Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
• клиент определяет используемый диалект протокола (сообщая, какие протоколы он поддерживает), а также решает, применять или нет шифрование. Это означает, что сервер не может потребовать шифрования или отказаться от соединения без шифрования. Потенциальный взломщик может использовать этот момент для того, чтобы, например, произвести атаку типа «понижение уровня» (downgrade);
• при установлении соединения Windows NT (так лее как Windows 95, Windows for Workgroups и проч.) по умолчанию посылает имя и пароль, под которыми пользователь вошел в систему. Таким образом, появляется возможность получить password hash, который потом можно попытаться взломать/расшифровать. Атака такого типа остается
Защита в локальных сетях
249
совершенно не замеченной пользователем и может быть весьма эффективно и просто использована для нарушения безопасности системы. Для защиты, во-первых, необходимы межсетевые экраны, не пропускающие SMB-трафик между корпоративной сетью и Internet, и, во-вторых, контроль внутренних Web-серверов;
• передаваемый сервером challenge и ответ клиента можно перехватить (например, сетевым анализатором) и попытаться взломать методом «грубой силы»;
• описанная схема чувствительна к различным атакам типа «человек в середине». Рассмотрим, например, такой сценарий: злоумышленник посылает серверу запрос на установление соединения. Сервер отвечает отправкой challenge. Злоумышленник ждет запроса на установление соединения от легального пользователя и в ответ посылает ему challenge, полученный от сервера. Легальный пользователь шифрует полученный challenge, используя в качестве ключа свой пароль. Нарушитель перехватывает пакет и отправляет его серверу уже от своего имени. Возможен также перехват сессии с подделкой номера последовательности на уровне TCP/IP и значений UID и MID;
Для борьбы с атаками, использующими криптографическую слабость LM password hash, Microsoft выпустила так называемые заплатки (hot-fix, lm-fix). Однако сейчас этот метод недоступен в связи с обнаруженными в нем ошибками. При этом следует учесть, что этот метод не сработает и в смешанной сети, включающей в себя, например, клиентов Windows 95 или Windows for Workgroups, поскольку они могут использовать только схему шифрования паролей LAN Manager.
Весьма серьезной угрозой является возможность использования сниф-феров для получения паролей в сети. Существует общедоступная утилита для Windows NT, позволяющая «прослушивать» трафик в сети и выделять из него пароли tcpdump. Вероятно, опытному программисту не составит большого труда написать фильтр, выделяющий из всего трафика сообщения SMB, которые содержат пароли.
Атаки типа «человек в середине», а также возможности перехвата и расшифровки паролей наводят на мысль, что безопасное использование Windows NT в сетях, таких как Internet, требует применения дополнительных мер защиты (еще одного уровня) для борьбы с подобными угрозами. Оригинальная версия протокола аутентификации в CIFS разработана достаточно давно, однако в ходе ее эксплуатации были обнаружены серьезные уязвимости. Результатом устранения подобных дефектов стала новая версия данного протокола. Усовершенствование протокола аутентификации
250 Компьютерная безопасность и практическое применение криптографии
Таблица 3.4. Обозначения, применяемые в CIFS
и Имя пользователя
P(U) Пароль пользователя U
KS 128-битный сеансовый ключ
KA 56-битный DES-ключ, полученный из первых 7 байт KS
KB 56-битный DES-ключ, полученный из вторых 7 байт KS
SN 32-битный номер шага
KM 40-битный ключ, используемый для вычисления MAC
[S]<N:M> N байт строки S, начиная с байта с номером M (первый байт является нулевым)
[S]<N> Первые N байт строки S
{М}К Шифрование строки
a, b, z Конкатенация байтовых строк а, Ь,г
MD4 (M) Вычисление хэш-кода от строки M в соответствии с алгоритмом MD4
MD5 (M) Вычисление хэш-кода от строки M в соответствии с алгоритмом MD5
Z(N) Строка нулей длиной N
CS Уникальное для сессии 8-байтное значение
проводилось не только устранением логических уязвимостей, но и применением новых криптографических алгоритмов. При этом пользователям следует учесть, что замена ранних версий протокола аутентификации не приводит к необходимости менять свои пароли или сервер ключей.
Аутентификация (доработанная версия) в CIFS имеет следующие подразделы:
• двусторонняя аутентификация сессии между сервером и клиентом при помощи протокола типа запрос-ответ с использованием разделения знания пользовательского пароля. Ответ вычисляется на основе DES-шифрования случайного числа и/или метки времени, содержащихся в запросе. Ключи для шифрования вычисляются на основе пароля пользователя;
• аутентификация сообщений реализуется при помощи вычисления MAC на каждое сообщение. MAC вычисляется с использованием ключевой MD5 (ключи вычисляются из пользовательского пароля и случайных значений клиента и сервера).
При описании протокола аутентификации будем считать, что CIFS-cep-вер либо взаимодействует с ключевым сервером, хранящим базу данных хэш-значений пользовательских паролей, либо имеет свою собственную базу данных хэшированных паролей (табл. 3.4).
