Филин С.А. Информационная безопасность, 2006
.pdfсистем (обычно в фоновом режиме). С их помощью операционная система может работать с различными протоколами, управлять сер верами печати или накопителями информации и т. д. [66].
Используемые в NT-подобных операционных системах службы сообщений и оповещения позволяют пользователям домена обме ниваться сообщениями. С их помощью хакер может проводить атаки прикладной социологии. Например, хакер может послать пользова телю сообщение с требованием ввести имя и пароль.
Во время использования этих служб NT-подобная операционная система вынуждена передавать имя пользователя в таблицу имен NetBIOS. Благодаря этому хакер может перехватить имя пользовате ля и попытаться подобрать его пароль. Поэтому старайтесь избегать использования служб сообщений и оповещения. Наилучшим реше нием может быть удаление этих служб.
Совместно используемые ресурсы NetBIOS
При установке операционная система создает несколько со вместно используемых ресурсов NetBIOS (совместно используемы ми ресурсами называются совместно используемые файлы, катало ги и т. д.). К сожалению, по умолчанию эти ресурсы предоставляют всем пользователям полный доступ. Поэтому лучшим решением этой проблемы является установление строгих прав доступа к каж дому из таких ресурсов [66].
Служба Network Monitor
Встроенная в NT-подобные операционные системы служба Network Monitor позволяет любому сетевому компьютеру просма тривать все проходящие по сети пакеты. Работать с этой программой могут только администраторы. Для работы с этой программой необ ходимо наличие дополнительного пароля. К сожалению, эти пароли зашифровываются с помощью достаточно простого алгоритма и со храняют его в DLL. Любой пользователь системы, у которого есть права чтения файла bhsupp.dll, может легко расшифровать пароль. Поэтому использовать Network Monitor целесообразно только в экс тренных случаях [66].
Отключите агента Network Monitor и удалите файл bhsupp.dll. Для дальнейшего использования этой службы можно применить уникальный для каждого сеанса пароль или вообще обойтись без па ролей. Завершив работу, удалите вновь созданный файл bhsupp.dll.
Служба расписания
Поставляемая вместе с NT-подобными операционными систе мами служба расписания позволяет администраторам автономно
323
запускать пакетные задачи в определенное время. Обычно служба использует для своей работы учетную запись системы. Поэтому она может изменить права остальных учетных записей. С ее помощью хакер может запустить вирус «Троянский конь», который изменит (с помощью той же службы) разрешения для сети. При настройке компьютеры для обеспечения защиты класса С2 МТ-подобных опе рационных систем отключают службу расписания. Запускать эту службу могут только участники группы «Администраторы» [66].
Существует два способа уменьшить опасность использования службы расписания хакером. Например, можно настроить служ бу так, чтобы она выполняла команды, используя учетную запись пользователя. Это решение особенно подходит для небольших \Vebсайтов.
Реестр ОТ-подобных операционных систем
Операционная система ЫТ-подобных операционных систем хранит большинство своих установок в реестре. В основном пра вами на чтение и запись реестра обладают только участники групп «Администраторы» и «Опытные пользователи», которые будут уста навливать новое программное обеспечение или просматривать жур налы событий [66].
Если же вы предоставите права на изменение реестра «Обычным пользователям» или «Гостям», то хакеры смогут редактировать его элементы. К сожалению, в реестре хранятся не только сведения об установленных в системе программах, но также и очень важная информация о самой системе. Благодаря реестру можно коренным образом изменить вид и установки сервера ТЧТ-подобных операцион ных систем.
Если хакер будет иметь доступ к записям реестра, он сможет про смотреть список элементов управления доступом. Эта информа ция располагается в разделах НКЕУ_ЬОСАЬ_МАСН INЕ и НКЕУ_ С1А88Е8_ЯООТ. Если же хакер будет иметь права на изменение реестра, он сможет контролировать любой его элемент (включая ас социации, программы и т. д.). Изменив реестр, хакер может устано вить вирус «Троянский конь», который после перезагрузки системы будет передавать ему информацию.
Более того, если изменять реестр смогут участники группы «Гости», то нельзя вообще говорить ни о какой системе безопас ности. Поэтому необходимо регулярно просматривать разрешения на файлы реестра. В ЫТ-подобных операционных системах можно вообще запретить доступ к реестру из сети.
324
NT-подобные операционные системы и компьютерные вирусы
Некоторые виды КВ (например, макровирусы) могут выпол няться на компьютерах, работающих под управлением NT-подоб ных операционных систем. Определенные КВ могут поражать эту операционную систему на компьютерах с двойной загрузкой (т. е. с двумя операционными системами). Дело в том, что загрузочные КВ, поразившие вторую операционную систему (типа DOS, OS/2 или Windows 2000), могут вывести из строя загрузочную запись NTподобных операционных систем. Многие известные вирусы DOS функционируют в эмулируемом в NT-подобных операционных сис темах режиме DOS. Большинство известных загрузочных КВ могут заставить NT-подобные операционные системы выдавать сообще ние о невозможности доступа к загрузочной записи [66]. С помощью антивирусных программ, работающих под управлением NT-подоб ных операционных систем, можно обезопасить сервер этих систем от проникновения КВ с других компьютеров.
Обеспечение безопасности RAS
Одной из наиболее часто используемых служб NT-подобных операционных систем является служба удаленного доступа (RAS — Remote Access Service). Она управляет регистрацией удаленных пользователей в сети NT-подобных операционных систем, включая регистрации по телефону и через Интернет. Служба RAS работа ет совместно с локальным ведомством безопасности (LSA — Local Security Authority), диспетчером безопасности учетных записей
(SAM — Security Account Manager) и монитором ссылок безопаснос ти (SRM — Security Reference Monitor). С их помощью к сети могут присоединяться и такие пользователи, которые не присоединены к сети физически. Рост популярности RAS связан с увеличением количества пользователей, работающих в рамках корпоративных и глобальных сетей.
Служба RAS устанавливает соединение почти так же, как это делает сетевая служба. Удаленный компьютер передает полученное с помощью MD4 смешанное значение пароля и имя пользователя серверу NT-подобных операционных систем. Сервер, в свою оче редь, сверяет смешанное значение с элементами базы данных паро лей. Однако по умолчанию служба RAS зашифровывает только па роль. Чаще всего компьютеры пересылают данные RAS «открытым текстом».
Очевидно, что служба RAS создает огромное количество проблем, связанных с безопасностью сети. Пользователи с правами надеж ного доступа могут считывать и записывать файлы на компьютер,
325
выполняющий службу удаленного доступа. Благодаря этому хакер может получить доступ ко всей сети и целом.
Для обеспечения большей безопасности сервера, использующего службу RAS, необходимо:
1) защитить сервер с помощью брандмауэра экранирующей под сети. С одной стороны подсети необходимо поместить экранирую щий маршрутизатор, блокирующий каналы доступа между сервером RAS и компьютерами за брандмауэром. С другой стороны подсети необходимо поместить экранирующий маршрутизатор, блокирую щий определенные действия (например, доступ с помощью прото кола FTP). Общая схема расположения брандмауэра экранирующей подсети и сервера RAS представлена на рис. 4.20 [66];
Рис. 4.20. Брандмауэр экранирующей подсети и сервер RAS
2)подключить средства аудита службы RAS. После подключения стандартных средств аудита необходимо подключить средства ауди та службы RAS. Это обеспечит регистрацию в журнале событий всех попыток использования удаленного доступа;
3)установить средства идентификации службы RAS. После это го служба будет требовать от пользователя создания цифровых под писей для каждого пересылаемого пакета. Благодаря этому мож но избежать атак наблюдения48. С помощью цифровых подписей
48 Прежде чем начать атаку, хакеры выясняют проходящую по сети инфор мацию. С этой целью они перехватывают пакеты и копируют их к себе на ком пьютер для дальнейшего исследования. Хакеры пытаются получить ценную информацию о предстоящем объекте атаки. Например, хакер может попы таться просматривать пакеты обычных сетевых протоколов (например, FTP или Telnet). Эти протоколы не используют средств шифрования передаваемой информации. «Пользователи» системы могут использовать одни и те же имена
326
сервер всегда сможет обнаружить нарушение целостности данных пакета;
4) установить средства шифрования службы RAS. После этого сервер RAS будет пересылать удаленному пользователю одноразовый ключ (после удачной регистрации в системе). Одноразовый ключ за шифровывается службой RAS с помощью симметричного ключа, а сервер RAS генерирует новый одноразовый ключ при каждой ре гистрации удаленного клиента. Благодаря этому хакер не может по вторно использовать чей-либо перехваченный ключ. Большинство одноразовых ключей являются симметричными, и многие из них обладают своим сроком существования. Одна из наиболее сложных проблем, связанных с шифрованием RAS в NT-подобных операци онных системах, в том, что сервер передает одноразовый ключ «от крытым текстом». Благодаря этому хакер может взломать ключ и вос пользоваться им в течение одного сеанса. Эта проблема устраняется использованием встроенной реализации системы Kerberos, которая обладает достаточно мощными средствами защиты распределенных сетей;
5)подключить функции обратного дозвона («dial-back»). После этого сервер RAS будет проверять имя и пароль удаленного пользо вателя, а затем разъединять связь. После этого сервер наберет зара нее запрограммированный номер пользователя и соединится с ним повторно. Благодаря этому можно зафиксировать телефон и место расположение пользователя. Если у вас есть пользователи, которым нельзя дозвониться (например, агенты по продажам, расположив шиеся в отеле), то создайте для них специальную учетную запись, которая не будет использовать функцию обратного дозвона.
6)наложить ограничения по времени на использование службы удаленного доступа. Например, можно разрешить удаленным поль зователям регистрироваться в системе только с 6 утра и до 10 вечера.
Проделав эти операции, вы существенно повысите уровень без опасности своего сервера RAS. Если служба RAS не нужна, ее целе сообразно отключить.
Атаки отказа служб
Отказом службы называется такая ситуация, когда сервер (или рабочая станция) делает одну из своих служб недоступной для дру гих. Это наиболее распространенный вид атак на системы. Однако
и пароли для входа в систему и работы с протоколом FTP. Чтобы избежать по добных явлений, необходимо обязать всех пользователей использовать разные пароли.
327
МТ-подобные операционные системы достаточно устойчивы к по добным атакам. Попытки проведения атак отказа служб на 1ЧТ-по- добную операционную систем хакером могут включать [66]:
—установку хакером на компьютере вирус «Троянский конь» (для своей активизации вирус требует перезагрузки системы);
—скрытие хакером следов своей атаки или преднамеренный сбой процессора, который может заставить администратора поверить в то, что это была лишь «случайность» (или очеред ной «сбой» операционной системы);
—попытку вывода хакером из строя сервера.
Однако и системный администратор может сам провести атаку отказа служб на своем сервере, если, например, хочет удостоверить ся в устойчивости сервера к этому типу атак или если какой-нибудь процесс на сервере вышел из-под контроля и угрожает расположен ным на диске данным и пользователям, подключенным к серве ру. Очевидно, что необходимо отключить сервер. Если системный администратор находится на значительном расстоянии от сервера, то поможет только атака отказа служб.
ТСР-атаки
Хакеры могут перехватывать передаваемую информацию с по мощью атак предсказания49 последовательности пакетов, шторма АСК-пакетов и т. д. Благодаря своему методу обработки ТСР-па- кетов, сервер ЬПГ-подобных операционных систем, как правило, достаточно защищен от нападений, основанных на использовании протокола ТСР, за исключением атак, напрямую использующих пор ты ТСР и 1ЮР. Здесь хакеры могут воспользоваться атакой «внедре ния» [66].
Основные правила безопасности сервера 1ЧТ-подобных операцион ных систем следующие [66]:
1.Защищайте свои серверы на физическом уровне. Невозможно говорить о безопасности того сервера, к которому имеют до ступ обычные пользователи.
49 При обработке рекурсивных очередей (очередей, ссылающихся на самих себя). DNS использует последовательность идентификаторов, которую, как оказывается, достаточно просто предсказать. Благодаря этому хакер может по пытаться предсказать номер текущего и последующего пакетов. Используя эти знания, он сможет подменить ответы к рекурсивным очередям. Этот тип атак называется атаками заполнения кэша (cache pollution attack).
328
2.Запретите удаленную регистрацию на рабочих станциях.
3.Не держите несколько операционных систем на одном ком пьютере. На жестких дисках всех компьютеров должна стоять только одна операционная система NT-подобных операцион ных систем с файловой системой NTFS.
4.Удалите расширенные права использования реестра группы
«Все».
5.Обязательно используйте средства аудита. При соединении с Интернет средства аудита должны быть использованы мак симально.
6.Постоянно используйте обновленные пакеты дополнений (однако не используйте самые последние версии — в них мо гут быть ошибки).
7.Удостоверьтесь в том, чтобы каталоги с исполняемыми файла ми были открыты только для чтения и выполнения. Старай тесь хранить частные файлы отдельно от общих.
8.Проверьте «хозяев» каталогов. Даже если у пользователя нет прав «Администратора», он в некоторых ситуациях может из менить права доступа к своему каталогу и расположенным в нем файлам.
9.Создайте с помощью программы «Диспетчер пользователей»
жесткую политику паролей.
10.Отмените отображение имени пользователя, последним вхо дившего в систему (Last Login).
11.Добавьте к локальным группам администраторов всех рабочих станций глобальную группу администраторов домена.
12.На контроллерах доменов запретите группе администраторов производить регистрацию из сети.
13.Если возможно, удалите службу расписания.
14.Запретите доступ к потенциально опасным на ваш взгляд при ложениям (например, cmd.exe или ntbackup.exe).
15.Используйте брандмауэр. Как минимум, запретите внешний доступ к портам 135-139 с помощью протоколов TCP и UDP. Поместите Web, FTP и другие открытые серверы за предела ми брандмауэра или в экранирующей подсети между двумя брандмауэрами.
16.Чтобы оградить серверы от действий определенных групп «Пользователей», применяйте «внутренние» брандмауэры.
17.С помощью специальной программы регистрируйте все по пытки захвата паролей.
18.Ежедневно просматривайте записи аудита. Однако не сто ит слепо верить, что средства аудита операционной системы
329
могут зарегистрировать все события в системе. Исследуйте все странные записи; выясните причину появления каждой такой записи. Возможно, одна из них наведет вас на хакера.
19.Определите, обладает ли сервер уровнем безопасности класса С2.
20.Регулярно запускайте антивирусные программы и утилиту
C2Config.
21.Подпишитесь на рассылку и знакомьтесь со всеми новыми статьями о NT-подобных операционных системах, распро страняемыми в группах новостей.
22.Будьте предельно внимательны. Не упускайте ни одной, даже самой малой детали. Каждое непредвиденное событие или не адекватное поведение системы рассматривайте как послед ствие попытки взлома.
23.Для уменьшения потенциального риска пользователям NT-по добных операционных систем необходимо:
—устанавливать все дополнения компании Microsoft;
—тщательно устанавливать разрешения всех файлов;
—регулярно производить проверку защищенности системы.
24.Для обеспечения безопасности сети NT-подобных опера ционных систем необходимо, прежде всего, воспользоваться элементарными средствами защиты от хакеров. Только каж додневная работа администраторов может уберечь систему от результативных атак хакеров.
25.Администратору сервера NT-подобных операционных систем обязательно необходимо знать обо всех новых средствах обес печения безопасности этих операционных систем.
4.3.4. ПОЛИТИКА БЕЗОПАСНОСТИ СЕТИ
Каждая компания должна создать специальную структуру, зани мающуюся вопросами безопасности сети. Политика безопасности включает следующие аспекты [66].
Индивидуальность — некоторая схема разделения и присвоения имен различным членам сети (членом сети может быть и пользова тель, и хост).
Идентификация — метод определения прав на использование име ни некоторого пользователя. Иначе говоря, с помощью идентифи кации можно определить, является ли некоторый пользователь тем, за кого он себя выдает. Средства идентификации состоят не только из механизмов проверки отдельных пользователей, но также и под разумевают создание эффективных паролей. Однако создание паро лей относится уже к социальным проблемам — они зависят не от сис темы, а от уровня знаний пользователей.
330
Идентификация информации — метод определения создателя ин формации. Чаще всего для идентификации информации использу ются цифровые подписи.
Целостность данных — метод определения неизменности данных с момента их отправки. Для определения целостности данных также используются цифровые подписи.
Безопасность информации — 1) обеспечение защиты информации от случайного или преднамеренного доступа лиц, не имеющих на это права; 2) интегральное свойство информации, характеризующееся конфиденциальностью, целостностью и доступностью; 3) защищен ность устройств, процессов, программ: среды и данных, обеспечива ющая целостность информации, которая обрабатывается, хранится и передается этими средствами; 4) свойство среды обеспечивать за щиту информации.
Безопасность информационной сети — меры, предохраняющие ин формационную сеть от несанкционированного доступа, случайного или преднамеренного вмешательства в нормальные действия или попыток разрушения ее компонентов.
Безопасность объекта — состояние защищенности объекта от раз личных угроз, при котором созданы условия для его нормального функционирования и строгого соблюдения на нем установленных режимов. Безопасность объекта обеспечивается и поддерживается путем разработки и реализации системы мер, осуществляемых адми нистрацией объекта.
Конфиденциальность информации — метод защиты передаваемых по сети данных от несанкционированного доступа. В идеале кон фиденциальную информацию должен прочитать только тот, кому она предназначается (для остальных она должна быть недоступна). Для обеспечения конфиденциальности информации чаще всего ис пользуется шифрование.
Определение прав — механизм, с помощью которого система определяет, может ли конкретный пользователь воспользоваться не которой функцией или получить доступ к некоторой информации. Во многих системах определением прав занимается операционная система. В других (типа Kerberos) определением прав занимается специальный безопасный сервер.
Аудит — метод получения и хранения информации обо всех сете вых транзакциях.
Определение прав и аудита требуют определенных накладных расходов (процесс создания учетных записей). Каждый из пунктов списка может быть связан с остальными. Например, конфиденци альность информации связана с проблемами определения прав.
331
В процессе реализации политики безопасности необходимо опре делить, какие из перечисленных понятий наиболее важны для вашей системы. Только после этого можно приступать к разработке поли тики безопасности. Кроме того, вы должны создать письменный ва риант реализации политики безопасности и предоставить его всем администраторам сети.
Несмотря на то что каждая система обладает уникальной поли тикой безопасности, основные принципы создания политики безопас ности должны быть следующими [66]:
1.Каждая сеть должна обладать своей уникальной политикой безопасности.
2.Для создания политики безопасности необходима слаженная работа всего коллектива — от администраторов до простых пользователей.
3.Оценка риска подразумевает под собой определение всех нуж дающихся в защите объектов системы и грозящей им потен циальной опасности.
4.Прежде всего, политика безопасности должна ответить на во прос «что нужно защищать?» и лишь затем — как защищать (методы защиты).
5.Прежде чем приступить к реализации политики безопасности, необходимо тщательно продумать все ее аспекты.
6.Хорошая политика безопасности должна определять меры на казания нарушителей.
7.Эффективность политики безопасности определяется метода ми ее реализации и поддержания.
Формирование политики безопасности должно начинаться с раз работки плана действий по осуществлению безопасности системы. Необходимо обеспечить защиту от проникновения хакера в систе му. Наиболее общими в разработке безопасности системы являются следующие операции [66].
1.Определите, какие объекты нуждаются в защите. Выясните ха рактеристики этих объектов. Например, предположим, что сервер содержит базы данных с важной для компании информацией. Чтобы определить необходимый уровень безопасности этих баз данных, вы должны выяснить, какими правами доступа обладают различные пользователи в настоящий момент.
2.Определите, что необходимо защищать и от кого нужно защи щаться. Например, необходимо защитить базы данных от доступа внешних пользователей или записи каждого пользователя от осталь ных пользователей.
332