Питання захисту мереж Windows NT

www.hackerz.ru

Q: Щоб надійно захистити мережу, одних брандмауерів і proxy-серверів
недостатньо. Сама операційна система повинна бути практично
куленепробивної. Як же захистити системи Windows NT?
Питання мережевої безпеки набувають все більшої актуальності.
Витончені атаки винахідливих хакерів змушують адміністраторів мереж
перебувати в постійному страху з приводу збереження інформації.
Винятком тут не є і мережі Windows NT

A: Чи знаєте ви, наскільки серйозні проблеми стоять перед вами і чи всі
було зроблено для їх усунення?
Таку неосяжну тему, як безпека Windows NT Server, неможливо
висвітлити в одній статті, тому ми будемо говорити лише про те, як
захистити ваші інформаційні активи за допомогою вбудованих функцій та засобів
цієї операційної системи. Незважаючи на те, що ми настійно рекомендуємо
використовувати брандмауери і proxy-сервери, найкраще, коли вони
встановлюються в мережу, ступінь захищеності якої відповідає
максимально можливою для використовуваної мережевої операційної системи рівню.

Боротьба з внутрішнім ворогом

При всій небезпеці зовнішньої загрози ваші власні користувачі
представляють собою набагато більш ймовірний джерело проблем. На щастя,
багатьох потенційних неприємностей можна уникнути, заздалегідь прийнявши
необхідні заходи. Перша з них – установка Windows NT Server 4.0 з
сервісним пакетом Service Pack 4 (SP 4), куди включені всі заплатки для
виявлених у захисті дірок з пакету SP 3, а також багато що з'явилися після
його виходу виправлення.

Тут я зобов'язаний згадати про одну тонкість. Конфігурація за замовчуванням
Windows NT 4.0 з SP 4 надзвичайно легко піддається злому. Наприклад,
обліковий запис Guest не відключена, члени групи Everyone мають широкі
права читання / запису, правила завдання паролів відсутні. Іншими словами,
захист сервера зажадає від вас розуміння можливостей Windows NT і вміння
створити з їхньою допомогою надійну конфігурацію.

Основним і найбільш ефективним засобом захисту Windows NT проти
непрошених гостей є її система аутентифікації. Клієнти Windows 95,
Windows 98 і Windows NT Workstation не тільки обмінюються зашифрованими
ідентифікаторами користувачів (ID) і паролями, але також використовують
власний протокол аутентифікації за типом запит / відповідь. Такий метод
гарантує, що ідентифікаційна інформація ніколи не представляється
двічі на одному і тому ж вигляді. Це швидко відбиває у доморощених хакерів
будь-яке бажання перехоплювати мережеві пакети в надії розшифрувати їх
вміст, а потім використовувати його для несанкціонованого доступу.
Легальних користувачів теж слід тримати у вузді. Задавши на серверах
домену відповідні права доступу до об'єктів файлової системи NTFS, ви
істотно полегшите собі життя. Вміст списків контролю доступу
(Access Control List, ACL) до будь-яких загальним даним потрібно періодично
перевіряти. Спільний ж доступ до томів FAT краще взагалі не дозволяти,
оскільки вони не передбачають, як в розділах NTFS, можливості
контролю доступу до конкретних файлів. При створенні або перевірці списків
контролю доступу в розділах NTFS перевагу слід віддавати більше
спартанського інструменту в стилі командного рядка – утиліті cacls, а не
графічному інструменту Windows Explorer. Вона часто дозволяє виявити
елементи списків ACL, про наявність яких ви й не здогадувалися. Windows
Explorer групує права доступу в гарний список, але cacls відображає
для кожного користувача детальний перелік всіх наданих та
блокованих прав.

Крім того, cacls володіє унікальною можливістю замінювати існуючі
ACL на більш прості та ефективні. Кількість ACL повинно бути мінімально
необхідним для забезпечення прав доступу. Синтаксис команди cacls можна
знайти в інтерактивній документації і Windows NT.

ACL не варто прив'язувати до конкретної людини. При зміні
обов'язків користувачів всередині компанії вам буде надзвичайно важко
відслідковувати і коректувати раніше присвоєні їм права доступу. Тому
всіх співробітників краще розподілити по групах в домені, а цим групам
призначити відповідні права доступу до файлів і папок. Для зміни
прав конкретного співробітника достатньо буде просто видалити з однієї
групи і включити в іншу.

Реєстр сервера є вельми цінне джерело інформації,
тому розділам реєстру слід призначити власні ACL, так само як
папок і файлів томів NTFS. Це можна зробити за допомогою графічного
редактора реєстру regedt32. Якщо доступ до сервера дозволений тільки
адміністраторам, то право запису у файл або каталог можна спокійно
надати лише членам групи Administrators і облікового запису System,
під ім'ям якої працюють багато служб.

Віддалений доступ до реєстру (по мережі) являє собою досить популярний
спосіб злому серверів Windows NT, тому користуватися ним потрібно з
обережністю. На своєму Web-сайті Microsoft детально пояснює, як
обмежити або відключити віддалений доступ до реєстру. Ця інформація
розміщена на сторінці
http://support.microsoft.com/support/kb/articles/Q153/1/83.asp/.

Інший яка потребує уваги областю є паролі. Любителі заглядати
через плече можуть підглянути вводиться ким-небудь короткий ключове слово –
більшість людей, будучи надані самі собі, призначають елементарно
відгадує паролі. Визначити власну політику щодо паролів
Windows NT можна за допомогою програми User Manager for Domains з меню
Policies / Account. Більш довгі паролі відгадувати важче, тому
ключове слово повинно мати довжину мінімум шість символів. Термін життя
паролів слід обмежити, щоб користувачі вашої мережі періодично
міняли їх на нові. Втім, іноді і це не допомагає, тому що
користувачі запасаються дюжиною улюблених слів та потім по черзі
використовують їх як паролі. Хакери знають про таку манері і, по
Через декілька днів, намагаються скористатися відомим їм
попереднім варіантом. Установка прапорця унікальності пароля дозволяє
уникнути повторів паролів.

Блокування облікового запису – досить спірне інструмент захисту, бо в
руках неізобретательних зловмисників він став улюбленим засобом
лагодити перешкоди для доступу в мережу легальним користувачам. Вона дозволяє
контролювати число послідовних спроб реєстрації. Після того як
буде вичерпано дозволене число невдалих спроб, Windows NT блокує
обліковий запис користувача та запобігає подальші спроби доступу.
Дана технологія ускладнює доступ в мережу не тільки хакерам, а й
легальним користувачам. Для того щоб позбавити кого-небудь доступу в мережу,
невідомому вандалові достатньо всього лише зробити кілька спроб
зареєструватися від імені користувача. Тому якщо ви все ж вирішите
використовувати блокування, то термін її дії не слід призначати занадто
тривалим. Після закінчення цього терміну обліковий запис буде автоматично
розблокована.

У тому випадку, якщо кожен користувач працює тільки за певних
комп'ютером, захист мережі можна зміцнити, прив'язавши облікові записи до
конкретним ПК. Ідентифікація робочих станцій при цьому буде проводитися
на підставі їхніх імен NetBIOS. Хоча цей механізм і не відрізняється великою
надійністю, тому що будь-який мало-мальськи знає доморощений хакер
здатний імітувати ідентифікатор робочої станції, проте він дозволяє
боротися з любителями підглядати крадькома з-за чужого плеча.
Найкращий захист від проблем на рівні настільної системи – запровадження політики
щодо користувачів настільної системи. Завантажте з Web-сайту
Microsoft пакет Zero Administration Kit (ZAK). Хоча сам по собі пакет
має досить сумнівну цінність, з його допомогою ви навчитеся
користуватися вбудованими в Windows NT механізмами завдання правил у
відносно індивідуальних користувачів. Введені на контролері домену
правила обмежують доступ користувачів до їх власним настільним
системам, реєстрів, панелей управління та іншим найбільш вразливим
елементів інтерфейсу.

Аудит не менш важливий, ніж заходи щодо запобігання несанкціонованого
доступу. За умовчанням в журнал безпеки (security log), переглянути
який можна за допомогою Event Viewer, нічого не записується. Однак після
включення аудиту з програми User Manager в журналі будуть
реєструватися всі не обумовлені спроби доступу.

При цьому типовою помилкою є спроба протоколювати всі події,
які тільки можна. Коли журнал роздутий до немислимих розмірів, читати його
стає неможливо (у крайньому випадку, його можна лише побіжно
переглянути), що збільшує шанси пропустити випадки порушення захисту.
Тому контролювати слід лише випадки помилок при реєстрації та
доступу до файлів. Вони є хорошими індикаторами небезпеку.
Якщо ви візьмете за правило виконувати аналіз журналу безпеки кожне
ранок (очистіть його, якщо там немає ніяких підозрілих записів), то
отримаєте хороший шанс попередити плани потенційного зловмисника.

Зовнішня загроза

У разі надання доступу ззовні ви повинні знайти золоту середину
між зручністю роботи і вимогами до захисту інформації. Врешті-решт,
віддалений доступ організується насамперед з метою забезпечення зручності в
роботі. Однак приберіть його, і в підсумку ви сконфігуріруете чудово
захищений сервер зовнішнього доступу, користуватися яким, на жаль, ніхто не
буде.

Для нейтралізації мережевих атак ззовні вам буде потрібно щось більше, ніж
проста установка брандмауера. Наприклад, щоб захиститися від прослуховування
трафіку зловмисниками і інших небезпек, сервери віддаленого доступу
(Remote Access Service, RAS) і ваші сервери Internet слід встановити в
ізольованій локальній мережі. Крім того, ви повинні вирішити, де помістити
ці сервери – перед брандмауером або позаду нього. У першому випадку трафік до
серверів не буде фільтруватися брандмауером, тому на підключених до
них інших серверах, маршрутизаторі або модемі повинні бути вжиті заходи
для контролю доступу. При установці згаданих серверів позаду брандмауера
всі адресовані їм пакети будуть перевірятися і при необхідності віддалятися
з обігу.

Що стосується мене особисто, я вважаю за краще встановлювати сервери Internet / RAS
перед брандмауером. Це дозволяє забезпечити потрібну продуктивність і
працювати з мережевими протоколами, які брандмауер не пропустить
(Наприклад, з протоколом ідентифікації за типом запит / відповідь Windows NT). За
можливості, ваші Internet / RAS-сервери повинні бути фізично відокремлені від
внутрішньої корпоративної мережі. У випадку, коли віддаленому користувачеві
потрібен доступ до локальної мережі чи додатків Web і необхідно
звертатися до внутрішньої базі даних, завдання забезпечення безпеки
ускладнюється.

При комутованому доступі кращим захистом буде включення режиму у відповідь
виклику. У цьому випадку сервер віддаленого доступу Windows NT, як і
більшість інших автономних серверів віддаленого доступу, приймає
дзвінок користувача, виконує ідентифікацію користувача, а потім
передзвонює користувачеві по записаному телефонним номером. У результаті
той, хто телефонує з віддаленого комп'ютера зловмисник, нехай навіть знає
істинний ідентифікатор та пароль, ніколи не отримає доступу в мережу.
Недолік тут у тому, що метод не працює, коли співробітник компанії
дзвонить з готелю або користується послугами корпоративної АТС, не
підтримуючої функції прямого дзвінка на внутрішній номер. У подібних
випадках віртуальна приватна мережа (Virtual Private Network, VPN) може
виявитися кращим рішенням.

У конфігураціях з VPN провайдер Internet зазвичай грає роль ретранслятора
зашифрованого трафіку між віддаленим клієнтом і мережею. При використанні
VPN віддалені користувачі можуть телефонувати за місцевим номером провайдера
Internet з будь-якого міста. Після встановлення з'єднання з провайдером
спеціальний програмний компонент Windows NT відкриває друге,
віртуальне, комутоване з'єднання безпосередньо з сервером в мережі
компанії. Цей сервер повинен бути налаштований на встановлення
з'єднань VPN, ідентифікацію користувачів відповідно до шіфруемих
мандатами і подальше їх підключення до свого мережевого оточення.
Віртуальні мережі набагато безпечніше звичайного доступу в Internet, оскільки
весь трафік шифрується. Навіть переглянувши мережні пакети, хакер не зможе
вжити будь-яких зловмисних акцій. Для знайомства з можливостями
VPN ви можете завантажити пакет розширень Routing and RAS Update з вузла
http://www.microsoft.com/ntserver/. Вхідна в нього програма Connection
Manager створює автономний аплет набору номера для дозвону провайдера
Internet і автоматичної організації вторинного віртуального каналу VPN.
При наявності цього аплету у всіх віддалених користувачів з'єднання VPN
можна буде встановити буквально подвійним клацанням миші.

Увійшовши в мережу, віддалені користувачі зазвичай працюють лише з одним
додатком або невеликою групою додатків. Наприклад, персонал відділу
продажу вашої компанії може проводити прийом електронної пошти,
узгодження графіка ділових зустрічей і пошук по базі адрес. Знаючи
стандартний набір операцій своїх віддалених користувачів, ви можете
визначити, якою мірою вони готові миритися з відсутністю доступу до
всій мережі. Цілком можливо, що їм буде достатньо доступу до сервера,
встановленому перед брандмауером.

Будь-яка розташована перед брандмауером система повинна бути
налаштована на запуск тільки необхідних служб і додатків. Це
може бути сервер електронної пошти і база даних ділових контактів.
Подібна конфігурація знижує об'єм трафіку через брандмауер і не
обмежує доступ до необхідних віддаленим користувачам службам. Дуже
ймовірно, що в такій ситуації користувачам взагалі не будуть потрібні послуги
серверів внутрішньої мережі. Перебуваючи в офісі, вони як і раніше можуть
використовувати з'єднання VPN для доступу до своїх даних. Крім того,
брандмауер можна сконфігурувати таким чином, щоб він надавав
доступ з мережі до зовнішнього сервера.

Більш вимогливі віддалені користувачі, в основному розробники і
адміністратори, створюють досить серйозну проблему. Оскільки їм часто
необхідний доступ до всієї локальної мережі, вони буквально свірепеют при
зіткненні з перешкодами та обмеженнями. Проте необмежений
зовнішній доступ завжди пов'язаний з ризиком, і обхід брандмауера неприпустимий навіть
по самій серйозної причини. Тим не менш побажання таких фахівців, як
правило, мають під собою вагомі підстави.

Якщо такі користувачі розміщуються в одному крилі офісу корпорації, то я
рекомендую замість звичайних модемів оснастити їх обладнанням ISDN, якщо,
звичайно, це по кишені вашої компанії. Крім того, що швидкість їх
доступу зросте, якісні зовнішні ISDN-маршрутизатори мають більше
число додаткових опцій захисту, ніж звичайні моделі. Наприклад,
ISDN-маршрутизатори серії Pipeline компанії Ascend Communications можуть
заборонити встановлення з'єднання на підставі ідентифікатора Caller ID.
Крім того, їх можна конфігурувати на встановлення з'єднання лише від
комп'ютерами, що входять в задану IP-підмережа. Хоча ці маршрутизатори
можна укомплектувати вбудованим програмним забезпеченням брандмауера, я
вважаю стандартний набір обмежень цілком достатнім для більшості
випадків.

Windows 2000

Наступна версія Windows NT, до цього відома як Windows NT 5.0, буде
містити як вже знайомі по Windows NT 4.0 засоби захисту, так і низку
додаткових можливостей, що призводять цю операційну систему в
відповідність до вимог сучасних стандартів в області
інформаційного захисту.

Включений в Windows NT 4.0 протокол аутентифікації за типом запит / відповідь
ефективний, але він є власністю Microsoft і недоступний іншим
розробникам. Тому при роботі з системами UNIX в змішаних мережах
ідентифікаційну інформацію доводиться передавати відкритим текстом. У
Windows 2000 ідентифікація буде виконуватися за допомогою Kerberos, так що
користувачі Windows і UNIX зможуть реєструватися на одному і тому ж
сервері. При обслуговуванні запитів на ідентифікацію сервер Windows 2000
навіть зможе звернутися до зовнішнього сервера Kerberos.

Плоска (однорівнева) доменна структура Windows NT 4.0 сильно
ускладнює процес створення груп систем. З появою в Windows 2000
служби каталогів Active Directory підтримка останньої ієрархічних
доменів істотно розширить можливості управління мережевою захистом.
Тепер сервери і робочі станції можна буде групувати за принципом
спільності застосовуваних до них правил захисту. При створенні нової групи вона
може успадкувати від батьківського сервера політику захисту, на основі
якої ви можете створити унікальний для цієї групи набір правил. Active
Directory спрощує процедуру створення природних ієрархій вузлів,
відділів, підвідділів та індивідуальних робочих станцій. Домени можна
формувати за географічним принципом або на підставі їх логічної
спільності, а також по обох принципам відразу.

Стандартним компонентом Windows 2000 стане інструментальний пакет Zero
Administration, що дозволяє закрити доступ до клієнтських комп'ютерів. У
число стандартних засобів буде включено також Terminal Server,
надає графічні засоби віддаленого доступу до Windows. З його
допомогою ви зможете конфігурувати надійно захищених тонких клієнтів, не
мають доступу до власних жорстких дисків. Обмеження щодо
користувачів можуть бути визначені на будь-якому рівні ієрархії Active
Directory. Так, ви можете закрити доступ до конкретного комп'ютера, до
комп'ютерам відділу або підрозділу.

Хоча захист за допомогою відкритих ключів з'явилася в Windows NT 4.0, вона була
повністю інтегрована в систему тільки в Windows 2000. Ви можете видати
захисні сертифікати своїм користувачам, а потім обмежити доступ до
мережним службам і ресурсів тільки тими, у кого вони є. (Сертифікат
представляє собою свого роду цифровий паспорт.) Видавши сертифікат, ви
можете потім у будь-який час анулювати його.

Іншим засобом захисту в Windows 2000 є захищена файлова
система EFS (Encrypted File System), що шифрує що зберігаються на диску дані
відповідно до ключа сертифіката користувача. Завдяки такому
підходу, зашифровану інформацію зможе прочитати лише її власник. У
момент звернення Windows 2000 перевірить справжність сертифіката і,
прозоро для користувача, виконає декодування інформації. У
результаті навіть вилучення жорсткого диска з сервера не допоможе
зловмисникові прочитати закодовані файли.

Windows 2000 також забезпечить підтримку розробленого в IETF стандарту IP
Security (IPSec). Цей протокол виконує шифрування трафіку TCP / IP і
гарантує, що всі вступники адресату дані не будуть змінені за
дорозі. IPSec позбавляє сенсу перехоплення пакетів, так як їх вміст
неможливо буде розшифрувати, а спроби вставити пакети від імені іншої
машини або модифікація трафіку приречені на невдачу. Щоб скористатися
IPSec, всі клієнти і сервери повинні мати стек TCP / IP з підтримкою IPSec.
Крім включення стандарту до складу Windows 2000, Microsoft збирається
додати його підтримку в усі існуючі стеки TCP / IP для Windows.
Прагнучи до того, щоб її розглядали в якості серйозного постачальника
корпоративної операційної системи, Microsoft в новій ОС приділила
пильну увагу питанням захисту. Хоча для того, щоб побачити
остаточний результат цієї роботи, нам доведеться почекати появи на
ринку Windows 2000, знайомство з другою бета-версією Windows NT 5.0
(Варіант грудня 1998 року) говорить про те, що компанія йде по вірному
шляху.

Кілька заключних зауважень

Захист серверів Windows NT далеко не обмежується завданням прав доступу
до файлів. Цілісний підхід до захисту, включаючи запобігання фізичного
доступу, визначення ролей користувачів, введення обмежень на доступ до
настільним системам і серверів, є єдиним способом
гарантувати захист вашої інформації. Здійснивши всі заходи щодо
захист серверів, ви не повинні забувати перевірити, яким чином чергове
зміна конфігурації позначиться на захищеності мережі. Навіть якщо прохання про
зміну конфігурації надходить від керівництва (яке, між іншим,
має в своєму розпорядженні найбільш цінною інформацією), то перш, ніж її здійснювати,
ви, як адміністратор, повинні упевнитися, що навіть найлегше
зміна мережевих налаштувань не несе в собі ризику порушення захисту.
Мережева безпека – це не та область, де допустимо недбалий підхід до
справі. Тому ви повинні задіяти всі можливості доступних
інструментарію і технологій Windows NT Server. Впевненість у тому, що
доступ до інформації надійно захищений, дозволить полегшено зітхнути всім
співробітникам вашої компанії.

Том Ягер – Керівник проекту фірми Healthweb Systems і автор багатьох
публікацій. З ним можна зв'язатися за адресою: tyager@maxx.net.

Інформаційні ресурси

Якщо ви хочете регулярно читати бюлетені Microsoft з питань
безпеки і мати останні доробки для системи захисту, то запам'ятайте
цю адресу: http://www.microsoft.com/security/. Сервісні пакети для
Windows NT можна завантажити з http://www.microsoft.com/ntserver/.
Більш докладну інформацію про ISDNмаршрутізаторах серії Pipeline компанії
Ascend Communications ви можете отримати на її сервері Web
http://www.ascend.com.
Опис протоколу IPSec можна знайти за адресою:
ftp://ftp.isi.edu/in-notes/rfc2401.txt/.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*