На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

ЗАЩИТА ПАРОЛЕЙ

В отличие от систем Unix, NetWare хранит пароли пользователей в достаточно защищенном месте. Все объекты и их свойства хранятся в так называемых фай­лах связей (bindery file). В NetWare 4.x эта информация хранится в базе данных NDS. В качестве такого объекта может выступать принтер, группа, учетная запись пользователя и т. д. Свойства объекта могут включать пароль или полное имя пользователя, список участников группы или ее полное имя. Файлам свя­зей в NetWare 2.x и 3.x присваивались атрибуты системный и скрытый. Оба файла связей располагались в томе SYS: подкаталоге SYSTEM. Имена этих файлов при­ведены в таблице 16.5.
КАК можно ВЗЛОМАТЬ ПАРОЛЬ
Существует несколько методов взлома паролей. Как администратор, вы прежде всего должны подключить средство Intruder Detection System (IDS). Если же оно отключено и пароли передаются по сети в незашифрованном виде, то хакер достаточно легко сможет взломать их с помощью атаки грубой силы.
Для защиты от взлома паролей в Novell NetWare используются средства шифро­вания паролей. Однако более старые версии этой операционной системы не содержат подобных средств. Поэтому хакер достаточно легко может «просмот­реть» передаваемые по сети пароли. Администратор сети — тоже не беззащит­ный ягненок. В его распоряжении есть средства управления передачей паролей. Более новые версии программы login.exe зашифровывают пароли и только затем пересылают их по сети. Но для использования новых версий login.exe нужно обновить оболочку NETX. Отмечу также, что иногда администратору приходит­ся отказаться от использования новой оболочки, чтобы нормально работать с
более старыми версиями программы. Поэтому он может отключить использова­ние зашифрованных паролей. Для этого ему нужно воспользоваться следующей
командой:
SET ALLOW UNENCIPTED PASSWORDS=ON <Enter>
Но если хакер получит доступ к консоли (например, с помощью утилиты rconsole), то он сможет изменить пароли с помощью файлов setpass.nlm, setspwd.nlm и setpwd.nlm.
Если хакер внедрит в систему программу перехвата паролей или чтения нажатых клавиш, то он сможет получить все пароли системы, не оставляя при этом прак­тически никаких следов своей деятельности. Чтобы лучше разобраться в этом, ознакомьтесь со следующими двумя абзацами:
• Файл login.exe расположен в каталоге SYS:LOGIN. Обычно хакер не имеет прав на размещение файлов в этом каталоге. Поэтому он разместит про­грамму отслеживания нажатых клавиш в пути рабочей станции. Кроме того, он присвоит своей программе атрибут скрытый. Таким образом ха­кер сможет получить пароль пользователя, а пользователь никоим образом не сможет этого обнаружить. Однако для размещения такой программы на рабочей станции хакер должен получить физический доступ к ней, а это, согласитесь, не всегда так просто. Лучшим для хакера местом разме­щения таких программ является общая машина. Например, он может вос­пользоваться маршрутизатором pcAnywhere®, с помощью которого пользо­ватели получают удаленный доступ к другим системам. Многие сети пре­доставляют удаленным пользователям доступ к машине, на которой нет
практически никакого программного обеспечения. Контроль безопасно­сти такой машины производится стандартными средствами Novell NetWare. Благодаря этому хакер может спокойно помещать свою программу на та­кую машину, не заботясь о проверках безопасности.
• Если вы создаете резервные копии системы с помощью рабочей станции, то эта машина представляет удобный плацдарм для проведения атак на си­стему. Дело в том, что для проведения операции резервного копирования
рабочая станция должна обладать идентификатором эквивалента супервизо­ра. Если хакер получит доступ к такой рабочей станции или воспользуется резервными копиями, то он сможет получить права супервизора системы.
АТАКИ ГРУБОЙ силы
При проведении атаки на сеть Novell NetWare хакер прежде всего попытается заполучить какой-либо пароль. Если средство Intruder Detection отключено, то он сможет получить пароль методом перебора всех возможных комбинаций сим­волов. Для этого он может воспользоваться специальной программой, которая сама будет подбирать различные комбинации и пытаться с их помощью зарегис­трироваться в системе. Такие атаки называются атаками грубой силы. Програм­мы взлома паролей перебирают все возможные комбинации символов (вроде аа, ab, ас и т. д.) до тех пор, пока не будет найдена нужная комбинация. Рано или поздно хакер получит пароль. Однако для этого ему может понадобиться доста­точно много времени. Дело в том, что каждая попытка занимает не менее од-
ной-двух секунд (а при телефонных соединениях гораздо больше). Если же вы
подключите средство Intruder Detection, то при каждой попытке хакера зареги­стрироваться в системе консоль будет издавать звуковой сигнал. Кроме того, все
попытки некорректной регистрации будут зафиксированы в журнале. Там же
будет помещен адрес машины хакера. С помощью этой информации вы легко сможете найти злоумышленника.
атаки словаря
Эти атаки также требуют для своего завершения достаточно много времени. Кроме того, атаки словаря будут сразу обнаружены, если администратор системы под­ключил средство Intruder Detection. Однако эти атаки более опасны. Дело в
том, что хакер может скопировать файл с паролями и взломать его с помощью своей машины. Благодаря этому следов вторжения не остается.
Существует несколько достаточно распространенных в Internet программ для
копирования файлов связей NetWare. Как уже говорилось, система зашифро­вывает файлы связей. Но некоторые хакеры создали программы, которые пре­образуют эти файлы в текстовые, а затем пытаются расшифровать их.
Наилучшим средством защиты от таких атак является регулярная замена паро­лей. Напоминайте пользователям об этом. Кроме того, время от времени запус­кайте утилиту security или какую-либо иную программу анализа системы. Не оставляйте без внимания слишком простые пароли. Напомню, что пароль дол­жен состоять как минимум из восьми символов и не представлять собой обще­употребительных слов. Обязательно используйте в паролях буквы, символы и цифры.
ЕЩЕ РАЗ о БЕЗОПАСНОСТИ консоли
Если хакер получит доступ к консоли сервера, то он сможет отключить проверку паролей на сервере. Пользователи даже не догадаются об этом: система, как и ранее, будет вать Однако пользователи, попытавшиеся проник-
нуть в защищенную учетную запись (например, supervisor), смогут сделать      без особого труда.
Как уже отмечалось в этой лучшей защитой от "подобных происше-
ствий является обеспечение физической защиты консоли. Кроме того, вы должны создать в своей организации системы, которые будут на все попытки доступа к серверу.
БЕЗОПАСНОСТЬ   УЧЕТНЫХ ЗАПИСЕЙ
В системах NetWare управление доступом пользователей производится с помо­щью средств учета (accounting) — администратор назначает права доступа к раз­личным областям диска, службам системы и определяет время соединения. Учет­ная запись, в свою очередь, «расплачивается» со службами с помощью некото­рого уникального значения, а сервер вычитает из него некоторые значения за использование каждой службы. Как это происходит на самом деле, нам абсо­лютно не важно; главное, что благодаря средствам учета можно зафиксировать
действия хакера.
Управление средствами учета — дело не простое. Поэтому многие администра­торы ограничиваются созданием записей о времени регистрации и времени вы­хода из системы, адресе узла и имени пользователя.
Наиболее простым методом обхода средств учета для хакера является их отклю­чение. После этого хакер попытается подменить свой адрес. Затем он будет спокойно проводить свою атаку — ведь никто не сможет обнаружить его. Закон­чив атаку, хакер снова подключит средства учета и покинет систему. При этом не останется никаких записей о его действиях. Чтобы предотвратить подобные явления, тщательнее охраняйте пароли супервизора и его эквивалентов. Дело в том, что отключить средства учета может только супервизор.
СООБЩЕНИЯ СРЕДСТВ
Для составления сообщений средств учета в NetWare имеется утилита paudit. Однако с ее помощью можно получить лишь глобальные данные. С другой стороны, программа paudit2. позволяет просматривать системные записи учета (net$acct.daf). С помощью этой программы можно получить более компакт­ные обзоры. Кроме того, она обладает средствами поиска информации. Чтобы загрузить paudit2, посетите Web-сайт Джима Эбрайта, расположен­ный по адресу http://www.coil.com/~ebright/paudit2.zip-
ОГРАНИЧЕНИЯ по БРЕМЕНИ и месторасположению
Можно наложить на любую учетную запись ограничения по времени. Так вы определите время суток, когда пользователь может зарегистрироваться в систе­ме. Если время работы пользователя истечет, то система избавится от его учет­ной записи. Ограничения по времени могут содержать ограничения по дням недели и по времени суток. Например, можно разрешить пользователю регист­рироваться в системе только в понедельник, вторник и среду с восьми утра до пяти вечера. Изменить ограничения по времени может только супервизор или его эквивалент. Изменение системного времени на рабочей станции не может повлиять на эти ограничения. Дело в том, что время и день недели в системе определяются сервером.
Кроме того, можно наложить на пользователя ограничения по местоположе­нию. Например, разрешить ему работать только в одном сегменте сети или даже только на одном сетевом узле (напомню, что узлом называется подключенный к сети компьютер или, точнее говоря, одна сетевая карта). Чтобы обойти это ограничение, хакеру потребуется адрес рабочей станции из того же сегмента сети. Изменить ограничения месторасположения может только супервизор или его эквивалент.
Как правило, все эти ограничения не сильно сказываются на работе пользовате­лей. Достаточно трудно представить ситуации, когда пользователю необходима возможность регистрации в системе на многих рабочих станциях или работа но­чью. Поэтому старайтесь наложить такие ограничения на всех пользователей.
Так вы существенно уменьшите шансы хакера остаться незамеченным. Напом­ню, что для преодоления ограничений на месторасположение хакер может вос­пользоваться подменой. Но для этого ему понадобятся права супервизора.
ЗАЩИТА консоли
Как уже говорилось, обеспечение физической безопасности консоли — это один
из наиважнейших элементов защиты всей сети в целом. Далее приводится описа­ние некоторых атак, которые могут провести хакеры в случае незащищенности консоли.
ОБХОД РЕГИСТРАЦИИ
Представим себе самое худшее, что может случиться с вашей консолью: хакер получил физический доступ к консоли и обладает правами супервизора. Если вы используете операционную систему Novell NetWare 3,11 или более новые вер­сии продукта, то по умолчанию в системе запущен файл conlog.nlm. Эта про­грамма регистрирует все попытки использования консоли в специальный файл. Если же хакер запустит программу setpwd, то conlog.nlm поместит все ответы ма­шины в свой файл. Чтобы обойти регистрацию на консоли, хакер может проде­лать следующие операции:
Выгрузить программу conlog.
2. Удалить или отредактировать соответствующим образом файл console.log. Другими словами, хакер всеми способами попытается удалить следы своих
действий.
3. Хакер производит все нужные ему действия, не оставляя при этом ника­ких записей в журнале регистрации.
4. Завершив работу, хакер повторно загружает программу conlog.nlm. Эта про­грамма зарегистрирует свой повторный запуск в журнале регистрации. К сожалению, многие администраторы не обращают никакого внимания на такие записи.
5. Хакер запускает программу purge, расположенную в каталоге SYS:ETC. С ее помощью он удалит старую версию файла console.log.
Обладая временем и физическим доступом к консоли, хакер может считать лю­бые данные с сервера и произвести любые операции, не оставив ни малейших следов своего присутствия.
ОТКРЫТЬ МОНИТОР
Я уже не раз говорил о том, как важно обеспечить физическую безопасность сервера. Однако вместо этого многие администраторы используют блокировку консоли. К сожалению, если у вас установлена Novell NetWare 3.11 и использу­ется сетевой принтер, то хакер достаточно просто сможет обойти блокировку консоли. Для этого он проделает следующие операции:
1. С помощью утилитыpconsole хакер выключит сервер печати. Это действие заставит расположенную на консоли программу monitor выдать на экран сообщение о сервере печати и ожидать нажатия клавиши Enter. Консоль
поместит сообщение программы monitor на задний план.
2. После этого хакер переключится на экран консоли и наберет команду UNLOAD MONITOR. Консоль выгрузит программу monitor и тем самым
снимет блокировку с сервера.
3. Хакер вручную перегрузит программу После этого он получит полный доступ к консоли, а сервер печати снова окажется в рабочем со­стоянии. И, что самое важное, никаких следов.
К сожалению, единственным методом защиты от подобных атак является обес­печение физической безопасности сервера.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика