Завантаження профілів
Як
тільки зломщикам вдасться проникнути в систему NT і яким-небудь способом отримати адміністративні привілеї, вони зможуть завантажити свої власні профілі (наприклад, файли . CIF або MAIN. SAB) і автоматично дістати доступ до системи, користуючись своїм власним паролем! До Цієї атаки схильна як програма pcanywhere, так і Remotely Possible 4.0. Для цього зломщикові досить виконати наступні дії.
1. Створити профіль з'єднання в рамках своєї копії pcanywhere або Remotely Possible.
2. Знайти і скопіювати новий профіль в каталог \DATA або \AVALAN\REMOTELY POSSIBLE цільової системи.
3. За допомогою програм pcanywhere або Remotely Possible 4.0 з'єднатися з видаленим комп'ютером і ввести своє ім'я користувача і пароль.
Якщо
використовуваний вами програмний продукт зберігає дані про з'єднання в окремих файлах, то він, швидше за все, уразливий для таких атак. Проведіть тестування і упевніться в його захищеності або прийміть всі необхідні заходи по забезпеченню безпеки.
Контрзаходи
Для підвищення захищеності і усунення перерахованих вище недоліків можна скористатися декількома прийомами. Виконання наступних кроків дозволить значно підвищити рівень безпеки встановленого програмного забезпечення.
Використання паролів
Хоча необхідність цього заходу обережності очевидна і інтуїтивно зрозуміла всім адміністраторам, імена користувачів і паролі на видалених вузлах застосовуються далеко не завжди. Виробники програм теж не завжди прагнуть допомогти в даній ситуації, сподіваючись на адміністраторів. Як видно з мал. 13.2, схема аутентифікації, використовувана в програмі pcanywhere за умовчанням, є вельми ліберальною. Щоб виправити цю ситуацію, просто встановите режим Specify individual caller privileges.
Мал. 13.2. У програмі pcanywhere 8.0 за умовчанням використовується режим Allow Full /access Те All Callers
Посилені вимоги до паролів
Деякі застосування, такі як pcanywhere, дозволяють підвищити вимоги до використовуваних паролів, наприклад зробити їх чутливими до регістра. Щоб активізувати цей режим, відкрийте діалогове вікно властивостей мережі (NETWORK properties). Потім перейдіть у вкладку Security Options і встановите прапорець Make passwords case sensitive. Як видно з мал. 13.3, цей режим за умовчанням відключений.
Програма Timbuktu володіє аналогічним механізмом захисту паролів. Як показано на наступному малюнку, можна обмежити можливість їх повторного використання, задати мінімальну довжину пароля і кількість днів, протягом яких його можна використовувати.
Альтернативна аутентифікація
Більшість
додатків дозволяють активізувати процедуру аутентифікації у формі, відмінній від прийнятої в системі NT. Проте за умовчанням цей режим зазвичай не активізований. Не дивлячись на те, що при цьому доведеться підтримувати два набори імен і паролів користувачів, така можливість з успіхом може розладнати плани зломщиків.
Мал. 13.3. Одін з можливих способів підвищення рівня безпеки програми pcanywhere полягає у використанні чутливих до регістра паролів. Переконаєтеся, що встановлений саме цей режим!
У програмах Remotely Possible і CONTROLIT за умовчанням використовуються власні механізми аутентифікації, тоді як в Timbuktu і Reachout за умовчанням застосовується аутентифікація NT. При цьому проблема полягає в тому, що після успішного злому зловмисник відразу ж отримує паролі всіх користувачів додатків видаленого управління.
Додаткові можливості використання паролів
Програми Timbuktu
і pcanywhere надають додаткові можливості використання паролів, якими слід користуватися при першій-ліпшій можливості. Так, в pcanywhere можна захистити паролем профілі як витікаючого, так і такого, що входить з'єднання. Це не дозволить кому-небудь сторонньому вивідати пароль аутентифікації, прихований за зірочками. Встановити пароль на доступ до профілів програми pcanywhere (тобто підвищити рівень безпеки) можна в діалоговому вікні NETWORK Properties у вкладці Protect Item, як показано на наступному малюнку.
Окрім аналогічних можливостей, програма Timbuktu дозволяє обмежити доступ до параметрів безпеки.
Вихід з системи після завершенні сеансу зв'язку
Програми Remotely Possible/controlit, pcanywhere і Reachout можна набудувати так, щоб після закінчення сеансу зв'язку виконувався також вихід з системи. Така можливість виявляється надзвичайно важливою, оскільки якщо адміністратор забуде вийти з системи після виконання своєї роботи, хто-небудь інший зможе скористатися його привілеями.
Щоб включити цей режим в програмі Reachout, виконаєте наступні дії.
1. Виберіть команду Security.
2. Перейдіть у вкладку Disconnect і встановите режим Log The Current User Off This Computer.
Кодування повідомлень під час сеансу зв'язку
У раніших версіях багатьох програм видаленого управління можна було перехопити імена користувачів і паролі під час їх передачі по мережі або розгадати прості алгоритми шифрування. Упевніться в тому, що використовується найвищий рівень шифрування, що забезпечується програмним забезпеченням. Якнайкращим засобом для перевірки надійності алгоритмів шифрування є програма аналізу мережевих пакетів Snifferpro від компанії Network Associates (http://www. nai.com) Залишається тільки дивуватися, наскільки слабкими виявляються алгоритми шифрування, вживані в деяких програмних продуктах.
Обмеження числа спроб реєстрації
Більшість додатків дозволяють обмежити кількість спроб реєстрації. У разі перевищення заданого значення система буде заблокована. Дана можливість хороша тим, що може відлякати зломщика, і він зверне свою увагу на менш захищені системи. Навіть якщо цього не відбудеться, адміністратор зможе дізнатися про атаку і зробити відповідні заходи. Ми рекомендуємо обмежитися трьома невдалими спробами реєстрації.
Облік невдалих спроб реєстрації
Слід реєструвати як успішні, так і невдалі спроби реєстрації. Для цього можна використовувати або журнал реєстрації подій системи NT, або відповідні файли самих додатків видаленого управління. Ця інформація значно полегшить виявлення спроб злому і виявлення зловмисників.
Блокування користувачів, яким не вдалося реєструватися
Це одна з найбільш важливих можливостей. Проте в більшості додатків видаленого управління вона відсутня. Reachout від компанії Stac Electronics виявилася єдиною зі всіх протестованих нами програм, в якій реалізований так званий режим Intmderguard (захист від порушників). Для активізації цього важливого режиму виконаєте наступні дії.
1. Виберіть команду Security.
2. Перейдіть у вкладку Connect, в групі User Lockout встановите режим Trip Intruderguard, а потім задайте кількість невдалих спроб реєстрації, після яких буде активізований компонент Intruderguard. Ми рекомендуємо вирішити три невдалі спроби реєстрації.
Зміна
порту, що прослуховується за умовчанням
Багато хто не розглядає зміну порту, використовуваного за умовчанням, як ефективну міру підвищення безпеки, оскільки в її основі лежить внутрішньо суперечлива парадигма "безпека за рахунок заховання". Проте отриманий нами практичний досвід говорить про те, що застосування подібних правил є достатньо ефективним. Іншими словами, для забезпечення безпеки потрібно робити будь-які можливі заходи. Хай дана міра не дозволить повністю захистити систему, але принаймні вона може затримати подальше просування зломщика
|