- •Сборник информационных материалов по курсу «Защита информации и информационная безопасность»
- •Вопрос 1.
- •Основные понятия безопасности компьютерных систем.
- •Современные программные угрозы информационной безопасности.
- •Компьютерные вирусы.
- •Троянские кони (программные закладки).
- •Средства нарушения безопасности компьютерных сетей
- •Вопрос 2.
- •Угроза раскрытия
- •Угроза целостности
- •Угроза отказа служб
- •Субъекты, объекты и доступ
- •Уровни безопасности, доверие и секретность
- •Вопрос 3.
- •Объектно-концептуальная модель рпс.
- •Пространство отношений доступа к объектам вс.
- •Использование понятия легитимности при построении модели безопасности вс.
- •Вопрос 4. Классификация удаленных атак на компьютерные сети Понятие удаленной атаки
- •Вопрос 5. Политики и модели безопасности
- •Модели дискретного доступа
- •Модели мандатного доступа
- •Модель Белла и Лападула
- •Удаленное чтение
- •Доверенные субъекты
- •Проблема системы z
- •Модель системы безопасности с полным перекрытием
- •Модели контроля целостности
- •Модель понижения уровня субъекта
- •Модель понижения уровня объекта
- •Объединение моделей безопасности
- •Проблемы контроля целостности ядра системы
- •Вопросы 6 и 7. Методы анализа безопасности программного обеспечения.
- •Контрольно-испытательные методы анализа безопасности по.
- •Логико-аналитические методы анализа безопасности по.
- •Вопрос 8. Анализ novell netware с точки зрения таксономии причин нарушения информационной безопасности
- •Неправильное внедрение модели безопасности
- •1. Отсутствие подтверждения старого пароля при его смене.
- •2. Недостатки в реализации опций Intruder detection и Force periodic password changes.
- •3. Слабое значение идентификатора супервизора.
- •4. Право на создание файлов в каталоге sys:mail.
- •5. Ненадежность атрибута «только для выполнения».
- •6. Получение прав пользователя сервером очереди.
- •1. Возможность обращения хэш-функции
- •2. Атака с использованием сервера печати.
- •3. Использование состояния отсутствия информации.
- •1. Приведение базы данных связок в неработоспособное состояние.
- •2. Недостатки механизма подписи пакетов.
- •1. Передача нешифрованных паролей программой syscon.
- •Ошибки в администрировании системы
- •1. Наличие права на запись в системный каталог
- •2. Наличие права на чтение sys:system
- •Вопросы 9-10. Механизмы реализации основных типов удаленных атак
- •1. Анализ сетевого трафика.
- •6. Сетевой червь (worm).
- •Вопрос 11. Удаленные атаки на ос novell netware 3.12
- •2. Ложный сервер сети Novell NetWare 3.12.
- •Вопрос 13. Удаленные атаки на хосты internet
- •1. Исследование сетевого трафика сети Internet.
- •2. Ложный arp-сервер в сети Internet.
- •3. Ложный dns-сервер.
- •4. Навязывание хосту ложного маршрута с помощью протокола icmp для создания в сети ложного маршрутизатора.
- •5. Подмена одного из участников сетевого обмена в сети при использовании протокола tcp.
- •6. Использование недостатков идентификации tcp-пакетов для атаки на rsh-сервер.
- •Вопросы 14 – 16. Использование систем firewall
- •Достоинства применения Firewall.
- •Недостатки, связанные с применением Firewall.
- •Структура и функционирование Firewall.
- •Принципы работы Firewall.
- •Режим доступа к службам.
- •Усиленная аутентификация.
- •Фильтрация пакетов.
- •Шлюзы прикладного и сетевого уровня.
- •Вопросы 17-21. Основные схемы защиты на основе Firewall.
- •Firewall — маршрутизатор с фильтрацией пакетов.
- •Firewallна основе шлюза.
- •Экранированный шлюз.
- •Firewall –экранированная подсеть.
- •Объединение модемного пула с Firewall
- •Вопрос 22. Особенности защиты сетей на основе Firewall
- •Этапы разработки политики доступа к службам.
- •Гибкость политики.
- •Обеспечение Firewall.
- •Администрирование Firewall.
Вопрос 11. Удаленные атаки на ос novell netware 3.12
Как было показано в предыдущей части, типовое удаленное воздействие, связанное с анализом сетевого трафика, является основой любого исследования безопасности сетевой ОС. Напомним, что сетевой анализ позволяет, во-первых, изучить логику работы сетевой ОС, то есть, получить взаимно однозначное соответствие событий, происходящих в ОС, и команд, пересылаемых друг другу ее компонентами, в момент появления этих событий. Во-вторых, анализ сетевого трафика позволяет перехватить поток данных, которыми обмениваются компоненты сетевой ОС.
Что касается логики работы сетевой ОС, то без применения сетевого анализа в ОС Novell NetWare оказалось бы невозможным осуществление ни одной из удаленных атак.
В следующем пункте рассмотрим те удаленные воздействия на ОС Novell NetWare 3.12,которые можно осуществить, перехватив и проанализировав с помощью анализа сетевого трафика данные из потока обмена файл—сервер —рабочая станция.
1. Перехват двух 8-битовых последовательностей в процессе подключения пользователей к файл-серверу.
Как известно, в ОС Novell NetWare 3.12пароль пользователя хранится на файл-сервере в базе данных связок в виде 16-байтовой хэш-последовательности, получающейся при помощи специального алгоритма из пароля пользователя. Процесс подключения пользователя к серверу выглядит следующим образом:
— сервер посылает станции 8-байтовую случайную последовательность;
— на станции из оригинального пароля с помощью алгоритма получается 16-байтовая хэш-последовательность, и пришедшая последовательность шифруется с ее помощью в выходную 8-байтовую последовательность, которая и отправляется обратно серверу;
— сервер шифрует посланную последовательность с помощью хэш-значения из базы данных связок;
— сервер проверяет соответствие полученной и вычисленной последовательности.
Из этого видно, что хэш-значение не передается при подключении пользователя по сети. Следовательно, анализ сетевого трафика позволит атакующему перехватить имя пользователя и две 8-байтовые последовательности, передаваемые по сети. Это приводит к возможности осуществления криптоатаки полным перебором и по словарю
2. Ложный сервер сети Novell NetWare 3.12.
Как известно, в ОС Novell NetWare 3.12рабочая станция может быть одновременно подключена к восьми файл — серверам. Следовательно, перед сетевой оболочкой рабочей станции (NETX)при ее загрузке встает несколько проблем. Во-первых, какие файл —серверы активны в данный момент времени (активная станция или файл —сервер —это компьютер, подключенный к сети физически, включенный по питанию, на котором загружено сетевое программное обеспечение)? Во-вторых, к какому файл —серверу осуществить подключение? Эти проблемы решаются в ОС Novell NetWare 3.12при помощи алгоритма удаленного поиска, названного протоколом объявления сервиса в сети (Service Advertising Protocol — SAP).
Как известно, базовым сетевым протоколом в ОС Novell NetWareявляется протокол IPX.Протокол SAPпозволяет средствами IPXнайти все активные файл —серверы в сети и определить их имена, и что самое главное, определить их аппаратные и логические адреса (аппаратный адрес —адрес сетевого адаптера на файл —сервере; логический адрес файл —сервера в ОС Novell NetWareпредставляет собой 12 —байтовую структуру следующего вида:
4байта —номер сети (network)
6байт —идентификатор файл —сервера
2байта —командный сокет 0х451).
Все серверы в сети идентифицируют себя периодической посылкой SAP-пакета.Кроме того, что является чрезвычайно важным для данной удаленной атаки, рабочие станции и файл —серверы посылают пакеты запроса (SAP-запросы) по широковещательному адресу OxFFFFFFFFFFFF,в ответ на который все файл-серверы в сети присылают запросившей станции пакеты объявления сервиса (SAP-ответы).
Итак, рассмотрим стандартный процесс загрузки сетевой оболочки на рабочей станции в ОС Novell NetWare 3.12 (напомним, что сетевая оболочка, изначально, не имеет данных об активных файл-серверах в сети):
— на широковещательный адрес посылается SAP-запрос на поиск ближайшего активного файл-сервера в сети;
— принимается SAP-ответ от файл-сервера, в котором он сообщает свое имя, физический и логический адрес. Эти данные необходимы для создания виртуального канала с файл-сервером;.
— используя полученные в SAP-ответе данные устанавливается виртуальный канал с файл-сервером путем посылки и приема серии специальных пакетов обмена.
Из этой схемы не совсем ясно, что будет, если в сети окажется несколько файл-серверов. Ведь на получениеSAP-запроса каждый сервер отреагирует немедленной ссылкой SAP-ответа и, следовательно, рабочая станция может получить ни один, а несколько SAP-ответов. Тогда возникает проблема: на какой из пришедших SAP-ответов реагировать, то есть, к какому из активных серверу подключиться? Эта проблема в ОС Novell NetWareрешена следующим образом. Обратим внимание на первую часть загрузки сетевой оболочки: она ищет ближайший файл-сервер. Для этого в SAP-запросе существует специальное поле-тип допроса (QueryType),которое может содержать одно из двух значений: 1или 3.Значение 3позволяет найти ближайший сервер. Ближайшим будет считаться тот сервер, SAP-ответ от которого придет первым. Следующие SAP-ответы, пришедшие после первого, сетевой оболочкой будут игнорироваться.
Из этой схемы видно, что в ОС Novell NetWare 3.12можно осуществить типовую удаленную атаку ложный сервер. Рассмотрим основные этапы ее осуществления:
Подготовительная фаза:
— посылка SAP-запроса на широковещательный адрес;
— получение SAP-ответа от настоящего файл-сервера для извлечения из него аппаратного и логического адресов файл-сервера;
Фаза ожидания:
— ожидание SAP-запроса от рабочей станции;
Фаза создания ложного виртуального канала:
— получение SAP-запроса от рабочей станции и передача на нее ложного SAP-ответа. В ложном SAP-ответе необходимо указать аппаратный адрес ложного сервера (атакующего компьютера);
— обмен с рабочей станцией серией специальных пакетов для создания ложного виртуального канала:
Фаза "прозрачной" переправки пакетов:
— прием, анализ, воздействие и передача пакетов обмена с рабочей станции на файл-сервер и обратно.
Результат этой атаки состоит в следующем: подключившаяся станция считает ложный сервер (атакующую станцию) настоящим файл—сервером и, в дальнейшем, вся информация из потока обмена между настоящим файл-сервером и рабочей станцией будет проходить через ложный сервер. При этом сам ложный сервер будет являться абсолютно "прозрачным" для ОС Novell NetWare.Это означает что стандартными средствами операционной системы обнаружить ложный сервер не представляется возможным. Это происходит из-за того, что рабочая станция считает ложный сервер настоящим файл -сервером, а файл-сервер принимает ложный сервер за эту рабочую станцию.
3. Подключение рабочей станции в сети |Novell NetWare 3.12.
В ОС Novell NetWareфайл-сервер может одновременно обслуживать до 256рабочих станций. Вследствие этого, перед файл-сервером стоит задача разделения потока информации, идущего с разных станций. Эта задача в многоранговых сетевых ОС, построенных по схеме "клиент-сервер", обычно решается с помощью уникальной идентификации каждой вновь подключившейся клиентской станции. Очевидно, что единственный способ общения в сети между файл-сервером и рабочей станцией- это передача по сети пакетов обмена. Таким образом, задача идентификации рабочей станции решается идентификацией пакетов обмена, которыми она обменивается с файл-сервером.
Для идентификации в ОС Novell NetWare 3.12пакеты обмена файл-сервер — рабочая станция имеют следующие специальные поля, расположенные непосредственно за стандартным заголовком IPX-пакета:
по смещению 0:два байта, признак направленности пакета (2222h-от станции на сервер, 3333h-от сервера на станцию)
по смещению 2:один байт, счетчик номера пакета (после достижения значения FFhсчетчик сбрасывается в ноль)
по смещению 3:один байт, номер канала, присвоенный рабочей станции файл-сервером, при создании с ней виртуального канала (отсюда ясно, почему в ОС Novell NetWare 3.12возможно обслуживание до 256рабочих станций: 1байт-это 256возможных номеров канала).
Для идентификации пришедшего на файл-сервер пакета используется следующая стандартная для ОСNovell NetWare 3.12схема:
1.При создании виртуального канала сетевой оболочкой рабочей станции с файл-сервером, последний присылает на станцию номер канала, ей присвоенный;
2.Все пакеты, приходящие на файл-сервер идентифицируются по номеру канала и по номеру счетчика пакетов, который с каждым пакетом увеличивается на единицу, а, по достижению значения FFh,сбрасывается в ноль.
Из приведенной выше схемы ясно, что в ОС Novell NetWare 3.12используются простейшие способы идентификации пакетов обмена, что позволяет осуществить в данной сетевой ОС типовую удаленную атаку "подмена доверенного хоста". Реализация этой атаки будет состоять в посылке с атакующей станции, на которой необходимо зарегистрироваться под именем любого не привилегированного пользователя, пакета на файл-сервер, от имени любого активного в данный момент привилегированного пользователя (например, супервизора), что приведет к несанкционированному присвоению пользователем на атакующей рабочей станции прав привилегированного пользователя.
В следующих двух пунктах рассмотрим примеры осуществления удаленных атак на ОС Novell NetWare 3.12данного типа.
Голландская атака.
Данная удаленная атака носит название голландской атаки, так как она была впервые осуществлена в 1991г. в Голландии на ОС Novell NetWare 3.11.В версии ОС Novell NetWare3.12в ответ на голландскую атаку введено дополнительное средство идентификации пакетов обмена — цифровая подпись. Однако, эта новая схема идентификации пакетов в ОС Novell NetWare 3.12не является обязательной и может не применяться. Особенность голландской атаки состоит в начале осуществления атаки до завершения сеанса работы привилегированного пользователя.
Рассмотрим основные этапы реализации этой удаленной атаки:
— предварительно, до запуска атакующей программы, необходимо на атакующей рабочей станции войти в сеть под именем любого пользователя (GUEST,например);
— получить на файл-сервере список всех активных пользователей в сети и выясннить номер канала привилегированного пользователя;
— с помощью анализа пакетов на канальном уровне OSI(сетевого анализа)выяснить текущий номер счетчика пакетов у привилегированного пользователя;
— послать на файл-сервер пакет, от имени станции привилегированного пользователя с соответствующими номерами счетчика и канала, в котором дается команда операционной системе установить для пользователя с атакующей станции права привилегированного пользователя. При этом, если не принять необходимых мер, может нарушиться связь станции привилегированного пользователя с файл-сервером из-за рассогласования счетчика пакетов.
Подмена пользователя при некорректном завершении его сеанса работы с файл-сервером в ОС Novell NetWare 3.12.
В ОС Novell NetWareдля корректного окончания сеанса работы пользователя с файл-сервером требуется выдача команды LOGOUTна рабочей станции пользователя для закрытия виртуального канала с сервером. Однако, многие пользователи редко пользуются этой командой, предпочитая просто выключить или перезагрузить свой компьютер. Такое окончание сеанса работы с файл-сервером является некорректным и в сочетании с отказом от использования цифровой подписи пакетов (а, следовательно, слабой идентификации пакетов) может привести к подмене пользователя в сети. Ниже схематично рассмотрены основные этапы осуществления этой удаленной атаки:
— предварительно, до запуска атакующей программы догрузка на рабочей станции необходимых драйверов сетевой карты и оболочки NETX;
— выяснение списка активных пользователей в сети;
— слежение за сетевым трафиком активных пользователей для выяснения их номеров счетчиков пакетов;
— используя средства IPX,периодическая посылка на активные станции диагностических запросов, и, в случае неполучения ответа на запрос от пользовательской станции и, если пользователь этой станции еще находится в списке активных пользователей на файл-сервере- вывод о некорректном завершении сеанса работы пользователя с файл-сервером (то есть, виртуальный канал связи рабочей станции с файл-сервером не был корректно закрыт);
— модификация таблиц сетевой оболочки NETXна атакующей рабочей станции для получения стандартными средствами ОС Novell NetWareнесанкционированного доступа к файлам пользователя, некорректно завершившего сеанс связи с файл-сервером.