Рассылка закрыта
При закрытии подписчики были переданы в рассылку "Безопасность компьютерных сетей и защита информации" на которую и рекомендуем вам подписаться.
Вы можете найти рассылки сходной тематики в Каталоге рассылок.
Защита информации, виртуальные сети VPN. Технология ViPNet. #71 от 12.07.2002
| Информационный Канал Subscribe.Ru |
|
Защита информации, виртуальные частные сети (VPN). Технология ViPNet. |
||
|
||
|
|
||
| Содержание выпуска: | ||
|
||
| "Маршрутизаторы под прицелом" (окончание) | ||
|
Перечисленные сервисы созданы для удобства сетевых и системных администраторов, но они также облегчают жизнь и злоумышленникам в их попытках проникнуть в информационные системы. Например, с помощью протокола TFTP хакер может скопировать файлы с маршрутизатора безо всякой аутентификации. Если на маршрутизаторе запущен демон TFTP, то злоумышленнику нужно знать только точное имя файла (например, главного файла конфигурации), который он хочет скопировать. Для создания дружественных пользователю административных интерфейсов на базе технологий Web применяется протокол HTTP. Во избежание использования этих интерфейсов для осуществления враждебных действий, необходимо установить жесткие правила контроля доступа к ним (подробнее мы остановимся на этом аспекте ниже). Другой важный момент — синхронизация времени, без которой невозможно нормальное функционирование сети. Полагаться на синхронизацию, сделанную при первичной настройке сети опасно, так как накапливающаяся ошибка отсчета времени разными устройствами приводит к их рассинхронизации. В то же время многим механизмам обеспечения безопасности, к примеру серверам аутентификации, необходимы отметки времени, и они нуждаются в том, чтобы все задействованные устройства были достаточно точно синхронизированы. В противном случае возрастает вероятность сбоя сервиса или умышленного нарушения его работы. Для синхронизации сетевых устройств с эталонным источником точного времени можно воспользоваться протоколом NTP. Однако через маршрутизатор этого не стоит делать, а лучше поместить сервер NTP в специальный сегмент сети, защищенный межсетевым экраном — так называемую демилитаризованную зону (DMZ), — и сконфигурировать его таким образом, чтобы он посылал запросы только доверенному источнику точного времени. Все остальные устройства сети будут синхронизироваться с этим сервером, что, с одной стороны, не позволит хакерам получить информацию о ее внутренней структуре, а с другой — поможет избежать неприятных ситуаций, связанных с рассинхронизацией времени на сетевых устройствах. Потребность в запуске на маршрутизаторах сервисов SNMP и DHCP возникает достаточно редко. Используйте их, только если это действительно необходимо.
Обнаруженная недавно в программном обеспечении маршрутизаторов брешь позволяла злоумышленнику полностью вывести оборудование из строя путем отправки слишком длинного пароля. Причиной послужила ошибка в коде операционной системы маршрутизатора, из-за которой строки паролей длиной более 32 символов обрабатывались некорректно. Своевременная установка выпускаемых производителем исправлений поможет избежать негативных последствий от атак такого рода. Ограничение логического доступа подразумевает также запрет всех видов трафика ICMP, кроме действительно необходимых (см. Рисунок 1).
ICMP призван облегчить устранение проблем в сети, вызванных ошибками и перегрузками. К сожалению, он предоставляет взломщику информацию, с помощью которой тот может воссоздать структуру любой сети, получить значение локального времени, маски подсетей (включая размер и зону охвата) и сделать обоснованные предположения о версиях и подверсиях установленных операционных систем. Чтобы не дать хакерам возможности получить эти сведения, во внутреннюю сеть следует пропускать лишь следующие виды сообщений ICMP: icmp-net-unreachable, host-unreachable, port-unreachable, packet-too-big, source-quench и ttl-exceeded. Механизмы управления входящей информацией позволяют обеспечить перенаправление определенных видов трафика только к соответствующим серверам. В частности, трафик SMTP допускается исключительно к почтовым серверам, трафик DNS — к серверам службы имен доменов (DNS), а HTTP/S (HTTP через SSL) — к серверам Web. Кроме того, чтобы не стать жертвой атаки по типу "отказ в обслуживании" или ее источником, на маршрутизаторах следует настроить правила фильтрации, блокирующие следующие виды входящих из внешних сетей пакетов: пакеты без IP-адресов (например, 0.0.0.0); пакеты с адресом localhost (127.0.0.1), широковещательные (255.255.255.255) и групповые, а также пакеты с обратным адресом, принадлежащим внутренней сети. Конечно, все атаки по типу "отказ в обслуживании" предотвратить не удастся, но в ваших силах минимизировать их негативные последствия. Например, можно увеличить размер очереди пакетов с установленными флагами SYN/ ACK и уменьшить время ожидания подтверждения (пакета с флагом ACK). Эти меры помогут защитить маршрутизаторы от атаки TCP SYN, приводящей к поглощению всех доступных ресурсов маршрутизатора, в результате которой он практически не в состоянии обслуживать нормальные соединения с серверами. Действия по фильтрации исходящего из сети трафика довольно эффективны. Настройки списков управления доступом должны обеспечивать блокировку трафика ICMP с внутренних адресов и выпускать наружу пакеты только с допустимыми адресами отправителя (принадлежащими защищаемой сети). Этот шаг позволит предотвратить атаки, связанные с подделкой IP-адресов отправителя, и снизить вероятность того, что хакеры воспользуются вашими системами для нападения на другие сети. Данная мера очень важна еще и в следующем аспекте: она поможет избежать ответственности, которая была бы возложена на вас в случае непринятия достаточных мер по защите систем.
Кроме того, маршрутизаторы можно настроить на посылку сообщений syslog на специально выделенный сервер, что позволяет фиксировать относящиеся к безопасности события, которые с помощью SNMP определить не удается. Настройка уровня детализации должна обеспечивать фиксацию всех попыток несанкционированного доступа. Однако при настройке syslog на маршрутизаторе протоколирование консоли следует отключить, так как это может привести к поглощению всех ресурсов маршрутизатора процессом регистрации. Для обеспечения безопасности процесса администрирования разработаны механизмы шифрования, например SSH. Этот протокол полезен как для установления шифрованных соединений с маршрутизатором, так и для усиления аутентификации (SSH2) за счет предъявления цифрового сертификата помимо пароля. Дополнительно повысить уровень безопасности поможет ограничение списка узлов, с которых разрешено устанавливать соединения SSH с маршрутизатором. В него должно входить небольшое количество доверенных систем, регулярно задействуемых для администрирования. Для управления конфигурацией важно обеспечить использование в сети соответствующих протоколов маршрутизации. RIP доверять не стоит, так как его легко ввести в заблуждение посылкой ложных сообщений об изменении маршрутов. Протокол пограничного шлюза (Border Gateway Protocol, BGP) и OSPF довольно надежны, поскольку они предусматривают взаимную аутентификацию устройств при приеме информации об изменении маршрутов путем посылки значений хэш-функций пароля, вычисляемых по алгоритму MD5. Такой подход позволяет предотвратить внесение ложных изменений в таблицы маршрутизации. В относительно статичных сетях, к которым относится демилитаризованная зона, можно применить стратегию так называемой "плавающей маршрутизации". Ее суть заключается в программировании маршрутизаторов на перенаправление трафика по другому маршруту при возникновении определенных условий. Например, недоступность основного маршрута к какой-либо точке заставляет маршрутизатор направить поток информации по резервному ("всплывающему") маршруту. Для реализации такой схемы достаточно назначить запасному маршруту более низкий приоритет по сравнению с основным. На маршрутизаторе можно задать несколько альтернативных запасных маршрутов, каждый со своим приоритетом, поэтому со стороны будет казаться, что устройство функционирует так же, как при динамической маршрутизации. Использование плавающей маршрутизации затрудняет внесение ложных маршрутов в таблицу маршрутизации. Однако более-менее серьезные изменения в архитектуре сети потребуют от администратора перенастройки каждого маршрутизатора вручную.
На маршрутизаторах с поддержкой интерфейса командной строки (Command Line Interface, CLI) хранение конфигурации может быть организовано двумя путями. Первый заключается в запуске на сервере конфигураций сценария для выполнения следующих действий: соединение с маршрутизатором по протоколу SSH, регистрация, отключение протоколирования c консоли, вывод на экран текущей конфигурации, сохранение ее в локальном файле и отключение от маршрутизатора. Протокол SSH обеспечивает шифрование всей передаваемой информации, поэтому параметры конфигурации не могут быть перехвачены посторонними во время этого процесса. Второй путь сохранения конфигурации маршрутизатора состоит в организации между сервером конфигураций и маршрутизатором туннеля IPSec, через который по протоколу TFTP с маршрутизатора на сервер копируется конфигурационный файл. Как уже было упомянуто выше, сам по себе протокол TFTP небезопасен, так как передает данные в открытом виде. Использование SSH проще, а посему — предпочтительнее (организация туннеля IPSec требует более значительных затрат по конфигурированию, чем SSH). После копирования файла конфигурации маршрутизатора на сервер его следует зашифровать и отключить демон TFTP. Это не позволит злоумышленнику зайти на сервер и скопировать только что сохраненный файл конфигурации. Важными составляющими процесса управления конфигурациями являются наделение конкретных сотрудников правом изменять конфигурацию маршрутизаторов, установление сроков проведения этой процедуры, выбор программного обеспечения и способов внесения изменений (в частности, потребовать разрыва всех сетевых соединений на время этой операции). Необходимо установить ограничения на ресурсы, с которых могут вноситься изменения (например, только с определенных IP-адресов или консоли), а также определить правила смены паролей (каким образом новые пароли устанавливаются на маршрутизаторах и сообщаются администраторам). Прежде чем производить изменения, важно продумать в деталях процедуры отката. Если во время внесения изменений произойдет сбой, необходимо быстро вернуться к самым последним функциональным параметрам настройки конфигурации или версии ОС. Отслеживайте любые вносимые в конфигурацию маршрутизаторов исправления, а также изменения процедур отката. Создайте специальную инвентарную базу данных и храните в ней полный список ваших маршрутизаторов, установленных на них версий ОС, описание последних внесенных изменений и процедур отката для каждого маршрутизатора. Наконец, назначьте ответственного за каждый маршрутизатор, чтобы знать, к кому обращаться за дополнительными пояснениями о конфигурации конкретного маршрутизатора.
Они включают в себя управление доступом к устройствам и их мониторинг, периодическую смену паролей, контроль изменений конфигурации и организацию безопасного хранения конфигурационных файлов. Чрезвычайно важно быть в курсе самых последних "достижений" в области взлома маршрутизаторов и мер противодействия им. А самое большое преимущество организационных мер защиты состоит в том, что при минимуме затрат они дают очень высокую отдачу.
| ||
| Новости и события в области защиты информации | ||
| Киберсквоттеры теперь крадут не только сайты, но и пароли, адреса и номера кредиток Ирландская компания Zerflow предупреждает о появлении нового вида киберсквоттеров, охотящихся за персональной информацией пользователей интернета. Для этого мошенники регистрируют доменные имена, похожие на названия популярных коммерческих сайтов, копируя их дизайн и формы сбора пользовательских данных. В результате, если невнимательный пользователь чуть-чуть ошибется в наборе URL любимого магазина, он увидит перед собой знакомую картинку и окошко для ввода имени и пароля. Если киберсквоттер достаточно похоже клонирует коммерческий сайт, а пользователь попадется не слишком бдительный, то пароль окажется в полном распоряжении мошенника. Если же посетитель такого сайта захочет что-то купить, то в чужие руки могут запросто попасть его имя, адрес, телефон и номер кредитной карты. Как правило, после того как пользователь введет данные на фальшивом сайте, от получает сообщение об ошибке и предложение посетить сайт позже. При этом введенные данные отправляются в базу данных мошенника, а иногда может производиться и снятие денег со счета владельца кредитной карты. В Zerflow также отмечают,
что найти таких мошенников чрезвычайно сложно, поскольку при регистрации
доменов они используют чужие или просто вымышленные имена и личные данные. |
||
| Обнаружена уязвимость в PGP-плагине для Outlook Компания eEye Digital Security сообщила об обнаружении опасной уязвимости в модуле PGP-шифрования для почтового клиента Microsoft Outlook. Этот модуль выпускается компанией Network Associates и предоставляет пользователям Outlook возможность шифрования электронной почты с использованием стандарта PGP. Используя уязвимость, злоумышленник может захватить управление чужим компьютером, а в некоторых случаях даже читать зашифрованные сообщения. Для реализации атаки на компьютер с установленным PGP-плагином для Outlook необходимо отправить на него специальным образом составленное электронное письмо, при попытке расшифровки которого произойдет переполнение "кучи" - области памяти, выделяемой для динамически размещаемых структур данных. При этом хакер сможет запустить на компьютере любой программный код. Необходимо отметить, что для успеха атаки достаточно, чтобы пользователь просто попытался прочитать письмо, а запуска каких-либо вложенных файлов при этом не требуется. Уязвимыми для подобных атак являются компьютеры, на которых установлен Outlook совместно с программами NAI PGP Desktop Security 7.0.4, NAI PGP Personal Security 7.0.3, NAI PGP Freeware 7.0.3. Пользователям же пакета PGP Corporate Desktop, по данным eEye, пока ничего не угрожает. Для того чтобы заделать дыру
в PGP-плагине, эксперты eEye рекомендуют загрузить одну из заплаток, находящихся
здесь. |
||
Liberty Alliance представит новый стандарт аутентификации в интернете Организация Liberty Alliance готовится представить собственный стандарт единой системы аутентификации пользователей интернета. По данным агентства AP, презентация нового стандарта состоится в понедельник 15 июля. Напомним, что инициатива создания Liberty Alliance принадлежала Sun Microsystems, а после к проекту также присоединились такие компании как Sony, American Express, Mastercard и Bank of America. Задачей Liberty Alliance является создание единого механизма аутентификации пользователей в интернете. Это позволит отказаться от утомительной процедуры заполнения форм в каждом онлайновом магазине или интернет-представительстве банка и от запоминания огромного числа паролей. Стоит отметить, что члены Liberty Alliance напрямую конкурируют с корпорацией Microsoft, которая сегодня доминирует на рынке средств аутентификации со своей системой Passport. Сама Microsoft в свое время отказалась от вступления в Liberty Alliance. По словам Эрика Дина (Eric Dean), главы правления Liberty Alliance и, по совместительству, руководителя информационной службы авиакомпании United Airlines, альянс начнет с продвижения упрощенной версии единой системы аутентификации. Она позволит лишь "связать" несколько сайтов, назначив для них единый пароль, в результате чего при переходе с одного из объединенных сайтов на другой повторное введение пароля не потребуется. В дальнейшем система будет
совершенствоваться и позволит создавать единые пользовательские профили
с указанием реальных имен, адресов, телефонов и номеров кредитных карт.
И хотя такой подход создает реальную опасность сохранности персональных
данных, в Liberty Alliance уверены, что новый стандарт позволит обеспечить
их надежную защиту. |
||
Обновления для OS X могут содержать неприятные сюрпризы? По сведениям ZDNet, на днях в рассылке по компьютерной безопасности BugTraq появилось предупреждение о том, что хакеры нашли возможность устанавливать вредоносные программы типа Backdoor на компьютеры Macintosh. В операционной системе Apple Mac OS X существует механизм SoftwareUpdate, который раз в неделю проверяет сервер Apple на предмет обновлений к системе. Некий хакер по имени Рассел Хардинг опубликовал подробные инструкции о том, как одурачить SoftwareUpdate, и внедрить в чужой компьютер, работающий под Mac OS X, вредоносный код. По сообщению хакера, система SoftwareUpdate закачивает обновления, не проверяя их подлинность, и сразу устанавливает их в систему. Патчей для решения этой проблемы не существует. Хардинг подчеркнул, что для взлома можно использовать самые простые и распространенные способы, например, подмену соединения или кэша. При работе SoftwareUpdate устанавливает HTTP-соединение компьютера пользователя с сервером Apple.com и посылает обычный запрос к документу XML, содержащему список последнего ПО для OS X. SoftwareUpdate на компьютере пользователя сопоставляет программы, установленные в систему, со списком в этом XML-файле. SoftwareUpdate направляет список того, что ему нужно, на другую страницу, и сервер Apple.com либо присылает данные по новому ПО, либо отправляет сообщение "Обновлений нет". Хардинг написал две программы, одна из которых перехватывает DNS-запросы, и в ответ отправляет фальсифицированные пакеты, которые соединяют компьютер пользователя с системой злоумышленника. Вторая программа, маскируясь под обновление для Mac OS X, загружается на компьютер жертвы. Как сообщает ZDNet, эта программа содержит копию системы Secure Shell - средства для установки зашифрованных соединений. Представители Apple заверили
ZDNet, что компания всегда серьезно относится к любым предупреждениям
такого рода, и что проблема активно изучается. |
||
Взлом паролей в MS SQL Server Система парольной защиты пакета SQL Server оказалась не такой устойчивой, как принято было считать. Такое открытие сделал Дэвид Личфилд (David Litchfield), специалист по компьютерной безопасности из компании Next Generation Security Software (NGSS), изучив работу недокументированной функции pwdencrypt(), отвечающей за хэширование паролей в SQL Server. Первым делом Личфилд решил проверить, добавляется ли в хэш пароля случайный шум, позволяющий более надежно зашифровать информацию. Для этого он сверил значения, возвращаемые pwdencrypt() от одного и того же пароля (для проверки Личфилд выбрал слово foo), но в разное время. При этом оказалось, что результаты действительно различаются - то есть, к хэшу пароля добавляется случайное значение, которое генерируется в зависимости от времени суток и позволяет замаскировать одинаковые по написанию пароли. Далее Личфилд проанализировал механизм генерации шума, который представляет собой целое число, получаемое в результате объединения двух псевдослучайных чисел, которые, в свою очередь, генерируются, исходя из системного времени. Сведения о механизме создания шума уже облегчают взлом паролей, однако дальнейшие изыскания показали, что в система хранения паролей еще более уязвима. Как оказалось, вводимый пользователем пароль сначала переводится в формат unicode, затем к нему добавляется шум, а после этого осуществляется хэширование пароля. Однако в SQL Server хранится не одна, а две версии пароля. Первая из них зависит от регистра символов, а вторая состоит исключительно из символов в верхнем регистре. При этом к обеим версиям пароля добавляется одинаковый шум. Таким образом, зная механизм генерации шума можно простым перебором слов подобрать пароль в верхнем регистре - для этого требуется значительно меньше ресурсов, чем при подборе пароля, чувствительного к регистру - после чего подбор последнего становится тривиальной задачей. Для демонстрации обнаруженной
уязвимости Литчфилд написал простую программу на Си, которая вначале хэширует
все имеющиеся в ее распоряжении слова, сравнивая ее с хранящимся в SQL
Server хэшем пароля в верхнем регистре. На компьютере с процессором Pentium
III с частотой 1 ГГц и 256 Мб ОЗУ программа за две секунды перебирает
200 000 слов. |
||
Червь-борец с брандмауэрами и вирус, меняющий имя пользователя Windows "Лаборатория Касперского" сообщает об обнаружении нового сетевого червя, который занимается борьбой с брандмауэрами. Точнее, только с одной его моделью: червь ищет и пытается закрыть запущенные копии брандмауэра ZoneAlarm, а также отсылает по электронной почте "уведомления" по одному из двух адресов, возможно, принадлежащих автору червя. Эти письма содержат информацию о заражённой системе. Червь Worm.Win32.Datom состоит из трех разных компонентов: MSVXD.EXE, MSVXD16.DLL и MSVXD32.DLL. Первый компонент, MSVXD.EXE, активизирует червя при запуске, загружая библиотеку MSVXD16.DLL. В свою очередь, MSVXD16.DLL загружает компонент MSVXD32.DLL, который выполняет основные функции размножения. Отыскав доступные сетевые ресурсы червь пытается соединиться с компьютером, на котором эти ресурсы находятся. В случае успешного соединения червь ищет доступную папку, которая может быть директорией Windows. Для этого он пытается использовать имя "WinNT", а также читает раздел "WinDir" из файла MSDOS.SYS, если такой существует. Затем червь копирует в удалённую директорию Windows все свои компоненты и настраивает автозагрузку файла MSVXD.EXE при старте Windows. Кроме того, "Лаборатория" обнаружила в Сети очередного интернет-червя под названием Calil. Сей "зверь" распространяется во вложениях email-сообщений. Для размножения используются функции программы Outlook. Отсылаемые червём письма содержат в качестве аттача файл LILAC_WHAT_A_WONDERFULNAME.avi.exe. Червь меняет имя владельца
зараженной системы на xEnOcrAtEs. |
||
| Новости компании Инфотекс | ||
| Приглашаем посетить наш форум, посвященный защите информации, виртуальным сетям (VPN) и продуктовому ряду ViPNet. Специалисты компании Инфотекс ответят на все ваши вопросы, связанные с продуктами ViPNet, помогут в случае проблем при инсталляции и эксплуатации наших продуктов, а также проконсультируют по общим вопросам информационной безопасности... |
||
| Компания Инфотекс приглашает на работу - программистов-разработчиков в среде Visual C++ 6.0 с отличным знанием С++, MFC, Win 32 API и свободным чтением технической документации на английском языке, опыт работы приветствуется - системных программистов с опытом работы не менее 2-лет и свободным чтением технической документации на английском языке по направлению: Разработчики ПО под Windows. Требования: Опыт написания драйверов (особенно сетевых и драйверов для PCI устройств), знание межпроцессных взаимодействий, сокетов, опыт написания сетевых приложений, знание механизмов firewall, отличное знание внутреннего устройства Internet, протокола TCP, протоколов высокого уровня HTTP, FTP, SMTP, POP, IMAP и др., отличное знание C++, Win API, MFC , знание SoftIce, Microsoft Visual C++, других инструментов разработчика, недокументированных возможностей Windows. Резюме направлять по адресу: matscailova@infotecs.ru |
||
| Компания Инфотекс расширяет продуктовую линейку ViPNet новыми продуктами ViPNet Custom Lite и ViPNet SDK (software development kit) ViPNet Custom Lite ViPNet SDK Поставка только криптографических библиотек
Предполагается, что ответственность
за жизненный цикл ключей (контроль срока действия и доставка) полностью
возлагается на приложение, в которое встраивается ЭЦП.
В этом варианте предполагается,
что ответственность за жизненный цикл ключей (контроль срока действия
и доставка) полностью возлагается на приложение, в которое встраивается
ЭЦП. В ЦУСе производится регистрация пользователей. КЦ формирует корневые
сертификаты, секретные ключи подписи и сертификаты открытых ключей подписи
и сохраняет их в виде файлов. Доставка этих файлов на клиентские места
должна осуществляться каким-то защищенным способом (лично в руки, фельдъегерской
связью, транспортом приложения и т.д.).
Оптимальный вариант поставки
Со стоимостью новых
решений можно ознакомиться по адресу: http://www.infotecs.ru/price.htm |
||
|
Также получить ответы на интересующие Вас вопросы, Вы можете на нашем форуме, находящемся по адресу: http://www.infotecs.ru/phpBB2/index.php Полнофункциональные
демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel,
ViPNet Office Firewall находятся по адресу: http://www.infotecs.ru/demo.htm |
||
| Подпишитесь на рассылки наших друзей: | ||
| С уважением, ведущий рассылки Олег Карпинский. |
| http://subscribe.ru/
E-mail: ask@subscribe.ru |
Отписаться
Убрать рекламу |
| В избранное | ||
