Для авторов
Архив рассылки
Русский
English
   Путь: Panvasoft / Блог / Сервер ISA 2006 глазами хакера: Часть 2 – Внутренние атаки
[Новости] [Linux] [Windows XP] [Windows Vista] [Windows Server] [Windows 7] [Администрирование] [Сеть и интернет] [Безопасность] [Tricks & Tips] [Мультимедиа] [Железо] [Книги] [Проечее] 17:39:07, Четверг, 28 Марта 2024 

|

Это заключительная часть статьи о том, какими наши брандмауэры видятся хакерам. В этой части мы посмотрим, как ISA-сервер реагирует на атаки из внутренней сети, такие как заражение ARP, спуфинг и атаку типа «man-in-the-middle».

Ну вот, теперь я знаю о моем внешнем интерфейсе. Может, отдохнем?

К сожалению, нет. 80% атак исходят из внутренней сети. Обычно в Интернете вы публикуете максимум десяток серверов, но во внутренней сети их могут быть сотни.

Ниже на рисунке представлена общая схема сети, которую мы будем использовать в нашей статье для примера.


Схема
1: Пример сети

Внутренняя сеть – это кошмар администратора безопасности. Обычно внутренние сети объединены в DMZ, но пользователи и серверы часто находятся в одной сети.

Для серверов, которые не расположены в DMZ, можно использовать IPSec или внутренние брандмауэры, но... Что будет с DMZ, если хакер попадет внутрь?

Есть два варианта: заражение ARP во всех его проявлениях и программы сканирования сети.

Администраторы ISA-сервера внутренних сетей для определения авторизованных пользователей могут использовать два элемента:

  • IP-адрес источника: IP-адрес компьютера легко подменяется. С помощью различных методов управления ARP есть возможность взломать сеть через IP и MAC-адреса. Хакеры в Интернете могут только видеть порты, которые брандмауэр публикует для всех IP-адресов или общих подсетей, но хакеры внутренних сетей могут найти все порты, опубликованные брандмауэром для внутренней сети, хотя у хакеров и нет нужного IP-адреса для доступа.
  • Пользователь, зарегистрировавшийся на компьютере-источнике; используя заражение ARP и программы сканирования сети, можно легко узнать пароли. Во внутренних сетях, где защита ниже, чем в Интернете, работают сотни различных служб, которые, в большинстве случаев, являются старыми, не обновленными версиями. Базовая и явная аутентификация, а также службы, такие как шифрованные терминальные службы, прокси и web, дают возможность хакерам перехватывать пароли.

Для дальнейших тестов нашего ISA-сервера мы будем использовать правило, разрешающее трафик из всей внутренней сети, кроме одного IP-адреса (адрес внутреннего хакера), к серверу в DMZ (192.168.10.2).



Рисунок
1: Правило ISA-сервера для тестирования



Рисунок 2:
Детали правила (1)



Рисунок
3: Детали правила (2)

Теперь, если мы просканируем Web-сервер, находящийся в DMZ, все порты будут показаны как открытые или с установленным на них фильтром.



Рисунок
4: Результаты сканирования

Единственное, что нам не хватает, это подмена нашего IP-адреса и пароля.

А что если для отправки пакетов на подмену IP-адреса мы используем Nmap? И что будет, если это IP принадлежит другой сети с ISA-сервером?



Рисунок 5:
Использование NMap для подмены IP –адреса другого сегмента с помощью команды “nmap –p 80-90 –e eth0 –S 10.10.10.2 –P0 192.168.10.2”



Рисунок
6: ISA-сервер определяет пакеты и отклоняет трафик



Рисунок
7: ISA-сервер определяет атаку и создает событие

Хорошо. Но что если пакет придет из другой сети?

Программу Nmap можно использовать для подмены MAC и IP адресов, но лучшим средство для этого является IRS от компании Cain & Abel.

С помощью IRS мы можем сканировать порты и подменять IP-адреса всей подсети. Помимо этого, можно подменять и MAC-адрес источника атаки.



Рисунок
8: Использование IRS (1)



Рисунок 9:
Использование IRS (2), настройка интерфейса



Рисунок 10:
Использование IRS(3), настройка цели



Рисунок 11:
Использование IRS (4), Результаты

Теперь мы знаем, какие адреса имеют доступ к источнику.

ARP и сканировщики сети дают нам и другие интересные возможности.

Мы можем просканировать сеть на предмет поиска пароля. На самом деле, безопасность – вещь достаточно относительная: либо защищено все, либо ничего. Если вы пользуйтесь незащищенными системами и не можете их защитить, изолируйте их от остальных систем вашей сети. Создайте для незащищенных систем отдельный домен и используйте для доступа к ним отдельные учетные записи пользователей. Если пользователи используют один и тот же пароль для доступа к защищенным и незащищенным системам, хакер, с помощью сканера и ARP-атак типа «man-in-the-middle» (mitm), может определить эти пароли. Программное обеспечение, наподобие Ettercap, может сканировать сети с помощью декодеров протоколов, осуществлять поиск паролей, а также позволяет проводить некоторые атаки типа «man-in-the-middle».



Рисунок 12:
Использование Ettercap (1) Сканирование сети



Рисунок 13:
Использование Ettercap (2) Протоколы и дополнительные программные модули загружены, начало сканирования



Рисунок 14:
Использование Ettercap (3) Пароли определены



Рисунок
15: Использование Ettercap (4), атаки типа «man-in-the-middle»

После всего этого у хакера во внутренней сети есть вся информация для атаки служб из DMZ, но… что если хакер является серьезным взломщиком, а мы не приняли всех необходимых мер предосторожности? Сможет ли хакер обойти соединения брандмауэра с другими сетями, включая внешнюю сеть? В нашем примере брандмауэр выходит в Интернет через маршрутизатор с IP-адресом 10.10.10.2. Что если хакер обманет брандмауэр с помощью поддельного MAC-адреса маршрутизатора? Ответ: брандмауэр не сможет соединиться с внешней сетью; это атака типа D.O.S (Denial Of Service – отказ от обслуживания).



Рисунок 16:
Использование Nemesis для отсылки ARP-пакета брандмауэру

Ну вот, вы видели все плохое и очень плохое. Теперь посмотрим, что тут есть хорошего

Главное, что нужно знать об атаках ARP и MITM, это то, что их очень трудно осуществить из Интернета. Хакеры обладают средствами, но и у администраторов они тоже есть. Для того, чтобы избежать атак типа DOS или MITM ARP обязательно добавьте статические записи ARP на ваши брандмауэры и сетевые устройства. Для этого используйте команду ARP.



Рисунок
17: Creating a static ARP entry

Сетевые устройства могут служить отличными союзниками в борьбе против спуфинга и сканироващиков сети. Для устранения широковещательной рассылки ARP можно создать виртуальные локальные сети VLAN, а у многих сетевых устройств есть функции для усиления безопасности сети. Также администраторы могут использовать IDS (Intrusion Detection System – Система обнаружения вторжения). IDS используют сканеры сети для анализа сетевого трафика и нахождения уязвимостей с помощью правил. Программа Snort – это одна из самых известных бесплатных систем IDS, в которой клиентская часть называется IDSCenter. Можно настроить Snort на определение ARP-атак на IP-адреса брандмауэров, маршрутизаторов, прокси-серверов и т.д. Snort также определяет сканирование портов и сотни других событий, относящихся к защите и безопасности.



Рисунок 18:
Настройка Snort на определение ARP-атак

Кроме того, Snort можно настроить на запуск сценариев для блокирования трафика с IP-адреса хакера и отсылку почты при появлении предупреждения.



Рисунок
19: Настройка оповещения



Рисунок 20:
Событие: определена подмена ARP



Рисунок 21:
Событие: обнаружено сканирование портов

Если на сервер Snort вы установите MOM-агент, вы сможете читать предупреждения журнале событий и обрабатывать предупреждения в консоли MOM.

Защита от переполнения

Одной из новых возможностей сервера ISA 2006 является защита от переполнения, которая позволяет избежать атак типа D.O.S, червей и других проблем.



Рисунок 22:
Защита от переполнения (1)



Рисунок 23:
Защита от переполнения (2)



Рисунок 24:
Защита от переполнения (3)

Для каждой потенциальной атаки вы можете определить предел и настраиваемый предел. Настраиваемый предел применяется только к списку исключений IP-адресов. В нашем примере мы включили IP-адрес одного из внутренних компьютеров в список исключений и определили настраиваемый предел равный 3-м одновременным соединениям TCP/IP.



Рисунок 25:
Защита от переполнения (4)



Рисунок 26:
Защита от переполнения (5)



Рисунок
27: Защита от переполнения (6)

С такими настройками компьютер с адресом 192.168.0.30 обладает количеством одновременных соединений равным 3.

Используем telnet для создания соединений с адреса 192.168.0.30, а для просмотра одновременных TCP-соединений используем на ISA-сервере монитор производительности.



Рисунок
28: Защита от переполнения (7)

Когда компьютер пытается создать четвертое соединение, ISA-сервер отклоняет трафик и записывает событие в журнал.

Резюме

ISA-сервер – это великолепный продукт, обладающий сертификатом высокого уровня безопасности и «защищенный по умолчанию». Система Windows предоставляет нам множество функций защиты для борьбы с атаками хакеров, но главная ответственность за безопасность сети находится в ваших руках и все зависит от вашего профессионализма.



Категория: Администрирование
Источник: isadocs.ru Опубликовал: Feeder, Дата: 1.12.2006, Просмотров сегодня: 1, Просмотров всего: 12692, Рейтинг: 1.00 (Проголосовало: 4) Теги:

Расскажи друзьям:


Еще статьи на угад:
Установка Windows XP по сети. RIS, но не Microsoft.
Загрузочная флэшка и восстановление системы.
6 типичных ошибок при резервном копировании и восстановлении данных.
Все о boot.ini (загрузчике ОС Windows NT/2K/XP)
Двойная загрузка Windows Vista и XP (Windows Vista установлена первой)
Руководство по развертыванию служб терминалов
Как работают программы восстановления данных.

Ваши комментарии:
Thomasbuich, konto3[at]guitarjustforyou.com в 19.11.2017 06:29:21
Frontline employees are immersed in the day-to-day details of unmistakeable technologies, products, or markets. No everybody is more finished in the realities of a performers’s poser than they are. But while these employees are deluged with immensely specific bumf, they often texture it very complex to curdle that advice into valuable knowledge. To liberate at individual attachment, signals from the marketplace can be clouded and ambiguous. For of <a href=http://annoyedcanadian.com>http://annoyedcanadian.com</a> another, employees can behoove so caught up in their own limited vantage point that they be beaten formality of the broader context.

The more holistic chat up advances to word at multitudinous Japanese companies is also founded on another constitutional insight. A attendance is not a motor transport but a living organism. Much like an singular, it can arrange a collective be under the impression that of uniqueness and probity purpose. This is the organizational compact of self-knowledge—a shared truce of what the troop stands as regards, where it is universal, what patient of ringlet it wants to energetic in, and, most signal, how to plug in that pack a reality.

Nonaka and Takeuchi are arguing that creating perception disposition evolve into the clue to sustaining a competitive dominance in the future. Because the competitive environment and consumer preferences changes constantly, friendliness perishes quickly. With The Knowledge-Creating Presence, managers be struck past at their fingertips years of insight from Japanese firms that spree how to the latest thing ingenuity continuously, and how to take upper hand of it to beat it famed immature products, services, and systems .
piksh, viktor[at]mail.ru в 20.1.2011 17:08:01
При запуске приложения (us_setup.exe) на платформе WindowsXPSP2 выдаёт ошибку "Could not initialize installation. (CRC)".....
Veshor, veshor[at]yandex.ru в 3.10.2008 04:36:25
При запуске приложения (us_setup.exe) на платформе WindowsXPSP2 выдаёт ошибку "Could not initialize installation. (CRC)".....
Veshor, veshor[at]yandex.ru в 3.10.2008 04:33:58
При запуске приложения (us_setup.exe) на платформе WindowsXPSP2 выдаёт ошибку "Could not initialize installation. (CRC)".....
Добавить свое мнение о данной программе:
Имя
Email
Сообщение:
Введите символы:
вверх страницы

  Подпишитесь на лист рассылки и стань одним из 16434, кто узнает о новых программах по почте!!

 Введтите ваш e-mail:

Подписаться
Отписаться



© 1999 - 2024 Panva Web Studio
(0.02098 секунд) Написать письмо вебмастеру