Цель: не привязываясь к
конкретным техническим средствам, обозначить место анализа уязвимостей в общей
системе информационной безопасности и среди других подсистем защиты. Дать
методическую основу для выбора и применения сканеров в реальных условиях.
Модели межсетевого взаимодействия (OSI, DoD).
Типовая сеть масштаба предприятия.
Термины:
·
Атака
– действие злоумышленника, которое реализует угрозу. В ходе атаки ищется и
используется уязвимость.
·
Угроза
– потенциально возможное событие (м.б. непреднамеренное), которое может
воздействовать на ИС и привести к
ущербу.
·
Уязвимость
- характеристика ИС, делает возможным возникновение угрозы.
·
Защищенность - состояние ИС, характеризующееся
доступностью, целостностью и конфиденциальностью ее составляющих.
Классификация атак:
·
Цели.
·
Мотивы.
·
Местонахождение
нарушителя.
·
Место
в архитектуре.
·
Используемый
механизм: прослушивание, сканирование, исчерпание ресурса, отказ в
обслуживании, удаленный запуск программы.
·
Способ
реализации
Классификация уязвимостей:
·
Источник
возникновения: проектирование, реализация, конфигурирование.
·
Уровень
модели межсетевого взаимодействия (не все фирмы-производители классифицируют
свои средства по моделям ISO-DOD).
·
Степень
риска (непосредственный доступ, получение важной информации, разведка).
·
Распространенность.
Основные подсистемы защиты информации:
·
Управление
доступом.
·
Обеспечение
целостности.
·
Регистрация
и учет.
·
…
·
…
Необходимость обследования ИС:
·
Организационная
структура предприятия.
·
География
– помещения, физическая безопасность.
·
Информационные
потоки, персональная ответственность.
·
Физическая
топология.
·
Логическая
структура – адресация, маршрутизация.
·
Платформы
и сервисы.
·
Особое
внимание – сервису каталога.
·
Extranet: Wan-линки, протоколы.
Психологические проблемы при общении с персоналом
при проведении информационного обследования:
·
Нет
единого управления.
·
Отсутствие
персональной ответственности.
·
Узкая
специализация.
·
Непонимание
важности проблемы.
Использование комплексных методик.
Принципиальная недостаточность только
автоматизированных средств анализа защищенности.
Потенциальная опасность использования сканеров:
·
Сканеры
– способ получения информации потенциальными нарушителями.
·
Многие
проверки, проводимые сканерами, приводят к отказу в обслуживании. Производители
сканеров, как правило, предупреждают об этом. Но проблема имитации исследуемой
системы на стенде не имеет однозначного решения и требует индивидуального
подхода.
Решения фирм производителей:
·
Системного
ПО
·
Прикладного
ПО
·
Специализированного
ПО
Специализированное ПО – сканеры уязвимостей.
Классификация.
Классификация средств анализа уязвимостей
·
Количество
обнаруживаемых уязвимостей.
·
Архитектура.
·
Направление
сканирования.
·
Стоимость.
·
Открытость
кодов.
·
Поддержка
·
Выпуск
обновлений
·
Совместимость
с базами общеизвестных уязвимостей для обеспечения импорта-экспорта.
Протокольный стек – «первая линия обороны» ИС с
выходом в общедоступные сети.
Принципиальная уязвимость протокольного стека TCP/IP.
Сканеры протокольных стеков выполняют действия,
аналогичные действиям нарушителей.
В соответствии с обычным сценарием проведения атаки,
сначала собирается информация о системе, затем производится имитация атаки.
Работа с программой IIS:
Инсталляция.
Запуск программы:
1.
Start-Programm-ISS-IS 6.1-IS 6.1
2.
Выбор
политики сканирования.
3.
Указать
имя политики сканирования.
4.
Указать
диапазон сканируемых адресов.
Запуск процесса сканирования:
1.
Выбрать
из списка адресов сканируемый хост.
2.
Scan-Scan now.
Просмотр результатов в ходе сканирования:
1.
Войти
в контекстное меню выбранной уязвимости.
2.
What’s this.
Генерация отчетов:
1.
Report-Generate report.
2.
Указать тип отчета: для кого предназначен, уровень
детелизации и т.д.
3.
Указать,
для какой проверки производится генерация отчета.
4.
Preview Report.
Установка обновлений.
Как известно, подавляющее большинство инцидентов,
связанных с безопасностью информационных систем, происходит по вине официально
зарегистрированных пользователей внутренних сетей. Действия пользователей могут
быть как непреднемеренными – в этом случае раскрытие, нарушение целостности или
разрушение информации является следствием неосторожных или неквалифицированных
действий, так и преднамеренными, зачастую совершенными по предварительному
сговору с другими лицами.
Некоторые авторитетные эксперты в области
компьютерной безопасности прямо отрицают возможность заказного взлома хорошо
спроектированной системы удаленными злоумышленниками и считают, что все
известные взломы являются следствием сканирования большого количества узлов и
определения из их числа плохо защищенных. Возможность же взлома со стороны
пользователей системы общепризнанна. По некоторым данным, до 80% всех нарушений
политики безопасности вызваны действиями зарегистрированных пользователей.
Противостоять таким
пользователям может комплекс организационных и технических мер. Технические
меры в основном обеспечиваются правильным администрированием сетевой
операционной системы.
Однако наиболее
распространенная в настоящее время операционная система Windows NT пользуется славой очень трудной в проектировании,
установке и администрировании. Впечатляет один перечень обязательных для
сетевого администратора инструментов обеспечения безопасности: доменные модели,
доверительные отношения, средства миграции и интеграции в гетерогенных сетях,
локальные и глобальные группы, сетевые и локальные права и ограничения,
средства аудита, синхронизация при реплицировании, перемещаемые и обязательные
профайлы, сценарии входа и т.д.
В случае операционной
системы NetWare эксплуатация хорошо
спроектированной системы облегчается за счет мощной службы каталога. Однако
проектирование такой службы требует не меньшей квалификации, чем в случае Windows NT.
Понятно, что справиться со
всем этим может только высококвалифицированный и опытный администратор,
нехватка которых ощущается в последнее время все острее.
Решить эту проблему призваны
сканеры уязвимостей, в автоматическом или автоматизированном режиме
определяющие «прорехи» в системе безопасности сети.
Использование таких средств
становится все более актуальным из-за их повсеместной распространенности, а
значит, и доступности для потенциальных нарушителей. Некоторые ограничения,
накладываемые на запуск сканеров (например, наличие прав на сканируемый участок
системы), не сдерживают нарушителей.
Во-первых, статистика
показывает, что среди нарушителей много лиц, имеющих серьезные полномочия.
Во-вторых, пароли для входа в сеть могут быть получены путем использования
специальных утилит (они будут рассмотрены позже), а вот реализация полученных
таким образом полномочий может быть затруднена хорошо спроектированной и
эксплуатируемой системой аудита. Такая система может нарушить планы даже
пользователя, имеющего права администратора, если функции администрирования в
системе отделены от аудита. В то же время злоумышленные действия,
осуществленные через «прореху» в системе безопасности, не вызовут подозрений и не
оставят следов в журналах аудита.
Среди наиболее известных
сканеров уязвимостей для Windows NT и NetWare
следует выделить Kane Sequrity Analyst v4.6 фирмы ODS Networks.
Простой в установке и использовании, он стал стандартом «де-факто» как для
сетевых администраторов, так и для злоумышленников.
Инсталляция Kane Sequrity Analyst осуществляется полностью
автоматически после запуска программы Setup.exe.
Для проверки уязвимости
системы необходимо:
1.
Войти
в систему с максимально возможными полномочиями;
2.
Запустить Kane Sequrity Analyst;
3.
Если
планируется использование с заранее установленными настройками, следует перейти
к п.5. При желании задать нестандартные действия, необходимо нажать кнопку N 1 “Set Sequrity Standart” и изменить
предопределенные фирмой ODS Networks на основании многолетнего
опыта настройки в любой из шести категорий – права доступа, пароли, контроль
доступа, наблюдение за системой, целостность данных, конфиденциальность данных.
4.
Нажать
«Save As», задать имя новой
настройки и нажать «OK»;
5.
В
главном меню нажать кнопку N 2 “Run Sequrity Audit”;
6.
Выбрать
одну из шести категорий настроек;
7.
В
зависимости от имеющихся к моменту полномочий и принятой в организации модели
сети (домены или рабочие группы) выбрать компьютер или домен;
8.
Нажать
«Start»;
9.
Для
просмотра наиболее опасных нарушений в области безопасности нажать «List Risks». После просмотра нажать «Close» и «OK» для
возврата в главное меню;
10.
Для
графического отображения результатов анализа в главном меню нажать кнопку N 3 “Survey Risks Analysis”. Если есть необходимость
просмотреть отчеты по конкретным пользователям или учетным записям, нажать
кнопку “User Analysis» или “Account Analysis»;
11.
Для
печати результатов нажать кнопку N 4 “Report Manager”;
12.
Для
сравнения с результатами предыдущего анализа в главном меню нажать кнопку N 4 “Review Compliance History”.
Аналогично осуществляется
анализ настроек ОС NetWare.
В качестве эталонных фирма –
разработчик в этом случае предлагает следующие настройки пользовательских
счетов:
·
Количество
одновременно открытых сессий для каждого пользователя должно быть ограничено
одной.
·
Пользовательский
счет должен быть создан с помощью шаблона.
·
Должны
быть заданы ограничения на адреса рабочих станций.
·
Должна
быть задана дата истечения полномочий пользователя.
·
Должны
быть заданы ограничения на время работы в сети.
·
При
входе в сеть должен выполнятся сценарий входа.
При анализе настроек также
регистрируются счета, заблокированные при попытке входа с неправильным паролем
и счета, работа с которыми не проводилась в течении более 90 дней.
Отчет о работе Kane Sequrity Analyst выдается или в обобщенной,
или в персональной форме.
В первом случае статистика
выдается по всем пользователям, во втором – по каждому отдельно.
Помимо службы каталога NTDS или
NDS в постоянном контроле нуждается подсистема аутентификации. Уязвимым
местом этой подсистемы являются «слабые» пароли: короткие пароли, общеизвестные
комбинации букв или пароли без использования символов разных регистров.
Порядок назначения паролей,
как правило, определяется специальными инструкциями. Однако от администратора
требуется постоянный контроль за «качеством» паролей.
Среди утилит, предназначенных для автоматизации
этого процесса следует выделить L0PHTCrack.
Программное средство L0PHTCrack, текущая версия 2.5,
предназначено для получения парольных хэшей (непосредственно из Registry, или
путем прослушивания сетевого трафика – сниффинга) и для вскрытия их.
Так как хэширование не является обратимой операцией,
для нахождения пароля используются специальные способы вскрытия:
·
проверка
по словарю (dictionary attack);
·
полный
перебор с заданным алфавитом (brute-force attack);
·
комбинированный.
Проверка по словарю (dictionary) – самый быстрый метод При
этом L0PHTCrack считывает слова из заранее сформированного набора слов -
словаря, шифрует их по известному алгоритму и сравнивает с имеющимися хэшами.
Комбинированный метод использует слова из dictionary и дополняет их символами из
заданного алфавита, так, чтобы обнаружить пароли типа «MOUSE23», «2BIG» и т.п.
При прямом переборе для получения значений хэшей
используются последовательности символов из некоторого набора, которые
генерируются автоматически.
Такой подход позволяет гарантированно вскрыть любые
пароли при соблюдении двух условий:
·
известно
значение хэш-функции от пароля;
·
известен
набор символов, из которых состоит пароль.
Поскольку при увеличении числа символов в пароле и
исходном наборе символов количество генерированных комбинаций увеличивается
экспоненциально, проведение такой атаки требует значительных ресурсов.
Для вскрытия паролей требуется:
1. Инсталлировать L0PHTCrack 2.5 на компьютер под управлением MS Windows NT 4.0.
2. Запустить программу.
3. Загрузить в программу парольные хэши домена. Это можно сделать несколькими способами:
- из реестра контроллера домена:
Ø
меню
«Tools->Dump Passwords from Registry»;
Ø в поле «Computername» ввести имя компьютера – контроллера домена, или его IP-адрес;
Ø нажать кнопку «ОК». При условии наличия достаточных прав в домене, пароли будут проэкспортированы из реестра контроллера в программу.
- из SAM-файла (SAM-файл находится в каталоге %SYSTEMROOT%\SYSTEM32\CONFIG. Он постоянно находится в состоянии блокировки и не может быть проимпортирован в L0PHTCrack. Его можно получить, если загрузиться на контроллере в другую ОС, например, MS-DOS. Этот метод не слишком удобен);
- из предварительно сохраненного файла хэшей (Загруженные методами 1) или 2) парольные хэши могут быть сохранены в текстовом файле .LC и потом вновь открыты программой L0PHTCrack для анализа).
4. При необходимости произвести словарную проверку, загрузить словарь.
5. Задать алфавит для комбинированного метода вскрытия и полного перебора (bruteforce).
6. Запустить вскрытие. В зависимости от «качества» паролей и мощности компьютера, на котором производится вскрытие, процесс может занять от нескольких минут, до многих месяцев вычислений. Так как нам не требуется определить пароли, а только оценить их «качество» (под которым понимается их криптографическая стойкость), то предлагается ограничиться приблизительно 5 часами работы компьютера с процессором Pentium II-450.
7. Для остановки процесса вскрытия необходимо выбрать команду меню «Tools->Stop Crack» и сохранить результаты работы «File->Save». При необходимости продолжить расчет дальше достаточ о открыть сохраненный файл и запустить вскрытие снова – «Tools->Run Crack» (см. п 6).
Рекомендуемая литература и порядок изучения материала:
Лучшая литература при
изучении конкретных продуктов – официальные учебные пособия (Student Guide). Как правило, распространяются только через
авторизованные учебные центры.
Некоторые фирмы выпускают их
и в открытую продажу (иногда только после того, как они устареют. Пример - Cisco).
Если нет возможности
приобрести учебные пособия, рекомендуется хотя бы изучить программу подготовки
по ним в учебных центрах. Программы подготовки соответствуют определенным
фирмами разработчиками моделям специалистов.
В зависимости от того,
насколько широкий спектр продукции производит фирма разработчик, эти программы
могут быть или простыми (две ступени – пользователь и профессионал), или
сложными и даже запутанными (до десятка областей специализации – разработка,
дизайн, администрирование и т.д., и несколько ступеней подготовки в каждой из
них – администратор, инженер, мастер, эксперт и т.д.).
Каждая программа подготовки
(трек) включает необходимый уровень знаний до начала курсов, перечень изучаемых
тем и практических занятий. Иногда приводится перечень полученных в результате
знаний и практических навыков.
По продуктам Microsoft сейчас
в продаже учебные пособия по Windows NT и Windows
2000. Рекомендуется покупать книги из серии «Учебный курс» или «Экзамен
экстерном». Первая серия представляет собой почти полную копию Student Guide, вторая – ее краткое изложение. Серия “Официальный
экзамен” содержит только вопросы для проверки подготовки к тесту, которые можно
найти и в Internet.
При изучении необходимо
собрать стенд из 2-3 машин, на котором практически отработать все действия по
операционным системам и сервисам.
По протокольным стекам подойдет любая книга, за исключением откровенно
художественных.
Сайты в Internet:
www.intrusion.com – сканеры уязвимостей KSA теперь принадлежат фирме intrusion.com. Начиная
с версии 5.1 в названии сканеров уязвимостей KSA отсутствует “Kane”.
Хотя в документации сохранено старое название.
www.nai.com – CyberCop Scaner ver.5.5 фирмы Network Associates.
www.iss.net – сканеры уязвимостей и монитор атак фирмы Internet Security System.