Сетевые атаки

1. Для обнаружения атак можно анализировать широковещательную активность - это пакеты UDP, NBF, SAP.
2. Для защиты внутренней сети, подключенной к Internet'у, не стоит пропускать из внешней сети входящие пакеты, источником в которых стоит внутренний сетевой адрес. Можно разрешить проходить пакетам только на порт 80.
3. Ставьте фильтрацию пакетов, если необходимо (не стоит пренебрегать даже  
   Control Panel\Network\Protocols\Properties\Advanced в Windows NT).

Методы сканирования

Использование протокола ARP

Данный тип запросов может  быть использован злоумышленниками для определения функционирующих  систем в сегментах локальной  сети.

Сканирование сети посредством DNS

Известно, что прежде чем  начинать атаку, злоумышленники осуществляют выявление целей, т.е. выявление компьютеров, которые будут жертвами атаки, а  также компьютеров, которые осуществляют информационный обмен с жертвами. Одним из способов выявления целей  заключается в опросе сервера  имён и получение от него всей имеющейся  информации о домене.

Противодействие: для определения такого сканирования необходимо анализировать DNS-запросы (адрес в имя) приходящие, быть может, от разных DNS серверов, но за определенный, фиксированный промежуток времени. При этом необходимо просматривать, что за информация в них передаётся и отслеживать перебор адресов.

Сканирование сети методом ping sweep

Ping sweep или выявление целей с помощью протокола ICMP является эффективным методом.

Противодействие: для определения факта ping-сканирования целей, находящихся внутри подсети, необходимо анализировать исходные и конечные адреса ICMP пакетов.

Сканирование TCP портов

Сканирование портов представляет собой известный метод распознавания  конфигурации компьютера и доступных  сервисов. Существует несколько методов TCP сканирования, часть из них называется скрытными (stealth), поскольку они используют уязвимости реализаций стека TCP/IP в большинстве современных ОС и не обнаруживаются стандартными средствами.

Противодействие: противодействие можно осуществлять, например, передавая TCP пакеты с установленным флагом RST от имени сканируемого компьютера на компьютер злоумышленника.

Сканирование UDP портов

Другой вид сканирования портов основывается на использовании  протокола UDP и заключается в следующем: на сканируемый компьютер передаётся UDP пакет, адресованный к порту, который  проверяется на предмет доступности. Если порт недоступен то в ответ приходит ICMP сообщение о недоступности (destination port unreachable), в противном случае ответа нет.

Данный вид сканирования достаточно эффективен. Он позволяет  за короткое время сканировать все  порты на компьютере-жертве.

Противодействие: противодействовать сканированию данного рода возможно путём передачи сообщений о недоступности порта на компьютер злоумышленника.

Stealth-сканирование

Метод основан на некорректном сетевом коде, поэтому нельзя поручиться что он будет нормально работать в какой-либо конкретной обстановке. Используются TCP-пакеты с установленными ACK- и FIN-флагами. Их надо использовать, т.к. если такой пакет послать в порт при неоткрытом соединении, всегда возвратиться пакет с флагом RST. Существует несколько методов, использующих этот принцип:

1. Послать FIN-пакет. Если принимающий хост возвращает RST, значит порт неактивен, если RST не возвращается, значит порт активен. Данный метод работает в большинстве операционных систем.
2. Послать ACK-пакет. Если TTL возвращаемых пакетов меньше, чем в остальных полученных RST-пакетах, или если размер окна больше нуля, то скорее всего порт активен.

Пассивное сканирование

Сканирование часто применяется  злоумышленниками для того, чтобы  выяснить, на каких TCP-портах работают демоны, отвечающие на запросы из сети. Обычная программа-сканер последовательно  открывает соединения с различными портами. В случае, когда соединение устанавливается, программа сбрасывает его, сообщая номер порта злоумышленнику.

Данный способ легко детектируются  по сообщениям демонов, удивленных мгновенно  прерваным после установки соединением, или с помощью использования специальных программ. Лучшие из таких программ обладают некоторыми попытками внести элементы искусственного элемента в отслеживание попыток соединения с различными портами.

Однако злоумышленник  может воспользоваться другим методом - пассивным сканированием (английский термин "passive scan"). При его использовании злоумышленник посылает TCP/IP SYN-пакет на все порты подряд (или по какому-то заданному алгоритму). Для TCP-портов, принимающих соединения извне, будет возвращен SYN/ACK-пакет, как приглашение продолжить 3-way handshake. Остальные вернут RST-пакеты. Проанализировав данные ответ, злоумышленник может быстро понять, на каких портах работают программа. В ответ на SYN/ACK-пакеты он может также ответить RST-пакетами, показывая, что процесс установки соединения продолжен не будет (в общем случае RST-пакетами автоматический ответит TCP/IP-реализация злоумышленника, если он не предпримет специальных мер).

Метод не детектируется предыдущими  способами, поскольку реальное TCP/IP-соединение не устанавливается. Однако (в зависимости от поведения злоумышленника) можно отслеживать резко возросшее количество сессий, находящихся в состоянии SYN_RECEIVED. (при условии, что злоумышленник не посылает в ответ RST) прием от клиента RST-пакета в ответ на SYN/ACK.

К сожалению, при достаточно умном поведении злоумышленника (например, сканирование с низкой скоростью  или проверка лишь конкретных портов) детектировать пассивное сканирование невозможно, поскольку оно ничем  не отличается от обычных попыток  установить соединение.

В качестве защиты можно  лишь посоветовать закрыть на firewall все сервисы, доступ к которым не требуется извне.

Приглашение системы и опасность  содержащейся в нем информации

Необходимо убирать "приглашения  системы", отображаемые центральными компьютерами на терминалах удаленного доступа для входа пользователя в систему. Данное требование обусловлено  следующими причинами:

• "приглашение системы", как правило, содержит информацию, позволяющую нарушителю идентифицировать тип и версию операционной системы центрального компьютера, вид программного обеспечения удаленного доступа и др. Такая информация может существенно упростить задачу проникновения в систему, поскольку нарушитель сможет применить средства незаконного доступа, использующие слабости конкретной системы;
• "приглашение системы" обычно указывает на ведомственную принадлежность системы. В случае, когда система принадлежит секретному ведомству или финансовой структуре, заинтересованность нарушителя может значительно возрасти;
• состоявшееся недавно судебное разбирательство отклонило иск компании к лицу, незаконно проникшему в сеть компании, поскольку он мотивировал свои действия надписью на терминале удаленного доступа к центральному компьютеру "Welcome to..." ("Добро пожаловать в ...").

Несколько советов при исследования сети

1. Просканировать сервер на предмет открытых портов и сервисов.
2. Попробовать зайти на сервер под именем IUSR_<имя машины с шарами>
3. Попытаться спереть SAM._ из /REPAIR (пароли из SAM достаются командой expand).
4. Директории /scripts и /cgi-bin, как известно наверное многим, в НТ можно запускать любые файлы из этих директорий, поэтому следует закрывать к этим директориям доступ. Запуск осуществляется примерно такой командой (если исполняемый файл в /scripts) из бровзера - http://www.idahonews/scripts/getadmin.exe?test. Можно получить админовские права следующим образом - проги-то из /scripts запускаются не под юзернеймом пользователя, а с того самого web-аккаунта, из чего можно сделать вывод, что пароли админа можно элементарно сдампить из реестра с помощью PWDUMP.exe.
5. Следует помнить, что программы из /SCRIPTS запускаются под Web-аккаунтом, а не под аккаунтом запустившего пользователя. Поэтому можно попытаться сдампить пароли из реестра с помощью PWDUMP.EXE. Пароли будут закодированные. В этом случае следует сохранить страницу в виде текстового файла и попытаться раскодировать пароли с помощью программы BRUTEFORCE.
6. Под администраторским аккаунтом можно поменять алиасы на ftp и http.

Некоторые другие способы получения  информации

• Используя whois или NSLookUp для выяснения альтернативных имен выяснить, кому принадлежит сеть. Запомнить диапазон ip-адресов для последующего их сканирования.
• Пойти на ближайший роутер и что-либо выяснить. Для нахождения роутера нужно протрассировать путь до любого ip-адреса из обнаруженного диапазона. Ближайший роутер определяется по времени отклика.
• Попробуйте зайти на роутер telnet'ом.
• Запустить сканер диапазона ip-адресов для обнаружения запущенных на PC служб.

Дыры и ошибки администрирования  в Windows NT

1. Рассмотрим уязвимость, связанную с ошибкой в реализации системы. Данная уязвимость приводит к возможности атаки, называемой GetAdmin. Уязвимым является системный сервис NtAddAtom, не проверяющий параметры, переданные ему, и устанавливающий бит 0 по адресу NtGlobalFlag + 2. Для этого необходимо открыть файл ntoskrnl.exe и найти точку входа в NtAddAtom. Установка данного бита отключается проверка привилегий отладчика в NtOpenProcess и NtOpenThread. Таким образом, любой пользователь имеет право открыть любой процесс в системе. Атака открывает процесс Winlogon процесс и встраивает dll к нему. Так как данный сервис имеет привилегии SYSTEM, он может добавить пользователя к группе Administrator или удалить его из данной группы. Теоретически возможны и другие нарушения безопасности системы.
2. Один из популярных методов проникновения в систему - подбор пароля. Для борьбы с этим обычно устанавливают блокировку учетной записи пользователя после определенного числа неудачных попыток входа. Приятным исключением является учетная запись администратора. И если он имеет право доступа на вход через сеть, это открывает лазейку для спокойного угадывания пароля. Для защиты рекомендуется переименовать пользователя Administrator, установить блокировку учетных записей, запретить администратору вход в систему через сеть, запретить передачу SMB пакетов через TCP/IP (порты 137,138,139), установить протоколирование неудачных входов.

Спам

Спаммеры подыщут для начала рассылки своего почтового мусора не просто ISP, а, скорее всего, выберут корпорацию, т.к. провайдеру Internet легче понять, что произошло, и он, вероятно, сможет быстрее избавиться от таких сообщений.

Периодически повторяющийся спамминг может нарушить работу законных пользователей из-за перегрузки сервера электронной почты.

Проблема состоит в  том, что подключиться к SMTP-серверу  не так уж трудно. Для этого необходимо знать лишь 7-8 команд, чтобы SMTP-сервер стал распространять Ваши сообщения.

Для ограждения от этого  можно осуществлять проверку адресов  поступающих сообщений по базе данных зарегистрированных пользователей  сервера. Если адрес посылающего сообщение или один из запрошенных им адресов в списке отсутствует, электронная почта передаваться не будет.

Как уберечь почтовую систему от спаммеров

• Если вы не читаете логи, то спаммеры будут действовать безнаказанно.
• Запрограммируйте все, кроме одного, почтовые серверы Вашей компании так, чтобы они не отвечали на запросу на пересылку сообщений. Оставшийся сервер должен тщательно фильтровать IP-адреса.
• Держите все серверы электронной почты, которые могут принимать запросы на пересылку сообщений, в зоне действия своего брандмауэра.

Как работают спаммеры

1. Мишень выбрана - спаммер производит случайный выбор доменного имени компании и затем отгадывает имя хоста постового SMTP-сервера. Если сервер примет почту, спаммер просит его распространить сообщение по списку адресов.
2. Сервер исполняет запрос, создавая впечатление, что сообщения уходят с IP-адреса компании-жертвы.

Дыры IIS, WWW, FTP и др.

1. Отправитель может оставить свой фальшивый адрес следующим образом: отправитель может сам соединиться с SMTP-портом на машине, от имени которой он хочет отправить письмо, и ввести текст письма.
2. Служба FTP позволяет устанавливать пассивные соединения на основе адреса порта, указанного клиентом. Это может быть использовано злоумышленником для выдачи опасных команд службе FTP. Реестр содержит ключ:<HKLM\System\CurrentControlSet\Services\MSFTPSVC\Parameters> со значением <EnablePortAttack: REG_DWORD: > Убедитесь, что значение установлено в '0', а не '1'.
3. Если соединиться через telnet с портом 80, команда "GET ../.." <cr> приведет к краху IIS и сообщению "The application, exe\inetinfo.dbg, generated an application error The error occurred on date@ time The exception generated was c0000005 at address 53984655.
4. Адрес 'http://www.domain.com/scripts..\..\scriptname" позволяет выполнить указанный скрипт. По умолчанию пользователь Guest или IUSR_WWW имеет права на чтение всех файлов во всех каталогах. Так что эти файлы могут быть просмотрены, скачаны и запущены.
5. Директории \script\cgi-bin следует закрывать, т.к. из этих директорий можно запускать любые файлы прямо из окна browser'а.
6. Пpи запpосе у IIS очень длинного URL (4 - 8KB) сервер повисает и не реагирует на дальнейшие запpосы. Пpоблема в том, что точный размер URL зависит от конкретного сервера, поэтому пpогpаммы-убийцы начиная с некоторого базового размера запроса и постепенно увеличивая размер пытаются найти ту кpитическую точку, что подвесит сеpвеp-жеpтву.
7. Пользователям Outlook Express 98 приходится считаться с тем, что этот мейлер позволяет обрабатывать, в том числе и на исполнение, Visual-Basic-скрипты, которые легко могут быть скрыты в письме. Подобный скрипт имеет полный доступ к файловой системе. Реальной защитой может стать лишь установка "уровня безопасности" в Outlook на "максимум".
8. Если в чате разрешен ввод тегов html, никто не помешает вставить в свое сообщение что-то типа <img src="http://www.mysite.com/cgi-bin/sniffer.cgi">. В итоге все присутствующие в чате (даже не зарегистрировавшиеся) будут, сами того не ведая, вызывать скрипт.
9. Ограничивайте доступ к порту 25 только для некоторых пользователей.