152
Проблема передачи открытого сетевого трафика решается прежде всего тем, что в технологии терминального доступа вся обработка защищаемых данных выполняется на сервере, а на рабочие станции передается лишь измененное содержимое информационных окон соответствующих приложений. Кроме того, возможно шифрование трафика средствами терминального сервера. Терминальный сервер поддерживает несколько уровней безопасности, каждый из которых определяет направление шифруемого трафика и длину ключа, используемого при шифровании.
В состав Windows Server 2003 включена служба Microsoft Terminal Services (MSTS) [18]. Она предоставляет возможность либо удаленно администрировать сервер, либо превратить его в сервер приложений (терминальный сервер). Кроме того, существует надстройка над данной службой, разработанная компанией Citrix, которая вводит ряд дополнительных возможностей и увеличивает число поддерживаемых платформ.
Следует отметить, что сама реализация MSTS не свободна от недостатков, которые потенциально могут быть применены злоумышленниками для нарушения безопасности данных. Так как все пользователи, подключающиеся к серверу в терминальном режиме, по сути, осуществляют интерактивный вход в систему, то они могут зарегистрироваться в системе с консоли сервера. Следовательно, использование терминального сервера предъявляет повышенные требования к администрированию и к выполнению необходимых настроек безопасности применяемого программного обеспечения.
Безопасность режима терминального доступа обеспечивается совокупностью настроек ОС Windows Server 2003, серверной части MSTS и протокола терминального доступа — RDP. В каждом из этих компонентов реализованы различные механизмы защиты, но в то же время каждый компонент имеет собственные уязвимости, которые могут быть использованы злоумышленниками.
6.2. Обеспечение безопасности ОС Windows Server 2003
Основными группами уязвимостей ОС Windows Server 2003, которые представляются актуальными для защиты в терминальном режиме, являются:
−возможность сетевого доступа к обрабатываемой сервером информации;
−возможность расширения полномочий при осуществлении локального доступа.
6.2.1. Ограничение возможности сетевого доступа
Возможность сетевого доступа реализуется благодаря излишнему количеству сетевых сервисов, по умолчанию предоставляемых сервером ОС Windows Server 2003. Упорядоченный по наименованию перечень сетевых сервисов, функционирующих в ОС по умолчанию, приведен в табл. 6.1. Полный перечень сетевых сервисов ОС Windows Server 2003 приведен в Приложении 2.
153
Таблица 6.1 Перечень сетевых сервисов ОС Windows Server 2003
Порт |
Тип |
Протокол |
Наименование системной службы |
137 |
TCP |
NetBIOS Name Resolution |
Computer Browser |
137 |
UDP |
NetBIOS Name Resolution |
Computer Browser |
138 |
UDP |
NetBIOS Datagram Service |
Computer Browser |
139 |
TCP |
NetBIOS Session Service |
Computer Browser |
139 |
TCP |
NetBIOS Session Service |
Fax Service |
445 |
TCP |
SMB |
Fax Service |
445 |
UDP |
SMB |
Fax Service |
500 |
UDP |
IPSec ISAKMP |
IPSec Services |
138 |
UDP |
NetBIOS Datagram Service |
License Logging Service |
139 |
TCP |
NetBIOS Session Service |
License Logging Service |
445 |
TCP |
SMB |
License Logging Service |
445 |
UDP |
SMB |
License Logging Service |
138 |
UDP |
NetBIOS Datagram Service |
Messenger |
137 |
TCP |
NetBIOS Name Resolution |
Net Logon |
137 |
UDP |
NetBIOS Name Resolution |
Net Logon |
138 |
UDP |
NetBIOS Datagram Service |
Net Logon |
139 |
TCP |
NetBIOS Session Service |
Net Logon |
3389 |
TCP |
Terminal Services |
NetMeeting Remote Desktop Sharing |
139 |
TCP |
NetBIOS Session Service |
Performance Logs and Alerts |
139 |
TCP |
NetBIOS Session Service |
Print Spooler |
445 |
TCP |
SMB |
Print Spooler |
445 |
UDP |
SMB |
Print Spooler |
135 |
TCP |
RPC |
Remote Procedure Call |
139 |
TCP |
NetBIOS Session Service |
Remote Procedure Call Locator |
445 |
TCP |
SMB |
Remote Procedure Call Locator |
445 |
UDP |
SMB |
Remote Procedure Call Locator |
4500 |
UDP |
NAT-T |
Routing and Remote Access |
137 |
TCP |
NetBIOS Name Resolution |
Server |
137 |
UDP |
NetBIOS Name Resolution |
Server |
138 |
UDP |
NetBIOS Datagram Service |
Server |
139 |
TCP |
NetBIOS Session Service |
Server |
445 |
TCP |
SMB |
Server |
445 |
UDP |
SMB |
Server |
1900 |
UDP |
SSDP |
SSDP Discovery Service |
5000 |
TCP |
SSDP legacy event notification |
SSDP Discovery Service |
3389 |
TCP |
Terminal Services |
Terminal Services |
137 |
TCP |
NetBIOS Name Resolution |
Windows Internet Name Service |
137 |
UDP |
NetBIOS Name Resolution |
Windows Internet Name Service |
123 |
UDP |
NTP |
Windows Time |
123 |
UDP |
SNTP |
Windows Time |
154
Как известно, перечень открытых сетевых портов может быть получен командой netatat –aon. Результаты выполнения этой команды для ОС Windows Server 2003 приведены на рис. 6.1.
Рис. 6.1. Результаты выполнения команды netstat
Согласно приведенной выше схеме организации доступа к защищаемым данным, сервер терминального доступа должен выполнять только задачу обеспечения службы MSTS. Сервер терминального доступа, в частности, не должен выполнять функции контроллера домена. Таким образом, из перечня функционирующих по умолчанию сетевых служб должны быть исключены все службы кроме службы Terminal Services, TCP-порт 3389.
Для обеспечения защиты сетевого трафика дополнительно может понадобиться функционирование службы IPSec Services (UDP-порт 500), а также иных служб, используемых специализированными СЗИ.
Исключение служб может быть осуществлено двумя способами: остановом службы в оснастке Services (рис. 6.2) либо запрещением доступа к службе с применением межсетевого экранирования.
Способом останова должны быть исключены службы: Computer Browser, Server, Windows Internet Name Service, Net Logon, Messenger, License Logging Service, Fax Service, Performance Logs and Alerts, Print Spooler, Remote Procedure Call Locator, Routing and Remote Access, SSDP Discovery Service, Windows Time. Отключение службы Remote Procedure Call, функционирую-
щей на 135 TCP-порту, приводит к неработоспособности узла, поэтому запрет доступа к этому порту будет производиться с использованием технологии межсетевого экранирования.
Путем модификации настройки сетевых соединений (рис. 6.3) и отключения службы NetBIOS через TCP/IP запрещаются службы, использующие порт TCP 139.
155
Рис. 6.2. Окно перечня служб ОС Windows
Рис. 6.3. Окно настройки свойств протокола TCP/IP
156
В итоге после отключения вышеуказанных служб открытыми остаются порты TCP: 135, 445, 1025, 3389; UDP: 445, 500, 4500 (рис. 6.4). Запретить данные порты, являющиеся, безусловно, опасными с точки зрения осуществления несанкционированного доступа, возможно лишь путем межсетевого экранирования.
Рис. 6.4. Перечень открытых портов, остающихся после останова сетевых служб
Технология межсетевого экранирования в ОС Windows Server 2003 может быть применена с использованием:
−настроек протокола IPSec;
−штатного межсетевого экрана «Брандмауэр Windows»;
−дополнительного межсетевого экрана, реализованного сертифицированным средством защиты информации.
Вслучае использования настроек протокола IPSec ограничение доступа
кпортам может быть осуществлено либо через параметры фильтрации протокола TCP/IP в окне дополнительных параметров свойств протокола TCP/IP (рис. 6.5), либо путем создания шаблона безопасности для IP-протокола в окне «Локальная политика безопасности» (рис. 6.6).
При использовании параметров фильтрации протокола TCP/IP необходимо запретить все порты, кроме порта TCP 3389, отвечающего за функционирование MSTS (рис. 6.7). Однако в этом случае не удается запретить функционирование протокола ICMP, т. е. невозможно исключить входящие ICMPзапросы и исходящие ICMP-ответы.
При использовании шаблона безопасности для IP-протокола создается новая политика, разрешающая функционирование TCP-порта 3389 и запрещающая функционирование иных IP-протоколов, включая ICMP.
Вслучае использования штатного межсетевого экрана «Брандмауэр Windows» (рис. 6.8) необходимо также запретить использование всех портов, за исключением TCP-порта 3389 (рис. 6.10). Указанный порт именуется в программе «Дистанционным управлением рабочим столом» (рис. 6.9). Дополнительно следует отключить функционирование протокола ICMP (рис. 6.11).
157
Рис. 6.5. Окно дополнительных параметров свойств протокола TCP/IP
Рис. 6.6. Окно «Локальная политика безопасности»
Применение специализированных сертифицированных средств защиты, реализующих средства межсетевого экранирования, в частности СЗИ VipNet, является, безусловно, более предпочтительным, чем использование штатных средств ОС Windows.
158
Рис. 6.7. Установка фильтра, разрешающего соединение
Рис. 6.8. Окно штатного межсетевого экрана «Брандмауэр Windows»
159
Рис. 6.9. Окно настроек «Брандмауэра Windows»
Рис. 6.10. Окно настройки службы «Дистанционное управление рабочим столом»