- •Воронеж 2008
- •Воронеж 2008
- •Введение
- •1 Подбор пароля
- •1.1 Общие понятия парольной защиты
- •1.1.1 Парольная система
- •1.1.2 Методы подбора паролей
- •1.1.3 Методы количественной оценки стойкости паролей
- •1.2 Парольная защита операционных систем
- •1.2.1 Подбор паролей в ос Windows
- •1.2.1.1 База данных учетных записей пользователей
- •1.2.1.2 Хранение паролей пользователей
- •1.2.1.3 Использование пароля
- •1.2.1.4 Возможные атаки на базу данных sam
- •1.2.2 Подбор паролей в ос unix
- •1.3 Классификация и принцип работы программного обеспечения для подбора паролей
- •1.3.1 Подбор паролей в oc Windows
- •1.3.2 Подбор паролей в oc unix
- •1.3.3 Подбор паролей в архивах zip, rar и arj
- •1.3.4 Подбор паролей документов ms Office
- •1.3.5 Подбор паролей pdf документов
- •1.4 Противодействие подбору паролей
- •1.4.1 Требования к паролю
- •1.4.2 Правила назначения/изменения паролей
- •1.4.3 Требования к генерации паролей
- •1.4.4 Хранение пароля пользователем
- •1.4.5 Хранение паролей компьютерной системой
- •1.4.6 Противодействие попыткам подбора паролей
- •1.4.7 Защита Windows nt и Unix от подбора паролей
- •2.1.2 Протокол tcp
- •2.1.2.1 Функции протокола tcp
- •2.1.2.2 Базовая передача данных
- •2.1.2.3 Разделение каналов
- •2.1.2.4 Управление соединениями
- •2.1.2.5 Заголовок тср-сегмента
- •2.1.2.6 Состояния соединения
- •2.2 Основные методы, применяемые при сканировании портов
- •2.2.1 Методы сканирования tcp-портов
- •2.2.1.1 Методы открытого сканирования
- •2.2.1.1.1 Метод icmp-сканирования
- •2.2.1.1.2 Сканирование tcp-портов функцией connect()
- •2.2.1.1.3 Сканирование tcp-портов флагом syn
- •2.2.1.1.4 Сканирование tcp-портов флагом fin
- •2.2.1.1.5 Сканирование с использованием ip-фрагментации
- •2.2.1.1.6 Сканирование tcp-портов методом reverse-ident (обратной идентификации)
- •2.2.1.1.7 Сканирование Xmas
- •2.2.1.1.8 Null сканирование
- •2.2.1.2 Методы "невидимого" удаленного сканирования
- •2.2.1.2.1 Скрытая атака по ftp
- •2.2.1.2.2 Сканирование через proxy-сервер
- •2.2.1.2.3 Скрытное сканирование портов через системы с уязвимой генерацией ip id
- •2.2.1.2.3.1 Исторические предпосылки
- •2.2.1.2.3.2 Описание базового метода ip id сканирования
- •2.2.1.2.3.3 Исследование правил и обход брандмауэра при сканировании
- •2.2.1.2.3.4 Сканирование машин с приватными адресами
- •2.2.1.2.3.5 Использование ip id при сканирование udp сервисов за брандмауэром
- •2.2.2 Методы сканирования udp-портов
- •2.2.2.1 Сканирование udp-портов проверкой icmp-сообщения «Порт недостижим»
- •2.2.2.2 Сканирование udp-портов с использованием функций recvfrom() и write()
- •2.3.1 Сканирование портов в ос семейства Windows
- •2.3.2 Сканирование портов в ос семейства Unix
- •2.4 Защита от сканирования портов
- •3 Анализ сетевого трафика
- •3.1 Анализ сетевого трафика сети Internet
- •3.1.1 Ложные arp-ответы
- •3.1.2 Навязывание ложного маршрутизатора
- •3.1.3 Атака при конфигурировании хоста
- •3.1.4 Атака на протоколы маршрутизации
- •3.2 Протокол telnet
- •3.2.1 Протокол ftp
- •3.2.3 Программы анализаторы сетевого трафика (сниффиры)
- •3.2.4 Принцип работы сниффира
- •3.3 Методы противодействия сниффирам
- •3.3.1 Протокол ssl
- •3.3.2 Протокол skip
- •3.3.3 Устройство обеспечения безопасности локальной сети skipBridge
- •4 Внедрение ложного доверенного объекта
- •4.1 Особенности атаки «Внедрение ложного доверенного объекта»
- •4.2 Внедрение ложного объекта путем использования недостатков алгоритмов удаленного поиска
- •4.2.1.1 Протокол arp и алгоритм его работы
- •4.2.1.2 Техника выполнения arp-spoofing
- •4.2.1.3 Методы обнаружения
- •4.2.1.4 Методы противодействия
- •4.2.2.1 Принцип работы Domain Name System
- •4.2.2.2 Внедрение dns-сервера путем перехвата dns-запроса
- •4.2.2.3 «Шторм» ложных dns ответов на атакуемый хост
- •4.2.2.4 Перехват dns-запроса или создание направленного «шторма» ложных dns-ответов непосредственно на атакуемый dns-сервер
- •4.2.2.5 Обнаружение и защита от внедрения ложного dns-сервера
- •4.3.1.2 Внедрение ложного доверенного объекта путем навязывания ложного маршрута с помощью протокола icmp
- •4.3.1.3 Обнаружение и методы противодействия
- •5 Отказ в обслуживании
- •5.1 Модель DoS атаки
- •5.1.1 Отказ в обслуживании (DoS)
- •5.1.2 Распределенный отказ в обслуживании (dDoS)
- •5.2.1.1 Описание утилиты для реализации icmp – флуда и атаки Smurf
- •5.2.1.2 Реализация атаки icmp-flooding, на основе отправки icmp-пакетов
- •5.2.1.3 Реализация атаки Smurf
- •5.2.3 Низкоскоростные dos-атаки
- •5.2.3.1 Механизм таймаута tcp-стека
- •5.2.3.2 Моделирование и реализация атаки
- •5.2.3.2.1 Минимальная скорость DoS-атаки
- •5.2.3.3 Многопоточность и синхронизация потоков
- •5.2.3.5 Атаки в сети интернет
- •5.2.4 Syn атака
- •5.3 Анализ средств и методов сетевой защиты
- •5.3.1 Настройка tcp/ip стека
- •5.3.4 Межсетевые экраны (FireWall)
- •5.3.5 Системы обнаружения атак (ids)
- •5.3.6 Система Sink Holes
- •Заключение
- •Список информационных источников
- •394026 Воронеж, Московский просп., 14
1.4.2 Правила назначения/изменения паролей
Важнейшей составляющей системы информационной безопасности является подсистема аутентификации пользователей. При этом подсистема аутентификации должна соблюдать правила назначения/изменения паролей. Правила назначения/изменения паролей предусматривают проверку на стойкость пароля к подбору. Подсистема аутентификации должна проверять введенные пользователем пароли при регистрации на минимальную длину, присутствие символов разного регистра и цифр, также должна проверять что слово не находится в словарях.
Другой способ предотвращения подбора паролей заключается в хранении так называемых "социальных словесных конструкций" для каждого пользователя. Эти конструкции можно применять в качестве шаблона при сопоставлении с ними вводимых паролей, и пользователям не будет позволено использовать эти данные в своих паролях. Эта информация может содержать имена супругов, детей, домашних животных, место рождения, юбилей, день рождения и т.д.
В некоторых организациях, например, связанных с оборонным комплексом, может предъявляться требование генерировать автоматически пароль для каких-либо пользователей. Обычно при генерации таких паролей используется разное количество печатных знаков. Генерирование паролей подсистемой аутентификацией возможно, если она имеет достаточный уровень криптографической стойкости. После генерации такой пароль передается пользователю. Недостатком является то, что такой пароль нелегко запомнить. Пользователи имеют тенденцию записывать эти пароли на клочках бумаги, которые могут быть утеряны или похищены.
Другая важная особенность заключается в сроке действия пароля. Если срок действия пароля не определен, то похищенный пароль может использоваться постоянно. Но если пароль имеет определенный срок действия, то в случае компрометации пароля, остается шанс, что проблема разрешится сама собой после изменения пароля в назначенный срок.
Парольная система может подразумевать несколько вариантов смены пароля:
1) По запросу пользователя. В этом случае инициатива принадлежит пользователю, необходимо только обосновать причину смены и поставить в известность администратора системы или службу безопасности.
2) По времени. Например, запоминается последняя дата смены пароля и по прошествии месяца при входе в компьютерную систему или выходе из нее выдается предупреждающее сообщение и предлагается сменить пароль. Срок действия пароля должна определять служба безопасности (администратор) в каждой конкретной системе исходя из важности информации хранящейся в системе и риска раскрытия пароля. Парольная система должна также предупреждать службу безопасности заранее об истечении сроков действия паролей пользователей и требовать их смены.
3) По требованию администратора (службы безопасности). Он имеет право сменить не только свой пароль, но и пароль пользователя. Например, была попытка несанкционированного входа в систему с подбором пароля или срок его действия истек, а пользователь пароль не меняет и т.д. При появлении опасности вторжения в систему необходимо менять все пароли, а не только те, которые были вовлечены в инцидент с попыткой проникновения в систему.
Для смены пароля предлагается следующий алгоритм действий. Вначале надо получить разрешение у службы безопасности (администратора) на эту операцию и новый пароль. Возможен и такой вариант, где сменить пароль пользователя может только администратор или служба безопасности, хотя организационно это выглядит несколько сложнее. Перед сменой пароля система должна обязательно запросить "старый" пароль и, после проверки его на правильность, предложить ввести новый. При этом он также как и при вводе не должен отображаться на экране компьютера, а во избежание ошибки при наборе на клавиатуре необходимо повторить набор дважды. Это гарантирует от опечатки. Причем, новый пароль вступает в силу лишь тогда, когда пользователь вышел из системы, то есть, только на следующий сеанс работы. И если вдруг потребуется снова сменить пароль (в том же сеансе работы), то нужен тот пароль, с которым ранее входили в систему, а не только что введенный.
При наличии списка запрещенных к использованию комбинаций, надо проверить, не попадает ли новый пароль в этот список. Необходимо сделать запись о смене пароля в системный журнал (кто и когда сменил пароль).
Система должна проконтролировать и такую ситуацию, когда новый пароль аналогичен предыдущему, т.е. реально пароль не меняется, а происходит лишь имитация его смены. Должен присутствовать и контроль повторяемости пароля, а при необходимости и его дублируемости с другим пользователем в случае многопользовательских систем.
По окончании сеанса работы система должна обязательно напомнить пользователю о смене пароля.
Ниже представлен образец правил назначения/изменения паролей:
- вход всех пользователей в подсистему аутентификации должен подтверждаться вводом уникального для пользователя пароля;
- пароль никогда не отображается на экране;
- любое изменение пароля требует двукратного его ввода;
- при превышении лимита ввода неправильного пароля блокировка учетной записи;
- пароли по умолчанию должны быть сменены до официального запуска системы и даже до сколь либо публичных испытаний программного комплекса, особенно это относится к сетевому программному обеспечению;
- через определенные промежутки времени необходима принудительная смена пароля у пользователей. Наиболее часто используемыми интервалами смены пароля являются год, месяц и неделя, в зависимости от уровня конфиденциальности информации и частоты входа в систему;
- необходимо детально инструктировать пользователей о понятии «простой к подбору пароль»;
- пароли желательно проверять современными программами подбора паролей;
- пароль нельзя использовать повторно, по крайней мере, в течение 24 месяцев после его последнего использования;
- пароль должен оставаться действующим не более 90 дней после последнего изменения.