Коллектив авторов - Защита от хакеров корпоративных сетей

• Пытаясь подмонтировать удаленную файловую систему, пользователь посылает запрос на монтирование.

• Локальная операционная система связывается с сервисом удаленного вызова процедур rpc.mountd на удаленном хосте, посылая ему имя файловой системы, к которой она хочет получить доступ.

• Программа mountd производит проверку достоверности доступа для определения, пришел ли запрос от привилегированного порта на хосте клиента и есть ли разрешение у клиентского хоста на доступ к данному хосту.

• Программа mountd посылает клиенту ответ, включающий дескриптор файла NFS, который предоставляет возможность доступа к корневому каталогу файловой системы, доступ к которой пользователь хочет получить.

• Программа клиента далее связывается демоном NFS (nfsd) на целевом хосте, передает дескриптор файла и получает доступ к ресурсу.

Операционная система Windows поддерживает несколько разных типов аутентификации, каждый из которых постепенно увеличивает свою безопасность. Использование слабых механизмов аутентификации Windows NT, как объясняется далее, создает одно из самых слабых звеньев в безопасности Windows NT. Типы поддерживаемых механизмов аутентификации описаны ниже.

• Открытый текст.Пароли передаются по сети в открытом виде.

• Управляющая программа локальной сети (LAN Manager).Используется слабый механизм запроса-ответа, при котором сервер посылает запрос клиенту, клиент использует его для операции зашифрования кэша пароля пользователя и далее посылает его обратно серверу. Сервер проделывает то же самое и сравнивает результаты для аутентификации пользователя. Механизм, которым данный кэш был преобразован до передачи, является слабым, и исходный кэш может быть перехвачен из сети и взломан довольно просто. В Windows NT 4, несмотря на то что используется более стойкий механизм аутентификации управляющей программы локальной сети NT (NTLM), LM-кэш все еще посылается через сеть вместе с NTLM-кэшем, что понижает общую защиту до защиты механизма LM.

• Управляющая программа локальной сети NT (NTLM) и Управляющая программа локальной сети NT v2 (NTLMv2).NTLM и NTLMv2 предоставляют намного более стойкий механизм запроса-ответа, который намного усложняет процесс взлома перехваченного запроса аутентификации. NTLMv2 был представлен в релизе Service Pack 4 для Windows NT 4.0. NTLMv2 должен использоваться, если возможно, однако необходимо удостовериться, что ваши клиенты поддерживают данный протокол. В случае необходимости нужно установить дополнительное программное обеспечение на клиентах для использования NTLMv2.

Развитие данных механизмов происходит серией итерационных шагов по мере нахождения уязвимостей в каждой предыдущей реализации (к счастью, уязвимости становятся менее существенными с каждым улучшением).

Перехват другого сетевого трафика

Несмотря на то что порты, рассмотренные нами, в большинстве случаев прослушиваются вследствие того, что информация аутентификации проходит в открытом виде, они не являются единственными портами, интересующими нарушителя. Анализатор трафика может быть использован для перехвата трафика на других портах, что показано в данном разделе.

Прослушивание SMTP (порт 25)

Простой протокол электронной почты (SMTP) используется для передачи сообщений электронной почты по сети Интернет и внутри многих организаций. Электронная почта была и всегда будет привлекательной целью для нарушителя. Целью нарушителя может являться наблюдение за администратором сети для определения, обнаружен ли он, или намного более злонамеренные действия. Нетрудно догадаться, что в сегодняшней конкурентной бизнес-среде целью может быть прослушивание сети на наличие внутренней информации компании, такой как информация о дате слияния, приобретения, а также партнерской информации. Вся это информация может быть собрана чтением сообщений электронной почты, посылаемой через сеть.

Анализатор трафика dsniff, детально рассмотренный далее, включает в себя программу, предназначенную для перехвата сообщений электронной почты из сети: