Система обеспечения защищенности локальной сети отдела воинской части
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
шибки в самой операционной системе [6]. Но, как правило, компания Microsoft оперативно реагирует на сообщения об ошибках в коде ОС Windows NT и выпускает соответствующие заплаты (Hot Fix), которые позднее включаются в новые версии сервисных пакетов (Service Pack).
Одной из наиболее важных функций локальных сетей является совместное использование файлов и печати. Windows NT обеспечивает разделение файлов и печати с помощью двух сетевых сервисов: Workstation и Server. Служба Workstation позволяет компьютерам обращаться к ресурсам в сети. Служба Server предназначена для управления созданием и защитой каталогов и принтеров, а также позволяет компьютеру выполнять роль сервера, предоставляющего свои собственные сетевые ресурсы для общего доступа. Дистанционный доступ к сетевым ресурсам в ОС Windows NT осуществляется по протоколу SMB (Server Message Block). Наибольший интерес с точки зрения безопасности представляет процесс регистрации пользователей в сети Windows NT по протоколу SMB. C каждым сетевым ресурсом сервера связан список контроля доступа, поэтому любой сеанс связи начинается с процесса регистрации сетевого клиента и проверки его прав на доступ к запрашиваемому сетевому ресурсу. При открытии сеанса связи сервер генерирует случайный 8-байтовый вызов (challenge) и посылает его клиенту. Клиент шифрует по алгоритму DES полученный от сервера вызов, используя в качестве ключа шифрования 16-байтовый хэшированный пароль из своего файла SAM. Результатом является 24-байтовый ответ (response) клиента, который и передается серверу. Как уже упоминалось, в SAM хранятся два хэшированных пароля: хэш Windows NT и хэш LAN Manager. Поэтому клиент формирует два ответа общей длиной 48 байт. Сервер в свою очередь проводит аналогичные вычисления, используя собственный вызов и хэшированный пароль пользователя из своей базы данных SAM. Полученное в результате значение сервер сравнивает с пришедшим от клиента ответом; если они совпадают, то регистрация заканчивается успешно. Применяемый алгоритм сетевой регистрации Windows NT дает злоумышленнику, перехватившему пару вызов-ответ, возможность подобрать пароль пользователя. Упоминавшаяся ранее программа L0phtCrack способна вычислить текстовые пароли на основании вызова сервера и ответа клиента. Как и в случае паролей из локальной базы SAM, ответ по стандарту LAN Manager наименее устойчив к взлому. В среднем подбор пароля по этому ответу занимает только на 40% больше времени, чем прямая атака на хэш LAN Manager из SAM. Вместе с тем администратор может запретить включение пароля LAN Manager в ответ клиента. Но отключение совместимости с LAN Manager для отдела неприемлемо, поскольку сделает невозможной работу сервера Windows NT с Windows 95, поддерживающей этот протокол.
Следует обратить внимание, что при формировании ответа клиентом используется не сам текстовый пароль, а только его хэшированное представление. Поэтому, если злоумышленнику удастся заполучить хэшированный пароль пользователя, он сможет пройти сетевую регистрацию, не взламывая хэш.
Как уже было описано выше, для доступа к сетевым ресурсам сервера клиент должен пройти процедуру регистрации. Для этого ему необходимо знать имя и пароль пользователя, имеющего учетную запись на данном сервере или на контроллере домена. Однако из этого правила есть два исключения: гостевой и анонимный входы. Если на сервере Windows NT учетная запись Guest не заблокирована, то любой незарегистрированный пользователь автоматически получает доступ к сетевым ресурсам с правами Guest. Поэтому разрешать гостевой вход следует с особой осторожностью. В Windows NT 4.0 учетная запись Guest отключена по умолчанию. Тем не менее, необходимо проверить, установлен ли флажок Disabled для этой учетной записи в диспетчере пользователей. C помощью сетевого сканера Legion администратор может выявить все серверы SMB, предоставляющие свои ресурсы для гостевого доступа незарегистрированным пользователям. Еще одним способом войти в систему NT без какой-либо регистрации является анонимный вход. Но в ЛВС отдела установлен Service Pack 6, а начиная с Service Pack 3 запрещается доступ к реестру в рамках анонимного сеанса. Но Service Pack 3 блокирует только анонимный доступ к реестру. Любой зарегистрированный пользователь все равно сможет удаленно провести атаку на реестр и получить права администратора. Для предотвращения нежелательных действий со стороны авторизованных пользователей администратору следует вручную выставить более жесткие разрешения на ключи реестра в соответствии с рекомендациями, приведенными на сервере Microsoft.
При анонимном сетевом подключении злоумышленник может получить список имен всех зарегистрированных на сервере пользователей с помощью программ USER2SID и SID2USER (автор - Е. Б. Рудный). После этого он может предпринять попытку угадать пароль. В Internet имеется несколько программ, с помощью которых злоумышленник может попытаться зарегистрироваться на сервере SMB, перебирая пароли по словарю. Такие атаки обычно занимают очень много времени и могут быть успешными только в случае слабых паролей.
Для предотвращения подобных атак по методу грубой силы пароли следует задавать длиной не менее 8 символов, при этом они должны представлять собой случайную комбинацию букв и цифр. Кроме того, администратор должен ввести обязательный аудит неудачных попыток регистрации, а также желательно перечислить всех пользователей и группы, которым разрешен доступ к данному компьютеру по сети.
Также необходимо отметить, что дистрибутивы NTWS4.0 и NTS4.0 включают утилиту rollback.exe,