- •Основні складові підсистеми безпеки windows 9x.
- •2. Перелічить, які саме ресурси windows 9x захищаються.
- •3. Структура системного реєструWindows.
- •4. Наведіть приклади окремих ключів системного реєстру, які відіграють значну роль у захисті ос Windows.
- •5. Необхідність створення, місце розташування та зміст файлу парольного кеша windows 9x.
- •023E: Ресурс 0 Ресурс 1
- •6. Принципи шифрування, які використовуються у файлі парольного кешу windows 9x.
- •7. Порівняйте захист файлу парольного кешу у windows v4.0 та Windows v4.1. З якої причини перша вважається менш захищеною?
- •8. Перелічить міри по захисту парольного кешу windows 9x.
- •9. Які методи та програмні засоби використовуються хакерами для злому файлів парольного кешу?
- •10. Основні складові підсистеми безпеки windows 2k.
- •12. Порівняйте принципи побудови файлових систем fat та ntfs. Чому остання дає можливість більш потужного захисту ос windows?
- •13. В чому суть системи захисту та розмежування доступу, які надає файлова система ntfs?
- •14. Роль файлу sam у системі захисту windows 2k. Які мери по обмеженню доступу до нього Ви знаєте?
- •17. Види хешування паролів у windows 2k. Порівняйте їх по криптостійкості.
- •18. Роль системи syskey в захисті облікових записів windows 2k.
- •19. Принцип шифрування з допомогою утиліти syskey. Де можуть зберігатись ключі syskey?
- •20. Загальна характеристика методів атак на файл sam.
- •27. Перелічіть складові комплексних мір по захисту ос Windows 2k від локальних атак
- •28. Адміністрування паролів в Windows 2k
- •29. Адміністрування мережних ресурсів в Windows 2k
- •30. Якім чином та за яких умов здійснюється віддалене адміністрування у windows 2k?
- •Место для 33-35
- •40. Поняття портів комп'ютера. Чи мають вони відношення до портів вводу – виводу?
- •41. Перелічите основні види стану портів комп'ютера.
- •42. Пояснить, чому відкрити порти можуть загрожувати безпеці комп'ютера.
- •43. Tcp та udPмережніпротоколи. Їхособливості. Процедура handshake
- •44. Взаємодіякомп'ютерів у локальноїмережі.
- •Перевагиоб'єднаннякомп'ютерів у локальну мережу
- •Технологія
- •45. Служба NetBios. Чомуїївикористанняпідвищуєнебезпекукомп'ютера при роботі у мережі?
- •46. Пояснить основні принципи мережного сканування.
- •47. Перелічите основні види сканування та деякі програми для його виконання.
- •48. Шляхи запобігання мережному скануванню та визначення атакуючого.
48. Шляхи запобігання мережному скануванню та визначення атакуючого.
Контрзаходи: захист від сканування портів
Як правило, зломщики удаються до сканування TCP- і UDP-портов видаленого комп'ютера, щоб встановити, які з них знаходяться в стані очікування запитів. Тому виявити факт сканування — значить, встановити, в якому місці і ким буде зроблена спроба злому. Основні методи виявлення факту сканування полягають або у використанні спеціальної програми, призначеної для виявлення вторгнень на рівні мережі (IDS), такий як NFR, або у використанні механізму захисту на рівні окремого вузла.
У системі Windows NT також доцільно відключити всі непотрібні служби. Проте зробити це складніше, оскільки із-за мережевої архітектури Windows NT принаймні Порт 139 повинен працювати постійно. Проте, решту служб можна відключити, запустивши аплет Services панелі управління. Способи порушення безпеки системи Windows NT і контрзаходи, які можна зробити для їх запобігання, детальніше будуть розглянуті в розділі 5. Тут же варто згадати про те, що компанією Tiny Software (www.tinysoftware.com) розповсюджується модуль ядра, що дозволяє виконувати фільтрацію вхідних пакетів. За допомогою цього модуля можна захистити більшість важливих портів. Що ж до інших операційних систем і пристроїв, то нам залишається лише порадити якомога уважніше прочитати відповідне довідкове керівництво. Постарайтеся знайти в них інформацію про те, які порти вам дійсно необхідні і як відключити останні, щоб звести ризик до мінімуму.
Захист від сканування IP-адрес
Оскільки несанкціоноване прослуховування мережі в кращому випадку викликає роздратування у системних адміністраторів, існують відповідні контрзаходи, які здатні як виявити факт самого прослуховування, так і заблокувати проходження пакетів, що передаються при ping-прослуховування.
Як уже зазначалося, ICMP-і TCP-прослуховування - це загальноприйняті методи дослідження мережі перед безпосередньою спробою проникнення. Тому виявлення факту прослуховування дуже важливо з точки зору можливості отримання інформації про потенційного місці проникнення і джерелі загрози.
Втім, отримати можливість своєчасного виявлення факту прослуховування мережі - ще не означає вирішити проблему. Не менш важливо в цьому випадку вміти запобігти можливість прослуховування мережі. Перший крок у цьому напрямку - оцінити, наскільки важливий обмін даними по протоколу ICMP між вузлами конкретної локальної мережі. Є безліч різноманітних типів пакетів ICMP, і згадувані вище пакети ICMP ECHO і ICMP ECHO_REPLY - всього два з них. У більшості випадків немає ніякої необхідності дозволяти обмін даними між вузлами мережі і Інтернетом з використанням усіх наявних типів пакетів. Практично всі сучасні брандмауери (як апаратні, так і програмні) володіють можливістю фільтрувати пакети ICMP. Тому, якщо в силу ряду причин неможливо повністю блокувати всі типи повідомлень ICMP, слід обов'язково заблокувати ті типи повідомлень, які не потрібні для нормального функціонування мережі. Приміром, якщо в корпоративній мережі є сервер, розміщений у демілітаризованій зоні (DMZ-зона), то для нормального функціонування сервера цілком достатньо вирішити ICMP-повідомлення типу ECHO_REPLY, HOST UNREACABLE і TIME EXCEEDED. Крім того, у багатьох випадках брандмауери дозволяють створювати список IP-адрес, за якими дозволений обмін повідомленнями по протоколу ICMP. У цьому випадку можна дозволити обмін повідомленнями ICMP тільки в провайдером Інтернету. Це, з одного боку, дозволить провайдеру виробляти діагностику з'єднання, а з іншого - утруднить несанкціоноване прослуховування мережі.
Слід завжди пам'ятати, що, незважаючи на всі зручність протоколу ICMP для діагностування мережевих проблем, він може з успіхом використовуватися і для створення цих самих проблем. Дозволивши необмежений доступ в мережу по протоколу ICMP, ви тим самим дозволите хакерам реалізувати напад типу DoS.
Виявлення факту атаки мережі
Як вже мовилося, ICMP- і TCP-прослушивание є загальноприйнятим методом дослідження мережі перед безпосередньою спробою проникнення в мережу. Тому виявлення факту прослуховування дуже важливе з погляду можливості отримання інформації про потенційне місце проникнення і джерело загрози. Одін з основних методів виявлення прослуховування полягає у використанні мережевої програми виявлення вторгнень, такий як Network Flight Recorder (NFR), або програми, встановленої на досліджуваному зломщиком вузлі. Нижче приведений алгоритм, який можна реалізувати в програмі, призначеній для виявлення факту прослуховування.
# Виявлення прослуховування за допомогою Icmp/ping # Автор — Стюарт Мак-клар (Stuart Mcclure) # Ця програма призначена для виявлення ping-сканера, що вивчає вашу мережу # Для отримання якнайкращих результатів # встановите потрібні значення maxtime і maxcount.