síťového nastavení pro sysémy Windows. Při diagnostice případného problému postupuje systematicky: zkouška konfigurace IP adresy, ověření výchozí brány, test součásti Winsock 25, test služby DNS, ověření konfigurace brány firewall, zkouška připojení k Internetu. [24] Nástroj pro sledování zatížení sítě Nástrojů s grafickým zobrazením zatížení sítě existuje celá řada, pro účely popisu jsem si vybral program MRTG, neboli Multi Router Traffic Grapher 26. Ten je sepsán v jazyce Perl a funguje jak pod systémy UNIX/Linux, tak i pod systémy Windows. Je to praktický nástroj pro sledování vytíženosti počítačové sítě, jehož úkolem je sledovat množství dat procházející přes jednotlivá síťová zařízení (nejen router). Jako výstup je tento program schopen generovat denní, týdenní či jinak časově omezené grafy, které tento provoz znázorňují. Použití této aplikace je náročné a umožňuje rychlý přehled (obrázek 3) o bezchybnosti provozu sítě. [8] obrázek 3 ukázka výstupu programu MRTG zdroj: Tcpdump (Windump) Původně UNIXový nástroj pro packet sniffing, který je však možné (jeho mutaci) nainstalovat a používat i pro systémy Windows. S programem, který byl upraven 24 Adresa pro stažení nástroje: 25 Winsock = Technická specifikace definující, jak má síťový software Windows pristupovat k síťovým službám, zejména TCP/IP 26 oficiální stránky programu na

29 Strana 28 společností MicroOLAP, se pracuje pomocí příkazové řádky a výstupy se zobrazují v reálném čase přímo v příkazové řádce. Program je schopen zachytit, diagnostikovat a uložit údaje o procházejících datech. K tomu používá knihovny a ovladače nástroje WinPcap. [6] Netflow obrázek 4 příklad výstupu programu tcpdump (Windump) zdroj: Je nástroj původně vyvinutý pro výrobce síťových zařízení (konkrétně směrovačů) Cisco. Výstupy tohoto analyzátoru poskytují administrátorovi v reálném čase údaje o provozu podnikové sítě. Nástroj je často využíván poskytovateli připojení k internetu k tomu, aby bylo možné zákazníkům stanovit cenu za poskytnuté připojení, které se vztahuje k množství přenesených dat. Výstupy programu jsou dobře použitelné například pro monitorování sítě, plánování sítí, analýzu bezpečnosti sítě a určování nejvíce vytížených míst v síti. [8] Krom výše popsaných příkladů často používaných nástrojů pro diagnostiku síťového provozu existuje nespočet dalších, které mohou být využity v jiných typech sítí, pod jiným operačním systémem než Windows a mohou fungovat na jiných principech. Já jsem si zvolil program Wireshark, jehož funkce zmiňuji v praktické části.

30 Praktická část Strana 29

31 Strana 30 3 Wireshark V této kapitole se budu věnovat programu Wireshark, který popíši z hlediska jeho historie a vývoje, jeho instalace, konfigurace a principů práce s ním. Tento nástroj byl použit pro diagnostiku dané podnikové sítě z důvodu jeho všestrannosti. Obsahuje totiž nejen pro něj specifickou možnost zachytávání, překladu a analýzy paketů, ale také sledování grafického výstupu z provozu sítě. Obsahuje tedy mnoho funkcí a není tedy třeba instalovat několik různých nástrojů. Dalším důvodem pro jeho použití bylo jeho hojné využívání (popřípadě jeho různých mutací či samostatných modulů a funkcí ) ve světě počítačových sítí. 3.1 Wireshark obecně Program Wireshark je open-source nástroj pro síťovou analýzu, který je schopen zachytávat, číst a dekódovat zachycené pakety, které jsou následně zobrazovány ve srozumitelném a čitelném formátu. Počátky tohoto analyzátoru sahají do roku 1977, kdy Gerald Combs vyvinul program Ethereal za účelem vlastního lepšího poznání o chodu sítí. Jako programátor, síťový a systémový administrátor měl jasnou představu o nástroji, který potřeboval k tomu, aby mohl rychle a přesně identifikovat problém, který múže v počítačové síti nastat. obrázek 5 logo programu wireshark zdroj: Dalším stupněm pak byla v roce 1998 vydaná první verze Wiresharku (v 0.2.0), načež zasedl tým vývojářů za účasti Gilberta Ramireze, Richarda Sharpa a Guye Harrise. Ti spolupracovali na vývoji dalších doplňujících disektorů, neboli součástí, které umožňují Wiresharku dekódovat různé protokoly a pak je zobrazit v čitelné formě v aplikaci. [16] 3.2 Instalace na OS Windows Jako pokračování praktické části práce se budu věnovat specifikům instalace programu Wireshark na počítačích s operačním systémem Windows XP. Přestože instalace byla provedena na systému Windows XP Home Edition, aplikace je plně

32 Strana 31 kompatibilní i s jinými operačními systémy. Například Mac OS, Linux (a jiné UNIX) a další, vybrané varianty OS Windows. Budeme-li chtít aktuální verzi snifferu Wireshark, je nejlépe, stáhnout ji přímo z webu V době psaní této práce byla aktuální verzí verze Tato verze byla také nainstalována a použita Instalace programu Wireshark Po stažení instalačního balíčku, popřípadě vložení zdrojového optického disku do mechaniky pracovní stanice následuje při instalaci na systémech Windows častá sekvence kroků instalace, která je znázorněna v diagramu na obrázku 6. Podrobný postup celé instalace pak popisuji v Příloze 1.

33 Strana 32 Spuštění instalace Ověření produktu NE Je program již nainstalován ANO Pokračovat v instalaci Ukončit instalaci ANO Souhlasíme s licencí NE Výběr komponent Doplňkové volby NE Souhlasíme s umístěním ANO Zvolení jiného umístění Zvolení předvolby Instalace WinPcap Automatické spuštění instalace Dokončení instalace obrázek 6 diagram aktivit instalace programu Wireshark zdroj: autor

34 Strana Instalace nástroje WinPcap Nástroj, který v prostředí Windows umožňuje přístup k linkové vrstvě. Tím zprostředkovává analytickým programům získávání tzv. syrových dat přímo ze sítě. Dokáže získat přímo obsah paketů, které do zařízení přicházejí nebo ze zařízení odcházejí. Popis instalace nástroje WinPcap je kromě diagramu na obrázku 7 také zaznamenán podrobně v Příloze 2. Spuštění instalace Ověření produktu NE ANO Souhlasíme s licencí Ukončit instalaci Výběr doplňkových voleb Spuštění vlastní instalace Dokončení instalace obrázek 7 diagram aktivit pro instalaci nástroje WinPcap zdroj: autor 3.3 Princip práce s programem Wireshark Práce s analytickým programem, ať už se jedná o kterýkoliv analytický program je vesměs podobná. Hlavním cílem analýzy síťového provozu je, mimo jiné, zjistit množství a povahu přenášených dat, která po podnikové síti putují a tím se přesvědčit o jejím správném fungování. K provedení diagnostiky a osvojení si práce s diagnostickým nástrojem je třeba seznámit se s jeho uživatelským rozhraním.

35 Strana Popis uživatelského rozhraní programu Wireshark Po spuštění programu, které je standardně na operačních systémech Windows provedeno sekvencí Start Programy Wireshark, je zobrazeno úvodní okno (obrázek 8) s nabídkou výběru síťových rozhraní, která mají být sledována, jak je popsáno v tabulce 1. obrázek 8 úvodní okno programu Wireshark zdroj: autor Název sekce anglicky Název sekce česky Podsekce Popis Capture Zachytávání Seznam rozhraní, Nastavení zachytávání obsahuje seznam síťových adaptérů Capture Help Nápověda zachytávání Jak zachytávat, Síťová média vyvolání návodu, jak nastavit program, případně nápovědu o specifikách zachytávání pro jednotlivá média Files Soubory Otevřít, Vzorové soubory nabízí možnost načtení souborů, které byly dříve uloženy Online Online Oficiální web programu, uživatelská příručka, zabezpečení tabulka 1 popis částí úvodního okna programu zdroj: autor zobrazí funkce spojené s webem - oficiální stránky programu, uživatelskou příručku nebo zabezpečení Po zvolení síťového adaptéru, který má být sledován, respektive, z něhož mají být data zachytávána, je spuštěno okno vlastního analytického programu. Hlavní okno s programu je rozděleno do čtyř částí, z čehož můžeme tři označit jako výstupní a

36 Strana 35 jednu jako uživatelsky vstupní. Uživatelsky vstupní částí jsou myšleny Panel nástrojů, Panel filtrů a Panel nabídek. Tři části výstupní, jsou Souhrnné okno, Okno protokolů a Datové okno. Pro přehlednost jsou tyto části označeny na obrázku 9 a jejich funkce jsou popsány v tabulce 2. obrázek 9 Hlavní okno programu Wireshark zdroj :autor Název části Popis Panel nabídek Panel nástrojů Panel Filtrů Souhrnné okno Okno protokolů Standardní podoba nabídky funkcí aplikace, typická pro zobrazení OS Windows Umožňuje rychlé nalezení a spuštění typických funkcí programu, například přehledný přechod mezi jednotlivými pakety Rychlé načtení a aplikace předem vytvořeného zobrazovacího / zachytávacího fitru Přehledné zobrazení zachycených paketů se základními údaji například o jejich odesílateli nebo příjemci Podrobné dekódované údaje o paketu, který je označen v souhrnném okně

37 Strana 36 Datové okno Zobrazuje skutečná data, která obsahuje paket označený v souhrnném okně tabulka 2 popis částí hlavního okna a jejich funkcí zdroj: autor Poté, co je Hlavní okno spuštěno, zahajuje se automaticky zachytávání paketů v dané síti z vybraného síťového adaptéru. 3.4 Filtrování procházejících a zachycených paketů Pojem filtr má v tomto případě dvojí význam. Buďto můžeme filtrem rozumět omezení v tom, které pakety mají být zachytávány, nebo filtry zobrazovací, které ze všech zachycených paketů umožní zobrazit pouze předem definované typy paketů. Tyto filtry jsou velice praktickým prvkem, který program nabízí. Při enormním množství přenášených paketů by bylo velice obtížné hledat určitý typ paketu ručně. Proto je možné v aplikaci nastavit, které pakety mají být zobrazeny. Filtry je možné přímo v programu vytvářet podle potřeb jeho uživatelů. Jejich tvorba je umožněna přímo v grafickém rozhraní programu a spouští se z úvodního okna programu zvolením nabídky Capture options v sekci Capture, popřípadě z hlavního okna kliknutím na tlačítko Filters: (viz obrázek 10). obrázek 10 vyvolání nabídky tvorby filtrů v Hlavním okně zdroj: autor Tvorba zachytávacích filtrů Zachytávací filtry, nebo také capture filters pracují na principu knihoven pcap (WinPcap). Tyto knihovny využívá nejen Wireshark, ale také například Tcpdump, podle kterého bývají tyto filtry také označovány jako filtry formátu tcpdump. Tyto filtry jsou nejčastěji používané pro zachytávání datového provozu určeného pro nebo pocházejícího od určité adresy IP. Například, chceme-li zachytávat pakety, které souvisejí s IP adresou , pak syntaxe příkazu pro filtr tcpdump bude následující: host Zachytávací filtry nejsou příliš často používány, jelikož jazyk filtrů tcpdump není dostatečně výstižný a proto nesplňuje požadavky při analýze zachycených dat.

38 Strana 37 Nicméně výhoda zachytávačích filtrů spočívá hlavně v omezení objemu zachycených dat. [26] Tvorba zobrazovacích filtrů Zobrazovací filtry jsou používány daleko častěji než zachytávací, zejména pak v menších sítích, kde není objem dat natolik velký, aby bylo nutné jejich zachycení omezovat. V programu Wireshark byly vytvořeny a implementovány jako náhrada za slabší syntaxi zachytávacích filtrů. Zjišťování názvu zobrazovacího filtru je poměrně jednoduchá záležitost a z tohoto důvodu je i tvorba samotných filtrů relativně jadnoduchá (pokud není vyžadována nějaká složitější podoba filtru). Abychom zjistili název filtru, stačí pouze v průběhu zachytávání označit libovolný paket a v příslušném Okně protokolů rozvinout nabídku, jak je znázorněno na obrázku 11. Název zobrazovacího filtru, zde konkrétně filtru pro zjištění IP adresy zdroje paketu, je vypsán v levém dolním rohu Hlavního okna, konkrétně tedy ip.src. obrázek 11 zjištění názvu zobrazovacího filtru zdroj: autor

39 Strana 38 Syntaxe jazyka pro zobrazovací filtry je velice nenáročná a příslušný příkaz je vypisován do pole v Panelu filtrů (viz obrázek 10). Kompletní seznam názvů zobrazovacích filtrů je k nalezení na adrese [26] Pro účely této práce a pro účely zachytávání na úrovni malé sítě uvedu jen některé základní, užitečné a nejčastěji používané (viz tabulka 3). Zobrazovací filtr Význam Příklad eth.src MAC adresa zdroje eth.src == 00:21:00:75:09:CA eth.dst MAC adresa cíle eth.dst == 00:21:00:75:09:CA ip.dst IP adresa cíle ip.addr == ip.src IP adresa zdroje ip.src == tcp.dstport Adresovaný TCP port tcp.dstport == 80 tcp.srcport Zdrojový TCP port tcp.srcport == udp.dstport Adresovaný UDP port udp.dstport == 513 udp.srcport Zdrojový UDP port udp.srcport == frame.time contains Čas příchodu paketu protokoly HTTP obsahující řetězec Pakety obsahující řetězec frame.time < "Jun 20, :00:00" http contains "centrum" frame contains "test" tabulka 3 přehled často používaných zobrazovacích filtrů zdroj: autor

40 Strana 39 4 Popis počítačové sítě firmy Tato kapitola je věnována detailnímu popisu podnikové počítačové sítě společnosti. Jsou zde obsaženy údaje o firmě, krátká zmínka o původní konstrukci sítě a analýza současného stavu zapojení počítačů a síťových prvků. V kapitole je také uveden HW a SW audit zařízení v síti, který je určený pro osobní použití. 4.1 Firma Společnost ABM Real, a.s. byla založena a je zapsána u Obchodního soudu v Praze pod značkou B-5643 s identifikačním číslem s vkladem Kč při Kč za jednu akcii na jméno. Společnost podniká v následujících oblastech: koupě zboží za účelem jeho dalšího prodeje prodej pronájem nemovitostí, bytů a nebytových prostor bez poskytování jiných než základních služeb zajišťujících pronájem nemovitostí, bytů a nebytových prostor služby v oblasti administrativní správy a služby organizačně hospodářské povahy u fyzických a právnických osob činnost účetních poradců, vedení účetnictví 4.2 Popis původní sítě Počítačová síť firmy ABM Real, a.s. byla původně realizována (resp. její poslední známá konfigurace) v rozsahu čtyř pracovních stanic s operačním systémem Windows XP Professional SP3, jednoho tiskového serveru a jednoho centrálního serveru, který zastával funkci souborového serveru, databázového serveru a serveru spravujícího klientské účty. Realizována byla v roce 1998, přičemž průběžné inovace sítě se týkaly pouze pracovních stanic a některých síťových prvků. Do chodu centrálního serveru nebylo pro nedostatek času a praktických znalostí zaměstnanců společnosti vůbec zasahováno. Celá síť pracovala pod systémem Novell Netware. Propojení původní sítě je znázorněno na obrázku 12.

41 Strana Popis nové sítě obrázek 12 schéma původního propojení sítě zdroj: autor Nová počítačová síť byla na přání firmy realizována na počátku května 2010, kdy bylo vyměněno veškeré zařízení spojené s hlavní funkcí podnikové sítě. Výměna se týkala jednak hardwaru (jednotlivých pracovních stanic, serveru, části zastaralé kabeláže a dalších vybraných síťových prvků), tak i softwarového vybavení. Změna SW instalací spočívala zejména v přechodu na nový operační systém pracovních stanic (včetně výměny vlastních počítačů), ze stávajícího Windows XP Professional na Windows 7 Professional. Následně ve změně operačního systému serveru z původního Novellu na Linux Ubuntu ve verzi Lucid Lynx s nainstalovanou aplikací Samba 27 ve verzi (včetně výměny vlastního serveru). Aplikace, respektive nástroj Samba je souhrn standardních programů pro operační systémy Linux a Unix, které mají za cíl umožnit serverům s těmito OS plnou integraci v počítačové síti s klienty Windows, proto není třeba v této práci popisovat specifika 27 oficiální internetové stránky programu Samba na

42 Strana 41 práce se serverem Linux. Samba pro ostatní síťová zařízení vytváří dojem serveru na platformě Windows. [25] Realizace serveru Linux pro síť Windows není předmětem této práce, proto vysvětlení kompatibility serveru Linux a pracovních stanic ponechám bez bližšího vysvětlení. Současný stav počítačové sítě je znázorněn na obrázku 13. obrázek 13 schéma propojení současné počítačové sítě firmy zdroj: autor 4.4 HW audit pro osobní použití Diagnostika síťového provozu se musí opírat jak o znalost základních principů fungování sítě, tak i o praktickou znalost konkrétní počítačové sítě, co do jejího uspořádání, ale také co do hardwarových prvků, které jsou v dané síti použity. Ke zjištění povahy a typu komponent integrovaných v jednotlivých pracovních stanicích, serveru a dalších síťových prvcích slouží tzv. Hardware audit, neboli zpětné prověření (zjištění) použitých zařízení.

43 Strana Možnosti HW auditu Audit je možno provádět buďto ručně osobně, což spočívá ve fyzickém pohledu přímo na zařízení, nebo pomocí nějakého auditingového nástroje, které jsou volně dostupné na internetu. Použití první metody zaručuje správný výsledek, nicméně je velice pomalá, pokud se nejedná o nově sestavovanou síť osobou, která se zároveň o audit zajímá. Druhá metoda je časově minimálně náročná, ovšem figuruje zde určitá nejistota ve spolehnutí se na cizí zdroje. Jelikož byla síť v nedávné době nově realizována, existuje podrobný seznam použitého hardware, který byl zakoupen a nainstalován Provedení HW auditu Následující tabulka (tabulka 4) obsahuje seznam hardware vybavení, které je v současné síti použito. Switch Konektory Rychlost Standardy 48x RJ x Mini GBIC 10/100/1000 Mbit/s IEEE 802.3, IEEE 802.3u, IEEE 802.3ab, IEEE 802.1p, IEEE 802.1q, IEEE 802.1d Server Operační systém Procesor Operační paměť Čipová sada Pevný disk Linux Ubuntu (Lucid Lynx) Intel Xeon X3220; 2,4 GHz 4 GB DDR2 ECC Intel ICH9R 2x 500 GB SATA Síť Intel Nineveh 10/100/1000 Data storage Operační systém - Procesor Operační paměť 800 MHz 128 MB Čipová sada - Pevný disk Síť 2x 1 TB SATA Gigabit X1

44 Strana 43 Pracovní stanice HP (4x) Operační systém Procesor Operační paměť Čipová sada Pevný disk Microsoft Windows 7 Professional Intel Core 2 Duo E7500; 2,93 GHz 2x 2 GB DDR3 Intel G41 Express 500 GB SATA Síť Realtek 8103EL 10/100 Pracovní stanice ACER (1x) Operační systém Procesor Operační paměť Čipová sada Pevný disk Microsoft Windows XP Professional Intel Celeron, 2.80GHz 1248MB Intel 915GV 80GB SATA Síť Realtek 8110, 10/100 tabulka 4 výstup auditu použitého zařízení zdroj: autor 4.5 SW audit pro osobní použití Obdobně jako audit fyzických komponent sítě je třeba znát i programy a aplikace, které mohou síť využívat a nejen těch. Při problémech na síti může být příčinou nějaký program, který může například kolidovat s některým zařízením nainstalovaným v síti, popřípadě tento program nemusí být podporován určitým operačním systémem nebo jeho verzí. Program také může síť nepřiměřeně zahlcovat svou komunikací. Z těchto důvodů je nutné znát programovou konfiguraci použitého zařízení Možnosti SW auditu U auditu programového vybavení jsem nalezl hned několik volně použitelných nástrojů, které jsou schopné toto vybavení zjistit. Pro audit jsem použil nástroj Free PC Audit v 1.2, který je schopen zjistit nejen nainstalované aplikace, ale také komponenty počítače Provedení SW auditu Kompletní výstup auditu, tedy seznam aplikací, je nesmírně obsáhlý, z tohoto důvodu zde(v tabulce 5), pro přehled, uvedu jen ty aplikace, které jsou pro danou

45 Strana 44 společnost typické, často používané a mají spojitost se síťovým provozem, což znamená, že nebudu uvádět aplikace a programy využívané lokálně na jednotlivých stanicích. Název programu Verze Popis ABRA G Komplexní podnikový informační systém Adobe Reader Prohlížeč souborů ve formátu.pdf AVG 9.0 Antivirový program Total Commander 7.50 a Program pro efektivní spávu souborů ICQ 7.1 Komunikační chatovaní program Skype 4.1 Komunikační VoIP a chatovaní program Mozilla Firefox Internetový prohlížeč Internet Explorer Internetový prohlížeč Burn Aware Free Freeware vypalovací program OpenVPN Program pro zprostředkování virtální privátní sítě Opera Internetový prohlížeč LogMeIn Microsoft Office 2007 Program pro zprostředkování vzdáleného přístupu Sada kancelářského softwaru tabulka 5 stručný souhrn aplikací používaných v síti zdroj: autor

46 Strana 45 5 Aplikace diagnostického nástroje Wireshark Tato kapitola je věnována vlastní aplikaci diagnostického nástroje na podnikovou síť společnosti ABM Real, a.s.. Spuštění a analýza výstupů tohoto programu by předem schválena vedením společnosti a jeho použití bylo shledáno jako přínosné a legální (viz Potvrzení o svolení). 5.1 Důvody diagnostiky síťového provozu Hlavním důvodem pro diagnostiku a následné sledování počítačové sítě je zabezpečení. Jelikož prostřednictvím počítačové sítě probíhá důvěrná firemní komunikace, je více než žádoucí, aby bylo možné odhalit případné napadení této sítě. Dalším, ne méně důležitým, důvodem je sladování efektivity práce zaměstnanců, které firma zaměstnává a kteří s firemní sítí pracují. Nebylo by totiž výjimkou, kdyby zaměstnanci v pracovní době využívali síť nejen k pracovním účelům Pravidla pro užívání sítě Každá počítačová síť má základní pravidla pro její užívání. Tato pravidla mohou být nepsaná, ale i výslovně zakotvena například v pracovní smlouvě jako její součást. Původní koncepce počítačové sítě bohužel ani v nejmenším neobsahovala pravidla pro užívání sítě a při její nové realizaci, respektive při zálohování dat, byly zjištěny například několikanásobné duplicity dat. Jelikož uživatelé sítě používali jednotlivé pracovní stanice v administrátorském modu, měli přístup do všech částí sítě i do všech částí vlastní pracovní stanice. Při tvorbě nové podnikové sítě bylo tedy nutné vytvořit i pravidla pro její užívání a omezit uživatelům sítě pravomoci. Mezi stěžejní body podmínek užívání sítě patří zejména Ochrana firemních dat a Zákaz užívání sítě pro soukromé účely. Plnění, nebo lépe, neplnění těchto podmínek lze účinně sledovat pomocí diagnostického nástroje Wireshark. 5.2 Spuštění v konkrétní síti Při spuštění diagnostického nástroje v podnikové síti je základním problémem umístění tohoto nástroje z hlediska zapojení do sítě. Při legálním použití v rámci povolené analýzy odpadá problém s hledáním vhodného - utajeného - umístění, například kabelové odbočky pro zapojení zařízení na odposlech. Pokud není diagnostický nástroj nainstalován a použit přímo na serveru (což by bylo nestandardní - avšak možné - řešení), je nutné použít pracovní stanici, nebo lépe

47 Strana 46 přenosný počítač, a jeho zapojení do sítě zvolit tak, aby měl přístup ke všem datům na síti. Nejčastěji volený způsob zapojení je pomocí rozbočovače umístěného například před serverem nebo pomocí zapojení do přepínače. [16] Zde bylo zvoleno zapojení do přepínače, jak je znázorněno na obrázku 14. V přepínači bylo nutno nastavit funkci monitoring port na port, ke kterému byl tento přenosný počítač připojen, jelikož firmware 28 přepínače obsahuje ochranu proti MAC floodingu, ARP spoofingu a dalším technikám, pomocí kterých se WireShark snaží obcházet bezpečnostní opatření. obrázek 14 umístění diagnostického nástroje v počítačové síti zdroj: autor MAC flooding v praxi Z důvodu ochrany přepínače proti útokům typu MAC flooding nebylo možno tuto metodu aplikovat, a proto jsem se rozhodl pomocí praktického testu dvou počítačů propojených kříženým kabelem zjistit, jak je tento typ útoku proti počítačové síti vypadá, je-li zachycen programem WireShark. K útoku MAC flooding byl využit počítač s OS Linux s nainstalovaným programem macof, který je součástí balíku 28 firmware = programové vybavení jednoduššího elektronického zařízení (např. kalkulaček)

48 Strana 47 dsniff. Test trval 1 minutu při rychlosti sítě 100 Mbit/s, zachyceno bylo paketů. Výsledek testu je patrný na obrázku 15. obrázek 15 výstup programu Wireshark s podobou útoku MAC flooding zdroj: autor Nastavení filtrů pro konkrétní síť filtry: Při diagnostice provozu v síti společnosti ABM Real, a.s. byly použity následující Filtr ke zjištění, zda některá stanice v pracovní době nenavštěvuje sociální síť FaceBook (popřípadě jiný nedovolený server), tedy zda-li nějaký paket nemá něco společného s touto sítí (resp. neobsahuje textový řetězec facebook, popř. jiný), konkrétně: frame contains "facebook" Zachytávací filtr odeslaných a přijatých dat pro jednotlivé pracovní stanice host <IP adresa pracovní stanice> bylo nutno upravit z důvodu enormního datového toku způsobeného protokolem SMB. Toto velké množství paketů je způsobeno uložením uživatelských profilů na Samba serveru Proto je podoba filtru následující host <IP adresa pracovní stanice> and host not <IP adresa serveru>, tedy například host and host not Analýza výstupů V rámci provedení diagnostiky síťového provozu v dané organizaci byla plánována mimo četná pokusná spuštění dvě oficiální spuštění programu

49 Strana 48 Wireshark. První spuštění bylo předpokládáno na tedy pracovní den a druhé spuštění dne toto spuštění mělo za cíl monitorovat provoz mimo pracovní dny. Monitorování síťového provozu mělo pro oba termíny trvat 8 hodin, od 9:00 do 17:00. V průběhu oficiální diagnostiky bylo bohužel překvapivě zjištěno,že pokud by měl být soubor uložen na zálohovací disk (viz data storage obrázek 13), zabíral by příliš mnoho místa (řádově desítky GB). Bylo tedy rozhodnuto provést několik (5) menších měření v různých časech (viz Příloha 3). Tato menší měření byla poté zprůměrňována do hodnoty, která má vyjadřovat průměrný počet paketů procházející sítí během 10 minut provozu v pracovní den a o víkendu Výstupy průměrný provoz v pracovní den Na obrázku 16, který demonstruje příklad zachytávání v pracovní den, je možné vyčíst počet paketů, které sítí za jedno 10-minutové měření prošly. Jelikož se jednalo o provoz nové sítě, lze se domnívat, že tento údaj bude možno v budoucnu použít pro srovnání mohutnosti provozu jako referenční hodnotu běžného zatížení sítě. Během pracovního dne prošlo sítí v průměru paketů za 10 minut. obrázek 16 výstup programu Wireshark pro pracovní den zdroj:autor Výstupy průměrný provoz o víkendu Z obrázku 17 lze zjistit počet paketů procházejících sítí v průběhu části víkendu, kdy by provoz neměl být silný, z/do počítačů umístěných v kanceláři (PC 1 4 a PROVOZNI). Po 5 provedených 10-minutových měřeních bylo zjištěno, že v průměru sítí projde pakeů za 10 minut. Při budoucím zjištění jiné hodnoty bychom se mohli domnívat, že síť pracuje nestandardně.

50 Strana 49 obrázek 17 výstup programu Wireshark pro víkend zdroj:autor 5.4 Odhalení případných slabin sítě Tato část se zabývá popisem odhalených slabých míst podnikové sítě, které byly zjištěny pomocí diagnostického nástroje Odhalení nezabezpečené bezdrátové sítě Při testovacím spuštění diagnostického programu Wireshark v nově realizované počítačové síti byl zjištěn nezanedbatelný síťový provoz. Tento provoz byl zachycen i přesto, že síť měla být tou dobou bez větších známek zatížení, jelikož se nejednalo o pracovní den. Na základě tohoto testovacího sledování bylo zjištěno, že k počítači, který vlastní nájemník Irské restaurace (v rámci smluvní dohody připojena do sítě společnosti ABM Real, a.s.), je nelegálně a proti podmínkám smluvní dohody zapojen WiFi access point 29. Toto připojení bylo jednak nezabezpečené a tím umožňovalo komukoliv přístup k citlivým podnikovým datům, ale také vykazovalo značný datový provoz. [7] Bylo zjištěno, že toto připojení využívají nejen hosté restaurace, ale i její personál, který se v pracovní době nevěnoval pracovní činnosti a tím způsoboval nejen omezení kapacity připojení k Internetu pro pracovníky společnosti ABM Real, a.s., ale také ekonomické ztráty nájemníkovi a provozovateli této restaurace a to v důsledku plného nevyužívání lidských zdrojů Odhalení neznámé komunikace Po spuštění oficiálního sledování sítě byl zjištěn DNS request ze serveru colo.kangaroot.net. Obrázek 18 zobrazuje zachycenou komunikaci 29 WiFi access ponit = přístupový bod k bezdrátové síti

51 Strana 50 programem TShark, který byl spuštěn na serveru (TShark jednodušší verze programu Wireshark). obrázek 18 zachycená neznámá komunikace zdroj: autor Odhalení příčiny omezeného vzdáleného přístupu Dalším nedostatkem, který se podařilo díky diagnostice sítě odhalit, byla skutečnost, že při pokusech o vzdálený přístup pracovníka odpovědného za vedení účetnictví společnosti, byly zaznamenány potíže s tímto přístupem a zaměstnancem bylo tlumočeno, že rychlost připojení v odpoledních hodinách v době mezi 12:00 a 14:00 neodpovídá rychlosti připojení v jiných například nočních hodinách. Po zaznamenání této připomínky byl aplikován filtr na zachytávaný provoz pro tyto hodiny. Bylo zjištěno, že někteří pracovníci společnosti využívají po polední pauze připojení k Internetu pro soukromé účely (jak je možno vidět na obrázku 19, 20 a 21), tedy pro prohlížení obsahu internetových stránek, které nemají s pracovní činností žádnou souvislost. Jednalo se, mimo jiné, o servery youtube.com, facebook.com a srandicky.cz. obrázek 19 ukázka zachyceného paketu ze serveru youtube.com