книга для лек 7 8 9 vpn мэ1. Безопасность корпоративных сетей

135
2. Минимальная длина пароля в Windows должна быть 15
символов. Как показано исследователям с сайта SecurityFriday.com для пароля длиной более 15 символов LM-хэш в Windows сохраняется некорректно, что не позволяет осуществлять подбор пароля по его хэшу. И хотя в Windows XP/2000/2003 пароли могут быть длиной до 127 символов, средства политики безопасности, позволяющие задать требование к минимальной длине пароля, ограничены 14 символами. То есть осуществить программный контроль за тем, чтобы пользователи задавали пароль не менее 15 символов средствами Windows нельзя.
Однако сетевые администраторы и персонал службы безопасности должен обязательно следовать данной рекомендации.
Для облегчения запоминания паролей такой длины рекомендуется использовать в качестве пароля наборы слов или фразы, разделенные пробелами и дополненные цифрами и спец. символами.
3. Рекомендуется периодически менять пароли. Причем, периодичность должна варьироваться для разных групп пользователей.
Частая смена паролей, особенно к которым предъявлены требования повышенной сложности и большой длины, приведет к росту недовольства пользователей и к придумыванию ими различных схем упрощения данной процедуры. Например, пароли будут записываться на бумажки и прятаться в «надежных» местах, или будет придумана предсказуемая схема создания нового пароля из старого и т.д. Поэтому периодичность смены паролей рекомендуется устанавливать в 3-6 месяцев.
4. Обучение пользователей надежно хранить пароли. Это конечно организационная мера, а не техническая, однако важность ее в данном разделе безусловна. Действительно, даже самый сложный и длинный пароль легко скомпрометировать, если пользователь хранит его в легкодоступном месте. Особенно в контексте противодействия внутренним нарушителям, которые могут скрытно выяснить места хранения паролей своими коллегами. Поэтому задача администратора сети или службы безопасности объяснить пользователям, что пароли рекомендуется хранить в надежных местах, например, сейфе или запираемом на ключ ящике. Пароли, записанные на бумажных носителях, необходимо не просто выкидывать, а уничтожать.
Иная ситуация для паролей на сервера и сетевое оборудование: маршрутизаторы, управляемые коммутаторы, МЭ и т.д. В этом случае пароли требуется документировать, поскольку их знание может потребоваться в случае болезни, увольнения, отсутствия лиц,

136
ответственных за оборудование. К журналу со списком паролей должны предъявляться повышенные требования организационного, технического и физического уровня обеспечения безопасного хранения.
Следует отметить распространенность программных средств, предлагающих хранить все пароли в одном защищенном криптографическими средствами программном файле. Такой способ имеет очевидный недостаток – при компрометации мастер-пароля на доступ к файлу со списком паролей, все пароли окажутся скомпрометированными.
Противодействие активным методам воздействия
Противодействовать активным воздействиям злоумышленников, как внутренних, так и внешних, призваны межсетевые экраны и системы обнаружения атак. Поскольку применение МЭ и СОА в данной главе рассматривается в контексте противодействия внутренним нарушителям, рассмотрены персональные МЭ и СОА уровня сети и хоста.
Обнаружение сканирования
Само по себе сканирование не является чем-то незаконным. С мнениями отечественных экспертов по данному вопросу можно ознакомиться здесь [26]. Однако, если сканирование со стороны внешней, по отношению к корпоративной, сети как показывает практика обыкновенное явление, то сканирование компьютеров из внутренней сети – безусловно, инцидент безопасности, требующий незамедлительной реакции со стороны сетевого администратора или администратора безопасности.
Обнаружить следы сканирования можно, изучая журналы регистрации МЭ. Однако такой подход не позволяет своевременно реагировать на подобные инциденты. Поэтому современные МЭ имеют модули (plug-in) позволяющие обнаружить атаки и сканирование в режиме реального времени, также как это сделано в СОА. Некоторые сканеры уязвимостей используют оригинальные методы, позволяющие производить сканирование максимально скрытно. Например, в одном из лучших сетевых сканеров Nmap существуют возможности, позволяющие значительно затруднить обнаружение сканирования для
СОА:

137
• возможность задавать временные параметры сканирования – интервалы между пакетами. Для выявления такого сканирования необходимо проанализировать пакеты за значительный промежуток времени;
• возможность задавать группу ложных хостов, с которых якобы производится сканирования, для скрытия реального IP-адреса злоумышленника. Данная функция особенно опасна, т.к. в качестве ложных хостов могут быть указаны хосты легальных сотрудников, что значительно затруднит обнаружение настоящего нарушителя.
Решением против подобных методов сканирования может быть использование сетевых СОА, либо периодическое изучение журналов регистрации МЭ.
Противодействие эксплойтам
Как показали эксперименты, межсетевые экраны и системы обнаружения вторжений, установленные на атакуемой системе, в ряде случаев не в состоянии отразить действие эксплойтов. Для успешного отражения атак эксплойтов средства защиты необходимо обновлять, поскольку механизм обнаружения вторжений основан на распознавании сигнатур уже известных атак. Хотя существуют разработки, способные по заверениям разработчиков отражать неизвестные атаки, практика показывает, что они все еще не эффективны. На рисунке 47 проиллюстрировано как система обнаружения атак Black ICE 3.5 без установленных обновлений сигнатур атак не в состоянии отразить действие эксплойта KaHt2.

138
Рисунок 47. СОА Black ICE пропускает DoS-атаку, вызванную эксплойтом, использующим уязвимость DCOM RPC Buffer Overflow, что приводит к перезагрузке ОС.
После обновления баз данных сигнатур, системы защиты успешно отражают эксплойты (рис. 48).
Рисунок 48. МЭ Agnitum Outpost PRO сообщает об обнаружении и отражении атаки, вызванной эксплойтом, использующему уязвимость
MS04-007-dos в библиотеке Microsoft Windows ASN.1

139
Если выполнить обновление сигнатур МЭ или СОА невозможно, то временно нейтрализовать атаки можно лишь полной блокировкой трафика на уязвимые службы, например RPC, что очевидно не всегда осуществимо без потерь функциональности ОС.
Противодействие троянским программам, сетевым червям и вирусам
Эффективным методом противодействия трем данным видам угроз является использование антивирусных средств, работающих в режиме реального времени (мониторов). Для выявления троянских программ существует специализированное ПО (например Tauscan от Agnitum), однако, как показывает практика, современные антивирусы успешно обнаруживают и всевозможных троянских программ, и эксплойты (рис.
49).

140
Рисунок 49. Антивирус Symantec Antivirus Server 8.1 обнаружил и поместил в карантин эксплойт kaHt2 и троянскую программу Back
Orifice 2000.
Дополнительным препятствием для троянских программ является персональный МЭ. При попытке программы – троянского коня осуществить выход в сеть, МЭ в соответствии с настроенными правилами его работы, либо блокирует данное обращение, либо выведет уведомление для текущего пользователя (рис. 50).
Рисунок 50. МЭ Agnitum Outpost предупреждает о том, что с приложением explorer.exe (под которое замаскировалась троянская программа Back Orifice) пытается установить соединение с удаленным хостом 192.168.105.75
В заключение описания методов защиты от активных воздействий, приведем ряд рекомендаций по тому, как определить, что кто-то удаленно подключился к Вашей системе, используя троянскую программу или эксплойты:
1. Троянские программы и эксплойты для удаленного управления системой открывают определенный порт и устанавливают с ним

141
соединение. Чаще всего это порт имеет номер больше 1024, т.е. лежит в диапазоне портов, не закрепленных жестко за определенной службой.
Посмотреть открытые порты и заметить аномалию в Windows можно командой netstat –an (рис. 51).
Рисунок 51. Злоумышленник, используя эксплойт kaHT2 открыл на удаленной системе порт 39720 для удаленного управления ею и установил с этим портом соединение (состояние established).
2. Как было отмечено выше, если эксплойт направлен на получение несанкционированного доступа к удаленной системе, то он чаще всего организовывает удаленный доступ посредством командной оболочки
(также известной как shell или консоль), открытой на удаленной системе с правами учетной записи SYSTEM. Поскольку в нормальном режиме функционирования консоль с правами SYSTEM не может быть запущена, то подобную аномалию в случае применения эксплойта заметить легко (рис. 52). Следует отметить, что принудительное завершение процесса CMD.EXE из окна Windows Task Manager может в ряде случаев привести к вынужденной перезагрузке Windows (это зависит от того, в какой службе Windows была использована уязвимость).

142
Рисунок 52. На системе, к которой был применен эксплойт, в списке запущенных процессов присутствует консоль, запущенная от имени учетной записи SYSTEM, что в MS Windows является аномальным.
Как следствие того, что командная оболочка, вызванная действием эксплойта, запускается с правами учетной записи SYSTEM, соответствующей самой ОС, обнаружить удаленно подключившегося посредством эксплойта пользователя из окна «Активные пользователи» невозможно (рис. 53).

143
Рисунок 53. Несмотря на то, что к системе подключился удаленный пользователь, во вкладке «Users» отображается только администратор скомпрометированной системы.
Обнаружение утилит для сокрытия факта компрометации
системы
Как показано выше, подобные утилиты не позволяют стандартными средствами ОС определить их наличие. Для их обнаружения разработаны специальные программы, например, Rootkit Hunter
(Linux/Unix) или Patchfinder (Windows) (рис. 54).

144
Рисунок 54. Программа Patchfinder обнаружила популярный rootkit
HackerDefender для Windows, запущенный на локальной системе.
Также дополнительным препятствием являются антивирусные программы. Антивирусные мониторы часто определяют известные (т.е. занесенные в базы) программы для генерации таких патчей, как троянские.
Например, антивирус
Касперского определяет рассмотренный AFX Windows Rootkit 2003, как троянскую программу
Troyan.Win32.Madtol.a и предлагает удалить этот объект (рис.55).
Однако если патч уже был установлен, то антивирусная программа обнаруживает его в памяти, но попытка удаления/лечения приводит к бесконечной перезагрузке системы, так как патч очень глубоко интегрируется в ОС.

145
Рисунок 55. Антивирус Касперского обнаружил AFX Windows
Rootkit 2003.
Противодействие несанкционированной установке модемов
Для предотвращения установки пользователями любого технического оборудования необходимо предусмотреть меры трех уровней – организационного, физического и программно-аппаратного.
На организационном уровне необходимо в политике безопасности запретить сотрудникам подобные действия, установив меры ответственности. На физическом уровне меры защиты должны включать опечатывание всех свободных разъемов, портов компьютера.
Аппаратные меры предусматривают отключение всех неиспользуемых модулей, разъемов. Возможна установка специализированных средств защиты, сигнализирующих о попытке вскрытия корпуса компьютера.
Программные меры включают использования средств функционирующих на трех уровнях – уровне базовой системы ввода- вывода (BIOS), уровне ОС, уровне специализированных СЗИ.
Поскольку стойкость средств защиты уровня BIOS и ОС остается низкой – существуют средства преодоления такой защиты, рекомендуется использования специализированных и особенно сертифицированных Гостехкомиссией России СЗИ, таких как Secret Net
(НИП Информзащита), Spectr-M (СЦПС Спектр). Рассмотрим механизмы защиты от угроз изменения аппаратной конфигурации, реализованные в СЗИ Secret Net 2000. Функция системы «Контроль аппаратной конфигурации компьютера» предназначена для

146
своевременного обнаружения изменений конфигурации и выбора наиболее целесообразного способа реагирования на эти изменения.
Изменения аппаратной конфигурации компьютера могут быть вызваны: выходом из строя, добавлением или заменой отдельных устройств или всего компьютера. Для эффективного контроля конфигурации используется широкий набор контролируемых параметров, с каждым из которых связаны правила обнаружения изменений и действия, выполняемые в ответ на эти изменения.
Сведения об аппаратной конфигурации компьютера хранятся в БД системы защиты. Первоначальные (эталонные) данные о конфигурации поступают от программы установки. Каждый раз при загрузке компьютера, а также при повторном входе пользователя система получает сведения об актуальной аппаратной конфигурации и сравнивает ее с эталонной. При обнаружении несоответствия анализируется серьезность возникающей ошибки и ее дальнейшее воздействие на безопасность информации. Контроль конфигурации программных и аппаратных средств производится ядром системы Secret
Net. По результатам контроля ядро принимает решение о необходимости блокировки компьютера. Решение принимается после входа пользователя и зависит от настроек пользователя. Значение настроек пользователя определяет администратор безопасности. Если было выполнено запланированное изменение конфигурации компьютера, то пользователь, обладающий административными привилегиями, может при помощи подсистемы управления обновить эталонные сведения о конфигурации [35].

147
Системы централизованного мониторинга
безопасности
Одним из методов автоматизации процессов анализа и контроля защищенности распределенных компьютерных систем является использование технологии интеллектуальных программных агентов.
Система защиты строится на архитектуре консоль-менеджер-агент. На каждую из контролируемых систем устанавливается программный агент, который и выполняет соответствующие настройки ПО и проверяет их правильность, контролирует целостность файлов, своевременность установки пакетов программных коррекций, а также выполняет другие полезные задачи по контролю защищенности АС.
(Управление агентами осуществляется по сети программой менеджером.) Менеджеры являются центральными компонентами подобных систем. Они посылают управляющие команды всем агентам контролируемого ими домена и сохраняют все данные, полученные от агентов в центральной базе данных. Администратор управляет менеджерами при помощи графической консоли, позволяющей выбирать, настраивать и создавать политики безопасности, анализировать изменения состояния системы, осуществлять ранжирование уязвимостей и т. п. Все взаимодействия между агентами, менеджерами и управляющей консолью осуществляются по защищенному клиент-серверному протоколу. Такой подход был использован при построении комплексной системы управления безопасностью организации Symantec Enterprise Security Manager, Tivoli
IT Director.
Применение таких систем позволяет значительно повысить уровень защищенности в сети, однако высокая стоимость данных программных продуктов является сдерживающим фактором для их более широкого распространения.

148
Виртуальные ловушки
Интересным подходом к выявлению внутренних нарушителей является использование «виртуальных ловушек». «Виртуальные ловушки» – honeypots (горшочек меда), появились сравнительно недавно. Основная цель таких ловушек – стать приманкой для злоумышленника, принять атаку, сканирование и быть взломанной им.
Популярные виртуальные ловушки KFSensor и NFR Back Officer
Friendly (BOF) способны эмулировать работу различных сервисов.
Например, возможна эмуляция FTP-сервера, POP3-сервера, SMTP- сервера, TELNET-сервера, HTTP-сервера, SQL-сервера и многих других, в том числе серверной части троянской программы BackOrifice.
При любой попытке доступа к данной службе выдается оповещение для администратора и протоколирование всей активности. Имеется возможность извещения администратора через электронную почту.
KFSensor также предлагает разную степень эмуляции служб – от простой до максимально правдоподобной.
Рисунок 56. NFR BackOfficer Friendly, эмулирующий работу TELNET- сервера, оповещает о процессе подбора злоумышленником (IP-адрес
192.168.105.75) паролей к ложному серверу.
В качестве виртуальной ловушки использовать эмуляцию полноценного компьютера со своей
ОС.
Такая эмуляция осуществляется с использованием специального ПО – виртуальной машины. Наиболее известными продуктами из данной категории являются VMWare Workstation и Microsoft Virtual PC. Данные программы позволяют запускать на одном физическом компьютере множество ОС, полностью эмулируя их работу (рис 57).

149
Осуществляется поддержка разных версий Windows и Linux. Таким образом, механизм подготовки виртуальной ловушки заключается в установке ОС, выделении ей IP-адреса из диапазона адресов корпоративной сети и присвоение имени. Имя можно подобрать так, чтобы в первую очередь привлечь внимание потенциального нарушителя, например, mailserver или domain. Возможно эмулирование некоторых сервисных служб на виртуальной ловушке. Причем для эмуляции можно воспользоваться описанными выше KFSensor или
BOF. Эмулируемую систему можно намеренно оставить уязвимой для применения эксплойтов, с целью проникновения злоумышленника.
Анализ действия злоумышленника позволит определить что это – простое любопытство или направленная атака, а также точно установить его вину и объекты его интересов.
Таким образом, использование виртуальных ловушек для защиты корпоративной среды от внутренних нарушителей рекомендуется следующим образом:
1. Размещение ловушек, эмулирующих сервисы, на рабочих машинах администраторов и начальников вместе с рабочими сервисами.
2. Создание специальных серверов, полностью имитирующих уязвимые для атаки компьютеры.
3. Данные о польстившихся на легкую добычу использовать в защите всех машин своей сети. Часто менять имитацию уязвимых мест в сервисах.

150
Рисунок 57. Эмуляция ОС Windows XP в виртуальной машине Microsoft
Virtual PC, запущенной под управлением ОС Windows Server 2003.

151