Питання захисту мереж Windows NT, Windows 9x/NT, Security & Hack, статті

www.hackerz.ru

Q: Щоб надійно захистити мережу, одних брандмауерів і proxy-серверів недостатньо. Сама операційна система повинна бути практично куленепробивної. Як же захистити системи Windows NT? Питання мережевої безпеки набувають все більшої актуальності. Витончені атаки винахідливих хакерів змушують адміністраторів мереж перебувати в постійному страху з приводу збереження інформації. Винятком тут не є і мережі Windows NT

A: Чи знаєте ви, наскільки серйозні проблеми стоять перед вами і чи було зроблено для їх усунення? Таку неосяжну тему, як безпека Windows NT Server, неможливо висвітлити в одній статті, тому ми будемо говорити лише про те, як захистити ваші інформаційні активи за допомогою вбудованих функцій та засобів цієї операційної системи. Незважаючи на те, що ми настійно рекомендуємо використовувати брандмауери та proxy-сервери, найкраще, коли вони встановлюються в мережу, ступінь захищеності якої відповідає максимально можливою для використовуваної мережевої операційної системи рівню.

Боротьба з внутрішнім ворогом

При всієї небезпеки зовнішньої загрози ваші власні користувачі являють собою набагато більш ймовірний джерело проблем. На щастя, багатьох потенційних неприємностей можна уникнути, заздалегідь прийнявши необхідних заходів. Перша з них – установка Windows NT Server 4.0 з сервісним пакетом Service Pack 4 (SP 4), куди включені всі заплатки для виявлених у захисті дірок з пакету SP 3, а також багато що з’явилися після його виходу виправлення.

Тут я зобов’язаний згадати про одну тонкощі. Конфігурація за замовчуванням Windows NT 4.0 з SP 4 надзвичайно легко піддається злому. Наприклад, обліковий запис Guest не відключена, члени групи Everyone мають широкі права читання / запису, правила завдання паролів відсутні. Іншими словами, захист сервера зажадає від вас розуміння можливостей Windows NT та вміння створити з їх допомогою надійну конфігурацію.

Основним і найбільш ефективним засобом захисту Windows NT проти непроханих гостей є її система аутентифікації. Клієнти Windows 95, Windows 98 і Windows NT Workstation не тільки обмінюються зашифрованими ідентифікаторами користувачів (ID) і паролями, але також використовують власний протокол аутентифікації по типу запит / відповідь. Такий метод гарантує, що ідентифікаційна інформація ніколи не представляється двічі на одному і тому ж вигляді. Це швидко відбиває у доморощених хакерів будь-яке бажання перехоплювати мережеві пакети в надії розшифрувати їх вміст, а потім використовувати його для несанкціонованого доступу. Легальних користувачів теж слід тримати в узді. Задавши на серверах домену відповідні права доступу до об’єктів файлової системи NTFS, ви істотно полегшите собі життя. Вміст списків контролю доступу (Access Control List, ACL) до будь-яких загальних даних потрібно періодично перевіряти. Спільний же доступ до томів FAT краще взагалі не дозволяти, оскільки вони не передбачають, як в розділах NTFS, можливості контролю доступу до конкретних файлів. При створенні або перевірці списків контролю доступу в розділах NTFS перевагу слід віддавати більше спартанського інструменту в стилі командного рядка – утиліті cacls, а не графічного інструменту Windows Explorer. Вона часто дозволяє виявити елементи списків ACL, про наявність яких ви й не здогадувалися. Windows Explorer групує права доступу в красивий список, але cacls відображає для кожного користувача детальний перелік усіх наданих і блокованих прав.

Крім того, cacls володіє унікальною можливістю замінювати існуючі ACL на більш прості й ефективні. Кількість ACL повинно бути мінімально необхідним для забезпечення прав доступу. Синтаксис команди cacls можна знайти в інтерактивній документації і Windows NT.

ACL не варто прив’язувати до конкретної людини. При зміні обов’язків користувачів всередині компанії вам буде надзвичайно важко відслідковувати і коректувати раніше присвоєні їм права доступу. Тому всіх співробітників краще розподілити по групах в домені, а цим групам призначити відповідні права доступу до файлів і папок. Для зміни прав конкретного співробітника достатньо буде просто видалити з однієї групи і включити в іншу.

Реєстр сервера являє собою дуже цінне джерело інформації, тому розділах реєстру слід призначити власні ACL, так само як папок і файлів томів NTFS. Це можна зробити за допомогою графічного редактора реєстру regedt32. Якщо доступ до сервера дозволений тільки адміністраторам, то право запису в файл або каталог можна спокійно надати лише членам групи Administrators і облікового запису System, під ім’ям якої працюють багато служб.

Віддалений доступ до реєстру (по мережі) являє собою досить популярний спосіб злому серверів Windows NT, тому користуватися ним потрібно з обережністю. На своєму Web-сайті Microsoft детально пояснює, як обмежити або відключити віддалений доступ до реєстру. Ця інформація розміщена на сторінці
http://support.microsoft.com/support/kb/articles/Q153/1/83.asp/.

Інший вимагає уваги областю є паролі. Любителі заглядати через плече можуть підглянути вводиться будь-ким короткий ключове слово – більшість людей, будучи надані самі собі, призначають елементарно відгадуєте паролі. Визначити власну політику щодо паролів Windows NT можна за допомогою програми User Manager for Domains з меню Policies / Account. Довші паролі відгадувати важче, тому ключове слово повинно мати довжину мінімум шість символів. Термін життя паролів слід обмежити, щоб користувачі вашої мережі періодично міняли їх на нові. Втім, іноді і це не допомагає, тому що користувачі запасаються дюжиною улюблених слівець і потім по черзі використовують їх як паролів. Хакери знають про таку манері і, по закінчення декількох днів, намагаються скористатися відомим їм попереднім варіантом. Установка прапорця унікальності пароля дозволяє уникнути повторів паролів.

Блокування облікового запису – досить спірне інструмент захисту, бо в руках неізобретательних зловмисників він став улюбленим засобом лагодити перепони для доступу в мережу легальним користувачам. Вона дозволяє контролювати число послідовних спроб реєстрації. Після того як буде вичерпано дозволене число невдалих спроб, Windows NT блокує обліковий запис користувача та запобігає подальші спроби доступу. Дана технологія ускладнює доступ в мережу не тільки хакерам, а й легальним користувачам. Для того щоб позбавити будь-кого доступу в мережу, невідомі вандали достатньо всього лише зробити кілька спроб зареєструватися від імені користувача. Тому якщо ви все ж вирішите використовувати блокування, то термін її дії не слід призначати занадто тривалим. Після закінчення цього терміну обліковий запис буде автоматично розблокована.

У тому випадку, якщо кожен користувач працює тільки за певних комп’ютером, захист мережі можна зміцнити, прив’язавши облікові записи до конкретним ПК. Ідентифікація робочих станцій при цьому буде проводитися на підставі їхніх імен NetBIOS. Хоча цей механізм і не відрізняється великою надійністю, так як будь-який мало-мальськи знає доморощений хакер здатний імітувати ідентифікатор робочої станції, проте він дозволяє боротися з любителями підглядати крадькома через чужого плеча. Найкращий захист від проблем на рівні настільної системи – введення політики щодо користувачів настільної системи. Завантажте з Web-сайту Microsoft пакет Zero Administration Kit (ZAK). Хоча сам по собі пакет має досить сумнівну цінність, з його допомогою ви навчитеся користуватися вбудованими в Windows NT механізмами завдання правил в відношенні індивідуальних користувачів. Введені на контролері домену правила обмежують доступ користувачів до їх власним настільним системам, реєстрів, панелям управління та іншим найбільш уразливим елементів інтерфейсу.

Аудит не менш важливий, ніж заходи щодо запобігання несанкціонованого доступу. За замовчуванням в журнал безпеки (security log), переглянути який можна за допомогою Event Viewer, нічого не записується. Однак після включення аудиту з програми User Manager в журналі будуть реєструватися все не обумовлені спроби доступу.

При цьому типовою помилкою є спроба протоколювати всі події, які тільки можна. Коли журнал роздутий до неймовірних розмірів, читати його стає неможливо (в крайньому разі, його можна лише побіжно переглянути), що збільшує шанси пропустити випадки порушення захисту. Тому контролювати слід лише випадки помилок при реєстрації та доступі до файлів. Вони є хорошими індикаторами небезпеку. Якщо ви візьмете за правило виконувати аналіз журналу безпеки кожне ранок (очистіть його, якщо там немає ніяких підозрілих записів), то отримаєте хороший шанс попередити плани потенційного зловмисника.

Зовнішня загроза

У разі надання доступу ззовні ви повинні знайти золоту середину між зручністю роботи і вимогами до захисту інформації. Зрештою, віддалений доступ організовується насамперед з метою забезпечення зручності в роботі. Однак приберіть його, і в підсумку ви сконфигурируете чудово захищений сервер зовнішнього доступу, користуватися яким, на жаль, ніхто не буде.

Для нейтралізації мережевих атак ззовні вам буде потрібно щось більше, ніж проста установка брандмауера. Наприклад, щоб захиститися від прослуховування трафіку зловмисниками та інших небезпек, сервери віддаленого доступу (Remote Access Service, RAS) і ваші сервери Internet слід встановити в ізольованій локальній мережі. Крім того, ви повинні вирішити, де розмістити ці сервери – перед брандмауером або позаду нього. У першому випадку трафік до серверам не буде фільтруватися брандмауером, тому на підключених до них інших серверах, маршрутизаторі або модемі повинні бути вжиті заходи для контролю доступу. При установці згаданих серверів позаду брандмауера всі адресовані їм пакети будуть перевірятися і при необхідності віддалятися з обігу.

Що стосується мене особисто, я вважаю за краще встановлювати сервери Internet / RAS перед брандмауером. Це дозволяє забезпечити потрібну продуктивність і працювати з мережевими протоколами, які брандмауер не пропустить (Наприклад, з протоколом ідентифікації за типом запит / відповідь Windows NT). За можливості, ваші Internet / RAS-сервери повинні бути фізично відокремлені від внутрішньої корпоративної мережі. У випадку, коли віддаленому користувачеві потрібен доступ до локальної мережі або додатків Web і необхідно звертатися до внутрішньої бази даних, завдання забезпечення безпеки ускладнюється.

При комутованому доступі кращим захистом буде включення режиму у відповідь виклику. У цьому випадку сервер віддаленого доступу Windows NT, як і більшість інших автономних серверів віддаленого доступу, бере дзвінок користувача, виконує ідентифікацію користувача, а потім передзвонює користувачеві по записаному телефонним номером. В результаті той, хто телефонує з віддаленого комп’ютера зловмисник, нехай навіть знає істинний ідентифікатор та пароль, ніколи не отримає доступу в мережу. Недолік тут в тому, що метод не працює, коли співробітник компанії дзвонить з готелю або користується послугами корпоративної АТС, не підтримуючої функції прямого дзвінка на внутрішній номер. У подібних випадках віртуальна приватна мережа (Virtual Private Network, VPN) може виявитися кращим рішенням.

У конфігураціях з VPN провайдер Internet зазвичай грає роль ретранслятора зашифрованого трафіку між віддаленим клієнтом і мережею. При використанні VPN віддалені користувачі можуть телефонувати за місцевим номером провайдера Internet з будь-якого міста. Після встановлення з’єднання з провайдером спеціальний програмний компонент Windows NT відкриває друге, віртуальне, комутоване з’єднання безпосередньо з сервером в мережі компанії. Цей сервер повинен бути налаштований на встановлення з’єднань VPN, ідентифікацію користувачів відповідно до шіфруемих мандатами і подальше їх підключення до свого мережевого оточення. Віртуальні мережі набагато безпечніше звичайного доступу в Internet, оскільки весь трафік шифрується. Навіть переглянувши мережеві пакети, хакер не зможе вжити будь-яких зловмисних акцій. Для знайомства з можливостями VPN ви можете завантажити пакет розширень Routing and RAS Update з вузла http://www.microsoft.com/ntserver/. Вхідна в нього програма Connection Manager створює автономний аплет набору номера для додзвону провайдеру Internet і автоматичною організації вторинного віртуального каналу VPN. При наявності цього аплету у всіх віддалених користувачів з’єднання VPN можна буде встановити буквально подвійним клацанням миші.

Увійшовши в мережу, віддалені користувачі зазвичай працюють лише з одним додатком або невеликою групою додатків. Наприклад, персонал відділу продажу вашої компанії може виробляти прийом електронної пошти, узгодження графіка ділових зустрічей і пошук по базі адрес. Знаючи стандартний набір операцій своїх віддалених користувачів, ви можете визначити, якою мірою вони готові миритися з відсутністю доступу до всієї мережі. Цілком можливо, що їм буде достатньо доступу до сервера, встановленому перед брандмауером.

Будь розташована перед брандмауером система повинна бути сконфигурирована на запуск тільки необхідних служб і додатків. Це може бути сервер електронної пошти та база даних ділових контактів. Подібна конфігурація знижує об’єм трафіку через брандмауер і не обмежує доступ до необхідних віддаленим користувачам службам. Дуже ймовірно, що в такій ситуації користувачам взагалі не будуть потрібні послуги серверів внутрішньої мережі. Перебуваючи в офісі, вони як і раніше можуть використовувати з’єднання VPN для доступу до своїх даних. Крім того, брандмауер можна настроїти таким чином, щоб він надавав доступ з мережі до зовнішнього серверу.

Більш вимогливі віддалені користувачі, в основному розробники і адміністратори, створюють досить серйозну проблему. Оскільки їм часто необхідний доступ до всієї локальної мережі, вони буквально свірепеют при зіткненні з перешкодами та обмеженнями. Однак необмежений зовнішній доступ завжди пов’язаний з ризиком, і обхід брандмауера неприпустимий навіть по найсерйознішою причини. Тим не менш побажання таких фахівців, як правило, мають під собою вагомі підстави.

Якщо такі користувачі розміщуються в одному крилі офісу корпорації, то я рекомендую замість звичайних модемів оснастити їх обладнанням ISDN, якщо, звичайно, це по кишені вашої компанії. Крім того, що швидкість їх доступу зросте, якісні зовнішні ISDN-маршрутизатори мають більше число додаткових опцій захисту, ніж звичайні моделі. Наприклад, ISDN-маршрутизатори серії Pipeline компанії Ascend Communications можуть заборонити встановлення з’єднання на основі ідентифікатора Caller ID. Крім того, їх можна конфігурувати на встановлення з’єднання тільки з комп’ютерами, що входять в задану IP-сіть. Хоча ці маршрутизатори можна укомплектувати вбудованим програмним забезпеченням брандмауера, я вважаю стандартний набір обмежень цілком достатнім для більшості випадків.

Windows 2000

Наступна версія Windows NT, до цього відома як Windows NT 5.0, буде містити як вже знайомі по Windows NT 4.0 засоби захисту, так і ряд додаткових можливостей, що призводять цю операційну систему в відповідність до вимог сучасних стандартів в області інформаційного захисту.

Включений в Windows NT 4.0 протокол аутентифікації по типу запит / відповідь ефективний, але він є власністю Microsoft і недоступний іншим розробникам. Тому при роботі з системами UNIX в змішаних мережах ідентифікаційну інформацію доводиться передавати відкритим текстом. В Windows 2000 ідентифікація буде виконуватися за допомогою Kerberos, так що користувачі Windows і UNIX зможуть реєструватися на одному і тому ж сервері. При обслуговуванні запитів на ідентифікацію сервер Windows 2000 навіть зможе звернутися до зовнішнього серверу Kerberos.

Плоска (однорівнева) доменна структура Windows NT 4.0 сильно ускладнює процес створення груп систем. З появою в Windows 2000 служби каталогів Active Directory підтримка останньої ієрархічних доменів істотно розширить можливості управління мережевий захистом. Тепер сервери і робочі станції можна буде групувати за принципом спільності застосовуваних до них правил захисту. При створенні нової групи вона може успадкувати від батьківського сервера політику захисту, на основі якої ви можете створити унікальний для цієї групи набір правил. Active Directory спрощує процедуру створення природних ієрархій вузлів, відділів, підвідділів та індивідуальних робочих станцій. Домени можна формувати за географічним принципом або на підставі їх логічної спільності, а також по обох принципам відразу.

Стандартним компонентом Windows 2000 стане інструментальний пакет Zero Administration, що дозволяє закрити доступ до клієнтських комп’ютерів. В число стандартних засобів буде включено також Terminal Server, надає графічні засоби віддаленого доступу до Windows. З його допомогою ви зможете конфігурувати надійно захищених тонких клієнтів, не мають доступу до власних жорстким дискам. Обмеження щодо користувачів можуть бути визначені на якому рівні ієрархії Active Directory. Так, ви можете закрити доступ до конкретного комп’ютера, до комп’ютерів відділу або підрозділу.

Хоча захист за допомогою відкритих ключів з’явилася в Windows NT 4.0, вона була повністю інтегрована в систему тільки в Windows 2000. Ви можете видати захисні сертифікати своїм користувачам, а потім обмежити доступ до мережним службам і ресурсів тільки тими, у кого вони є. (Сертифікат являє собою свого роду цифровий паспорт.) Видавши сертифікат, ви можете потім у будь-який час анулювати його.

Іншим засобом захисту в Windows 2000 є захищена файлова система EFS (Encrypted File System), шифрующая зберігаються на диску дані відповідно до ключем сертифікату користувача. Завдяки такому підходу, зашифровану інформацію зможе прочитати лише її власник. В момент звернення Windows 2000 перевірить справжність сертифіката і, прозоро для користувача, виконає декодування інформації. В результаті навіть вилучення жорсткого диска з сервера не допоможе зловмисникові прочитати закодовані файли.

Windows 2000 також забезпечить підтримку розробленого в IETF стандарту IP Security (IPSec). Цей протокол виконує шифрування трафіку TCP / IP і гарантує, що всі вступники адресату дані не будуть змінені за дорозі. IPSec позбавляє сенсу перехоплення пакетів, так як їх вміст неможливо буде розшифрувати, а спроби вставити пакети від імені іншої машини або модифікація трафіку приречені на невдачу. Щоб скористатися IPSec, всі клієнти і сервери повинні мати стек TCP / IP з підтримкою IPSec. Крім включення стандарту до складу Windows 2000, Microsoft збирається додати його підтримку в усі існуючі стеки TCP / IP для Windows. Прагнучи до того, щоб її розглядали в якості серйозного постачальника корпоративної операційної системи, Microsoft в новій ОС приділила пильну увагу питанням захисту. Хоча для того, щоб побачити остаточний результат цієї роботи, нам доведеться почекати появи на ринку Windows 2000, знайомство з другої бета-версією Windows NT 5.0 (Варіант грудня 1998 року) говорить про те, що компанія йде по вірному шляху.

Кілька заключних зауважень

Захист серверів Windows NT далеко не обмежується завданням прав доступу до файлів. Цілісний підхід до захисту, включаючи запобігання фізичного доступу, визначення ролей користувачів, введення обмежень на доступ до настільним системам і серверів, є єдиним способом гарантувати захист вашої інформації. Здійснивши всі заходи щодо захист серверів, ви не повинні забувати перевірити, яким чином чергове зміна конфігурації позначиться на захищеності мережі. Навіть якщо прохання про зміну конфігурації надходить від керівництва (яке, між іншим, розпорядженні найбільш цінною інформацією), то перш, ніж її здійснювати, ви, як адміністратор, повинні упевнитися, що навіть найлегше зміна мережевих налаштувань не несе в собі ризику порушення захисту. Мережева безпека – це не та область, де допустимо недбалий підхід до справі. Тому ви повинні задіяти всі можливості доступних інструментарію і технологій Windows NT Server. Впевненість в тому, що доступ до інформації надійно захищений, дозволить полегшено зітхнути всім співробітникам вашої компанії.

Том Ягер – Керівник проекту фірми Healthweb Systems і автор багатьох публікацій. З ним можна зв’язатися за адресою: tyager@maxx.net.

Інформаційні ресурси

Якщо ви хочете регулярно читати бюлетені Microsoft з питань безпеки і мати останні доопрацювання для системи захисту, то запам’ятайте ця адреса: http://www.microsoft.com/security/. Сервісні пакети для Windows NT можна завантажити з http://www.microsoft.com/ntserver/.
Більш детальну інформацію про ISDNмаршрутізаторах серії Pipeline компанії Ascend Communications ви можете отримати на її сервері Web
http://www.ascend.com.
Опис протоколу IPSec можна знайти за адресою:
ftp://ftp.isi.edu/in-notes/rfc2401.txt/.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*