Каталог Рефератов - Комплексная защита типовой локальной вычислительной сети

	Информационно-образоательный портал
	Рефераты, курсовые, дипломы, научные работы,



МЕНЮ\|

поиск

Комплексная защита типовой локальной вычислительной сети

осле этого клиент рассчитывает свой мандат (credentials), дважды шифруя свой «вызов» ключом сеанса по алгоритму DES. Мандат -- 8 байтов, призванных доказать серверу, что клиент знает свой «вызов» и ключ сеанса, -- посылается как один из параметров при удаленном вызове процедуры NetrServerAuthenticate2. Другие параметры этой процедуры -- имена сервера, самого Windows NT-компьютера и его учетной записи в домене.

Если принятая сервером информация совпадает с рассчитанной им самим (напомним, что сервер уже знает и ключ сеанса, и «вызов клиента»), он отвечает клиенту подтверждением успешного выполнения RPC. Одновременно клиенту для проверки подлинности передается мандат сервера, рассчитанный теперь уже на основе «вызова» сервера. Клиент проверяет эту информацию, сравнивая полученные 8 байтов с рассчитанными им самим, и в случае совпадения процедура организации безопасного канала успешно завершается. Важное примечание: мандаты клиента и сервера сохраняются и в дальнейшем служат для проверки подлинности учетных записей как пользователей при их входе в домен, так и Windows NT-компьютеров -- например, при смене пароля рабочей станции в домене.

Взаимная проверка подлинности Windows NT-компьютера и контроллера домена -- обязательное условие последующего входа пользователей с этого компьютера в домен.

Сквозная проверка подлинности

Сквозная проверка подлинности (pass-through authentication) происходит, когда компьютер не может идентифицировать пользователя, привлекая свою локальную базу данных учетных записей, а именно:

При интерактивном входе в систему на рабочей станции с Windows NT Workstation или на отдельном сервере Windows NT Server, если в поле Domain диалогового окна Logon Information указано имя домена или доверяемого домена. При этом компьютер по безопасному каналу передает запрос на проверку подлинности контроллеру своего домена. Контроллер проверяет введенное имя домена и, если оно совпадает с именем его собственного, сам проверяет подлинность с помощью своей базы учетных записей и возвращает идентификационную информацию компьютеру входа. Если указанное в поле Domain имя не совпадает с именем домена, к которому он принадлежит, контроллер проверяет, не совпадает ли данное имя с именем доверяемого домена. При совпадении устанавливается безопасный канал с контроллером доверяемого домена, и ему передается запрос на проверку подлинности данного пользователя. Контроллер доверяемого домена обрабатывает этот запрос, сверяя полученную информацию с той, что храниться в его базе данных, и посылает идентификационные данные исходному контроллеру домена, который в свою очередь передает их компьютеру входа. Если учетная запись пользователя не найдена, попытка входа завершается неудачей.

Вход в домен с Windows NT - компьютеров

Интерактивный вход на компьютере с операционной системой Windows NT начинается после того, как пользователь, нажав комбинацию клавиш Ctrl+Alt+Delete, вызывает диалоговое окно Logon Information и вводит свою регистрационную информацию. При этом в поле Domain выбирается либо имя домена, либо имя доверяемого домена, либо имя компьютера, где зарегистрирован этот пользователь (если компьютер не является членом домена, поле Domain просто не появляется в диалоговом окне Logon Information).

После щелчка кнопки ОК компьютер проверяет имя домена. Если имя, введенное в поле Domain, совпадает с именем компьютера, подлинность пользователя проверяется на основании информации из локальной базы данных. Это просто вход в компьютер с операционной системой Windows NT, а не в домен. Если же имя в поле Domain отличается от имени компьютера, т.е. это имя либо своего, либо доверяемого домена, компьютер входа посылает введенные данные контроллеру своего домена. Контроллер анализирует имя домена, а затем либо сам проверяет подлинность введенной пользователем информации, либо передает ее для проверки контроллеру доверяемого домена.

При удаленном входе в компьютер с Windows NT регистрационная информация о пользователе передается от клиента к серверу по протоколу SMB. Однако если сервер не является контроллером домена, то идет такая же процедура сквозной проверки подлинности, что и при интерактивном входе. Полученные Windows NT-компьютером по протоколу SMB сведения (в частности, зашифрованный с помощью хешированного пароля пользователя «вызов» сервера) передаются между компьютерами Windows NT с помощью запроса RPC NetrLogonSamLogon. При этом дополнительное шифрование ключом, согласованным при установлении безопасного канала, не производится.

Кэширование информации о пользователе на компьютере с Windows NT

При первом входе пользователя в домен с какого-либо компьютера контроллер домена передает проверенную информацию о нем на компьютер входа. Эта информация кэшируется компьютером в локальном реестре в разделе HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets и в дальнейшем может служить для проверки подлинности пользователей, когда ни один контроллер домена не доступен.

Таким образом, даже если все контроллеры домена выключены, несколько (по умолчанию 10) пользователей, которые последними интерактивно регистрировались в домене с данного компьютера, смогут войти в домен с помощью кэшированных данных. Регистрационная информация о пользователях, входивших в компьютер, а не в домен, также хранится в локальной базе данных этого Windows NT-компьютера.

Вход в домен с клиентских компьютеров, отличных от Windows NT

Клиентские компьютеры, работающие под управлением Windows 95, Windows for Workgroups, MS-DOS, Macintosh или LAN Manager 2.x, могут взаимодействовать с доменами. Их принципиальное отличие от Windows NT-компьютеров в том, что они не регистрируются в базе данных каталога домена. С точки зрения защиты, эти клиенты заметно уступают клиентам с операционной системой Windows NT и, естественно, представляют собой намного большую угрозу системе безопасности сети.

И все же пользователи этих компьютеров могут иметь учетные записи в базе данных домена. Их вход в домен с клиентских компьютеров управляется контроллером домена.

Компьютеры клиентов не получают регистрационной информации о пользователе, которая могла быть кэширована на рабочей станции и впоследствии задействована для доступа к ресурсам. Поэтому, если при входе с компьютера указанных выше клиентов контроллер домена недоступен, пользователь не сможет работать с сетевыми ресурсами.

Указанные клиенты не имеют возможности выбрать имя доверяемого домена при входе в систему, поскольку такие компьютеры жестко привязаны к определенному домену. Однако эти пользователи могут соединяться с Windows NT-компьютерами как своего, так и других доменов. При этом учетные данные пользователя обрабатываются в таком порядке (до момента успешной регистрации): сначала самим компьютером, затем контроллером домена, к которому компьютер принадлежит, и -- при соединении с компьютером доверяющего домена -- контроллером доверяемого домена.

Кэширование паролей на клиентских компьютерах, отличных от Windows NT

Вход в домен Windows NT с компьютеров, управляемых Windows 95, Windows for Workgroups, MS-DOS (c Microsoft Network Client v3.0) и др., требует ввода двух паролей: одного -- соответствующей операционной системы и другого -- для входа в домен Windows NT. При первом входе запрашиваются оба пароля, а в дальнейшем, если были указаны одинаковые пароли, только первый. По умолчанию информация о всех паролях сохраняется в файле с расширением .PWL, создаваемом для пользователя на локальном компьютере.

Конечно, для пользователей такая система существенно упрощает процедуру входа в домен и другие сети. Однако она заметно ослабляет защищенность сети, поскольку регистрационная информация пользователя домена в момент работы хранится как в памяти клиентского компьютера с такой операционной системой, так и в соответствующем PWL-файле на локальном жестком диске, откуда ее может извлечь злоумышленник.

Для улучшения безопасности сети можно отменить кэширование паролей клиентов такого типа.

Возможные атаки

Перехват пароля при входе программой-имитатором
Одним из способов получения регистрационной информации о пользователе с целью проникновения в сеть является загрузка с дискеты операционной системы MS-DOS и запуск программы, имитирующей поведение операционной системы Windows NT. Задача такой программы -- вывести на экран диалоговое окно Logon Information, получить информацию о имени и пароле пользователя, передать ее по сети на компьютер злоумышленника в локальной сети или в Интернете, затем выдать некоторую правдоподобную по диагностике «ошибку», и остановить компьютер. Естественно, после перезагрузки вход в систему протекает нормально, и неопытный пользователь может не заметить подвоха.

Перехват и подбор ключа сеанса

Поскольку исходный пароль учетной записи Windows NT-компьютера устанавливается равным имени этого компьютера, злоумышленник, получивший возможность «прослушивать» сеть, может легко рассчитать ключ сеанса. Для этого достаточно перехватить пакеты NetrServerReq-Challenge и определить «вызовы» клиента и сервера. Естественно, после этого злоумышленник может довольно легко определить и новый пароль учетной записи компьютера, и хешированные пароли всех пользователей, входивших в домен до перезагрузки операционной системы.

Сканирование паролей в памяти клиентских операционных систем

При наличии в домене клиентов с операционными системами, отличными от Windows NT, пароли шифруются при взаимодействии компьютеров по сети. Однако в памяти компьютера, с которого клиенты входят в сеть, пароли хранятся незашифрованными. Поэтому, зная в деталях внутреннюю структуру памяти такой операционной системы, можно написать программу извлечения пароля пользователя из памяти.

Расшифровка паролей, хранящихся в PWL-файлах

Пароль входа в клиентскую операционную систему Windows 95 (исходной версии и версии OSR1), Windows for Workgroups, MS-DOS (c Microsoft Network Client v3.0) служит (после некоторого преобразования) в качестве ключа шифрования PWL-файла данного пользователя по алгоритму RC4. При этом обычно (если не принять дополнительных мер), пароль преобразуется в 32-разрядный ключ, обладающий низкой защищенностью.

Атака Man-in-the-Middle

Это атака, работающая в момент проверки подлинности при входе в домен Windows NT. Man-in-the-Middle основана на том, что в пакете NetrLogonSamLogon, передаваемом контроллером домена компьютеру с Windows NT, сведения о группах, членом которых является пользователь, передаются незашифрованными. Поэтому легко обеспечить «прозрачное» изменение информации о членстве входящего в систему пользователя в тех или иных группах, «включив» его таким образом, к примеру, в группу Domain Admins.

Основные меры защиты. Общие сведения

Использование только клиентов с Windows NT

В сетях следует избегать установки на клиентских рабочих станциях отличных от Windows NT операционных систем. Как мы видели, только Windows NT-компьютеры имеют свои учетные записи в домене, и, следовательно, вход пользователей в домен с таких компьютеров возможен только при совпадении паролей, хранящихся на локальном компьютере и в домене.

Мы уже говорили, что первоначальный пароль учетной записи любого Windows NT-компьютера хорошо известен. Поэтому, войдя в домен, перезагрузите компьютер.

Комбинация Ctrl + Alt + Del

Всех пользователей следует проинструктировать, чтобы они обязательно инициировали процедуру входа в систему нажатием комбинации клавиш Ctrl + Alt + Del. Таким способом пользователи смогут нарушить работу программ MS-DOS, имитирующих диалоговое окно Logon Information, и запустить безопасную процедуру регистрации в Windows NT.

Правила работы для клиентов, отличных от Windows NT

Как уже говорилось, при работе в домене Windows NT для повышения безопасности сети не рекомендуется использовать клиенты Windows 95, Windows for Workgroups или MS-DOS. Если же такая необходимость существует, установите следующие правила работы клиентов:

Не оставлять компьютер без присмотра после входа в сеть.

Выходить из системы, если необходимо покинуть компьютер на длительное время, или защититься заставкой с паролем.

Не запускать на своем компьютере программы, полученные из ненадежных источников в сети, по Интернету или присланные по электронной почте. Такие программы могут просканировать память Вашего компьютера, определить Ваши идентификационные данные и переслать их злоумышленнику.

Не сохранять пароли пользователя в соответствующих PWL-файлах на локальных компьютерах с операционными системами Windows 95 (исходный выпуск или версия OSR1). Отключить кэширование паролей можно либо с помощью системной политики, либо добавив в раздел реестра HKEY_LOCAL_MACHINE\ Software\ Microsoft \ Windows \ CurrentVersion \ Policies \ Network параметр DisablePwdCaching и задав ему значение 1.

Для обеспечения шифрования паролей пользователей Windows NT в памяти клиентских компьютеров с Windows 95 следует установить специальный пакет обновления, исправляющий этот недостаток (программы SecUpd.exe для исходного выпуска Windows 95 или версии OSR1 и SecUpd2.exe для версии OSR2 и OSR2.1 легко найти в Интернете).

Регулирование входа в систему средствами системной политики

Операционные системы Windows NT и Windows 95 предоставляют администратору сети ряд инструментов регулирования процесса входа пользователей в компьютер с Windows NT или в домен средствами системной политики. Ниже приведены некоторые из них. Установки для клиентов Windows 95 в основном находятся в папке Стандартный компьютер/Сеть.

Этот параметр Делает следующее

Правила системной политики для клиентов Windows NT можно найти в папке Default Computer.

Применяя эти правила, можно значительно повысить уровень безопасности сети на базе домена Windows NT.

Рекомендации

Для сети с количеством машин более 10 обязательно наличие резервного контролера домена Windows NT.

В соответствии с политикой безопасности предприятия рекомендуется создать в домене Windows NT глобальные группы пользователей.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8

© 2003-2013
Рефераты бесплатно, курсовые, рефераты биология, большая бибилиотека рефератов, дипломы, научные работы, рефераты право, рефераты, рефераты скачать, рефераты литература, курсовые работы, реферат, доклады, рефераты медицина, рефераты на тему, сочинения, реферат бесплатно, рефераты авиация, рефераты психология, рефераты математика, рефераты кулинария, рефераты логистика, рефераты анатомия, рефераты маркетинг, рефераты релиния, рефераты социология, рефераты менеджемент.