Система обеспечения защищенности локальной сети отдела воинской части

Рисунок 3.1 - Схема осуществления анализа сетевого трафика

Анализ сетевого трафика позволяет, во-первых, изучить логику работы распределенной ВС, то есть получить взаимно однозначное соответствие событий, происходящих в системе, и команд, пересылаемых друг другу ее объектами, в момент появления этих событий. Это достигается путем перехвата и анализа пакетов обмена на канальном уровне. Знание логики работы распределенной ВС позволяет на практике моделировать и осуществлять типовые удаленные атаки.

Во-вторых, анализ сетевого трафика позволяет перехватить поток данных, которыми обмениваются объекты распределенной ВС. Таким образом, удаленная атака данного типа заключается в получении на удаленном объекте несанкционированного доступа к информации, которой обмениваются два сетевых абонента. Примером перехваченной при помощи данной типовой удаленной атаки информации могут служить имя и пароль пользователя, пересылаемые в незашифрованном виде по сети.

2) Подмена доверенного объекта распределенной вычислительной системы. Одной из проблем безопасности распределенной ВС является недостаточная идентификация и аутентификация ее удаленных друг от друга объектов. В этом случае оказывается возможной типовая удаленная атака, заключающаяся в передаче по каналам связи сообщений от имени произвольного объекта или субъекта РВС.

Как известно, для адресации сообщений в распределенных ВС используется сетевой адрес, который уникален для каждого объекта системы (на канальном уровне модели OSI - это аппаратный адрес сетевого адаптера, на сетевом уровне - IP-адрес). Однако сетевой адрес достаточно просто подделывается, что позволяет реализовать стандартную сетевую атаку подмены адреса (IP spoofing). Данная атака позволит злоумышленнику выдать свой пакет как привилегированный и получить доступ к дополнительным службам.

3) Отказ в обслуживании. Одной из основных задач, возлагаемых на сетевую ОС, функционирующую на каждом из объектов РВС, является обеспечение надежного удаленного доступа с любого объекта сети к данному объекту. В общем случае в РВС каждый субъект системы должен иметь возможность подключиться к любому объекту РВС и получить в соответствии со своими правами удаленный доступ к его ресурсам. Обычно в вычислительных сетях возможность предоставления удаленного доступа реализуется следующим образом: на объекте РВС в сетевой ОС запускается на выполнение ряд программ-серверов, предоставляющих удаленный доступ к ресурсам данного объекта. Данные программы-серверы входят в состав телекоммуникационных служб предоставления удаленного доступа. Задача сервера состоит в том, чтобы, находясь в памяти ОС объекта РВС, постоянно ожидать получения запроса на подключение от удаленного объекта. В случае получения подобного запроса сервер должен по возможности передать на запросивший объект ответ, в котором либо разрешить подключение, либо нет. По аналогичной схеме происходит создание виртуального канала связи, по которому обычно взаимодействуют объекты РВС. В этом случае непосредственно ядро сетевой ОС обрабатывает приходящие извне запросы на создание виртуального канала (ВК) и передает их в соответствии с идентификатором запроса (порт или сокет) прикладному процессу, которым является соответствующий сервер.

Сетевая ОС способна иметь только ограниченное число открытых виртуальных соединений и отвечать лишь на ограниченное число запросов. Эти ограничения зависят от различных параметров системы в целом, основными из которых являются ЭВМ, объем оперативной памяти и пропускная способность канала связи (чем она выше, тем больше число возможных запросов в единицу времени).

Основная проблема состоит в том, что при отсутствии статической ключевой информации в РВС идентификация запроса возможна только по адресу его отправителя. Если в РВС не предусмотрено средств аутентификации адреса отправителя, то есть инфраструктура РВС позволяет с одного объекта системы передавать на другой атакуемый объект бесконечное число анонимных запросов на подключение от имени других объектов, то в этом случае будет иметь успех типовая удаленная атака «Отказ в обслуживании». Результат применения этой удаленной атаки - нарушение на атакованном объекте работоспособности соответствующей службы предоставления удаленного доступа, то есть невозможность получения удаленного доступа с других объектов РВС.

Вторая разновидность этой типовой атаки состоит в передаче с одного адреса количества запросов на атакуемый объект, какое позволит трафик (направленный «шторм» запросов). В этом случае, если в системе не предусмотрены правила, ограничивающие число принимаемых запросов с одного объекта (адреса) в единицу времени, то результатом этой атаки может являться как переполнение очереди запросов и отказа одной из телекоммуникационных служб, так и полная остановка компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов.

Третьей разновидностью атаки «Отказ в обслуживании» является передача на атакуемый объект некорректного, специально подобранного запроса. В этом случае при наличии ошибок в удаленной системе возможно зацикливание процедуры обработки запроса, переполнение буфера с последующим зависанием системы.

3.1.3 Рабочее место вызова (РМ вызова)

Поскольку с данной рабочей станции осуществляется доступ к ресурсам Internet, требующим удаленного поиска, то наиболее возможными угрозами являются:

- загрузка вредоносного ПО;

- атака с внедрением в распределенную вычислительную систему ложного объекта. Эта атака возможна, если для взаимодействия объектов необходимо использование алгоритмов удаленного поиска (например, служба DNS). Наиболее известная атака данного типа - ложный DNS сервер.

Организация этой атаки на рабочую станцию отдела позволяет предложить два возможных варианта ее ведения.

а) Внедрение в сеть Internet ложного DNS-сервера путем перехвата DNS-запроса. В данном случае это удаленная атака на базе стандартной типовой УА (удаленной атаки), связанной с ожиданием поискового DNS-запроса. Для реализации атаки путем перехвата DNS-запроса атакующему необходимо перехватить DNS-запрос, извлечь из него номер UDP-порта отправителя запроса, двухбайтовое значение ID идентификатора DNS-запроса и искомое имя и затем послать ложный DNS-ответ на извлеченный из DNS-запроса UDP-порт, в котором указать в качестве искомого IP-адреса настоящий IP-адрес ложного DNS-сервера. Это позволит в дальнейшем полностью перехватить трафик между атакуемым хостом и сервером и активно воздействовать на него по схеме «Ложный объект РВС».

Необходимым условием осуществления данного варианта атаки является перехват DNS-запроса. Это возможно только в том случае, если атакующий находится либо на пути основного трафика, либо в сегменте настоящего DNS-сервера. Выполнение одного из этих условий местонахождения атакующего в сети делает подобную удаленную атаку трудно осуществимой на практике (попасть в сегмент DNS-сервера и, тем более, в межсегментный канал связи атакующему, скорее всего, не удастся). Однако в случае выполнения этих условий возможно осуществить межсегментную удаленную атаку.

б) Внедрение в сеть Internet ложного сервера путем создания направленного «шторма» ложных DNS-серверов на атакуемый хост. Другой вариант, направленный на службу DNS, основан на второй разновидности типовой УА «Ложный объект РВС». В этом случае атакующий осуществляет постоянную передачу на атакуемый хост заранее подготовленного ложного DNS-ответа от имени настоящего DNS-сервера без приема DNS-запроса. Другими словами, атакующий создает в сети Internet направленный «шторм» ложных DNS-ответов. Это возможно, так как обычно для передачи DNS-запроса используется протокол UDP, в котором отсутствуют средства идентификации пакетов. Единственными критериями, предъявляемыми сетевой ОС хоста к полученному от DNS-сервера ответу, является, во-первых, совпадение IP-адреса отправителя ответа с IP-адресом DNS-сервера; во-вторых, чтобы в DNS-ответе было указано то же имя, что и в DNS-запросе; в-третьих, DNS-ответ должен быть направлен на тот же UDP-порт, с которого был послан DNS-запрос (в данном случае это первая проблема атакующего), и, в-четвертых, в DNS-ответе поле идентификатора запроса в заголовке DNS (ID) должно содержать то же значение, что и в переданном DNS-запросе (вторая проблема).

В данном случае, так как атакующий не имеет возможности перехватить DNS-запрос, то основную проблему для него представляет номер UDP-порта, с которого был послан запрос. Однако, номер порта отправителя принимает ограниченный набор значений (больше 1023), поэтому атакующему достаточно действовать простым перебором, направляя ложные ответы на соответствующий перечень портов. Второй проблемой может быть двухбайтовый идентификатор DNS-запроса, но реализация службы DNS и Web-браузеров на сегодняшний день позволяют с определенной вероятностью предсказать эти значения.

3.2 Угрозы внутри сети

Находясь внутри отдела, злоумышленник получает физический доступ к компонентам ЛВС отдела. Дальнейшие его действия будут зависеть от поставленных им целей. Например, если целью злоумышленника является нарушение работоспособности отдела, то он может вывести из строя аппаратные составляющие сети посредством нанесения им физического урона или произвести атаку на программные составляющие сети с помощью, например, внедрения вредоносного ПО. Но наиболее распространенными целями злоумышленников является получение доступа к информации, циркулирующей в сети отдела. Так, злоумышленник, получив доступ к системе коммуникации отдела, может прослушивать сетевой трафик. Вывод из строя межсетевых экранов может нарушить всю политику безопасности отдела, поскольку брандмауэр является основным средством обеспечения защиты ЛВС. Это приведет к тому, что сеть отдела станет открыта перед внешними атаками, и хакеры смогут получить доступ к интересующим их данным. Но, чтобы изменить настройки межсетевого экрана, а также получить доступ к информации, хранящейся на серверах отдела, необходимо иметь соответствующие полномочия. В данном случае, получение таких полномочий зависит от администрирования сети, возможностей установленного ПО и его уязвимостей. Основной ОС ЛВС отдела является Windows NT 4.0 Service Pack 6.0, поэтому в данной части дипломного проекта рассмотрим угрозы этой ОС. Также на сервере БД установлено ПО MS SQL Server, а, так как для злоумышленника этот сервер представляет особый интерес, то необходимо уделить особое внимания уязвимым местам этого ПО.

3.2.1 Windows NT 4.0 Service Pack 6.0

Windows NT позволяет контролировать локальный доступ к хранящейся на диске информации в соответствии с разрешениями файловой системы. Как известно, NT поддерживает две файловые системы: FAT и NTFS. Основным отличием NTFS от FAT является способность обеспечивать защиту файлов и каталогов в соответствии с правами пользователей. NTFS необходимо использовать всегда, когда требуется обеспечить защиту информации. Однако разрешения NTFS на доступ к данным не действуют в другой операционной системе, отличной от Windows NT. Так, например, при наличии возможности загрузить MS-DOS с дискеты любая информация из разделов NTFS может быть считана с помощью драйвера NTFSDOS.EXE (автор -- Mark Russinovich) в обход системы безопасности Windows NT. Только шифрование способно надежно защитить информацию от подобных методов прямого доступа к диску. Но, к сожалению, в Windows NT 4.0 не предусмотрена возможность шифрования на уровне операционной системы [7].

Кроме доступа к хранящейся на компьютере информации злоумышленник, как правило, стремится получить права администратора системы или пароли пользователей. В этом случае наибольший интерес для него представляет файл SAM из каталога WINNT\System32\Config. SAM -- это файл, где хранятся учетные записи пользователей и их пароли. Во время работы Windows NT доступ к SAM имеет только администратор. Тем не менее, злоумышленник может получить копию этого файла, загрузив с дискеты MS-DOS и свободно скопировав SAM. Для извлечения и вскрытия текстовых паролей из SAM взломщик может использовать одну из доступных в Internet программ, например L0phtCrack. С целью защиты от просмотра пароли в SAM подвергаются специальной криптографической процедуре -- хэшированию. Хэш дополнительно шифруется с помощью алгоритма DES, однако эта операция является обратимой, так что значение хэшированного пароля может быть восстановлено в любой момент. В отличие от шифрования, хэширование -- необратимая процедура, поэтому восстановить из хэша текстовый пароль можно только путем перебора всех возможных комбинаций. Таким образом, время, необходимое для вскрытия пароля, увеличивается пропорционально длине пароля и количеству используемых символов.

Windows NT поддерживает пароли длиной до 128 символов, но на практике стандартные программы работы с учетными записями пользователей ограничивают длину пароля 14 символами. Может показаться, что простой перебор всех возможных комбинаций 14-символьного пароля требует применения сверхмощной вычислительной техники, однако это не совсем так. Дело в том, что в действительности файл SAM содержит два хэшированных представления одного и того же пользовательского пароля, полученных с помощью разных алгоритмов. Один хэш -- в стандарте Windows NT, другой -- в стандарте LAN Manager (этот стандарт используется в целях совместимости с другими сетевыми клиентами, в данном случае с Windows 95, которая установлена на РМ ввода-вывода). Хэшированный пароль стандарта LAN Manager слабо устойчив к взлому, так как каждая из двух половин 14-байтового символьного пароля хэшируется независимо, а результаты затем соединяются. Таким образом, вычисление 14-байтового пароля эквивалентно взлому двух 7-байтовых паролей, что значительно сокращает число возможных комбинаций для перебора. По этой причине все программы вскрытия текстовых паролей пытаются в первую очередь подобрать хэшированный пароль по стандарту LAN Manager.

Непривилегированный пользователь может получить права администратора непосредственно во время сеанса работы в Windows NT, используя имеющиеся полномочия на каталоги диска и ключи реестра. К примеру, каталог WINNT\REPAIR, где хранится резервная копия системного реестра, доступен по умолчанию для всех пользователей. Используя файл SAM из этого каталога, взломщик способен выяснить пароли других пользователей.

Для обеспечения высокого уровня защиты администратору следует вручную задать более жесткие права на объекты файловой системы и ключи реестра.

К сожалению, правильное администрирование не всегда гарантирует надежную защиту. Серьезную угрозу безопасности NT могут представлять ошибки в самой операционной системе [6]. Но, как правило, компания Microsoft оперативно реагирует на сообщения об ошибках в коде ОС Windows NT и выпускает соответствующие «заплаты» (Hot Fix), которые позднее включаются в новые версии сервисных пакетов (Service Pack).

Одной из наиболее важных функций локальных сетей является совместное использование файлов и печати. Windows NT обеспечивает разделение файлов и печати с помощью двух сетевых сервисов: Workstation и Server. Служба Workstation позволяет компьютерам обращаться к ресурсам в сети. Служба Server предназначена для управления созданием и защитой каталогов и принтеров, а также позволяет компьютеру выполнять роль сервера, предоставляющего свои собственные сетевые ресурсы для общего доступа. Дистанционный доступ к сетевым ресурсам в ОС Windows NT осуществляется по протоколу SMB (Server Message Block). Наибольший интерес с точки зрения безопасности представляет процесс регистрации пользователей в сети Windows NT по протоколу SMB. C каждым сетевым ресурсом сервера связан список контроля доступа, поэтому любой сеанс связи начинается с процесса регистрации сетевого клиента и проверки его прав на доступ к запрашиваемому сетевому ресурсу. При открытии сеанса связи сервер генерирует случайный 8-байтовый «вызов» (challenge) и посылает его клиенту. Клиент шифрует по алгоритму DES полученный от сервера «вызов», используя в качестве ключа шифрования 16-байтовый хэшированный пароль из своего файла SAM. Результатом является 24-байтовый «ответ» (response) клиента, который и передается серверу. Как уже упоминалось, в SAM хранятся два хэшированных пароля: хэш Windows NT и хэш LAN Manager. Поэтому клиент формирует два «ответа» общей длиной 48 байт. Сервер в свою очередь проводит аналогичные вычисления, используя собственный «вызов» и хэшированный пароль пользователя из своей базы данных SAM. Полученное в результате значение сервер сравнивает с пришедшим от клиента «ответом»; если они совпадают, то регистрация заканчивается успешно. Применяемый алгоритм сетевой регистрации Windows NT дает злоумышленнику, перехватившему пару «вызов-ответ», возможность подобрать пароль пользователя. Упоминавшаяся ранее программа L0phtCrack способна вычислить текстовые пароли на основании «вызова» сервера и «ответа» клиента. Как и в случае паролей из локальной базы SAM, «ответ» по стандарту LAN Manager наименее устойчив к взлому. В среднем подбор пароля по этому «ответу» занимает только на 40% больше времени, чем прямая атака на хэш LAN Manager из SAM. Вместе с тем администратор может запретить включение пароля LAN Manager в «ответ» клиента. Но отключение совместимости с LAN Manager для отдела неприемлемо, поскольку сделает невозможной работу сервера Windows NT с Windows 95, поддерживающей этот протокол.

Следует обратить внимание, что при формировании «ответа» клиентом используется не сам текстовый пароль, а только его хэшированное представление. Поэтому, если злоумышленнику удастся заполучить хэшированный пароль пользователя, он сможет пройти сетевую регистрацию, не взламывая хэш.

Как уже было описано выше, для доступа к сетевым ресурсам сервера клиент должен пройти процедуру регистрации. Для этого ему необходимо знать имя и пароль пользователя, имеющего учетную запись на данном сервере или на контроллере домена. Однако из этого правила есть два исключения: гостевой и анонимный входы. Если на сервере Windows NT учетная запись Guest не заблокирована, то любой незарегистрированный пользователь автоматически получает доступ к сетевым ресурсам с правами Guest. Поэтому разрешать гостевой вход следует с особой осторожностью. В Windows NT 4.0 учетная запись Guest отключена по умолчанию. Тем не менее, необходимо проверить, установлен ли флажок Disabled для этой учетной записи в диспетчере пользователей. C помощью сетевого сканера Legion администратор может выявить все серверы SMB, предоставляющие свои ресурсы для гостевого доступа незарегистрированным пользователям. Еще одним способом войти в систему NT без какой-либо регистрации является анонимный вход. Но в ЛВС отдела установлен Service Pack 6, а начиная с Service Pack 3 запрещается доступ к реестру в рамках анонимного сеанса. Но Service Pack 3 блокирует только анонимный доступ к реестру. Любой зарегистрированный пользователь все равно сможет удаленно провести атаку на реестр и получить права администратора. Для предотвращения нежелательных действий со стороны авторизованных пользователей администратору следует вручную выставить более жесткие разрешения на ключи реестра в соответствии с рекомендациями, приведенными на сервере Microsoft.

При анонимном сетевом подключении злоумышленник может получить список имен всех зарегистрированных на сервере пользователей с помощью программ USER2SID и SID2USER (автор -- Е. Б. Рудный). После этого он может предпринять попытку угадать пароль. В Internet имеется несколько программ, с помощью которых злоумышленник может попытаться зарегистрироваться на сервере SMB, перебирая пароли по словарю. Такие атаки обычно занимают очень много времени и могут быть успешными только в случае слабых паролей.

Для предотвращения подобных атак по методу грубой силы пароли следует задавать длиной не менее 8 символов, при этом они должны представлять собой случайную комбинацию букв и цифр. Кроме того, администратор должен ввести обязательный аудит неудачных попыток регистрации, а также желательно перечислить всех пользователей и группы, которым разрешен доступ к данному компьютеру по сети.

Также необходимо отметить, что дистрибутивы NTWS4.0 и NTS4.0 включают утилиту rollback.exe, предназначенную для настройки пользователями предустановленной системы. Ее запуск приводит к очистке реестра (без предупреждения) и возврату к концу Character Based Setup (часть установки до появления GUI). Запуск ее из-под рабочей системы приводит к тем же последствиям (потеря accounts, настроек протоколов, пользовательских настроек и т.п.). Найти ее можно на CD-ROM с NT в каталоге Support\Deptools\<system>\

Каталоги %systemroot% и %systemroot%\system32 имеют по умолчанию право доступа Change для Everyone. Это может привести к самым разнообразным последствиям типа замещения части системных dll "троянскими" и т.п./9/. При этом они могут быть вызваны из самых разных программ - в том числе, из программ, работающих с системными правами доступа. Для защиты достаточно грамотно установить права доступа.

Таким образом, по умолчанию система безопасности Windows NT 4.0 чрезвычайно слаба и легко поддается взлому. Вместе с тем NT предоставляет пользователю большой набор средств для создания надежной конфигурации и обеспечения необходимого уровня защиты.

3.2.2 MS SQL Server

Рассмотрим сначала основные характеристики MS SQL Server.

В системе SQL-сервер организована двухуровневая настройка ограничения доступа к данным. На первом уровне необходимо создать так называемую учетную запись пользователя (login), что позволяет ему подключиться к самому серверу, но не дает автоматического доступа к базам данных. На втором уровне для каждой базы данных SQL-сервера на основании учетной записи необходимо создать запись пользователя. На основе прав, выданных пользователю как пользователю базы данных (user), его регистрационное имя (login) получает доступ к соответствующей базе данных. В разных базах данных login одного и того же пользователя может иметь одинаковые или разные имена user с разными правами доступа. Иначе говоря, с помощью учетной записи пользователя осуществляется подключение к SQL-серверу, после чего определяются его уровни доступа для каждой базы данных в отдельности. В системе SQL-сервер существуют дополнительные объекты - роли, которые определяют уровень доступа к объектам SQL-сервера. Они разделены на две группы: назначаемые для учетных записей пользователя сервера и используемые для ограничения доступа к объектам базы данных. Роль позволяет объединить в одну группу пользователей, выполняющих одинаковые функции. В SQL Server реализовано два вида стандартных ролей: на уровне сервера и на уровне баз данных. При установке SQL Server создаются фиксированные роли сервера (например, sysadmin с правом выполнения любых функций SQL-сервера) и фиксированные роли базы данных (например, db_owner с правом полного доступа к базе данных или db_accessadmin с правом добавления и удаления пользователей). Среди фиксированных ролей базы данных существует роль public, которая имеет специальное назначение, поскольку ее членами являются все пользователи, имеющие доступ к базе данных. Можно включить любую учетную запись SQL Server (login) или учетную запись Windows NT в любую роль сервера. Роли базы данных позволяют объединять пользователей в одну административную единицу и работать с ней как с обычным пользователем. Можно назначить права доступа к объектам базы данных для конкретной роли, при этом автоматически все члены этой роли наделяются одинаковыми правами. В роль базы данных можно включить пользователей SQL Server, роли SQL Server, пользователей Windows NT.

При попытке установить соединение с SQL Server сначала происходит аутентификация пользователя. SQL Server предлагает два режима аутентификации пользователей: режим аутентификации средствами Windows NT и смешанный режим аутентификации (Windows NT Authentication and SQL Server Authentication). При подключении к SQL Server все возможные действия пользователей определяются правами (привилегиями, разрешениями), выданными их учетной записи, группе или роли, в которых они состоят. Права можно разделить на три категории: права на доступ к объектам; права на выполнение команд; неявные права.

Система безопасности SQL Server имеет иерархическую структуру, и поэтому роли базы данных включают в себя учетные записи и группы Windows NT, пользователей и роли SQL Server. Пользователь же, в свою очередь, может участвовать в нескольких ролях и одновременно иметь разные права доступа для разных ролей. Когда одна из ролей, в которых состоит пользователь, имеет разрешение на доступ к данным, он автоматически имеет аналогичные права. Тем не менее, если возникает необходимость, пользователю можно запретить доступ к данным или командам, тогда аннулируются все разрешения на доступ, полученные им на любом уровне иерархии. При этом гарантируется, что доступ останется запрещенным независимо от разрешений, предоставленных на более высоком уровне.

А теперь перейдем к рассмотрению уязвимостей MS SQL.

MS SQL Server не обеспечивает возможность блокировки учетной записи пользователя базы данных в случае серии неудачных попыток аутентификации. Это позволяет злоумышленнику осуществлять различные атаки на систему идентификации/аутентификации, например, пытаться подобрать имена пользователей, зарегистрированных в СУБД, и их пароли. Второй пример уязвимости - невозможность переименования учетной записи системного администратора базы данных (sa), что также позволяет осуществлять злоумышленнику попытки подбора пароля администратора СУБД. Эта уязвимость присуща не только различным базам данных, но и операционным системам (ОС) и прикладному программному обеспечению. Другим недостатком практически всех СУБД является отсутствие проверки эффективности выбранного пользователем пароля. Зачастую в его качестве выбирается имя пользователя (идентификатор), знаменательная дата, номер паспорта или телефона и иные легко угадываемые комбинации. Нередко у пользователя совсем отсутствует пароль. К чему это может привести, говорить не надо. Также пользователи могут месяцами не пользоваться базой данных, но, будучи один раз в нее внесенными, они считаются полноправными ее пользователями. В СУБД и многих ОС отсутствует механизмы контроля учетных записей, неиспользованных в течение заданного промежутка времени.

Описанные уязвимости приводят к тому, что используемая в организации СУБД становится восприимчивой к атакам типа "подбор пароля" (brute force), что, в случае успеха, может привести к компрометации всей информации, хранимой в базе данных.

Существует также ряд уязвимостей в СУБД, которые могут привести не только к компрометации информации в базах данных, но и компрометации всей сети в целом. Эти уязвимости появляются вследствие расширения стандартных возможностей SQL-серверов. Например, использование расширенной хранимой процедуры (extended stored procedure) xp_cmdshell позволяет выполнять функции операционной системы из командной строки так, как будто удаленный пользователь СУБД работает за консолью сервера баз данных. При этом функции, вызываемые при помощи процедуры xp_cmdshell, выполняются с привилегиями той учетной записи, под управлением которой загружен SQL-Server. По умолчанию это учетная запись System. При помощи расширенных хранимых процедур злоумышленник может получить доступ к информации подсистемы защиты информации Windows NT, например, к паролям, которые хранятся в системном реестре. Осуществляется эта возможность при помощи следующих процедур: xp_regdeletevalue, xp_regwrite, xp_regread и т.д.

ПО MS SQL Server подвержено программам типа "троянский конь", которые могут быть легко созданы путем модификации системных хранимых процедур. Например, несанкционированный доступ к паролю пользователя может быть получен при его смене с помощью всего одной строчки кода:

create procedure sp_password

@old varchar(30) = NULL, /* старый (текущий) пароль */

@new varchar(30, /* новый пароль */

@loginame varchar(30) = NULL, /* флаг, разрешающий или запрещающий пользователям менять пароль */

declare @suid int /* идентификатор пользователя, изменяющего пароль */

/* следующая строка является троянским включением, позволяющим несанкционированно узнать пароль пользователя при его смене */

insert into spt_values values (@new,-1,'A',NULL,NULL,0)

Таким образом, при изменении пароля, который обычно хранится в зашифрованном виде в таблице master.dbo.syslogins, указанный "троянский конь" позволит увидеть пароль пользователя в открытом виде, сохраненный в таблице spt_values.

Данная СУБД построена по технологии "клиент-сервер", что подразумевает доступ клиентской части к серверу по каналам связи. Для подключения к MS SQL Server в отделе используется сетевой протокол TCP/IP. Поэтому, имя и пароль пользователя, проходящего аутентификацию на сервере базы данных, передаются в открытом виде и могут быть перехвачены при помощи анализатора протокола (sniffer). Кроме того, использование протоколов TCP/IP позволяет обойти процедуру аутентификации Windows NT.

Доступ клиентов к серверу баз данных осуществляется путем обращения к определенному, т.н. слушающему сервису, функционирующему на 1433 порту для MS SQL Server. Несанкционированный доступ к учетной записи, отвечающей за старт и останов этого сервиса, приводит к тому, что злоумышленник может остановить данный сервис, тем самым, блокировав все попытки подключения клиентов к серверу базы данных. Также можно послать на "слушающий" порт специальным образом сформированные пакеты, приводящие к нарушению работоспособности сервера баз данных (т.е. атака "отказ в обслуживании") [9].

Итак, на основе анализа состава и структуры ЛВС отдела были рассмотрены угрозы, характерные для данной сети (основные из рассмотренных в этой главе угроз приведены на рисунке 3.2.). А теперь на основе имеющихся угроз необходимо проанализировать существующую в отделе систему защиты и выявить возможные недостатки.

Рисунок 3.2 - Угрозы ЛВС отдела

58

4. Система защиты информации ВС в отделе воинской части

Задача системы защиты информации - свести к минимуму риск реализации угрозы безопасности. Служба обеспечения информационной безопасности предприятия должна постоянно отслеживать сообщения о реализации новых видов угроз и своевременно устранять данные угрозы на объекте путем получения обновленных версий ПО или грамотной настройки системы защиты информации.

Ниже представлен перечень составляющих системы защиты информации отдела.

а) Организационно-распорядительные документы, определяющие политику безопасности предприятия, порядок настройки и правила эксплуатации базовых операционных систем и прикладных программных продуктов, средств защиты информации (должностные инструкции, ТЗ предприятия, эксплуатационная документация и т.п.). Это необходимо для того, чтобы свести к минимуму некоторые случайные угрозы (например: ошибки персонала, случайное ознакомление с конфиденциальной информацией неуполномоченных лиц и т.п.).

б) Программно-аппаратные средства защиты информации, основным из которых является межсетевой экран. Согласно определению РД ГТК, межсетевой экран (МЭ) представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.

На предприятии установлены два МЭ FireWall-1, разработанные компанией Check Point Software Technologies. Брандмауэр FireWall-1 сертифицирован организацией National Computer Security Association (NCSA), а также имеет сертификат Гостехкомиссии по 3-му классу защищенности для межсетевых экранов. FireWall-1 построен на основе разработанной компанией технологии защитных систем, которая получила название Stateful Inspection и является межсетевым экраном экспертного уровня. Архитектура Stateful Inspection позволяет проектировать защищенные вычислительные системы, отличающиеся высокой масштабируемостью, производительностью и удобством.

Система FireWall-1 предлагает новый подход к безопасности сети, обеспечивая полный и простой контроль доступа к каждой службе и компьютеру сети. FireWall-1 поддерживает все семейство TCP/IP протоколов.

FireWall-1 проверяет прохождение пакетов через все важнейшие точки сети (шлюз интернет, серверы, рабочие станции, маршрутизаторы, коммутаторы и пакетные фильтры), предлагая блокировать все нежелательные попытки связи. Мощная аудиторская система централизует все регистрации в системном журнале и оповещения всей сети на рабочей станции системного администратора.

FireWall-1 совершенно прозрачна к пользовательским приложениям. Характеристики системы никак не затрагиваются, это касается установок программ и устройств, и переустановки не требуется. FireWall-1 сосуществует с другими защитными системами.

Говорится, что хост - хост FireWall, если на него установлен модуль FireWall. Модуль FireWall устанавливается на хост при установке системы FireWall-1 и загружается в ядро системы хоста. Модуль Управления позволяет компилировать правила работы на хосту FireWall. Эти правила можно задействовать на системах FireWall: хостах, серверах, маршрутизаторах, коммутаторах или шлюзах.

При установке на шлюзе модуль FireWall проверяет трафик между сетями. FireWall-1 модуль FireWall устанавливается внутри ядра операционной системы между каналом данных (Data Link) и слоями сети. Поскольку канал данных по сути является сетевой картой (NIC), а слой первого уровня сети - это протокол (например, IP), следовательно, FireWall-1 находится на самом низком программном уровне. Проверка на таком уровне гарантирует то, что модуль FireWall обработает и проверит все входящие и исходящие пакеты в шлюзе. Ни один пакет не будет обработан на более высоком уровне, пока не будет проверен модулем FireWall на соответствие Политике Безопасности. Модуль FireWall проверяет адреса IP, номера портов, а также другую информацию для принятия решения стоит ли принимать пакеты к обработке в соответствии с Правилами Безопасности.

FireWall-1 воспринимает внутреннюю структуру семейства протоколов IP и приложений, построенных на них, и позволяет выделять данные приложений из пакетов, сохранять их и обеспечивать их контекстом в случаях, когда приложение не делает это.

Модуль Управления FireWall-1 используется для конфигурирования Политики Безопасности в рамках предприятия, управления шлюзами и хостами коммутации (Модули FireWall-1), просмотра системного журнала и оповещений.

FireWall работает независимо от интерфейса сети и поэтому поддерживается всеми сетевыми интерфейсами, работающими в ОС [2].

Как упоминалось выше, в отделе установлено два межсетевых экрана фирмы Check Point для создания трех выделенных межсетевыми экранами контуров доставки, адресования и обмена с АС. Межсетевой экран 1 (МЭ 1) обеспечивает фильтрацию пакетов для всех контуров и трансляцию IP-адресов для открытого контура (имеющего произвольные, не доступные из Интернет, IP-адреса). Также Межсетевой экран 1 настроен таким образом, что запрещаются инициированные публичными серверами соединения с контуром адресования. Однако сами сервера должны оставаться доступны для соединений, инициированных как из Интернет, так и из контура адресования. Настройки межсетевого экрана 2 (МЭ 2) обеспечивают обмен между контурами адресования и обмена с АС только по одному порту с помощью специально разработанной программы обмена. Все остальные порты МЭ 2 закрыты. Инициатором обмена может выступать только контур обмена с АС.

в) Программные средства антивирусной защиты для защиты от вредоносных программ. В отделе используется ПО Касперского Business Optimal [10].

д) СЗИ Windows NT 4.0 Service Pack 6. ЛВС отдела построена как домен Windows NT. Сервер БД является первичным контроллером домена (PDC). Также имеется резервный контроллер домена, на который копируется БД PDC. База данных PDC содержит информацию обо всех пользователях и группах в системе. Каждый пользователь, получающий доступ к компьютеру, должен быть распознан системой. При входе в систему средствами Windows NT обеспечивается следующее.

1) Идентификация и аутентификация пользователя или группы. Это выполняется с помощью диспетчера учетных записей защиты (SAM - Security Account Manager). SAM поддерживает базу данных учетных записей защиты (security account datebase), которая обычно называется базой данных SAM и содержит данные обо всех учетных записях пользователей и групп. SAM генерирует идентификаторы защиты (SID), которые уникальным образом обозначают каждую учетную запись пользователя или группы. SAM используется LSA для опознавания пользователей в процессе входа в систему путем сравнения имени пользователя и пароля, введенных пользователем, с соответствующей его записью в базе данных SAM. База данных учетных записей хранится на сервере БД в отдельном файле в каталоге %WinNT%/System32 системы. Копия файла %SystemRoot%\SYSTEM32\CONFIG\SAM содержится в директории %SystemRoot%\REPAIR\ после создания администратором восстановительного (repair) диска и легко может быть скопирована оттуда (что может быть использовано злоумышленниками). Однако сами пароли в открытом виде не содержатся в данном файле. Пароль пользователя (в кодировке UNICODE) с использованием хэш-алгоритма MD4 превращается в 16-байтное значение, которое и находится в файле SAM. Необходимо также отметить, что все пользователи имеют пароли, устойчивые к прямому перебору, т.е. содержат буквенные, цифровые и специальные символы в разных регистрах и имеют длину не менее 10 символов. Таким образом, пароль типа Nb6$iL78@+&67K будет подбираться прямым перебором несколько лет.

2) Разграничение доступа. Каждый ресурс компьютера связан со списком пользователей (называемым списком управления доступом - access control list). Пользователи из этого списка могут получить доступ к объекту и операциям, разрешеным каждому пользователю. Информация, связанная с контролем доступа к объектам, располагается в дескрипторе безопасности.

3) Аудит. Регистрируются следующие события: локальная и удаленная регистрация пользователей в сети и окончание сеанса их работы; доступ к файлам и объектам; управление пользователями и группами; изменение политики безопасности, изменение прав пользователей или политики аудита; включение или перезагрузка системы на локальной рабочей станции; слежение за процессами запуска и завершения процессов, а также непосредственного доступа к объектам. События записываются в трех разных журналах аудита: системный журнал System Log - в файле sysevent.evt; журнал приложений Application log - в файле аррevent.evt; журнал безопасности Security log - в файле sесevent.evt. Все журналы располагаются в каталоге %WinNT% / system32 / config. Кроме того, в сети отдела с помощью утилиты REGEDT32 был включен аудит для контроля доступа к ключу "HKEY_LOCAL_MACHINE\Security", что показывает удаленный доступ к системному реестру.

Идентификация и аутентификация, разграничение доступа и аудит связаны со следующими компонентами подсистемы защиты Windows NT: аутентификацией локальной защиты (LSA - Local Security Authority), на которую возложены следующие обязанности: аутентификация пользователей в процессе входа в систему, генерирование признаков доступа (access token) в процессе входа в систему, управление политикой защиты, управление политикой аудита; регистрация сообщений аудита в журнале событий; и эталонным монитором защиты (SRM - Security Reference Monitor), который усиливает проверку правильности доступа и политику аудита, которые устанавливают LSA. Все попытки доступа к ресурсам должны пройти через SRM, проверяющий правильность доступа к объектам (файлам, каталогам и т. д.), наличие разрешений в учетных записях пользователей и генерирующий контрольные сообщения. У SRM имеется в системе лишь одна копия кода проверки правильности учетной записи, что гарантирует единообразную защиту объектов повсюду в Windows NT. Когда приложение пытается получить доступ к объекту, SRM исследует список управления доступом к этому объекту (ACL - access control list) и проверяет элементы управления доступом (ACE - access control entries) в этом списке, чтобы определить, имеются ли у пользователя необходимые разрешения для выполнения требуемой операции. При этом SRM либо предоставит доступ, либо откажет в нем на основании данных в ACL.

Кроме того, в отделе предусмотрено, что пользователи, не имеющие прав администратора, не имеют доступ к системным файлам, реестру и т.д. (так, например, файл MSV_0.dll, отвечающий за проверку подлинности пароля при локальном входе в систему, может быть скопирован и изменен таким образом, что любой пароль для любого пользователя будет считаться верным).

Необходимо также отметить, что в компьютерах ЛВС отдела с Windows NT используется только файловая система NTFS, которая повышает производительность, надежность и защищенность сети. NTFS допускает задание прав доступа для каждого файла/директории и проведения для них аудита. NTFS компенсирует ошибки дисков с помощью функции быстрого исправления, которая автоматически переносит данные из дефектных секторов в другие сектора. NTFS также имеет встроенную защиту, ее нельзя обойти путем простой загрузки операционной системы MS-DOS. Но существует утилита NTFSDOS, которая распознает длинные имена файлов NTFS и может считывать сжатые файлы. Таким образом, для доступа к файловой системе NTFS может использоваться загрузочная дискета MS-DOS, на которую записана утилита NTFSDOS. Следовательно, только шифрование способно надежно защитить информацию от подобных методов прямого доступа к диску. К сожалению, в Windows NT 4.0 не предусмотрена возможность шифрования на уровне операционной системы. Поэтому для повышения уровня защиты используется физическая защита компьютера. В отделе все серверы размещены в отдельной комнате с ограниченным доступом. Также исключена возможность загрузки компьютера с дискеты.

Кроме того, в NTFS был сделан невозможным доступ на запись для группы "Everyone" в директорию %systemroot%/system32.

И, наконец, с помощью утилиты User Manager изменены права пользователя "Access this computer from the network" на "Authenticated Users", а не на "Everyone". Это делает невозможным удаленный доступ через локальные бюджеты на компьютере и позволяет осуществлять доступ только через бюджеты домена.

е) Защиту телекоммуникационного сервера. Безопасность RAS [7].

1) Со стороны сети Internet сервер защищен МЭ 1.

2) Используется только протокол MS-CHAP (Microsoft Challenge Authentication Handshake Protocol).

3) Подключены средства аудита службы RAS. Таким образом, все попытки использования удаленного доступа регистрируются в журнале событий.

4) Установлены средства идентификации службы RAS. Служба требует от пользователя создания цифровых подписей для каждого пересылаемого пакета. Благодаря этому можно избежать атак наблюдения. Кроме того, с помощью цифровых подписей сервер всегда сможет обнаружить нарушение целостности данных пакета.

локальный сеть угроза безопасность программа

5) Установлены средства шифрования службы RAS. Таким образом, сервер RAS пересылает удаленному пользователю одноразовый ключ (после удачной регистрации в системе). При этом одноразовый ключ зашифровывается службой RAS с помощью симметричного ключа, а сервер RAS генерирует новый одноразовый ключ при каждой регистрации удаленного клиента. Благодаря этому хакер не может повторно использовать чей-либо перехваченный ключ.

Одной из наиболее сложных проблем, связанных с шифрованием RAS в Windows NT 4.0 является тот факт, что сервер передает одноразовый ключ «открытым текстом». Благодаря этому хакер может взломать ключ и воспользоваться им в течение одного сеанса.

6) Подключены функции обратного дозвона (-dial-back»). Сервер RAS проверяет имя и пароль удаленного пользователя, а затем разъединяет связь («вешает трубку») После этого сервер набирает заранее запрограммированный номер пользователя и соединяется с ним повторно. Благодаря этому можно зафиксировать телефон и месторасположение пользователя.

Для пользователей, которым нельзя дозвониться создана специальная учетная запись, не использующая функцию обратного дозвона.

7) Наложены ограничения по времени на использование службы удаленного доступа.

ж) Защита от следующих атак.

1) Защита от прослушивания сетевого трафика: использование на предприятии сетевых коммутаторов в каждом контуре позволяет создавать выделенный канал передачи данных между рабочими станциями на концах соединения. Таким образом, исключается возможность прослушивания программными средствами внутреннего сетевого трафика. Исключение составляют широковещательные пакеты, такие как ARP-запрос и Nbname-запрос. Для исключения широковещательных Nbname-запросов на предприятии рекомендуется устанавливать службу WINS.

Прослушивание внешнего сетевого трафика предприятия является труднореализуемым, так как злоумышленнику необходимо в этом случае знать маршрут сетевых пакетов. Если злоумышленнику известен маршрут, то он также должен иметь доступ к используемому каналу передачи данных. Таким образом, вероятность прослушивания программными средствами внешнего сетевого трафика является малой. Если данная атака все же окажется реализованной, то для предотвращения нарушения конфиденциальности информации, ее следует шифровать.

Проведение данной атаки аппаратными средствами предотвращается организационными мерами политики безопасности предприятия и провайдера услуг Internet.

2) Защита от подмены доверенного объекта распределенной вычислительной системы: используемый на предприятии МЭ Check Point FireWall-1 обеспечивает защиту от IP spoofing атаки. Для включения механизма защиты от данной атаки во время определения сетевого объекта брандмауэра в управляющей консоли Policy Editor для каждого сетевого интерфейса брандмауэра необходимо определить диапазон допустимых адресов. В ходе функционирования после приема пакета сетевым интерфейсом МЭ проверяет, с какого адреса пришел данный пакет. В случае, если этот адрес не входит в диапазон допустимых для данного интерфейса адресов, пакет отфильтровывается. Таким образом исключается возможность проведения данной атаки из Internet, а также между сегментами.

3) Защита от атаки типа “ отказ в обслуживании ”: использованный на предприятии МЭ Check Point FireWall-1 обеспечивает защиту от атак типа «Отказ в обслуживании». Для включения механизма защиты от данной атаки в управляющей консоли Policy Editor необходимо выбрать пункт главного меню Policy/Properties.. и на закладке SYNDefender установить переключатель в положение SYN Gateway..

Параметр Maximum Sessions определяет максимальное количество возможных одновременно открытых соединений. При достижении данного количества попытки установить другие соединения будут отфильтровываться межсетевым экраном. Кроме того, для всех сетевых соединений, проходящих через брандмауэр, в параметре Timeout устанавливается время отклика рабочих станций. Если за данный период времени от какой-либо из рабочих станций в соединении не поступают пакеты, МЭ разрывает соединение, посылая рабочим станциям предприятия пакет с признаком конца соединения от лица удаленной рабочей станции. Таким образом, МЭ отражает сетевые атаки, заполняющие полосу пропускания канала связи анонимными пакетами и переполняющие очередь запросов.

Используемая в Check Point FireWall-1 технология Statefull Inspection предоставляет возможность анализа сетевого пакета на всех уровнях модели OSI для стека протокола TCP/IP (с сетевого уровня до уровня приложений) [11]. Во время анализа брандмауэр выявляет некорректно сформированные пакеты и отфильтровывает их, обеспечивая защиту от третьей разновидности типовой атаки «Отказ в обслуживании».

4) Защита от внедрения в распределенную вычислительную систему ложного объекта: в схеме предприятия доступ к ресурсам Internet, требующим удаленного поиска, разрешен только с рабочего места вызова. При этом информация, которая циркулирует в этих соединениях, не является критичной с точки зрения нарушения целостности и конфиденциальности. Используемый на предприятии МЭ позволяет обнаруживать «шторм» ложных DNS-ответов, поэтому после обнаружения атаки администратору безопасности или оператору рабочего места вызова следует немедленно прервать сеанс связи. Для исключения атаки этого типа оператору рабочего места вызова рекомендуется использовать фиксированный перечень серверов пейджинговых служб и обращаться к ним, задавая непосредственно IP-адрес, а не домен.

и) Защита от НСД по коммутируемым линиям связи. Политика безопасности отдела четко определяет границы работы удаленных пользователей в рамках только открытого контура доставки. Для этого Телекоммуникационный сервер должен размещаться в открытом сегменте. Прямой доступ в закрытые контуры для удаленных пользователей должен быть закрыт межсетевым экраном. Обмен сообщениями с рабочими станциями закрытых контуров должен происходить только через сервер электронной почты или телекоммуникационный сервер.

к) Безопасность MS SQL Server [9], [12]:

1) в MS SQL Server включена опция блокировки учетной записи пользователя базы данных в случае серии неудачных попыток аутентификации;

2) для усиления безопасности сервера БД параметр уровня аудита установлен в значение «Все попытки», что означает, что будут регистрироваться все попытки доступа к БД;

3) используются различные пароли пользователя для доступа к компьютеру и к СУБД.

л) Средства для предотвращения потерь информации при кратковременном отключении электроэнергии. В отделе установлен источник бесперебойного питания UPC Matrix 3000, который является полностью автоматическим устройством и имеет функции слежения за состоянием и параметрами первичной (внешней) и вторичной линий сетевого питания.