На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

ПОДДЕРЖКА  НЕСКОЛЬКИХ ПРОТОКОЛОВ БЕЗОПАСНОСТИ

Различные протоколы безопасности используют различные интерфейсы програм­мирования (API). Это может создать некоторые проблемы для приложений, ис­пользующих несколько интерфейсов. Чтобы решить эту проблему, для операци­онных систем Windows 95 и Windows NT компания Microsoft разработала SSPI (Security Service Provider Interface).
SSPI не полностью совместим со стандартом Generic Service разработан­ным группой IETF. В обоих протоколах есть стандартные средства доступа к
распределенным службам безопасности. При этом программисту необязательно
даже знать, чем является та или иная служба. Основное отличие этих двух ин­терфейсов связано с тем, что интерфейс компании Microsoft разрабатывался для работы под управлением Windows NT, а интерфейс IETF — для работы на мно­гих платформах.
В состав интерфейса SSPI входят компоненты, называемые SSP (Security Ser­vice Providers). Они реализуют различные протоколы безопасности. В состав
Windows NT 4.0 Microsoft включила Security Service Providers for NT LAN Manager,
-443


а также SSL/Private Comunications Technology. Кроме того, компания пообеща­ла включить в состав Windows NT 5.0 компоненты Kerberos Security Service Providers и улучшенную версию SSL/Private Comunications Technology. Вдобавок Microsoft указала на то, что поставщики третьей стороны уже приступили к созданию дополнительных компонентов SSP, которые будут «встраиваться» в Windows NT. Итак, рассмотрим схему работы служб безопасности Windows NT. Протоколы
взаимодействуют с компонентами SSL, те, в свою очередь, взаимодействуют с
интерфейсом SSPI, который отвечает за вызов того или иного API и реализацию запроса. Наглядная модель SSPI показана 12.
Для взаимодействия с Windows NT протоколы HTTP, CIFS (Common Interface File System) и MRPC (Microsoft Remote Procedure Call) используют интерфейс SSPI. Все эти протоколы могут воспользоваться любым из компонентов SSP. Благодаря четкому разделению распределенных служб безопасности, разрабо­танная Microsoft архитектура может достаточно просто поддерживать большое количество параметров.
СЛУЖБЫ ОБМЕНА С СЕРВЕРОМ
Для управления сетевыми службами и службами удаленного доступа к серверу в Windows NT используется протокол обмена информацией с сервером (Secure Message Block — SMB), который предоставляет пользователям возможности удаленного использования совместных каталогов, реестра и других служб системы. С его помощью пользователи могут получить доступ к любой службе сервера, доступ­ной при использовании протокола NetBIOS (сетевой протокол Windows NT).
Кроме того, с помощью этого протокола можно устанавливать свои (для прото­кола) разрешения доступа к совместно используемым каталогам, файлам, па­раметрам реестра и принтерам.
На протяжении всего сеанса работы с протоколом Windows NT управляет доступом с помощью имен пользователей и паролей. Учетная запись Гость не имеет своего пароля. В рабочих станциях NT 3.51 эта запись установлена по умолчанию. Если вы используете эту операционную систему, то я рекомендую вам отключить данную учетную запись. В Windows NT версий 4.0 и 5.0 все наоборот: там эта учетная запись отключена и на сервере, и на рабочей станции. Обязательно отключите учетные записи гостей на всех машинах, подключенных к Internet или другой незащищенной среде. Другими словами, нужно всегда отключать эту учетную запись, если она не используется.
Даже если все учетные записи обладают паролями, хакер может угадать имя пользователя и его пароль. Чтобы избежать этого, попросите своих пользовате­лей почаще изменять пароли. Напомню, что нормальный пароль должен состо­ять как минимум из восьми символов и не представлять собой осмысленных слов. Кроме того, вы должны установить ограничения на количество неудачных по­пыток регистрации. Если какой-либо пользователь превысит это ограничение, то система должна «заблокировать» его учетную запись. Можно отключить учет­ную запись на любой промежуток времени. Однако лучше всего блокировать записи как минимум на сутки. Это остудит пыл хакера и заставит его отказаться от повторной попытки взлома этой учетной записи. Таким образом, вы получи­те несколько преимуществ. Во-первых, это уменьшит шансы хакеров. Во-вто­рых, пользователи системы будут вынуждены хорошенько запоминать свои пароли и не будут тревожить администраторов по пустякам. в-третьих, если пользова­тель не может зарегистрироваться в системе, то это говорит лишь о том, что кто-то уже пытался воспользоваться его учетной записью и нарушил ограничения на количество некорректных регистрации в системе. Благодаря этому администра­тору легче будет обнаружить хакера — в этом ему будут помогать пользователи.
Не следует устанавливать ограничения на количество некорректных регистрации для участников группы Администраторы. Так вы сможете п (бежать атак отказа
служб. Ведь хакер может попытаться перебрать пароли всех пользователей системы (в том числе и администраторов) и вызвать блокировку всех учетных записей.
Из-за этого система может запретить доступ всем пользователям! Однако попро­буйте изменить название группы Администраторы на что-либо более загадочное. Кроме того, сделайте пароли администраторов наиболее длинными и трудными для взлома (для этого они должны содержать наряду с буквами цифры и прочие символы). Если можно, запретите администраторам удаленную регистрацию.
Итак, подведем итоги. Наилучшим методом защиты от атак, построенных на использовании протокола является отключение удаленного доступа к служ-
бам SMB. Если у вас установлен маршрутизатор, отключите порты UDB/TCP (137, 138, 139). Благодаря этому станет невозможным присоединение NetBIOS с TCP/IP портами Windows NT.
SAMBA
Samba — это разработанная Энди Тригеллом бесплатная программа. С ее помощью сетевые администраторы могут внедрить серверы Unix в сети Microsoft Windows NT. Основная идея программы заключается в том, чтобы предоставить серверам Unix
доступ к каталогам и файлам Windows NT.
Свое имя Samba получила от протокола SMВ (SaMBa). С ее помощью Unix-хост может получить доступ к аппаратному обеспечению Windows NT. Как и у каждой
вещи в этом мире, у Samba есть свои достоинства и недостатки. С одной сторо­ны, с ее помощью можно интегрировать Unix-машины в среду Windows NT. Но, с другой стороны, хакеры могут использовать Samba для доступа к серверам NT с помощью операционной системы Linux. При этом хакер будет представлять­ся серверу надежным хостом и использовать порты UDB/TCP (137, 138, 139).
В Web существует несколько источников информации о том, как хакеры могут использовать Samba для взлома сервера Windows NT. Чтобы познакомиться с некоторыми из них, посетите Web-сайт исследовательского центра Nomad, рас­положенный по адресу http://www.nmrc.org.
Web-сайт Nomad Mobile Research Center.
ОШИБКА SAMBA
^■M^  Если клиент Samba соединится с машиной Windows NT (вер-щ сии 3.5 или 3.51) и, находясь в корневом каталоге, выполнит Ш команду cd.., то это приведет к исключению ядра и краху всей системы. В зависимости от конфигурации машины она может автоматически перегрузиться или потребует вмешатель­ства администратора.
Чтобы избежать подобных ситуаций, переходите на Windows NT 4.0 или вос­пользуйтесь пакетом дополнений NT3.51 Service Pack 5.
НЕДОСТАТКИ   WINDOWS NT
Как уже говорилось, основные уязвимые места Windows NT связаны с исполь­зуемыми в ней службами. Службами называются программы, выполняемые на
сервере NT (обычно в фоновом режиме). С их помощью операционная система
может работать с различными протоколами, управлять серверами печати или
накопителями информации и т. д.
СЛУЖБЫ СООБЩЕНИЙ и ОПОВЕЩЕНИЯ
Используемые в Windows NT службы сообщений и оповещения позволяют пользо­вателям домена обмениваться сообщениями. С их помощью хакер может прово­дить атаки прикладной социологии. Например, хакер может послать
пользователю сообщение с требованием ввести имя и пароль.
Кроме того, во время использования этих служб Windows NT вынуждена переда­вать имя пользователя в таблицу имен NetBIOS. Благодаря этому хакер может перехватить имя пользователя и попытаться подобрать его пароль. Поэтому ста­райтесь избегать использования служб сообщений и оповещения- зачем подвер­гать себя излишнему риску? Наилучшим решением является удаление этих служб.
Чтобы отключить службы сообщений и оповещения, откройте меню Пуск, вы­берите пункт Настройка, а в нем — Панель управления. После этого дважды щелкните мышью по пиктограммам служб сообщений и оповещения. На экране появятся диалоговые окна обеих программ. Установите с помощью мыши флаж­ки, отключающие службы.
совместно используемые ресурсы netbios
При установке Windows NT 4.0 операционная система создает несколько совме­стно используемых ресурсов NetBIOS (совместно используемъми ресурсами назы­ваются совместно используемые файлы, каталоги и т. д.). К сожалению, по умолчанию эти ресурсы предоставляют всем пользователям полный доступ. По­этому лучшим решением этой проблемы является назначение строгих прав до­ступа к каждому из таких ресурсов.
безопасность   lan manager
LAN Manager — это служба Windows NT, с помощью которой к серверу NT могут присоединиться клиенты, не использующие протокол NetBIOS. Зачем нужна эта служба? Чтобы присоединять к серверу NT машины, работающие под ■ управлением других операционных систем (вроде Windows 3.11).
Машина Windows NT, использующая LAN Manager, гораздо менее защищена, чем машина, использующая стандартные сетевые службы Windows NT. Обычно этой службой пользуются для предоставления доступа к NT-машине других машин с менее развитыми средствами безопасности (Windows 3.11, Windows 95). Так
как безопасность этой службы ниже, чем у обычных сетевых служб Windows NT,
а, кроме того, в некоторых версиях LAN Manager присутствуют серьезные недо­работки, то я считаю целесообразным использование в сети только рабочих стан­ций и серверов под управлением Windows NT 4.0.
network monitor
Встроенная в Windows NT служба Network Monitor позволяет любому сетево­му компьютеру просматривать все проходящие по сети пакеты. Работать с этой программой могут только администраторы. Кроме того, компания Microsoft распространяет ее только вместе с Windows NT Server 4.0. Для работы с этой программой необходимо наличие дополнительного пароля. К сожалению, эти пароли зашифровываются с помощью достаточно простого алгоритма и сохра­няют его в DLL. Любой пользователь системы, у которого есть права чтения файла bhsupp.dll, может легко расшифровать пароль. Поэтому я советую вам использовать Network Monitor только в экстренных случаях.
Отключите агента Network Monitor и удалите файл bhsupp.dll. Для дальнейшего использования этой службы можно применить уникальный для каждого сеанса
пароль или вообще обойтись без паролей. Завершив работу, удалите вновь со­зданный файл bhsupp.dll.
СЛУЖБА RSH
В составе пакета Windows NT Resource Kit компания Microsoft распространяет свою версию Unix-службы rsh, которая выполняет команды пользователей, ис­пользуя учетную запись системы. С ее помощью можно выполнять программу на удаленном хосте. Учетная запись системы — это наиболее важная учетная запись в Windows NT. Поэтому пользователь, удаленно соединившийся с сервером, может выполнить любую его команду. Значит, следует избегать использования службы rsh. Для ее удаления воспользуйтесь средством instsrv, которое также
входит в состав Windows NT Resource Kit. Обнаружив эту утилиту, наберите на
консоли следующую команду:
С:-> instsrv rshsvc remove <Enter>
СЛУЖБА РАСПИСАНИЯ
Поставляемая вместе с Windows NT служба расписания позволяет администрато­рам автономно запускать пакетные задачи в определенное время. Обычно служ­ба использует для своей работы учетную запись системы. Поэтому она может изменить права остальных учетных записей. С ее помощью хакер может запустить троянского коня, который изменит (с помощью той же службы) разрешения для сети. При настройке машины для обеспечения защиты класса С2 Windows NT отключает службу расписания. Однако запускать эту службу могут только участ­ники группы Администраторы. Поэтому можно пренебречь опасностью и оставить
службу в рабочем состоянии.
Существует два способа уменьшить опасность использования службы расписания хакером. Например, можно настроить службу так, чтобы она выполняла ко­манды, используя учетную запись пользователя. Это решение особенно подхо­дит для небольших Web-сайтов. Второе решение заключается в полном отказе от
использования этой службы. Чтобы отключить ее, откройте меню Пуск и выбе­рите пункт Настройка, а в нем — Панель управления. После этого дважды щел­кните мышью по пиктограмме службы Schedule.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика