5 шагов, чтобы прощупать свою сеть и увидеть все, что происходит в ней

0
1192
Ваша домашняя сеть является вашей крепостью. Внутри лежат тонны ценной информации — незашифрованные файлы, личные и частные данные и, возможно, самое главное то, что все это может быть украденное с компьютеров и использовано для любых целей.
Давайте поговорим о том, как вы можете исследовать свою домашнюю сеть, чтобы убедиться, что не имеете в ней каких-нибудь непрошеных гостей.
В статье покажем, как спланировать сеть, «заглянуть под одеяло», чтобы увидеть, кто разговаривает и о чем, и как раскрыть устройства или процессы, которые могут уменьшать пропускную способность. Короче говоря, вы будете в состоянии определить признаки того, что что-то в вашей сети находится под угрозой. Предполагаем, что вы знакомы с некоторыми такими основами сетей, как нахождение списке устройств на своем маршрутизаторе и что такое МАС-адрес.
Хотя, прежде чем идти дальше, мы должны выдать предупреждение:
Используйте эти полномочия для хороших дел и запускайте данные инструменты и команды только на оборудовании или в сети, которыми владеете или управляете. Цель нашей статьи научить вас, как это делается, чтобы вы смогли делать это самостоятельно и защитить себя, а не взламывать других.
Шаг первый. Сделайте карту сети
Прежде чем войти в свой компьютер, запишите то, что вы думаете, что знаете. Возьмите лист бумаги и запишите все свои подключенные устройства. Они включают такие вещи, как смарт-телевизоры, телевизионные приставки, ноутбуки и компьютеры, планшеты и телефоны, или любые другие устройства, которые могут быть подключены к сети. Если это поможет, нарисуйте карту своего дома, вместе с комнатами. Затем запишите каждое устройство и где он находится. Вы возможно удивитесь, сколько именно устройств подключено к Интернету одновременно.
Сетевые администраторы и инженеры признают, что этот шаг является первым шагом в изучении любой сети, с которой не знакомы. Через инвентаризацию устройств в ней определите их, а затем посмотрите, совпадает ли реальность с тем, что ожидали. Если (или когда) это не так, вы сможете быстро отделить то, что знаете, от того, что не знаете. Вы можете войти к маршрутизатору и посмотреть на его странице состояния, чтобы увидеть то, что подключено, но еще не работает.Если не можете определить все устройства в своей сети по их IP-адресам и MAC, то просто получите большой список вещей, который может включать каких-либо злоумышленников или нахлебников. Сделайте сначала физическую инвентаризацию, а затем перейдите к цифровой.
Шаг второй. Проверьте сеть, чтобы посмотреть, кто в ней
TapYou_Network_3
Если у вас есть физическая карта сети и список всех ваших доверенных устройств, пришло время, чтобы покопаться. Войдите в свой маршрутизатор и проверьте список подключенных к нему устройств. Это даст вам основной список имен, IP и МАС-адресов. Помните, список устройств вашего маршрутизатора может или не может показать все. Он должен показать, однако некоторые маршрутизаторы покажут только устройства, использующие маршрутизатор для получения своего IP-адреса. В любом случае, получить данный список — это хорошо, но мы хотим больше информации.
Далее, мы собираемся обратиться к Nmap. Для тех, кто незнаком, Nmap является кросс-платформенным инструмент сканирования сети с открытым исходным кодом, который может найти устройства в сети, наряду с тонной подробной информации об этих устройствах. Вы можете увидеть открытые порты, операционную систему, которая используется, IP и MAC-адреса, даже службы. Скачайте Nmap отсюда, прочтите данную инструкцию по его установки, и следуйте этим инструкциям для выявления узлов в домашней сети.
В нашем случае, автор установил и запустил его из командной строки (если хотите графический интерфейс, то Zenmap обычно доступен с инсталлятором), затем задал Nmap диапазон IP для сканирования, который используется для домашней сети. Были найдены большинство активных устройств в домашней сети, за исключением немногих, на которых есть некоторые расширенные функции безопасности (хотя их тоже можно выявить с некоторыми командами Nmap, которые можете найти по ссылкам выше.)
TapYou_Network_4
Сравните список Nmap со списком своего маршрутизатора. Вы должны увидеть те же самые вещи (если то, что вы записали ранее, и до сих пор не отключено). Если видите что-то на маршрутизаторе, что отсутствует в Nmap, попробуйте использовать Nmap непосредственно против этого IP-адреса. Затем, на основании того, что вы знаете, посмотрите на информацию об устройстве найденную Nmap. Если она утверждает, что это Apple TV, то, вероятно, не должна иметь службы, которые используют HTTP, например. Если это выглядит странно, исследуйте его специально для получения более подробной информации, как это сделано на скриншоте выше.Автор заметил, что одна из его машин отвергает запросы ping, которые делал Nmap, пропуская их. Автор задал Nmap просто зондировать его в любом случае, и убедиться, что устройство ответил достаточно.
Nmap является чрезвычайно мощным инструментом, но он не самый простой в использовании. Если вы немного «застенчивый пистолет», то есть и другие варианты. Angry IP Scanner — еще одна кросс-платформенная утилита, которая имеет красивый и простой в использовании интерфейс, который даст вам много той же информации. Утилита Who Is On My Wi-Fi предлагает подобные функции и может быть настроена на сканирование в фоновом режиме в случае, если кто-то заходит в Интернет, когда вы не смотрите. Wireless Network Watcher опять для Windows, является еще одной утилитой с красивым интерфейсом, которая, несмотря на свое название, не ограничивается лишь беспроводными сетями.
Шаг третий. Сниферить вокруг, чтобы посмотреть, кто и с кем разговаривает
В настоящее время, вы должны иметь список устройств, которые знаете и доверяете, и список устройств, которые нашли подключенными к сети. Если повезет, то на этом закончите, ибо все или совпадает или понятное (например, телевизор в настоящее время выключен). Тем не менее, если вы увидите любые не определенные актеры, запущены службы, которые не соответствуют устройства (почему ваш Roku запустил postgresql?), или чувствуете что-то еще не так, пришло время, чтобы сделать немного подслушивания. Для этого есть пакет снифера.
Когда два компьютера общаются в сети или через Интернет, они посылают друг к другу биты информации под названием «пакеты». Все эти пакеты вместе создают сложные потоки данных, которые составляют видео, которое мы наблюдаем, или документы, которые загружаем. Снифер пакетов является процессом сбора и изучения этих битов информации, чтобы увидеть, куда они идут и что они содержат. Чтобы сделать это, нам будет нужен Wireshark. Это кросс-платформенный инструмент мониторинга сети, который использован в нашем руководстве, чтобы сделать немного перехвата пакетов для сниферу паролей и куков.В данном случае, мы будем использовать его в подобной манере, но наша цель не захватить что-нибудь конкретное, а просто контролировать, какие типы трафика в сети. Чтобы сделать это, нужно запустить Wireshark через Wi-Fi в «promiscuous mode«. Это означает, что он не просто ищет пакеты, отправленные из/до компьютера, а собирает все пакеты, которые можно увидеть в нашей сети.
После установки, откройте WireShark и выберите Wi-Fi адаптер. Нажмите «options» рядом с ним, и, как вы видите в видео выше, можете выбрать «promiscuous mode» для этого адаптера. После того, как вы сделали это, можете начать захват пакетов. Когда начинаете захват, то собираетесь получить много информации. К счастью, Wireshark ожидает этого, и делает его легким для фильтрации.
TapYou_Network_5
Поскольку мы просто просматриваем, чтобы увидеть, что делают в сети подозрительные субъекты, убедитесь, что исследуемая система в Интернете. Идите вперед и захватите для начала несколько минут ценного трафика. Затем вы сможете фильтровать этот трафик на основе IP-адреса этого устройства, используя встроенные фильтры Wireshark. Выполнение описанного дает быстрый взгляд на то, IP-адрес отправителя и информация, которую он отправляет туда и обратно.Вы можете нажать правой кнопкой мыши на любой из этих пакетов, чтобы осмотреть его, следить за разговором между обоими концами и фильтровать все восхищение IP или беседы. Для более детального изучения,How-To Geek имеет подробное руководство по фильтрации Wireshark. Вы можете не знать, на что смотреть, но это немного слежения за тем, откуда входит.
Если увидите, что подозрительный компьютер что-то отправляет чужого IP-адреса, используйте команду nslookup (в командной строке в Windows, или в терминале в OS X или Linux), чтобы получить имя хоста.Это может многое сказать о месте и тип сети, к которой компьютер подключен. Wireshark также сообщает, какие порты используются, поэтому введите в Google номер порта и посмотрите, какие приложения используют его. Если, например, у вас есть компьютер с подключением к странному имени хоста через порты, которые часто используются для IRC или передачи файлов, то, возможно, обнаружили злоумышленника.Конечно, если найдете устройство, которое подключается к авторитетных служб с широко використовуваниими портами для таких вещей, как электронная почта или HTTP/HTTPS, то можете только найти, что наткнулись на планшет своего соседа, который никогда не говорил, что он принадлежит ему, или кто-то рядом ворует Wi-Fi. В любом случае, вы получите данные, необходимые, чтобы понять, что это не ваша собственность.
Шаг четвертый. Играйте долго и протоколюйте захваченные вами трофеи
TapYou_Network_6
Конечно, не каждый плохой актер в сети будет в Интернете и скачивать тогда, когда вы ищете его. До этого момента, мы научил вас, как проверить подключенные устройства, сканировать их, чтобы определить, чем они есть на самом деле, а потом сниферити немного их трафик, чтобы убедиться, что все соответствует их роли. Тем не менее, что делать, если подозрительный компьютер делает свое черное дело ночью, когда вы спите, или кто-то использует ваш Wi-Fi, когда вы весь день находитесь на работе, а не рядом, чтобы проверить?
Есть несколько путей решения этого. Прежде всего, приложение who’s On My Wi-Fi, который может работать в фоновом режиме на вашем компьютере с Windows, и видеть, что кто-то подключился и когда. Он может уведомить вас, когда вы не смотрите за ним, чтобы знали, когда кто-то подключится к сети. Вы можете оставить его работать на компьютере у себя дома, а потом, когда просыпаетесь, или вернулись домой с работы, посмотреть, что случилось, пока вы не смотрели.
TapYou_Network_7
Ваш следующий вариант, это проверить возможности регистрации своего маршрутизатора. Как правило, спрятана в глубине параметров неполадок или безопасность вашего маршрутизатора, вкладка посвящена регистрации.Как много можете сохранить и какую информацию, меняется в зависимости от маршрутизатора, но можете увидеть на скриншоте выше, можно хранить входящий IP, номер порта назначения, исходный IP или URL фильтруется согласно устройства в вашей сети, внутренней IP-адрес и MAC адрес устройств, и какие устройства в вашей сети проверены в маршрутизаторе с помощью DHCP для получения своего IP-адреса (и, по прокси, которое не имеют). Это достаточно надежно, и чем дольше вы оставили журналы запущенными, тем больше информации можете захватить.
Пользовательские прошивки, как DD-WRT и Tomato позволяют отслеживать и регистрировать пропускной способности и подключения устройств до тех пор, пока вы хотите, и даже может сбросить эту информацию в текстовый файл, который можно просеять позже. В зависимости от того, как вы налаштовали свой маршрутизатор, он может даже отправлять вам файл регулярно или поместить его на внешний жесткий диск или NAS.В любом случае, использовать часто игнорируемые функции регистрации своего маршрутизатора — это отличный способ увидеть, что, например, после полуночи, когда все пошли спать, ваш игровой ПК вдруг начинает работать и передавать много исходных данных, или у вас есть регулярные пиявку, что любят прыгать на ваш беспроводной доступ в Интернет и начинать загрузку торрентов в течение часов.
Ваш последний вариант, и это ядерный вариант, просто дайте Wireshark захватить в течение нескольких часов или дней. Это не неслыханно, и много сетевых администраторов делает именно так, когда действительно анализируют странное поведение в сети. Это отличный способ придавить плохих актеров или говорящие устройства. Тем не менее, вариант требует оставлять компьютер в течение длительного времени, постоянно сниферити пакеты в сети, захватывая все, что происходит в ней, и эти журналы могут забрать немалый объем на винчестере.Вы можете обрезать несколько с помощью фильтрации IP увлечений или типа трафика, но если не уверены, что именно ищете, то получите много данных, которые надо просеять, когда просматриваете захваченное в течение даже нескольких часов. Тем не менее, это, безусловно, расскажет вам все, что нужно знать.
TapYou_Network_8
Во всех этих случаях, когда имеется достаточно данных в журнале, вы можете узнать, кто использует вашу сеть, когда, и их устройства совпадают с картой сети, которую вы сделали ранее
Шаг пятый. Блокировки своей сети от наступавших
TapYou_Network_9
Если вы следовали вместе с нами до этого места, то уже определили устройства, которые должны иметь возможность подключиться к домашней сети, и те, которые на самом деле подключены, определенные различия и, надеемся, разобрались, есть ли какие-нибудь плохие актеры, неожиданные устройства, или торчат пиявки. Теперь все, что вам нужно сделать, это бороться с ними, и, что странно, это самая простая часть.
Wi-Fi пиявки будут делать попытки загрузки, как только вы заблокируете свой маршрутизатор. Прежде, чем сделать еще что-то, измените пароль маршрутизатора и отключите WPS, если он включен. Если кому-то удалось войти непосредственно к маршрутизатору, то вы же не хотите сменить одни вещи и оставить то, через что они вошли и получили доступ. Убедитесь, что используете хороший, сильный, пароль, который сложно взломать методом грубой силы. Потом проверьте обновление прошивки.Если пиявка использовала эксплойта или уязвимости в прошивке маршрутизатора, это удержит их, предполагая, что уязвимость была исправлена, конечно. Наконец, убедитесь, что режим безопасности беспроводной сети установлен на WPA2 (WPA и WEP очень легко сломать) и измените свой Wi-Fi пароль на другой хороший, длинный пароль, который не может быть грубо подобран. Тогда, только для устройств, которые должны быть в состоянии перепид’єднатися, дайте новый пароль.
Это должно защитить от тех, кто качал через ваш Wi-Fi и делал всю свою загрузки в сети. Также это помогает с безопасностью проводного подключения. Если можете, то должны сделать еще несколько дополнительных шагов для беспроводной безопасности: отключение удаленного администрирования, отключение UPnP и, конечно, посмотреть ваш маршрутизатор поддерживает Tomato или DD-WRT.
Вы должны кое-что сделать для плохих актеров на своих проводных компьютерах. Если это физическое устройство, то он должен иметь прямое подключение к маршрутизатору. Начните с отслеживания кабелей и поговорите с соседями по комнате или семьей, чтобы увидеть что к чему присоединено. В худшем случае, вы всегда можете снова войти на маршрутизатор и полностью блокировать подозрительную IP-адрес.Владелец работающей телеприставки или спокойно подключенного компьютера прибежит достаточно быстро, когда они перестанут работать.
TapYou_Network_10
Наибольшее беспокойство вызывают компроментовани компьютеры. Настольный компьютер, который был похищен и присоединен к бот-сети для добычи Bitcoin, например, или машина, заражена вредоносными программами, которая называется вами и посылает вашу личную информацию, кто знает куда, может быть плохим. После того, как вы сузить поиск конкретных компьютеров, пришло время, чтобы искоренить проблемы на каждой машине. Если действительно обеспокоены, примите подход к проблеме как инженер по безопасности: после того, как ваши машины сменили владельца, они более не заслуживают доверия.Уберите их прочь, переустановите или восстановите систему из резервных копий. (У вас есть резервные копии своих данных, не так ли?) Просто убедитесь, что держите контроль над ПК после всего — вы же не хотите восстановить с зараженной резервной копии и начинать процесс снова и снова.
Если готовы засучить рукава, то можете захватить мощную антивирусную утилиту и серьезный сканер вредоносных программ (так, вам нужно, оба), и попытаться очистить компьютер, который под вопросом.Если увидели трафик для определенного типа приложений, посмотрите, это не вредоносные программы или просто кто-то установил плохое для себя. Продолжайте сканирование до тех пор, пока не будет все чисто и продолжайте проверку трафика с данного компьютера, чтобы убедиться, что все в порядке.
Мы действительно только поцарапали поверхность, когда дело дошло до мониторинга и безопасности сети. Есть тона специальных инструментов и методов, которые специалисты используют для защиты своих сетей, но указанные шаги будут полезными для вас, если вы админ сети своего дома и семьи.
Искоренение подозрительных устройств или пиявок в сети может быть длительным процессом, который требует слежения и бдительности. Тем не менее, мы не стараемся делать вас параноиками. Есть шансы, что вы не найдете чего-то чрезвычайного, и медленные загрузки или дрянные скорости Wi-Fi является чем-то совсем другим. Тем не менее, это хорошо, знать, как исследовать сеть и что делать, если нашли что-то незнакомое.
Только не забудьте всегда использовать свои полномочия, не выходя за их рамки.