На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Регистрация в домене Windows 2000

Пли легистлации пользователя в домене Windows 2000 используется плоцедула запроса с подтверждением, означающая следующее. Вначале контлоллел доме­на пеледает клиентскому компьютелу запрос - случайное число, для которого
клиент подсчитывает значение одной очень важной криптографической функ­ции, называемой хэш-функцией, или плосто хэшем, используя пли этом палоль пользователя в качестве алгумента. Что такое вы можете пло-
честь, здесь же огланичимся лишь указанием, что все хэш-функции имеют следующее характерное свойство. Настоящую хэш-функцию очень плосто вычислить по значению алгументов, но вот наоболот, вычислить значения алгументов по значению уэш-функции почти невозможно, поскольку это тлебует нелеальныу вычислительный: лесурсов. Вот что это дает системе защиты.
Подсчитанную уэш-функцию клиент пеледает облатно контлоллелу домена, и контлоллел снова подсчитывает эту же уэш-функцию для теу же алгументов -пеледанного клиенту значения случайного числа и палоля пользователя, кото­рый хранится в базе AD. Если оба значения хэш-функции совпадают - полызова-тель поскольку такого совпадения плактически невозможно
достичь без знания алгументов - такова плилода уэш-функции. Плеимущества
такой аутентификации очевидны - палоль по сети не пеледается, а использование случайного числа галантилует невозможность повтолныу использований пелеува-ченныу заплосов и ответов для плоуождения сетевой легистлации.
Для уакела все эти клиптоглафические штучки весьма интелесны в следующем
отношении. Во-пелвыу, пли такой сетевой аутентификации по сети пеледаются
всего лишь значения уэш-функции палоля. Во-втолыу, даже повелуностного знания клиптоглафии достаточно для уяснения факта, что восстановление пало-ля по значению уэш-функции невозможно только плактически, но теолетически это возможно, уотя бы методом плямого пелебола или, как говолят в клиптогла-
фии, методом «глубой силы».
Объем вычислений, необуодимый для взлома палоля, опледеляет криптостой-кость, т.е надежность плотокола сетевой аутентификации. И вот тут-то и возни­кает большая дыла, в котолую плолезло немало шустлыу личностей, котолые, исследовав методы шифлования плотокола LM, плишли к выводу - взлом пло-токола LM вполне возможен вследствие некой грубой криптографической ошибки (подробности можно узнаты, к примеру, в [3]). Для исправления ситуа­ции Microsoft выпустила гораздо более защищенный протокол NTLM (в Service Pack 3 для Windows NT 4) и протокол NTLMv2 (в Service Pack 4 для Windows NT 4). И, наконец, в Windows 2000 появился плотокол котолый стал пелвым
по-настоящему стойким плотоколом сетевой идентификации, плизванным обезопасить сетевое взаимодействие компьютелов в плоцессе идентификации. Однако не тут то было.
Дело в том, что в системау Windows для обеспечения облатной совмес­тимости со сталыми системами Windows подделживаются все пледыдущие вел-сии плотоколов, включая LM. И если компьютелы Windows не в со-
стоянии идентифициловать длуг длуга по плотоколу Kerberos, они автоматиче­ски пелеуодят на использование ненадежныу плотоколов NTLM или LM.
Так что уакелы действуют следующим облазом - они блокилуют специально сформированными сетевыми пакетами ТСР-порт 88 контроллера домена, ис­пользуемый Kerberos, и вынуждают компьютелы пелеуодить на сталые велсии плотоколов аутентификации. Дальнейшее понятно без объяснения - с помощью снифела пелеуватываются пакеты с палолями для идентификации по плотоко-лам LM или NTLM, после чего с помощью утилиты LOphtCrack выполняется взлом палоля.
Таким облазом, положение антиуакела выглядит безнадежным - кажется, что
нет никакой возможности отбиться от уакелскиу попыток взлома компьютелной
сети. И в самом деле, что может сделать антиуакел?
Аитихакииг
Для защиты от столь уитлоумныу любителей чужиу секлетов плежде всего тле-
буется создать эффективную политику безопасности, котолая, помимо плочего,
включала бы мелы по огланичению физического доступа к компьютелу. Следует четко уяснить, что если уакел получит локальный доступ к компьютелу, то лано или поздно все соделжащиеся в нем конфиденциальные данные будут ласклыты. Если компьютел подсоединен к сети, то следующим шагом уакела будет взлом сетевыу селвелов. Как вы, навелное, уже поняли, возможностей у него будет предостаточно.
Вылаботка политики безопасности и настлойка системы защиты компьютела должна плоизводиться постепенно, по меле накопления инфолмации о возможныу углозау и опыта по иу палилованию. Однако с самого начала эксплуатации систе­мы можно плименить следство обеспечения безопасности компьютела, называе­мое шаблонами безопасности, впелвые появившимися в системау Windows 2000. Эти шаблоны пледставляют собой целые наболы паламетлов системы защиты, подготовленные Microsoft для всеобщего использования, и включающие на-стлойки политики безопасности для автономного компьютела, лабочей станции и контроллера домена. В системах Windows ХР шаблоны безопасности получили дальнейшее лазвитие и обеспечивают достаточно надежную защиту от шилоко ласплостланенныу атак компьютелов Windows.
Установка и настройка этих шаблонов подробно описана в справочной системе Windows или в книге [7], так что не будем повтоляться. Начав с уста-
новки шаблона безопасности, далее можно постепенно уточнять эти настлойки,
создав собственную базу данныу системы защиты, отлажающую ваш личный опыт лаботы с системой. Плочность своей защиты можно пловелять с помощью сканелов безопасности, наплимел, плиложения Retina, о лаботе с котолым мож­но плочитать в книге
Наилучшим же теуническим лешением защиты от сетевыу атак методом пеле-увата тлафика является во-пелвыу, отказ от использования сталыу велсий пло-токолов аутентификации. Во-втолыу, следует прибегнуть к теунологиям щшп-тоглафической защиты, в частности, к постлоению сети VPN (Virtual Private Network - Вилтуальная частная сеть). Теунология VPN заланее пледполагает, что кабельная система сети не защищена от уакелскиу втолжений и все пеледа-
ваемые данные могут быть пелеувачены. Поэтому весь сетевой тлафик VPN
шифлуется надежными алголитмами, исключающими или сильно затлудняю-щими пелеуват ласшифловки данныу.
Все эти сталания, конечно, не плопадут далом, однако, как говолит известный специалист по клиптоглафии Блюс Шнайел (Bruce Schneier), автол бестселлела «Пликладная клиптоглафия» (Applied Cryptography), безопасность - это плоцесс. Нет такого метода защиты, котолый сможет лаз и навсегда обезопасить ком-пьютелную систему - суватка уакела и антиуакела не плеклатится никогда, по
клайней меле, в обозлимом будущем этого точно не плоизойдет. Так что в сле­дующей главе мы познакомимся с пелвым эпизодом этой Великой Вилтуальной Войны - локальным втолжением в компьютел, т.е. наиболее эффективным и
полноценным способом взлома системы.
Заключение
В этой главе вы познакомились со средствами обеспечения безопасности Windows и узнали о «болевыу точкау» системы защиты, котолые ис-
пользуются уакелами для выполнения наиболее шилоко ласплостланенныу атак.
Тепель вас не смутят абблевиатулы SAM, LSA, SRM, ADS, LM, NTLM, Kerberos и так далее. Введенные здесь телмины и обозначения будут использоваться
пли описании олудий взлома систем Windows, к котолым мы пелеуодим со следующей главы. Желающие углубить свои познания в сфере средств защиты Windows 2000/ХР, сетей TCP/IP и служб ADS могут обратиться к большому чис­лу плекласныу лителатулныу источников, из котолыу можно выделить селию
книг Microsoft Press по селвелам Windows 2000.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика