На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Меры противодействия перехвату паролей

Бюллетень Нет
BID_ Нет
Исправлено в SP Нет Фиксируется_Да
Риск перехвата паролей протокола LM можно уменьшить несколькими способами.
Один из методов — гарантировать соблюдение в сети определенных правил безопасности. Служ­бы аутентификации систем Windows должны запускаться в защищенных сетях, чтобы вся инфра­структура сети не позволяла данным SMB проходить через незащищенные хосты. Следуя предыду­щему совету, необходимо также обеспечить, чтобы все точки физического доступа к сети (настенные розетки и т.п.) бьши недоступны случайным людям (помните, что с распространением беспроводных сетей сделать это становится все сложнее). Кроме того, для предотвращения получения хакерами фи-зич^кж и сстевьк адресов бед аутетттфи использовать средства, встроенные в
сетевое оборудование или протокол DHCP. Учтите, что для атак анализом сетевых пакетов не требует­ся получение MAC- или IP-адреса, поскольку все происходит в неразборчивом режиме.
Второй способ — сконфигурировать все системы Windows в окружении таким образом, что­бы отключить передачу хешированных паролей LM по линии связи. Для этой цели можно от­крыть оснастку Group Policy (Групповая политика) или Local Security Policy (Локальная полити­ка безопасности), перейти в раздел Computer Configuration (Настройка компьютера) о Windows Settings (Параметры Windows)^Security Settings (Параметры безопасности) ^Local Policies (Локальные ггалитики^Эесшгу Options (Параметры безопасности) и найти параметр Network Security: LAN Manager Authentication Level (Сетевая безопасность: Уровень проверки под­линности LAN Manager). Используя этот параметр можно выбрать один из шести способов ау­тентификации SMB в Windows 2000 и более поздних версиях Windows (с повышением номера уровня повышается уровень защиты, информация взята из статьи Q239869).
- М0
▼ Уровень 0. Отправлять LM- и NTLM-ответы; никогда не использовать защиту сеанса NTLM 2. Клиенты используют аутентификацию LM и NTLM и никогда не используют за­щиту сеанса NTLM 2; контроллеры доменов принимают аутентификацию LM, NTLM и NTLM 2 (это настройки по умолчанию для систем семейства Windows NT до Windows ХР).
■ Уровень 1. Отправлять LM- и NTLM-ответы — использовать сеансовую безопасность NTLM 2. Клиенты используют аутентификацию NTLM и защиту сеанса NTLM 2, если ее поддерживает сервер; позволяют выполнять аутентификацию по LM, NTLM и NTLM 2.
■ Уровень 2. Отправлять только NTLM-ответ. Клиенты используют только аутентифи­кацию NTLM и защиту сеанса NTLM 2, если се поддерживает сервер. Контроллеры доменов позволяют выполнять аутентификацию по LM, NTLM и NTLM 2.
■ Уровень 3. Отправлять только NTLMv2-otbct. Клиенты используют аутентификацию NTLM 2 и защиту сеанса NTLM 2, если ее поддерживает сервер. Контроллеры доме­нов позволяют выполнять аутентификацию по LM, NTLM и NTLM 2.
■ Уровень 4. Отправлять только NTLMv2-OTBer, отказывать LM. Клиенты используют аутентификацию NTLM 2 и защиту сеанса NTLM 2, если ее поддерживает сервер. Контроллеры доменов не позволяют выполнять аутентификацию по LM (т.е. они по­зволяют выполнять аутентификацию по протоколам NTLM и NTLM 2).
А Уровень 5. Отправлять только NTLMv2-otbct, отказывать LM и NTLM. Клиенты ис­пользуют аутентификацию NTLM 2 и защиту сеанса NTLM 2, если ее поддерживает сервер. Контроллеры доменов не позволяют выполнять аутентификацию по LM и NTLM (они принимают аутентификацию только по протоколу NTLM 2).
В случае установки значения параметра Network Security: LAN Manager Authentication Level (Сетевая безопасность: Уровень проверки подлинности LAN Manager) на уровень 2, "Send NTLM response only" (Отправлять только NTLM-ответ) программа SMBCapture не сможет полу­чить хешированный пароль из данных, передаваемых в процессе аутентификации (значения выше уровня 2 также подойдут, обеспечивая при этом более высокий уровень защиты). На 8 изо­бражено окно настройки уровня аутентификации для политики безопасности Windows Server 2003.
В
ГЖ  . j      СаШ |
Рис 5.S. В Windov/sServer2003 значение по умолча­нию Оля параметра Network Security: LAN Manager Authentication Level не позволяет отправлять уязви­мые LM-ответы
После изменения значения LM Authentication Level в Windows Server 2003 щелкните правой кнопкой мыши на верхней ветви дерева ММО, в которой отображается параметр, и выберите пункт Reload (Перезагрузить). Тогда сде­ланные изменения вступят в силу немедленно.
Что можно сказать о более новых протоколах NTLM и NTLM 2? NTLM-ответ бесполезен для перехвата, поскольку при его создании не используются криптографические данные пользователя. Например, программа LOphtcrack из пакета SMB Packet Capture по-прежнему по­зволяет перехватить LM-ответ клиентов Windows Server 2003, даже если установлен уровень ау­тентификации 2. Но за разумный период времени невозможно взломать хешированные пароли, полученные только из NTLM-ответов. Как мы продемонстрировали выше, другие средства для перехвата LM-паролеЙ работают аналогично.
НА «МЕТНУ
Мы не утверждаем, что невозможно взломать NTLM-хешированные пароли (см. главу 8, "Расширение сферы влияния"), но очень сложно получить NTLM-хеш из данных аутентификации, при которой используется только NTLM-ответ. ■
Интересно отметить, что запрос—ответ протокола NTLMv2 также можно перехватить, а значит теоретически данный протокол имеет тот же недостаток и подвержен рассмотрен­ному выше виду атаки. Но на сегодняшний день не существует общеизвестных средств для проведения такой атаки.
Ранее в системах Windows NT4 изменить уровень аутентификации LAN Manager Authentication Level можно было с помощью параметра реестра HKLM\sysCem\ CurrentControlSet\Control\LSA\LMCompaCibilityLevel, устанавливая значения от О до 5, несмотря на то, что эти числа и не отображаются в интерфейсе Windows 2000 Security Policy (см. статью базы знаний Microsoft Q147706).
ВНИМАНИЕ
Помните, что пока в окружении есть системы с уровнем аутентификации ни­же 2, остается уязвимым все окружение, даже если на серверах этот пара­метр имеет значение 4 или S. Даже если серверы не будут поддерживать LM-
ответ, клиенты по-прежнему будут передавать его.
Одной из наиболее серьезных проблем, с которыми сталкивались большие организации при изменении значения параметра реестра LMCompatlbilityLevel, был тот факт, что клиенты старых версий Windows не могли передавать ответ по протоколу NTLM. Для реше­ния этой проблемы был выпущен клиент Directory Services Client, который есть на компакт-диске Windows 2000 в каталоге ciients\Win9x\Dsclient.exe. После установки програм­ма DSCIient позволяет клиентам Windows 9х передавать ответ по протоколу NTLMv2. Кроме того, необходимо настроить систему Windows 9х таким образом, чтобы передавался только ответ NTLMv2, для чего необходимо создать в реестре параметр HKLM\system\ CurrentControlSet\Control и добавить в него следующее значение.
Value Name: LMCompacibility Data Type t REG_D Value: 3 Valid Range: 0,3
Data Type t REG_DWORD Value: 3
НА ЗАМЕТНУ
На клиентах Windows 9x при наличии установленной программы DSCIient пара­метр реестра должен называться LMCompabiiity, а не mcompabilityLevel, как в системах Windows NT 4.
Также важно отметить, что значение уровня аутентификации LAN Manager Authentication Level применяется к соединениям SMB. Еще один параметр реестра управляет защитой удаленного вы­зова процедур Microsoft Remote Procedure Call (MSRPC) и встроенной аутентификации по прото­колу HTTP, и для клиента, и для сервера (они должны совпадать).
HKLM\System\CurrentControlSet\control\LSA\MSVl„0 Value Name: NtlmMinClientSec or NtlmMinServerSec Data Type: REG_WORD
Value: one of the values below: 0x00000010- Message integrity 0x00000020- Message confidentiality OxOOOSOOOO- NTLM 2 session security 0x20000000- 128-bit encryption 0x80000000- 56-bit encryption
И наконец, хоть ранее мы и не касались этой темы, Windows 2000 и следующие версии по­зволяют выполнять аутентификацию еще одного типа, по протоколу Kerberos. Это совершенно другой протокол, потому он не уязвим для утилиты SMB Packet Capture. К сожалению, нельзя заставить клиентские программы использовать протокол Kerberos простой установкой значения параметра реестра, как в случае уровня аутентификации LM, поэтому, пока в окружении при­сутствуют системы с более низким уровнем защищенности, скорее всего, будет использоваться аутентификация типа запрос—ответ по протоколам LM/NTLM.
Кроме того, даже в гомогенном окружении Windows 2000 или более новых версий существует множество ситуаций, в которых протокол Kerberos не будет использоваться. Например, протокол Kerberos не используется, если две системы под управлением Windows 2000 находятся в разных ле­сах (за исключением случая, когда между лесами однородных доменов Windows Server 2003 уста­новлены доверительные отношения). Если две машины находятся в одном лесу, то использование протокола Keiberos возможно, но только в тех случаях, если обращение к машинам происходит по имени NetBIOS или DNS. Если для обращения к машинам используются их IP-адреса, то будет использован протокол LM/NTLM. Если в домене Windows Server 2003 используется приложение, которое не поддерживает протокол Kerberos, но поддерживает аутентификацию запрос-ответ LM/NTLM, то, конечно же, протокол Keiberos использован не будет, а данные аутентификации можно будет перехватить программой SMB Packet Capture.
Помните, что для установки в окружении Windows 2000 (И более поздних версий Windows) протокола Kerberos, в домене должна использоваться служба Active Directory. Для проверки, используется ли протокол Kerberos в конкретных сеансах работы, существуют специальные утилиты. Например, утилита с графическим интерфейсом kerbtray из набора Resource Kit или утилита для использования из командной строки klist. Более подробно протокол Kerberos описан в главе 16, "Возможности и средства защиты в системах Windows".
Теперь мы рассмотрим последний из существующих типов атак при аутентификации. В этом разделе изучаются атаки, при которых не используется подбор паролей или их пере­хват. Здесь все внимание сосредоточено на возможности "вклинивания" хакера в процесс ау­тентификации в целях получения идентификационных данных или даже перехвата открытого
Не забывайте, что в этой главе мы уже продемонстрировали, что данные ау­тентификации по протоколу Kerberos также могут быть перехвачены!
сеанса связи. Мы обсудим:
▼ атаки с применением подложного сервера; А атаки посредника

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика