Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
В общем случае все вопросы сетевой безопасности Windows NT можно отнести к следующим разделам:
• безопасность процедур входа в домен Windows NT;
• безопасность протокола SMB;
• безопасность протокола РРТР;
• безопасность HS, реализованного на базе ОС Windows NT;
• безопасность сервиса DCOM.
Перечислим некоторые уязвимости этой ОС и одновременно укажем методы их устранения:
• отправка атакуемой системе непрерывного потока произвольных UDP-пакетов (UDP flood) по порту 53 (DNS) приводит к краху DNS-сервера (Service Pack 3);
242 Компьютерная безопасность и практическое применение криптографии
• атака, направленная на DNS-сервер. Атакующий хост отправляет на DNS-сервер запрос на поиск адреса. Если требуемого адреса нет в кэше атакуемого сервера, то сервер обращается с запросом к соседним серверам из дерева DNS. Атакующий хост в этот момент отсылает ответ от имени одного из соседних серверов DNS с заведомо ложным адресом искомого хоста. Для этого необходимо знать идентификатор запроса. Затем эта информация попадает в кэш DNS-сервера. Идентификатор запроса можно разгадать, так как он увеличивается на единицу при каждом новом запросе (Service Pack 3);
• атака заключается в посылке атакуемому сегменту сети непрерывного потока широковещательных UDP-пакетов по порту 19. Все компьютеры с Windows NT, на которых загружена служба Simple TCP/IP Services, будут отправлять ответные пакеты, создавая переполнение трафика UDP датаграммами (Service Pack 3);
• постоянная посылка UDP-пакетов по порту 137 (NetBIOS Name Service) приводит к краху WINS-сервера (в том случае, когда атака осуществляется из другой сети, подобную уязвимость локализует межсетевой экран; если же атака происходит из той же ЛВС, поможет только запрет на использование данной службы);
• атака заключается в посылке атакуемой системе двух специальным образом сформированных IP-фрагментов и заключенных в одну UDP-датаграмму. Windows NT неправильно обрабатывает такого рода фраг-ментированные IP-пакеты, что приводит к краху системы (Service Pack 3);
• посылка атакуемой системе ООВ (Out of Band) пакета данных по порту 139 (NetBIOS) приводит к краху системы. Атака также действует на DNS-сервер (порт 53), работающий вместе с WINS-сервером, и приводит к краху DNS-сервера (здесь поможет запрет на использование данной службы либо фильтрация трафика по данному порту);
• посылка атакуемой системе ICMP-пакета длиной более 64 Кб с его неизбежной последующей фрагментацией, что приводит к краху системы. (Service Pack 3);
• посылка атакуемой системе SMB logon запроса с неверно указанной длиной данных тоже приводит к краху системы (Service Pack 3);
• посылка атакуемой системе IP-пакета с запросом на соединение (SYN), в котором адреса получателя и отправителя совпадают, также приводит к краху системы (Service Pack 3);
• атака основана на том факте, что исходный пароль учетной записи компьютера с Windows NT устанавливается равным имени этого
Защита в локальных сетях
243
компьютера. Злоумышленник, прослушивая сеть, может рассчитать ключ сеанса в момент первоначальной аутентификации компьютера и все последующие ключи в процессе их смены (в этом случае помо-лсет физическая защита сети либо шифрование сетевого трафика);
• атака типа «человек в середине» основана на том, что после аутентификации пользователя в домене Windows NT в пакете NetLogonSamLogon, передаваемом контроллером домена компьютеру, сведения о группах, членом которых является пользователь, отправляются открыто. Установив в сети proxy-сервер, злоумышленник может заменить SID некоторой глобальной группы на SID группы DomainAdmins. После этого пользователь на локальном компьютере получает права члена группы DomainAdmins (поможет физическая защита сети или шифрование сетевого трафика);
• следующий тип атаки использует уязвимость, основанную на том, что для аутентификации достаточно знать 16-байтный хэшированный пароль пользователя. Помимо этого SMВ-протокол поддерживает возможность аутентификации с передачей пароля открытым текстом, что позволяет проводить атаки типа Downgrade (понижение уровня аутентификации), вынуждая клиента использовать именно этот режим аутентификации (здесь поможет установление Service Pack 3 и занесение в ключ реестра H KLM\SYSTEM\CurrentControlSet\Services\Rdr\ параметра EnablePlainTextPassword (типа REGJDWORD) со значением 1 или установление SMB-протокола с электронной подписью (SMB signing)).
Кроме перечисленных уязвимостей, причиной успешных атак на ОС Windows NT может стать некорректная реализация выбранной политики безопасности. Обычно это выражается в том, что разрешения отдельным пользователям или группам пользователей при работе с рабочей станцией из ЛВС задаются некорректно. Чтобы избежать этих неприятностей, следует:
• удалить учетную запись пользователя Guest (которая по умолчанию присутствует в ОС после ее установки);
• ограничить доступ пользователей к рабочей станции из ЛВС путем: задания соответствующих прав, например запретить доступ к сети группе Everyone;