Przegląd problematyki
ochrony sieci połączonej
z Internetem
h
Windows NT jako pomost do
Internetu
Windows NT jest systemem z definicji
gotowym do natychmiastowej pracy
z Internetem.
Najskuteczniejsze
rozwiązania ochrony sieci dostępne
dzięki oryginalnym narzędziom
Windows NT.
h
Ochrona przed zagrożeniami
z Internetu
Z perspektywy administratora systemu
W
ostatnich latach Internet eksplodował.
Według prognozy opracowanej przez
International Data Corporation (IDC) w roku
2 000 ze światowej sieci będzie korzystać
około 200 milionów użytkowników (35
milionów w 1995 roku). Miliony ludzi pragnie
połączyć swój komputer z
wielką siecią,
a Windows NT jest doskonałym pomostem,
który pozwala łatwo ziścić marzenia.
Wystarczy załadować protokół TCP/IP,
zainstalować router, wyszukać dostawcę
usług internetowych i
zanim zdążymy
pomyśleć... żeglujemy! Ale warto pamiętać, że
połączenie systemu z
Internetem otwiera
puszkę z
robactwem, które z
ochotą
i skutecznie
może nadgryźć poczucie
bezpieczeństwa. Wielu lekkomyślnych
administratorów nosi w pamięci datę jakiejś
soboty, kiedy o 3.30 nad ranem gorączkowo
szukali czystego backupu swojego systemu,
po nocnej wizycie hakera. Lektura rozdziału,
który zaczynamy, dostarczy oręża, dzięki
któremu będzie można spać spokojniej.
Internet pachnie ryzykiem. Przed
połączeniem z wielką pajęczyną dobrze
jest poznać zagrożenia dla sieci TCP/IP.
h
Serwery pośredniczące i
zapory
sieciowe
Im lepsza dostępność internetowych
usług, tym większe zagrożenie. Serwery
pośredniczące i zapory sieciowe tworzą
barierę, trudną do pokonania przez
hakerów.
h
Uszczelnianie systemu ochrony
Windows NT
Nie ma hermetycznych komputerów, ani
systemów operacyjnych i Windows NT
nie jest wyjątkiem. Przed podłączeniem
sieci do Internetu należy przejrzeć, czy
wszystkie elementy (omówione we
wcześniejszych rozdziałach) są
prawidłowo zaimplementowane.
h
Gdzie szukać dodatkowych rozwiązań
Problematyka internetowego
bezpieczeństwa ciągle się zmienia.
Jedne dziury są łatane, hakerzy
odkrywają nowe. W
tym rozdziale
znajdziemy wiele wartościowych źródeł
z informacjami
i gotowymi
rozwiązaniami.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
300
Przegląd problematyki internetowego bezpieczeństwa
Każdego dnia, co minutę, na całym świecie jakiś nowy komputer, host
lub sieć podłączona zostaje do sieci oplatającej glob. Tempo przyrostu
użytkowników Internetu jest oszałamiające. Według Network Wizard
(www.nw.com) w styczniu 1997 roku działało 16 146 000 różnych stacji
mających swoje własne internetowe nazwy.
Wskazówka
Jednym z bardzo użytecznych źródeł z zasobami technicznymi jest Free Online
Dictionary of Computing (darmowy słownik techniki obliczeniowej non stop)
dostępny pod adresem http://wagner.princeton.edu/foldoc/
Jeśli zdecydujemy podłączyć swoją sieć do Internetu, każdy z tych
szesnastu milionów komputerów staje się potencjalnym źródłem
zagrożeń. Powszechnie wiadomo, że całkowicie bezpieczny komputer nie
ma zainstalowanej karty sieciowej i twardego dysku, nie jest podłączony
do sieci i spoczywa zamknięty w jakimś lochu. Na drugim biegunie
znajduje się komputer podłączony do Internetu, który anonimowo
udostępnia wszystkie swoje usługi. Obie maszyny są jednakowo
bezużyteczne, jedna ze względów oczywistych, na drugiej nikt nie
odważy się składać żadnych informacji.
Wskazówka
Najtrudniejsze pytanie dotyczące Internetu, to ilu ma użytkowników. Ze
względu na wielkość oraz stały rozwój, Internet wymyka się wszelkim
statystykom. Dobrym źródłem danych statystycznych i demograficznych jest
CyberAtlas, dostępny pod adresem http://www.cyberatlas.com.
Windows NT współpracuje z protokołem TCP/IP w sposób naturalny,
dzięki licznym wbudowanym weń narzędziom i usługom, takim jak FTP,
Telnet czy HTTP; jest łatwym i finansowo efektywnym systemem do
połączenia sieci z
Internetem. Zanim jednak zdecydujemy się
zainstalować protokół TCP/IP, kupić router i ostatecznie postawić
kropkę nad i dobrze jest się dowiedzieć, przed jakimi zagrożeniami
będziemy musieli chronić dane naszego przedsiębiorstwa.
Nie przesadza, kto czuje obawę przed połączeniem swojej sieci
z Internetem. Zanim jeszcze zaświta myśl o fizycznym kontakcie, należy
starannie przeanalizować wszystkie elementy i zaplanować strategię
ochrony, która zapewni sieci satysfakcjonującą odporność na ewentualne
zagrożenia. Dobrym i łatwym do znalezienia w Internecie przewodni-
Przegląd problematyki ochrony sieci połączonej z Internetem
301
kiem może być RCF 1244, The Site Security Handbook (http://www.
internic.nec/rfc/rfc1244.txt).
Zgodnie z RFC 1244 „Ustalanie strategii i procedur ochrony oznacza
w rzeczywistości tworzenie planu jak żyć z chronionym komputerem”.
Doskonałą wskazówką do pracy nad takim planem są „Główne
założenia”, sugerowane w wydanej w 1989 r. przez Computer Science
Press książce pod tytułem Control and Security of Computer Information
Systems. Jej autorzy - Fites, Kratz i Brebner proponują następujący
schemat:
Określić, co zamierzamy chronić.
Dowiedzieć się, czego potrzebujemy do ochrony i jak to zdobędziemy.
Ustalić, jak niebezpieczne są zagrożenia.
Zaimplementować rozwiązania, które zabezpieczą nasze aktywa
optymalizując koszty.
Nieustannie przeglądać proces i ulepszać go w razie znalezienia
słabości.
Co zamierzamy chronić?
Ochrona polega na trudnych wyborach między bezpieczeństwem z jednej
strony, a
użytecznością i kosztami z drugiej. Bezpieczeństwo jest
odwrotnie proporcjonalne do użyteczności i kosztów. Im bezpieczniejszy
system, tym jest trudniejszy w obsłudze i więcej w nim ograniczeń.
Odpowiednio wzrastają również koszty administracji i konserwacji.
Aby skutecznie balansować między bezpieczeństwem a przydatnością,
trzeba dokładnie określić przedmiot podlegający ochronie. Na przykład,
jeśli ustawiamy serwer Web Centralnej Agencji Wywiadowczej, który
będzie podłączony do sieci wewnętrznej agencji, to bezpieczeństwo jest
problemem najwyższej wagi. Konfigurowany przez nas system może być
furtką dla osób próbujących zagrozić bezpieczeństwu narodowemu USA.
Z drugiej strony zaawansowana ochrona serwera Web małej firmy,
sprzedającej pluszowe niedźwiadki może się po prostu nie opłacać.
Stare przysłowie branżowe nie traci nic z
aktualności: „Cena
zabezpieczeń nie może przekraczać kosztów związanych z usunięciem
szkód, jeśli zagrożenie się urzeczywistni”. Mówienie o zabezpieczaniu
bez określenia przedmiotu ochrony i jego wartości nie ma większego
sensu.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
302
Zagrożenia związane z Internetem
Zgodnie z Information Week/Ernst & Young Information Security
Survey świadomość zagrożeń jest wysoka, ale liczba przypadków
infiltracji systemów komputerowych wzrasta w alarmującym tempie.
W sierpniu 1996 r. miało miejsce jedno z najbardziej znanych i upokarza-
jących włamań dotyczące Departamentu Sprawiedliwości USA. Hakerom
udało się podmienić stronę Web na elektroniczne graffiti składające się
portretów Hitlera i
golizny. We wrześniu tego roku, na liście
„zdobytych” znalazły się strony Web Brytyjskiej Partii Konserwatywnej,
Nation of Islam, Amerykańskiego Stowarzyszenia Psychoanalityków, Sił
Powietrznych USA oraz Centralnej Agencji Wywiadowczej, której nazwę
zmieniono na Central Stupidity Agency (Centralna Agencja
Głupoty/Bezsensu).
Wskazówka
Dla pragnących osobiście zobaczyć „zdobyte” strony, o których mowa, podajemy
adres zawierający rekonstrukcje włamań do Departamentu Obrony, CIA oraz
U.S. Air Force: http:/www.260.com.
Rozmiary zagrożenia pomagają sobie uzmysłowić dowody
przedstawione Senatowi USA przez General Accounting Office. Raport
oparty na analizie penetracji komputerów, dokonanej w 1996 r. przez
Departament Obrony szacuje, że liczba ataków na komputery wojskowe
w roku 1995 wynosiła około 160 000. Badania jednej z
agend
Departamentu Obrony, dotyczące prób nieuprawnionego dostępu do
38 000 niesklasyfikowanych komputerów wykazały, że około 65%
ataków zakończyło się sukcesem. Zauważono jedynie kilka procent tych
włamań, a
odpowiednich raportów dla przełożonych sporządzono
jeszcze mniej. W oparciu o omawiane badania sporządzono prognozę,
szacującą liczbę prób penetracji komputerów rządowych na 250 000. Inna
część sprawozdania sugeruje, że elektroniczną wojną dalekiego zasięgu
oraz szpiegostwem przemysłowym zajmuje się 120 krajów.
Uwaga
Opisany raport jest dostępny w Government Accounting Office jako dokument
GAO/AIMD -96-84, Information Security: Computer Attacks at Departament of
Defense Pose Increasing Risks.
Nie wszystkie włamania są rezultatem nadzwyczajnej błyskotliwości
intruza, wiele incydentów było możliwe dzięki błędnej konfiguracji sys-
temu połączonego z Internetem. Im system jest bardziej użyteczny, tym
bardziej prawdopodobne, że w jego układzie ochrony można znaleźć
Przegląd problematyki ochrony sieci połączonej z Internetem
303
jakąś furtkę. Ponadto wysoką użyteczność osiąga się często rozbudową
personelu administrującego systemem, co z kolei zwiększa szanse błę-
dów obniżających poziom ochrony.
Oto „straszny ale prawdziwy” przykład, ilustrujący wagę dobrej
konfiguracji systemu. 23 maja 1996 r. pewien użytkownik odkrył, że
niejaka AltaVista indeksowała pliki w
głównym katalogu nie
chronionego serwera Web (UNIX). Kiedy uruchomiła swoją
przeglądarkę, miała uprzywilejowany dostęp do systemu, o czym nikogo
nie powiadomiła. Tym razem administrator strony miał szczęście. W porę
poinformowany przez użytkownika natychmiast odłączył serwer.
Błędna konfiguracja systemu najczęściej nie wypływa z niekompetencji
części administratorów, lecz z braku czasu na dokształcanie. Dla
większości, doba ma za mało godzin na wywiązanie się z codziennych
obowiązków i rozwiązanie wszystkich problemów użytkowników. Po
prostu nie nadążają za najnowszymi informacjami, dotyczącymi
burzliwie zmieniającego się obszaru bezpieczeństwa internetowego,
które na dodatek nie zawsze są łatwe do zdobycia. Pozostała część
rozdziału wyjaśnia najważniejsze problemy związane z bezpiecznym
połączeniem Windows NT z Internetem.
Hakerzy i krakerzy (Hackers & Crackers)
Szesnaście milionów maszyn (oraz połączone z nimi sieci lokalne
i rozległe), które tworzą pajęczynę Internetu jest potencjalnie łakomym
celem ataków przebiegłych hakerów i krakerów.
Zgodnie z Free Online Dictionary of Computing (por. z wcześniejszą
wskazówką) haker jest „osobą która lubi analizować szczegóły systemów
programowalnych pod kątem wyciągnięcia wszystkich możliwości,
w przeciwieństwie do większości użytkowników zadowalających się
niezbędnym minimum”. Kraker (dosłownie: pomyleniec) z kolei, to
„indywiduum, które podejmuje próby zdobycia nieuprawnionego
dostępu do systemów komputerowych”. Takie indywidua mają
zazwyczaj złe intencje i nie przebierają w metodach, aby uszkodzić
system. W dalszej części książki nie będziemy wdawać się w niuanse
i wszystkich, którzy próbują pogwałcić ochronę cudzego systemu,
będziemy nazywać hakerami.
Planując ochronę systemu w związku z Internetem, trzeba wyjaśnić swój
stosunek do hakerów w kategoriach ich uzdolnień i postaw. Popularny
stereotyp każe wyobrażać sobie hakera jako pryszczatego nastolatka,
który posiada stary XT, modem, kopię „Phrack” i za dużo wolnego czasu.
Na drugim biegunie jest typ daleko bardziej niebezpieczny - człowiek,
który całe lata zajmował się programowaniem, ma duże doświadczenie
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
304
z systemami, zna wszystkie tajne przejścia i ukryte drzwi. Taki haker,
często określany jako Überhacker (od Übermensch Nietzschego) może
rzeczywiście spustoszyć system, a poza tym niezwykle trudno go po-
wstrzymać.
Uwaga
Ojciec systemu UNIX - Ken Thompson - stworzył jedno z
najbardziej
zadziwiających i sprytnych tajnych przejść, które dopiero niedawno zostało
odkryte. W 1983 r. ujawnił, że wiele wcześniejszych wersji systemu UNIX
umożliwia mu dostęp do systemu, nawet jeśli nie ma w nim konta. Umieścił kod
w kompilatorze C, który wykrywał proces rekompilacji komendy login, następnie
dodawał kod, rozpoznający hasło wybrane przez Thompsona. Na dodatek, jeśli
kod zostawał wykryty i usunięty, to podczas kolejnej rekompilacji komendy login
zabawa zaczynała się od początku. Tajne przejście było cały czas otwarte, bez
śladu w źródłowym kodzie systemu.
Motywacja do uprawiania hakerstwa jest bardzo zróżnicowana. Może
wynikać z potrzeby zdobycia uznania u podobnych ludzi, poczucia
smaku przygody i dreszczyka emocji związanego z włamaniem do „chro-
nionego” systemu i
wykradaniem sekretów militarnych lub
przemysłowych, czy wreszcie chęci zdobycia pieniędzy. Im większe
emocje może wzbudzić nasz system, tym lepiej musimy go chronić.
Jasne jest, że zagrożenie atakami wymyślanymi przez hakerów są
adekwatne do poziomu ich doświadczenia oraz motywacji. Pryszczaty
nastolatek może korzystać z powszechnie znanych technik typu war-
dialer. Doświadczony i znany haker, jak cieszący się złą sławą Kevin
Mitnick, zastosuje kombinację protokołów i usług internetowych, takich
jak Finger, Telnet i FTP do wywołania oddalonego systemu, złamania
jego ochrony i kradzieży pliku z hasłami. Za pomocą skradzionych haseł
haker będzie „legalnie” rejestrował się w systemie. Niestety, im bardziej
wyrafinowany atak, tym trudniej się przed nim bronić lub nawet wykryć.
Najlepsze źródła dotyczące tej tematyki zawiera tabela 13.1.
Wskazówka
Hakerzy{ XE "hakerstwo:żródła" } często czują respekt przed kolegami po fachu
i chętnie dzielą się informacjami o ich „najlepszych numerach”. Dobrą cechą
Internetu jest możliwość korzystania z
tych samych źródeł w
zupełnie
przeciwnym celu.
Tabela 13.1 Źródła hakerów są doskonałym podręcznikiem ochrony systemu
Nazwa Połączenie
Phrack Magazine
http://www.fc.net/phrack
Przegląd problematyki ochrony sieci połączonej z Internetem
305
2600 http://www.2600.com
Underground http://www.underground.org
Hakerz.Org http://www.hakerz.org/
Rodzaje ataków
Zanim jeszcze przejdziemy do omawiania kolejnych czynności
koniecznych do ochrony systemu, warto poznać i zrozumieć różnice
między typami zagrożeń. Ataki hakerów można podzielić na dwie
zasadnicze grupy: odmowa działania, oraz wtargnięcia.
Celem ataku typu odmowa działania nie jest uzyskanie dostępu do
systemu, ale spowodowanie, aby przestały działać wybrane usługi lub
cały system.
Napad polega zazwyczaj na zasypaniu systemu pozornymi wywołaniami
usług lub wykorzystaniu znanych błędów i „pluskiew”, które mogą
zawiesić lub zablokować system. Nowy przykład tego typu agresji ma
trafnie dobraną nazwę „Ping ’O Death” (ma nawet specjalną stronę Web:
http://prospect.epresence.com/ping/). Za pomocą komendy ping
z odpowiednimi parametrami (ping -1 65510 -s <ip.adress>) można
przeładować większość komputerów i
spowodować zawieszenie
systemu.
Wskazówka
Na szczęście zabezpieczenie systemu Windows NT przed „Ping’O Death” jest
stosunkowo proste. Wystarczy zablokować komendę ping na komputerze
pełniącym rolę zapory sieciowej lub poprzez filtrację protokołu IP (oba
zagadnienia są wyjaśniane w dalszej części rozdziału). Kompleksowe i mniej
restrykcyjne rozwiązanie znajdziemy w Service Pack 2 for Windows NT 4.0
(dostępne poprzez: http://www.microsoft.com /ntserver/).
Na czym polega atak wtargnięcia, nie potrzeba chyba objaśniać. Haker
próbuje uzyskać dostęp do systemu. Jeśli mu się powiedzie, może podjąć
różne działania, w
zależności od zaimplementowanych rozwiązań
ochronnych. Wachlarz możliwości jest szeroki: zainstalowanie wirusów,
kradzież poufnych informacji, unieruchomienie systemu, wykorzystanie
danego systemu jako trampoliny do innego, zacieranie śladów swojej
obecności w systemie.
Przygotowanie Windows NT do połączenia z Internetem
Wiadomością na dobry początek jest, że domyślnie skonfigurowany
Windows NT nie współpracuje z najbardziej niebezpiecznymi usługami
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
306
Internetu. Niestety, chwyty pozwalające skutecznie zaatakować UNIX, są
często równie skuteczne przeciwko Windows NT.
Zanim zaczniemy analizę pojęć i problemów związanych z ochroną
systemów współpracujących z
Internetem, przejrzymy krótko
wewnętrzne rozwiązania, chroniące sieć Windows NT. Można je
podzielić na cztery podstawowe grupy:
Weryfikacja procesu rejestracji.
Ochrona obiektów.
Prawa użytkownika
Nadzór.
Bezbłędnie skonfigurowane podsystemy ochronne Windows NT
gwarantują bardzo bezpieczne środowisko sieciowe dla lokalnych i roz-
ległych sieci korporacyjnych.
Nawet doskonałe narzędzia Windows NT nie dają pełnej gwarancji
bezpieczeństwa w związku z działalnością hakerów. Kolejne fragmenty
rozdziału omawiają prawa użytkowników i system monitoringu - nasze
podstawowe sposoby na bezpieczny Internet.
Architektura TCP/IP
Klejem, który trzyma w całości Internet, jest protokół TCP/IP. Zanim
nauczymy się odpowiednio zabezpieczać swoją sieć przed atakami hake-
rów, musimy zrozumieć podstawowe elementy tej architektury oraz jej
wewnętrzne słabości. TCP/IP jest w zasadzie zestawem protokołów.
Czterowarstwowy model protokołu TCP/IP został opracowany długo
wcześniej niż siedmiowarstwowy model OSI, ale wykazują one pewne
podobieństwa. Rysunek 13.1 porównuje model protokołu TCP/IP
z modelem sieci OSI.
Przegląd problematyki ochrony sieci połączonej z Internetem
307
Rysunek 13.1
Porównanie modeli TCP/IP i OSI.
Połączenie
Warstwa Fizyczna
Transport
Sieć
Sesja
Aplikacja
Prezentacja
Internet
Dostęp do sieci
Połączenie między Hostami
Aplikacja
Model OSI
Model TCP/IP
Protokoły
TCP,SPX
IP,IPX
MACdriver
Ethernet,token-
Ring,FDDI,ATM
Protokoły
FTP,Telnet,SMTP,HTTP,
SNMP,NFS,TFTP
TCP
UDP
MACdriver
ARP,RARP,
Ethernet,
Token-Ring,
FDDI,ATM
IP
ICMP
Jak widać, kilka protokołów współpracuje na różnych poziomach modelu
TCP/IP, aby ułatwić komunikacje między hostami sieci, takiej jak Inter-
net. Wszystkie zaczynają pracę na poziomie aplikacji typu FTP, podejmu-
jąc próbę połączenia się z oddalonym hostem. FTP przesyła adres IP od-
ległego komputera w dół poprzez warstwę Hostów (TCP), warstwę in-
ternetową (IP), a następnie do warstwy sieciowej (ARP), skąd jest rozsy-
łany w sieci. Kiedy wywołanie zostanie odebrane przez odpowiedni
komputer, ten odsyła je do góry poprzez wszystkie odpowiednie war-
stwy, aż dotrze do FTP, gdzie jest obsłużone.
Tabela 13.2 zwięźle opisuje główne protokoły i
usługi TCP/IP,
wykorzystywane przez Windows NT.
Tabela 13.2 Protokoły i aplikacje wykorzystywane wspólnie przez TCP/IP
oraz Windows NT.
Nazwa Typ
Opis
ARP Network Adres Resolution Protocol jest wykorzystywany do
odwzorowania adresu NIC hosta na jego adres internetowy.
ARP. Umożliwia niezależność adresów NIC od adresów
internetowych.
FTP Application
File Transport Protocol umożliwia użytkownikowi jednego
hosta transfer plików do innego hosta i z powrotem -
poprzez sieć TCP/IP.
HTTP Application HyperText Transfer Protocol jest standardowym
protokołem wykorzystywanym przez serwery Web do
przesyłania poprzez sieć dokumentów HTML.
ICMP Network Internet Control Message Protocol jest rozszerzeniem IP,
zajmuje się tworzeniem sygnałów o błędach, pakietów
testowych i komunikatów informacyjnych związanych z IP.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
308
Nazwa Typ
Opis
IP Network
Internet Protocol jest bezpołączeniowym (connectionless),
najsilniejszym (best-effort), pakietowym (packet-switching)
protokołem, który umożliwia routing, fragmentację
i reasemblację pakietów.
RARP Network Reverse Address Resolution Protocol realizuje odwrotną
funkcję do ARP, czyli odwzorowuje adres NIC na adres IP.
SMTP Transport Simple Network Management Protocol służy do
przesyłania komunikatów poczty elektronicznej między
hostami TCP/IP.
SNTP Transport Simple Network Management Protocol służy do
zarządzania węzłami sieci IP.
TCP Transport Transport Control Protocol
Telnet Application Protokół zdalnej rejestracji, który pracuje na wierzchniej
warstwie TCP/IP
UDP Transport User Datagram Protocol umożliwia prosty,
bezpołączeniowy (connectionless) transfer datagramów
w sieci IP.
Jeśli nawiązane jest połączenie w sieci TCP/IP, to każdy protokół „roz-
mawia ze swoim partnerem” na odległym hoscie za pośrednictwem
gniazd (sockets). Gniazdo jest procedurą, która tworzy wirtualne
połączenie między hostami. Każde gniazdo ma swój adres (socket address),
który składa się z numeru portu i adresu IP lokalnego hosta. Rozróżnia
się trzy typy gniazd: IP, TCP i UDP. Jeśli hosty nawiążą połączenie po-
przez IP, to otwiera się między nimi gniazdo i wysłane zostaje
wywołanie, zawierające unikatowy adres IP odległego hosta oraz numer
portu żądanej usługi. Port jest po prostu kanałem wykorzystywanym
przez protokoły do komunikacji ze specyficzną usługą.
Kiedy podejmujemy próbę połączenia z odległym hostem, nasze wywo-
łanie będzie zawierało unikatowy adres IP, wykorzystywany typ proto-
kołu (IP, TCP lub UDP) oraz port, którego chcemy użyć. Na przykład:
jeśli próbujemy wywołać Telnet na odległej stacji, nasze wezwanie będzie
się składać z adresu IP odległego komputera, typ wykorzystywanego
protokołu (tutaj: TCP) oraz portu odległej stacji, na którym spodziewany
jest Telnet. Jeśli chociaż jeden z tych parametrów jest błędny, połączenie
nie zostanie zrealizowane. Rysunek 13.2 ilustruje połączenie na poziomie
usługi Telnet między dwoma hostami Internetu.
Przegląd problematyki ochrony sieci połączonej z Internetem
309
Rysunek 13.2
Prosta sesja
Telnet.
We wczesnym okresie TCP/IP, ze względu na wygodę i standaryzację,
wiele usług było skojarzone ze specyficznymi portami. Na przykład:
usługi SMTP oczekiwały wezwania portu 25, a HTTP wezwania portu 80.
W systemach UNIX porty są definiowane w pliku /etc/services lub
w bazie danych Network Information Service. W systemach Windows
NT, porty są określone w <winroot>\system32\drivers\etc\services
(<winroot> oznacza macierzysty katalog Windows NT np.: winnt40).
Tabela 13.3 przedstawia najpopularniejsze predefiniowane porty, które
można wykorzystać w pracy z Windows NT.
Tabela 13.3 Najbardziej popularne, predefiniowane porty TCP/IP
Usługa Port
Alias
qotd
17 quote
ftp-data 20
ftp 21
telnet 23
smpt 25
time 37
timeserver
name 42
nameserver
whois 43
nicname
domain 53
nameserver
bootp 67
tftp 69
finger 79
http 80
pop3
110 postoffice
portmap
111
nntp
119 usenet
ntp
123 ntpd
ntp
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
310
Usługa Port
Alias
snmp
161 snmp
snmp-trap
162 snmp
exec 512
login 513
shell 514 cmd
printer 515 spooler
nfs 2049
Wskazówka
Centralny rejestr predefiniowanych portów prowadzi Internet Assigned
Numbers Authority (IANA). Aktualną listę wartości przyporządkowanych
portom zawiera dokument STD 2, który można znaleźć pod internetowym
adresem IANA: http://www.isi.edu/div7/iana/.
Mając podstawowe pojęcie o
architekturze zestawów protokołów
TCP/IP, możemy rozpocząć naukę o współpracy pomiędzy Windows NT
i TCP/IP. Komplet informacji o współdziałaniu i roli poszczególnych
komponentów TCP/IP zawierają poniższe książki:
Internetworking with TCP/IP Volume I, Douglas E. Comer, Prentice
Hall, 1991, ISBN: 0-13-468505-9.
Internetworking with TCP/IP Volume II, Douglas E. Comer and
David L. Stevens, Prentice Hall, 1991, ISBN: 0-13-472242-6.
Internetworking with TCP/IP Volume III, Douglas E. Comer and
David L. Stevens, Prentice Hall, 1993, ISBN: 0-13-472222-2.
TCP/IP Umleashed, Timothy Parker, Ph.D., Sams Publisshing, 1996,
ISBN: 0672306034.
Windows NT a TCP/IP
Windows NT jest wyposażony w doskonały wewnętrzny układ ochrony,
który zawiera weryfikację rejestracji, ochronę obiektów, prawa użytkow-
nika i możliwość rozległego monitoringu. Zestaw tych elementów daje
gwarancję wysokiego poziomu bezpieczeństwa systemu. Z chwilą podłą-
czenia sieci do Internetu dokładamy jednak do systemu wszystkie we-
wnętrzne słabości protokołu TCP/IP.
Na szczęście „wyjęty prosto z pudełka” Windows NT jest bardziej bez-
pieczną platformą internetową od większości propozycji opartych na
systemie UNIX. Przewaga Windows NT wynika z braku systemowego
wsparcia dla najbardziej niebezpiecznych usług internetowych, takich jak
Przegląd problematyki ochrony sieci połączonej z Internetem
311
Finger i Telnet. Ważnym czynnikiem jest architektura systemu, której
twórcy traktowali bezpieczeństwo jako najważniejsze założenie projektu.
Dobrym przykładem różnic, jest przechowywanie informacji o użytkow-
nikach w silnie zabezpieczonej bazie danych Windows NT (SAM), pod-
czas gdy w systemie UNIX są to nieskomplikowane pliki z tekstami ha-
seł. Krótkie porównanie systemów ochrony Windows NT i UNIX zesta-
wia tabela 13.4.
Tabela 14.4 Porównanie systemów ochrony Windows NT i UNIX
Zagadnienie UNIX
Windows
NT
Konieczność rejestracji w systemie
Tak
Tak
Możliwość systemowego kodowania
rejestracji
Nie Tak
Możliwość systemowego kodowania
zdalnego dostępu
Nie Tak
Pozwolenia dostępu do katalogów
Tak
Tak
Pozwolenia dostępu do plików
Tak
Tak (rozwiązanie bardziej
szczegółowe niż w UNIX-ie)
Listy kontroli dostępu Częściowo
Tak - Wszystkie obiekty pod
kontrolą systemu operacyjnego
objęte są kontrolą pozwoleń
dostępu.
Pozwolenia dostępu do zasobów
współdzielonych
Tak
Tak - ponadto pozwolenia na
poziomie plików i katalogów.
Dostęp zależny od funkcji
Częściowo Tak
Monitorowanie układu ochrony
Tak
Tak - bardzo rozbudowane
Łatwość konfiguracji systemu
ochrony
Nie Tak
Jak nietrudno się domyślić, warunkiem wstępnym konfiguracji bezpiecz-
nej współpracy Windows NT z TCP/IP jest zainstalowanie i ustawienie
samego protokołu. Jeśli TCP/IP już działa na komputerze, to następnym
krokiem jest zapewnienie bezpieczeństwa implementacji.
Nie można optymalnie skonfigurować ochrony systemu bez znajomości
narzędzi i rozwiązań wbudowanych w Windows NT, jak również, do-
starczanych razem z nim, dodatkowych programów narzędziowych
TCP/IP. Usługi typu Telnet mogą służyć jako doskonałe sprawdziany do
wykrywania luk w układzie zabezpieczeń. Tabela 13.5 wymienia wszyst-
kie użyteczne rozwiązania towarzyszące Windows NT 4.0 razem ze
zwięzłym opisem.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
312
Tabela 13.5 Przydatne usługi TCP/IP dostępne w pakiecie Windows NT
Komenda Opis
Arp Wyświetla i modyfikuje adresy IP w tabelach translacji fizycznych
adresów Ethernet lub Token Ring.
Finger Wyświetla informacje o użytkowniku wybranego systemu
korzystającego z usługi Finger. Wyjście zależy od systemu
operacyjnego odległego komputera.
Hostname Zwraca
nazwę aktualnego hosta.
Ipconfig Wyświetla konfigurację sieciową TCP/IP aktualnego hosta.
Lpq Narzędzie diagnostyczne przeznaczone do uzyskiwania statusu
kolejki drukarki na komputerze wykorzystującym serwer LPD.
Lpr Narzędzie wykorzystywane do drukowania pliku na komputerze
wykorzystującym serwer LPD.
Nbtstat Wyświetla statystyki protokołu i bieżących połączeń TCP/IP.
Nslookup Narzędzie diagnostyczne przeznaczone do wyświetlania informacji
z serwera nazewniczego DNS (Domain Name System)
Ping weryfikuje
połączenia z odległym komputerem (komputerami).
Rcp
Kopiuje pliki między komputerami Windows NT a maszynami
wykorzystującymi Rshd (Remote Shell Daemon). Na oddalonym
komputerze oprócz Rshd musi działać Rcp.
Rexec
Uruchamia komendy na odległym komputerze, na którym działa
usługa REXEC. Rexec weryfikuje nazwę użytkownika dalekiego
komputera, przed uruchomieniem wyspecyfikowanej komendy.
Route Narzędzie do zarządzania tabelami routingu aktualnego hosta.
Rsh
Uruchamia komendy na odległym komputerze, na którym działa
usługa Rsh.
Telnet
Aplikacja terminalowa współpracująca z protokołem Telnet podczas
zdalnej rejestracji.
TFTP
(Trivial File Transfer Protocol) Przesyła pliki do (i z ) odległego
komputera, na którym działa usługa TFTP.
Tracert Wyznacza
drogę do systemu docelowego, wysyłając do niego pakiety
powtarzające protokołu Internet Control Message Protocol (ICMP)
z różnymi wartościami Time-To-Live (TTL).
Wskazówka
Opis szczegółowego wykorzystania instrukcji TCP/IP znajduje się w pliku
TCPIP.HLP głównego katalogu Windows NT. Można również wprowadzić
w linii komend polecenie bez parametrów, co spowoduje wyświetlenie listy
wszystkich opcji i przykłady wykorzystania. Rysunek 13.3 ilustruje pomoc z linii
komend dla polecenia Ping.
Przegląd problematyki ochrony sieci połączonej z Internetem
313
Rysunek 13.3
Komenda Ping jest
silnym narzędziem,
z licznymi opcjami.
Warto nauczyć się
z niej korzystać.
Jak widać Windows NT dostarcza prawie wszystkich najbardziej popu-
larnych narzędzi. Tym niemniej, zgodnie ze wcześniejszymi uwagami,
nie świadczy najbardziej niebezpiecznych usług, będących powodem
wielu włamań do systemów obronnych. Wszystkie dostarczane z Win-
dows NT usługi internetowe są wspólnie nazywane serwerem informa-
cyjnym Internetu - Internet Information Server, który zawiera między
innymi serwery FTP, Gopher i HTTP (Web).
Pozostałą część rozdziału poświęcimy analizie różnych typów ataków
oraz metodom ochrony.
Ogólne rozwiązania ochrony Windows NT
Najbardziej niebezpieczne luki w systemie ochrony Windows NT wyko-
rzystującym protokół TCP/IP powstają wskutek złej konfiguracji. Hake-
rzy nie muszą się nawet specjalnie wysilać. Niedoświadczonego admini-
stratora zaskoczy, jak wiele informacji o odległym systemie można uzy-
skać wykorzystując Telnet do przepytywania różnych portów. Rysunek
13.4 przedstawia sesję Telnetu, z włączoną opcją echa lokalnego,
z portem 21 (FTP) na komputerze autora,.
Rysunek 13.4
Uzyskanie informacji
o odległym komputerze jest
bardzo łatwe.
Jak widać, usługa MS FTP jest bardzo przyjazna i po połączeniu z portem 21
udostępniła następującą informację:
220 Samuel-1 Microsoft FTP Service (Version 3.0).
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
314
Bez żadnego wysiłku możemy się dowiedzieć, że host nosi nazwę Samuel-1
i jest na nim uruchomiona usługa Microsoft FTP Service 3.0. Następnie, używa-
jąc komend USER i PASS, można się anonimowo zarejestrować na hoście
i zapytać go o kolejne informacje. W opisywanym przykładzie komenda SYST
zwróciła informację, że systemem operacyjnym komputera jest Windows NT
4.0, a komenda STAT dostarczyła wielu dodatkowych danych. Najbardziej
pikantną rzeczą w tym przykładzie, jest zdobycie tylu wiadomości bez kwalifi-
kacji Überhackera; wystarczyło połączyć się z portem FTP i po prostu wpisać
komendę HELP.
Sens zastosowania wielu elementów z podstawowej palety środków ochron-
nych zależy od tego, czy łączymy się z Internetem, czy nie. Na przykład,
wszystkie systemy otwarte na zewnątrz, powinny wyświetlać komunikat, który
ostrzega użytkownika rejestrującego się w sieci, że nieuprawnione korzystanie
z systemu jest zabronione i będzie ścigane prawnie. Im lepiej zabezpieczona jest
sieć wewnętrzna tym bardziej jest odporna na zagrożenia z Internetu. Następna
część rozdziału omawia wiele prostych metod, które istotnie wzmacniają
ochronę.
Wskazówka
Spowodowanie, aby podczas rejestracji system wyświetlał komunikat
ostrzegawczy jest bardzo łatwe:
Uruchomić edytor rejestrów (regedit32.exe) i wybrać strukturę:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon
.
Wpisać dwie nowe wartości do odpowiednich pozycji:
Value Name: LegalNoticeCaption; Value Type: REG_SZ; Value: po¿¹dany_tekst_ nag³ówka
Value Name: LegalNoticeText; Value Type: REG_SZ; Value: pożądany_tekst_ ostrzeżenia
Ochrona haseł i kont
Ochronie haseł poświęciliśmy co prawda cały rozdział 6, ale wagi tego
zagadnienia nie można lekceważyć. Wiele skutecznych ataków sieci było
spowodowane brakiem odpowiedniego przeszkolenia użytkowników, na
temat zasad bezpiecznego posługiwania się hasłem. Osoby nieświadome
zagrożeń najchętniej posługują się hasłem dwuznakowym, lub co gorsza,
wcale go nie używają. Poniższa lista zawiera najważniejsze reguły sku-
tecznej ochrony haseł:
Nie używać hasła krótszego niż sześć znaków. Krótkie hasła są łatwe
do złamania.
Nie wykorzystywać w haśle żadnej części swojego nazwiska; łatwo je
znaleźć w Internecie.
Przegląd problematyki ochrony sieci połączonej z Internetem
315
Nie wykorzystywać w haśle imion swojego małżonka, dzieci, przyja-
ciół, zwierząt.
Nie stosować jako hasła żadnych rzeczywistych imion lub ich frag-
mentów; są łatwe do zapamiętania, ale wiedzą o tym hakerzy.
Nie używać w haśle żadnych informacji o sobie: na przykład numeru
dowodu osobistego, daty urodzenia, numeru NIP, numeru rejestra-
cyjnego samochodu itp.
Nie używać żadnych słów dostępnych w słownikach lub leksykonach;
hakerzy posługują się programami próbującymi wygenerować hasło,
podstawiając kolejne pozycje słownika.
Nie zapisywać hasła i nie przekazywać go nikomu bez względu na to
kto to jest! Zdarzały się przypadki, że hakerzy zdobywali potrzebne
im dane, wysyłając pocztą elektroniczną wezwanie do podania hasła,
podszywając się pod administratora.
Hasło powinno się składać z losowych kombinacji małych i wielkich
liter.
Hasło powinno zawierać litery, cyfry i znaki symboliczne.
Używać haseł rodzaju: X$2sC.8Zd(, których nie można wygenerować
ze słownika. Nawet odgadnięcie hasła wymaga jeszcze znajomości je-
go pisowni.
Hasło należy zmieniać co najmniej raz na 90 dni i nigdy nie używać go
ponownie.
System zarządzania regułami stosowania haseł, który udostępnia Win-
dows NT, pomaga je chronić, ale nie zastąpi współpracy użytkowników.
Możemy, co prawda, określić minimalną długość hasła lub częstotliwość
zmian, ale nie jesteśmy w stanie skontrolować wykorzystania swoich
imion, nazw psów czy daty urodzenia. Pewność bezpieczeństwa haseł
jest bardzo ważna. Ewentualny atak z Internetu skierowany będzie
prawdopodobnie właśnie na nie. Haker, który zdobędzie identyfikator
i hasło użytkownika może korzystać z jego przywilejów. Na dodatek
działalność intruza, posługującego się cudzymi danymi, jest trudna do
wykrycia.
Program Windows NT Account Policies służący do ustalania strategii
wobec kont użytkownika pozwala mieć pewność, że tak wrażliwe na
atak fragmenty systemu są odpowiednio zabezpieczone. Jak pamiętamy,
możemy skonfigurować: parametry haseł, czas dostępu do systemu, pro-
file użytkownika oraz procedury blokowania konta. Rysunek 13.5 ilustru-
je okno strategii zarządzania kontami.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
316
Rysunek 13.5
Okno strategii zarządzania
kontami umożliwia usta-
lanie ogólnych zasad
obowiązujących użytkow-
ników.
Wszystkie opcje okna dialogowego umożliwiają wprowadzenie ustaleń,
które doprowadzą do frustracji większość hakerów, ale najważniejszą
pozycją jest zdolność określenia minimalnej długości hasła. Określenie tej
wielkości uniemożliwia posługiwanie się przez użytkowników pustym
hasłem. Rozszyfrowanie zasady tworzenia nazw użytkowników nie jest
zazwyczaj trudne, wiec brak hasła jest furtką zapraszającą intruzów.
Eksperci od ochrony systemów komputerowych zalecają stosowania ha-
seł zawierających co najmniej sześć znaków. Ponieważ jednak w świecie
informatycznym zaczyna obowiązywać zasada „duże jest piękne”, więc
Windows NT umożliwia stosowanie haseł czternastoznakowych.
Opcja, określająca maksymalny czas posługiwania się hasłem, pozwala
zagwarantować, ze hasła są zmieniane systematycznie; właściwym usta-
wieniem jest liczba dni między 90, a 120. Nawet jeśli intruz zdobędzie
dane jakiegoś użytkownika, to po pewnym czasie utraci dostęp uzyskany
dzięki kradzieży.
Opcja Password Uniqueness (unikalność hasła) jest ściśle związana
z poprzednią. Jeśli ją uaktywnimy, to system pamięta określoną liczbę
haseł stosowanych przez użytkownika. Po zmianie, nie można powrócić
do jednego z wcześniej stosowanych haseł, znanego być może osobie
postronnej.
Należy również rozważyć implementację opcji blokowania konta. Siła
tego ustawienia wynika ze skutecznego ograniczenia liczby nieudanych
prób dostępu do systemu. Rozwiązanie bardzo frustruje hakerów, unie-
możliwiając stosowanie programów generujących hasła, ale równie sku-
Przegląd problematyki ochrony sieci połączonej z Internetem
317
tecznie doprowadza do pasji roztargnionych użytkowników. Można
skonfigurować liczbę dozwolonych błędów podczas rejestracji w okreś-
lonym przedziale czasu. Przekroczenie tej wielkości spowoduje zabloko-
wanie konta. Mając zablokowane konto, użytkownik nie może zareje-
strować się w systemie, nawet podając prawidłowe dane identyfikacyjne.
Czas blokady konta można określić opcją Lockout Duration. Konto może
być również blokowane bezterminowo, co oznacza, że uaktywnienie go
wymaga interwencji administratora systemu. Typowe ustawienia opcji, to
dopuszczenie do pięciu błędów w ciągu pół godziny i zablokowanie kon-
ta na 10-20 minut. W systemach wymagających skrajnej ochrony można
ograniczyć liczbę nieudanych prób do trzech a konto blokować beztermi-
nowo.
Zobaczmy, jak to działa: System został skonfigurowany w sposób do-
puszczający trzy nieudane próby rejestracji w ciągu piętnastu minut oraz
na bezterminową blokadę konta. Sprytny haker zdobył nazwę konta
użytkownika oraz nazwę hosta, wykorzystując program podsłuchowy
(sniffer) do przechwycenia komunikatu poczty elektronicznej. Kolejnym
etapem ataku jest uruchomienie programu do generowania haseł na pod-
stawie słownika. Już po trzech próbach konto zostaje zablokowane.
Użytkownik, który nie może korzystać z systemu, sygnalizuje problem
administratorowi, a ten podejmie decyzję o dalszym postępowaniu.
Inną popularną furtkę, umożliwiającą skuteczny atak hakerom, tworzą
predefiniowane konta Windows NT. Konto gościa, należy po prostu wy-
łączyć. Mimo ograniczonych przywilejów, można je wykorzystać do
przejęcia ważnych, dla bezpieczeństwa serwera, plików, dotyczących
jakiejś maszyny, a następnie wykorzystać zdobyte informacje do skutecz-
nej infiltracji systemu.
Jeśli, z ważnych powodów, konto gościa jest niezbędne, to należy się
upewnić, że hasło jest trudne do złamania, ograniczyć czas korzystania
konta do standardowych godzin pracy przedsiębiorstwa oraz monitoro-
wać procesy rejestracji.
Ze względu na znaczenie konta administratora, trzeba mu poświęcić
szczególną uwagę. Oto kilka wskazówek dotyczących tego konta:
Zmienić nazwę konta administratora! Ukrycie tego najważniejszego
w systemie ochrony elementu utrudni nieco pracę hakerom.
Zgodnie z wcześniejszymi wytycznymi, zapewnić, aby hasło było
ekstremalnie trudne do złamania. Powinno się składać z czternastu
znaków i wyglądać na przykład tak: n*D65.Vm&z8Ps%. Hasło należy
zapamiętać.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
318
Ograniczyć liczbę administratorów. Im więcej osób zna hasło, tym
większe prawdopodobieństwo jego ujawnienia. Stosować przekazy-
wanie uprawnień administracyjnych za pomocą odpowiedniej konfi-
guracji grup.
Stosować zasadę „jak najmniej uprawnień”; konta administratora
należy używać tylko w wyjątkowych sytuacjach. Pamiętajmy, że połą-
czenia realizowane z
odległych stacji mogą być podsłuchane
i przechwycone.
Rozważyć wyłączenie możliwości zdalnego korzystania z serwera
poprzez konto administratora. Mimo uciążliwości, rozwiązanie
znacznie poprawia ochronę.
Nie wolno zapomnieć o pozostałych grupach predefiniowanych, takich
jak Account Operators (operatorzy kont), Server Operators (operatorzy
serwerów) oraz przede wszystkim o grupie Backup Operators (operato-
rów archiwizacji). Pamiętajmy, że grupa użytkowników uprawnionych
do archiwizacji, może czytać (prawo restore) wszystkie pliki i katalogi.
Jeśli haker zdobędzie dane użytkownika mającego pozwolenie backup &
restore, lub osoby należącej do grupy operatorów archiwizacji, to mamy
poważny problem.
Należy wykorzystać menedżer użytkowników do zapewnienia wspo-
mnianym grupom dokładnie takiego poziomu uprawnień, jaki jest nie-
zbędny do pracy (zasada „jak najmniej uprawnień”!) oraz mieć pewność,
że członkami grup są ludzie rozumni.
Ochrona systemu plików
W rozdziale siódmym omawialiśmy oryginalny system plików opraco-
wany przez Microsoft - NTFS, który można skutecznie wykorzystać do
zwiększenia bezpieczeństwa w sieci Windows NT połączonej z Inter-
netem.
Przede wszystkim, komputery bezpośrednio połączone z Internetem
powinny mieć swoje dyski sformatowane systemie NTFS. Ewentualnym
włamywaczom nie wystarczy pokonanie bariery stworzonej na poziomie
zbiorów współdzielonych, będą jeszcze musieli uporać się z zabezpie-
czeniami systemu plików. Mając już odpowiednio sformatowane party-
cje, należy przejrzeć prawa dostępu do plików i katalogów pod kątem
zasady minimalnych przywilejów.
Kolejna zasada każe nie przechowywać poufnych informacji na serwe-
rach narażonych na bezpośredni kontakt ze światem zewnętrznym. Na-
wet jeśli intruzi zdobędą przyczółki naszej sieci, nie powinni mieć moż-
liwości penetracji kluczowych danych.
Przegląd problematyki ochrony sieci połączonej z Internetem
319
Dobrą taktyką, utrudniającą możliwość zablokowania systemu (denial-of-
service) jest odpowiedni podział przestrzeni dyskowych i wykorzystanie
różnych partycji dla rozdzielenia usług. System operacyjny powinien
znajdować się na jednej partycji serwer Web na drugiej, katalogi
z danymi serwera Web na trzeciej itd. Haker, który znajdzie lukę
w ochronie jednej części systemu nie powinien mieć szans na zablokowa-
nie pozostałych elementów.
Następna grupa zagrożeń dotyczy rejestrów. Nie chodzi jedynie
o możliwość odczytania ważnych informacji, zmiana parametrów reje-
strów może skutecznie zablokować działanie systemu i jest bardzo trud-
na do zdiagnozowania. Taki atak kończy się zazwyczaj ponowną instala-
cją systemu, na co włamywacz odpowiada zmianą ustawień itd. Rozwią-
zaniem jest uważna konfiguracja rejestrów.
Na koniec, należy rozważyć usunięcie programów narzędziowych
TCP/IP, które są domyślnie instalowane na serwerach, to jest FTP, Telnet
i Finger. Co prawda omawiane usługi bywają poręczne do diagnozowa-
nia problemów, ale funkcjonowanie ich na serwerach niesie duże ryzyko.
Wyobraźmy sobie na przykład, że włamywacz zdobywa dostęp do od-
powiedniego konta i uruchamia jedno z wymienionych narzędzi. Ponie-
waż działa od środka, może oszukać pozostałe z zastosowanych syste-
mów ochrony, takich jak serwery pośredniczące lub zapory sieciowe.
Nadzór
W rozdziale drugim omawialiśmy szczegółowo system nadzoru dostęp-
ny w Windows NT. Odpowiednie wykorzystanie możliwości monitoro-
wania szerokiej gamy działań użytkowników pozwala zapobiegać groź-
bie dezintegracji sieci.
We wszystkich systemach, które są bezpośrednio połączone z Internetem,
należy uaktywnić nadzór. Za możliwość śledzenia i dokumentowania
aktywności użytkowników, warto zapłacić cenę w postaci wzrostu na-
kładu pracy i obniżenia wydajności systemu. Minimalną konfigurację
system nadzoru przedstawia rysunek 13.6.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
320
Rysunek 13.6
Odpowiednia strategia
nadzoru pomaga zachować
integralność systemu.
Z chwilą uruchomienia monitoringu, można wykorzystywać przeglądar-
kę zdarzeń (Event Viewer) do kontroli działalności użytkowników. Przy-
kładowe zapisy dziennika ochrony ilustruje rysunek 13.7.
Rysunek 13.7
Dziennik ochrony szczegó-
łowo zapisuje zdarzenia
dotyczące interesującej nas
działalności użytkowników.
Wyróżniona na rysunku pozycja dziennika ochrony informuje
o pomyślnej rejestracji domyślnego użytkownika IIS, która nastąpiła
o godzinie 9.36 w dniu 18 lutego 1997 r. Aby uzyskać więcej szczegółów,
należy dwukrotnie kliknąć na wybranej pozycji (por. rysunek 13.8).
Monitorowanie procesów rejestracji pozwala kontrolować aktywność
użytkowników, a co ważniejsze osób próbujących nielegalnie skorzystać
z systemu. W dalszej części rozdziału omówimy dodatkowe rozwiązania
dotyczące rejestracji predefiniowanego użytkownika IIS.
Przegląd problematyki ochrony sieci połączonej z Internetem
321
Rysunek 13.8
Okno wyświetlające szczegó-
łowe informacje o wybranym
zdarzeniu.
Specyficzne zagadnienia ochrony TCP/IP
Podłączenie systemu do sieci TCP/IP obniża jego odporność na infiltrację
i Windows NT nie jest żadnym wyjątkiem. Przewaga Windows NT wy-
nika z licznych wbudowanych weń narzędzi, ułatwiających ochronę inte-
gralności systemu, mimo współpracy z TCP/IP. Kolejny fragment roz-
działu dostarcza niezbędnych informacji do skutecznej ochrony sieci.
Systemowe filtrowanie TCP/IP
Jak już mówiliśmy, zapewnienie maksymalnego bezpieczeństwa Win-
dows NT było myślą przewodnią jego projektantów. W związku z tym,
system zawiera wbudowane rozwiązania umożliwiające skuteczną
ochronę sieci z zainstalowanym protokołem TCP/IP.
Aby wykorzystać systemowe rozwiązania ochronne TCP/IP, należy uru-
chomić panel sterowania i dwukrotnie kliknąć na ikonie Network, celem
otwarcia odpowiedniego okna. Następnie kliknąć na etykiecie Protocols
i wybrać z listy zainstalowanych protokołów pozycję TCP/IP. W oknie
Microsoft TCP/IP Properties
wybrać kartę IP Adressed, a następnie wcisnąć
znajdujący się na niej przycisk Advanced, co spowoduje otwarcie się okna
Advanced IP Adressing
. Zaznaczyć pole wyboru Enable Security, znajdujące
się w górnej części okna dialogowego, a następnie wcisnąć przycisk
Configure
. Wyświetli się okno TCP/IP Security pokazane na rysunku 13.9.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
322
Rysunek 13.9
Okno dialogowe TCP/IP
Security umożliwia sterowa-
nie dostępem do protokołów
i portów.
To nowe narzędzie można śmiało określić mianem „zapory sieciowej dla
ubogich”. Umożliwia relatywnie obszerne filtrowanie wywołań portów
i protokołów, co skutecznie utrudnia próby włamanie się do sieci. Konfi-
gurowanie ochrony TCP/IP wybranego komputera, należy zacząć od
wyboru właściwego adaptera sieciowego. Jeśli komputer jest wyposażo-
ny w więcej niż jedną kartę sieciową, to pomyłka może spowodować
zablokowanie dostępu dla użytkowników z domen upoważninych.
Dla każdego protokołu możemy wybrać jedną z dwóch podstawowych
opcji: Permit All lub Permit Only (zezwolenie dla wszystkich lub dla wy-
branych)
Permit All
- umożliwia komunikację za pośrednictwem określonego
protokołu poprzez wszystkie porty serwera.
Permit Only
- umożliwia wybór portów, które będą akceptowały połą-
czenie i przesyłały pakiety do serwera.
Domyślnym ustawieniem dla wszystkich protokołów jest opcja Permit All.
Aby wyłączyć port, należy zaznaczyć jego pozycję na liście i wcisnąć
przycisk Remove. Aby dołączyć element do listy dostępnych portów, wy-
starczy wcisnąć przycisk Add, co udostępni okno dialogowe pokazane na
rysunku 13.10. Do pola edycji, należy wpisać numer odpowiedniego por-
tu (w formacie dziesiętnym) i wcisnąć przycisk Add.
Rysunek 13.10
Okno dialogowe Security
Add umożliwia dopisanie do
listy numeru portu, który
chcemy udostępnić do
obsługi protokołu.
Przegląd problematyki ochrony sieci połączonej z Internetem
323
Wyłączenie niepotrzebnych portów jest silnym i ważnym sposobem za-
bezpieczania sieci. Po pierwsze, uniemożliwia hakerom zdobywanie in-
formacji o systemie za pośrednictwem niektórych usług (przypomnijmy
sobie „życzliwość” Telnetu). Po drugie, zapobiega wykorzystaniu zbęd-
nych portów do ataku o nazwie SYN-Flood (zalanie potokiem pytań
SYN), należącego do grupy „odmowa-usługi” (denial-of-service).
Uwaga
Computer Emergency Responce Team (CERT http://www.cert.org) silnie
rekomenduje odłączanie zbędnych portów, jako ważne uzupełnienie systemu
ochrony sieci.
Kilka akapitów poświęcimy na opisanie ataku SYN-Flood, metody jego
wykrywania oraz portów, które należy wyłączyć.
Agresja polega na przesłaniu do wybranego komputera, wywołania sie-
ciowego o nazwie SYN, ze zmyślonym zwrotnym adresem IP, (technika
znana jako oszustwo IP). Haker przesyła możliwie najwięcej wezwań,
próbując zablokować maksymalną ilość zasobów atakowanej maszyny.
Ta odbiera żądanie, wyznacza zasoby do obsługi nowego połączenia
i odwzajemnia próbę kontaktu wezwaniem SYN-ACK. Ponieważ sygnał
SYN-ACK jest wysyłany pod nie istniejący adres, więc pozostaje bez od-
powiedzi. Zaatakowany komputer kontynuuje próby odzyskania łączno-
ści. Microsoft Windows NT (zarówno 3.5, jak i 4.0) ponawia wezwanie
SYN_ACK pięć razy (przy oryginalnych ustawieniach systemu). Okres
oczekiwania na odpowiedź po pierwszej retransmisji sygnału wynosi 3
sekundy, po każdej kolejnej jest podwajany, zatem po piątej wynosi 48
sekund. Jeśli maszyna nie otrzyma odpowiedzi, to czeka kolejne 96 se-
kund, zanim zwolni zasoby czekające na transmisję. łączny czas bloko-
wania zasobów wynosi 189 sekund.
Do diagnozy ataku SYN-Flood można wykorzystać informacje o statusie
połączeń. Wpisując w linii komend polecenie netstat -n -p -tcp, otrzyma-
my listę wszystkich trwających sesji komunikacyjnych swojego kompute-
ra. Jeśli wiele z nich jest w stanie SYN_RECEIVED, można przypuszczać,
że staliśmy się obiektem agresji.
Z dwóch wiadomości, dobra polega na tym, że haker stosujący ten typ
ataku nie ma dostępu do systemu. Zła informacja, to ograniczona liczba
połączeń, która mogą pozostawać w stanie SYN_RECEIVED. Jeśli limit
zaatakowanego portu komputera jest wykorzystany, zazwyczaj wszyst-
kie następne wezwania są ignorowane do czasu zwolnienia alokowanych
zasobów.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
324
Microsoft zareagował na omawiany problem. „Łatę” dla Windows NT
3.5 można odebrać pod adresem:
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt351/hotfixes-postsp5/syn-attack.
Rozwiązanie problemu dla wersji 4.0 zawiera Service Pack 2.
Aby jak najlepiej chronić swój system, należy pozostawić aktywność je-
dynie tych portów, które są niezbędne do działania potrzebnych nam
usług i aplikacji. Zazwyczaj powinniśmy wyłączyć wszystkie porty UDP
o numerach mniejszych od 900, z wyjątkiem specyficznych, a koniecz-
nych dla nas usług (na przykład FTP). W szczególności protokołu UPD
nie powinny obsługiwać porty echo (7) oraz chargen (19), które są ulu-
bionym celem ataku SYN-Flood.
Innym powszechnie znanym zagrożeniem jest działająca w systemie
Windows komenda nbstat. Polecenie ujawnia ważne dane o systemie,
takie jak nazwa domeny, czy nazwę serwera NetBIOS. Jeszcze gorzej, że
owe informacje są udostępniane również użytkownikom korzystającym
z anonimowego konta IIS (o ile oczywiście usługa IIS jest dostępna). Na
szczęście, stosunkowo łatwo można odseparować świat zewnętrzny od
usługi Nbstat. Wystarczy odłączyć porty 137 i 138 UDP oraz port 139
TCP na routerze lub zaporze sieciowej. Komenda jest wtedy całkowicie
operatywna w sieci chronionej i niedostępna z zewnątrz.
Jeśli komuś jeszcze mało problemów, to informujemy o kolejnej luce, tym
razem w realizowanej przez Windows usłudze RPC. Użytkownik wyko-
rzystując Telnet poprzez port 135 może wprowadzić 10 losowych zna-
ków i rozłączyć się, co w stu procentach zawiesi działanie CPU. Przeła-
dowanie systemu rozwiązuje problem, ale jest to dość kosztowny sposób.
Znane jest również zastosowanie tego samego chwytu do ogłupienia
usług korzystających z dwu innych portów, mianowicie 53 oraz 1031.
Jeśli serwer DNS jest uruchomiony z portu 53, atak zawiesza go
i konieczne jest ponowne uruchomienie systemu. Podobnie reaguje IIS
napadnięty z portu 1031.
Na szczęście omawiane ostatnio problemu są dobrze znane programi-
stom Microsoftu i odpowiednie lekarstwo zawiera Servis Pack 2.0 (więcej
informacji pod adresem: http://www.microsoft.com). Jeśli nie używamy
usług wymagających uruchamiania z tych portów, należy je wyłączyć na
zaporach sieciowych.
Zaawansowane techniki ochrony: zapory sieciowe
Nawet zastosowanie wszystkich rozwiązań, o których napisaliśmy do tej
pory, nie likwiduje zagrożeń ze strony bardziej wyrafinowanych hake-
Przegląd problematyki ochrony sieci połączonej z Internetem
325
rów (Überhackerów). Najwyższy poziom ochrony (i najdroższy) przed
zagrożeniami z Internetu stanowią zapory sieciowe (firewalls).
W dalszej części rozdziału będziemy używać pojęć sieci zaufanej (tru-
sted) i pozbawionej zaufania (untrusted). Siecią zaufaną (czystą), nazy-
wamy wewnętrzną sieć, którą próbujemy chronić przed zagrożeniami
pochodzącymi spoza niej. Siecią pozbawioną zaufania, nazywamy sieć
zewnętrzną, nie objętą systemem zabezpieczeń (na przykład Internet).
W dosłownym tłumaczeniu firewall to zapora ogniowa, czyli „konstruk-
cja budowlana zabezpieczająca przed rozprzestrzenianiem się ognia”.
W odniesieniu do ochrony przed internetowymi atakami zapory sieciowe
to systemy rozdzielające sieć lokalną od Internetu. Zapory są implemen-
towane sprzętowo, programowo lub hybrydowo. Zadaniem systemów
jest monitorowanie przychodzących i wychodzących transmisji siecio-
wych i zatrzymywanie pakietów nieuprawnionych. Reguły określające,
jakie transmisje mogą przenikać zaporę, konfiguruje administrator sieci
lokalnej zgodnie z przyjętą strategią ochrony. Adresy IP stacji z zaufanej
części sieci są niewidoczne dla użytkowników Internetu.
Podstawowe systemy zapór sieciowych są na ogół łatwe do zainstalowa-
nia i konfiguracji. Rysunek 13.11 ilustruje zasadę implementacji tych sys-
temów.
Rysunek 13.11
Zapory sieciowe pełnią rolę straży granicznej kontrolującej legalność ruchu między Internetem
a siecią lokalną.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
326
Różnice między działaniem poszczególnych typów zapór są coraz mniej
wyraźne, tym niemniej rozróżnia się trzy ich rodzaje:
Zapory na poziomie sieci (routery z filtracją pakietów).
Zapory na poziomie aplikacji (serwery pośredniczące - proxy).
Zapory hybrydowe.
Zapory na poziomie sieci
Zapory na poziomie sieci są w istocie rzeczy routerami filtrującymi pakie-
ty w warstwie IP. Umieszcza się je między siecią zaufaną a Internetem,
wyposażając je w odrębny interfejs IP. Główną funkcją takiego routera
jest sprawdzanie źródłowego i docelowego adresu oraz wywoływanego
portu pakietu. Działanie urządzenia ilustruje następujący przykład:
1. Konfiguracja routera jest określona poprzez zbiór reguł filtracji. Żą-
damy, aby żadne wezwanie, przychodzące z pozbawionej zaufania
sieci z adresem IP pomiędzy 8.8.8.1 a 8.8.8.254, nie mogło przejść do
chronionej sieci.
2. Host internetowy o adresie IP 8.8.8.8 próbuje przesłać pakiet do chro-
nionej części sieci.
3. Router odbiera i pakiet i porównuje jego dane z regułami kontroli
dostępu.
4. Router odrzuca pakiet, ponieważ reguły dostępu nie zezwalają na
przesłanie go do chronionej sieci. Zazwyczaj próba nieuprawnionego
dostępu jest rejestrowana w pliku dziennika.
Stosowanie routerów filtrujących ma swoje dobre i złe strony. Zapora jest
szybka i „przeźroczysta” dla końcowego użytkownika, co przemawia na
jej korzyść. Wadą rozwiązania jest wrażliwość na oszukańcze ataki typu
IP spoofing. Hakerzy pozorują, że pakiety przychodzące z pozbawionej
zaufania sieci, pochodzą w istocie z sieci zaufanej. Poza tym większość
routerów wyposażona jest ograniczone środki weryfikacji dostępu
i alarmowania.
Uwaga
IP spoofing jest techniką polegającą na oszukiwaniu zapory, celem uzyskania
dostępu do sieci wewnętrznej. Hakerzy wykorzystują programy, które zmieniają
nagłówek pakietu IP, symulując że zarówno adres źródła, jak i adres docelowy
dotyczą elementów sieci wewnętrznej.
Przegląd problematyki ochrony sieci połączonej z Internetem
327
Wskazówka
Routery różnią się pod względem zdolności do filtrowania pakietów. Zanim
zdecydujemy się kupić router przeznaczony na zaporę sieciową, należy się
upewnić, że zapewnia odpowiedni poziom filtracji oraz jest odporny na
oszustwa, polegające na zmianie nagłówków pakietów (spoofing).
Rozróżnia się cztery główne rodzaje zapór na poziomie sieci:
Router
Bastion Host
Host ekranowany
Podsieć ekranowana
Zapora sieciowa Bastion Host
Zgodnie z nazwą, zapora pełni rolę fortyfikacji chroniącej sieć we-
wnętrzną. W zależności od zastosowanej technologii, bastion jest kompu-
terem z co najmniej jednym połączeniem z siecią nie chronioną i jednym
połączeniem z segmentem zaufanym. Zapora realizuje filtrowanie proto-
kołów, w stosunku do żądań realizacji usług płynących z sieci wewnętrz-
nej do zewnętrznej i na odwrót. Jeśli stacja znajdująca się w pozbawionej
zaufania sieci otrzyma pozwolenie dostępu do sieci wewnętrznej, to cały
ruch dotyczący tego połączenia przechodzi przez komputer, pełniący
rolę bastionu. Architekturę zapory typu Bastion Host ilustruje rysunek
13.12.
Rysunek 13.12
Zapora typu Bastion Host filtruje protokoły żądań realizacji z sieci nieupoważnionej.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
328
Ponieważ technika bastionu opiera się przede wszystkim na filtrowaniu
protokołów, to jest zazwyczaj fundamentem dla bardziej wyrafinowa-
nych rozwiązań.
Zapora sieciowa typu „host ekranowany” (Screened Host)
Ten typ zapory różni się od poprzedniego dodatkową barierą w postaci
routera umieszczonego między siecią pozbawioną zaufania a hostem
pełniącym funkcję bastionu. Konfiguracja routera jest określona zbiorem
reguł filtracji, które zezwalają lub wstrzymują dostęp pakietów kierowa-
nych do hostów w chronionej części sieci. Pakiety, które przenikną pierw-
szy ekran ochronny przechodzą dalszą analizę na zaporze typu Bastion
Host. Rysunek 13.13 ilustruje typową konfigurację zapory sieciowej typu
host ekranowany.
Dodatkowa zaleta rozwiązania, wynika z podniesienia wydajności.
Wstępna filtracja jest bowiem realizowana na szybkim routerze,
a ponadto logika filtracji na hoście jest mniej złożona.
Rysunek 13.13
Router pełni w hoście ekranowanym zadanie wstępnej filtracji pakietów .
Zapora sieciowa typu „podsieć ekranowana” (Screened Subnet)
Ideę tego typu zapory ilustruje rysunek 13.14. Polega na rozbudowie
modelu ekranowanego hosta. Między Internetem a siecią chronioną bu-
duje się swoistą „strefę zdemilitaryzowaną” składająca się z jednego lub
więcej komputerów pełniących rolę bastion-hostów, oddzielonych od obu
części sieci routerami. Ponieważ zaufana część sieci nie kieruje swojego
ruchu IP bezpośrednio do sieci pozbawionej zaufania, to „brudna” część
nie widzi adresów IP stacji znajdujących się wewnątrz części chronionej.
Przegląd problematyki ochrony sieci połączonej z Internetem
329
Rysunek 13.14
Zapora w postaci (pod)sieci ekranowanej jest w istocie siecią ekranowanych hostów.
Model podsieci ekranowanej zapewnia znakomity poziom ochrony, ale
jest bardzo kosztowny zarówno jeśli chodzi o sprzęt, jak i o oprogra-
mowanie. Właściwa konfiguracja układu wymaga dużego nakładu pracy
i wysokich kwalifikacji personelu.
Pseudozapory sieciowe
Jeśli chcemy podnieść bezpieczeństwo sieci podłączonej do Internetu,
a nie mamy pieniędzy na wyrafinowane rozwiązania, możemy rozważyć
zastosowanie pseudozapór. Pseudozapora to rozwiązanie zapobiegające
dostępowi użytkowników Internetu do chronionej sieci wewnętrznej,
polegające na zablokowaniu nieuprawnionego dostępu do usług syste-
mowego protokołu SMB/NetBios, w stosunku do plików i współdzie-
lonych drukarek.
Głównym założeniem technik pseudozapór jest uruchomienie NetBEUI
dla całej komunikacji wewnętrznej, natomiast TCP/IP dla zewnętrznej
komunikacji z Internetem. Takie rozwiązanie jest relatywnie tanie, ale
możliwe do wykorzystania jedynie w małych sieciach. Ograniczenie wy-
nika z własności NetBEUI, który został zaprojektowany jako protokół nie
podlegający technice routingu przeznaczony dla małych grup roboczych,
liczących nie więcej niż 200 użytkowników.
Tworzenie pseudozapory jest łatwe, wystarczy po prostu zainstalować
protokoły NetBEUI oraz TCP/IP na wszystkich stacjach roboczych chro-
nionej części sieci. Następnie należy się upewnić, że na komputerze peł-
niącym rolę bramy do Internetu (gateway machine) działają usługi
TCP/IP. Na stacjach klientów powinno być zainstalowane jedynie opro-
gramowanie klienta TCP/IP, co pozwala użytkownikom korzystać
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
330
z usług Internetu (FTP, Telnet, HTTP) za pośrednictwem komputera -
bramy.
Powyższe czynności realizujemy, tworząc lub likwidując odpowiednie
powiązania warstw komunikacyjnych między protokołami NetBEUI
a TCP/IP. Do przeglądania i konfiguracji powiązań służy Network Applet,
który uruchamia się z Panelu sterowania. Po wyświetleniu okna dialo-
gowego Network, należy wybrać kartę Bindings (por. rysunek 13.15).
Rysunek 13.15
Okno dialogowe Network
umożliwia uaktywnienie
lub wyłączenie powiązań
sieciowych.
Należy wyłączyć powiązania następujących sesji:
NetBIOS
Æ
TCP/IP
Workstation
Æ
TCP/IP
Server
Æ
TCP/IP
i uaktywnić powiązania sesji dla:
NetBIOS
Æ
NetBEUI
Workstation
Æ
NetBEUI
Server
Æ
NetBEUI
oraz uaktywniać powiązania transportowe dla:
NetBEUI
Æ
Nasz_adapter_sieciowy
TCP/IP
Æ
Połączenie RAS modemu
Wykonanie opisanych zmian wymaga zrestartowania komputera. Od tej
chwili stacja jest zabezpieczona przed nieupoważnionym dostępem ze-
wnętrznych użytkowników IP.
Przegląd problematyki ochrony sieci połączonej z Internetem
331
Wskazówka
Jeżeli konieczne jest działanie TCP/IP w sieci wewnętrznej, można rozważyć
wykorzystanie w sieci zaufanej pasma adresów IP przeznaczonego dla sieci
prywatnych (od 10.0.0.0 do 10.0.0.255). Ponieważ większość routerów nie jest
zdolna przesyłać pakietów pod takie adresy, będziemy zabezpieczeni przed
nieupoważnionym dostępem. Aby umożliwić dostęp do sieci niechronionej,
można zaimplementować serwer pośredniczący (proxy).
Zapory realizowane na poziomie aplikacji
Zapory na poziomie aplikacji znane są pod nazwą serwerów pośredni-
czących (proxy servers). Zgodnie z nazwą, działając z upoważnienia
użytkownika sieci wewnętrznej, odbierają dane z sieci nie chronionej.
Serwery pośredniczące stanowią zaporę oddzielającą sieć zaufaną od
sieci zewnętrznej i obsługują w imieniu klienta sieci chronionej wywoła-
nia TCP/IP. Bariera zabezpiecza chronioną sieć, przed nieuprawnionym
przenikaniem ruchu między sieciami oraz ukrywa adresy IP sieci we-
wnętrznej.
Jeżeli użytkownik sieci wewnętrznej wysyła wezwanie skierowane do
oddalonego hosta sieci zewnętrznej, musi ono przejść przez serwer po-
średniczący. Działając w oparciu o zaimplementowany zbiór reguł, takich
jak adresy źródłowe i docelowe, serwer decyduje o realizacji usługi. Jeśli
wywołanie jest dopuszczalne, zapora maskuje adres klienta swoim wła-
snym (lub jednym z ustawionych adresów) i odbiera dane otrzymane na
żądanie użytkownika, które następnie mu przekazuje. Największą zaletą
rozwiązania, oprócz małego obciążenia sieci, jest całkowita „niewidzial-
ność” usług serwera pośredniczącego dla klienta.
Serwery pośredniczące mogą również filtrować pakiety, ale jako obowią-
zującą zasadę, należy przyjąć, że dostarczają bardziej szczegółowych
reguł rejestracji i lepszych zabezpieczeń niż zapory na poziomie sieci.
Przewaga serwerów pośredniczących wynika z możliwości śledzenia
informacji o użytkownikach, aplikacjach i pakietach. Ponieważ zapory
poziomu aplikacji „rozumieją język programów”, można je wykorzystać
do zaimplementowania ochrony specyficznej dla protokołu. Na przykład:
serwer pośredniczący HTTP może być skonfigurowany w celu umożli-
wienia eksportu HTTP i blokowanie jego importu.
Zapora na poziomie aplikacji może być zrealizowana za pomocą kilku
serwerów działających jako hosty i serwery pośredniczące lub może być
jedną maszyną wyposażoną w dwie karty sieciowe. Właściwe ulokowa-
nie i skonfigurowanie serwera pośredniczącego, wymaga odpowiednich
kwalifikacji. Prostą architekturę układu z serwerem pośredniczącym
ilustruje rysunek 13.14.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
332
Wskazówka
Bardzo dobrym rozwiązaniem zapory/serwera pośredniczącego, ściśle zintegro-
wanym z systemem ochrony Windows NT jest Microsoft Internet Access Server.
Rozróżnia się trzy rodzaje zapór na poziomie aplikacji:
Host serwer pośredniczący (Proxy Server Host)
Brama podwójnego przeznaczenia (Dual-Homed Gateway)
Brama obrotowa (Circuit Gateway)
Brama podwójnego przeznaczenia
Koncepcja bramy podwójnego przeznaczenia zasadza się na idei „nie
dopuścić do ich spotkania”. Komputer pełniący rolę bramy między siecią
chronioną i zewnętrzną, blokuje cały zachodzący między nimi ruch
TCP/IP, gdyż wyłączony jest routing między kartami sieciowymi łączą-
cymi bramę z oboma segmentami. Wszystkie dane mogą być wymieniane
jedynie za pośrednictwem aplikacji działających na hoście, co gwarantuje
wysokie bezpieczeństwo rozwiązania.
Konfiguracja bramy podwójnego przeznaczenia jest prosta i przebiega
według poniższego algorytmu:
1. Zainstalować na serwerze dwie karty sieciowe (NIC).
2. Podłączyć jeden adapter do sieci zewnętrznej (Internet), a drugi do
sieci wewnętrznej (czystej).
3. Zainstalować protokół TCP/IP i powiązać go z obiema kartami.
4. Otworzyć okno dialogowe Network z panelu sterowania, wskazać
kartę Protocols i wybrać własności TCP/IP (Properties).
5. Wybrać kartę IP Address, co wyświetli listę nazw wszystkich zainsta-
lowanych kart sieciowych. Upewnić się, że dla każdej z nich wprowa-
dzone są właściwe adresy IP, maski podsieci (Subnet mask)
i domyślna brama (gateway).
6. Powtórzyć tę samą procedurę z adresami WINS; jeśli sieć zewnętrzna
(brudna) dostarcza po prostu ścieżkę do routera Internetu, to konfigu-
racja WINS dla karty sieciowej podłączonej do tego segmentu nie jest
konieczna.
7. Wybrać kartę Routing i upewnić się, że nie jest wybrana opcja IP
Forwarding
. Pozostawienie opcji w
trybie aktywnym niweczy
zabezpieczenie wprowadzone przez zastosowanie bramy, gdyż pakie-
ty IP będą mogły przechodzić między obiema sieciami.
Przegląd problematyki ochrony sieci połączonej z Internetem
333
Po właściwym skonfigurowaniu bramy podwójnego przeznaczenia, apli-
kacje uruchamiane w sieci nie chronionej mają dostęp do aplikacji (i ich
danych) na serwerze pełniącym rolę zapory. Podobnie dostęp do pro-
gramów i danych serwera mają aplikacje z chronionej sieci. Jednocześnie
żaden pakiet nie może zostać bezpośrednio wymieniony między oboma
sektorami. Bramę podwójnego przeznaczenia przedstawia Rysunek
13.17.
Rysunek 13.17
Dzięki bramie podwójnego przeznaczenia można bezpiecznie odbierać i wysyłać wiadomości do
użytkowników sieci.
W większości przypadków bramy podwójnego przeznaczenia wykorzy-
stują programy spedycyjne (mail forwarder, news forwarder) do realiza-
cji funkcji pokrewnych serwerom pośredniczącym. Na przykład: serwer
wysyła wezwanie, brama je weryfikuje, a następnie przesyła do nie chro-
nionej sieci.
Zapory typu „brama obrotowa” (Circuit Gateway)
Zapory tego typu umożliwiają komunikację między aplikacjami klienta
(takimi jak Telnet) a zasobami sieci za pomocą portów TCP. Ponieważ
zazwyczaj współpracują jedynie z
aplikacjami TCP/IP, stwarzają
problemy przy stosowaniu innych programów oraz wymagają dodatko-
wych zabiegów w razie konieczności stosowania specyficznego interfejsu
aplikacji.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
334
Zapory hybrydowe
Niektóre zapory sieciowe wykorzystują architekturę nazywaną statefull
inspection, która jest rozwiązaniem pośrednim między zaporami na po-
ziomie sieci, a zaporami na poziomie aplikacji. System wykorzystuje fil-
trację pakietów, ale dodatkowo analizuje zawarte w pakietach informacje
na poziomie aplikacji, takie jak adresy IP stacji źródłowej i docelowej,
porty, rodzaje wywołania oraz umożliwia monitorowanie całego kontek-
stu połączeń. Tego typu zapory stanowią bardzo silną technikę ochrony,
gdyż mogą weryfikować czy wezwanie skierowane do konkretnego por-
tu (na przykład SMTP do tcp portu 25) jest rzeczywiście związane
z realizacją trwającego połączenia (SMTP), czy też jest próbą włamania.
Ogólne zasady dotyczące zapór sieciowych
Niezależnie od wybranej architektury zapór sieciowych, należy pamiętać
o ogólnych zasadach ich eksploatacji. Poniższe wskazówki pozostają
aktualne, niezależnie od sposobu, w jaki chronimy swoją sieć:
Nie wolno zapominać o zasadzie minimalnych przywilejów. Konfigu-
rację zapory, należy zacząć od zablokowania wszystkiego, po czym
udziela się dostępu jedynie do tych rodzajów pakietów i portów, które
są wymagane do współpracy z potrzebnymi aplikacjami (np. Telnet
czy FTP).
Należy się upewnić o filtrowaniu portów obsługujących ruch genero-
wany przez NetBIOS, 137 UDP, 138 UDP i 139 TCP. Filtrując wymie-
nione porty uniemożliwiamy komunikację między NetBIOS a TCP/IP.
Protokół TCP/IP należy powiązać jedynie z kartą sieciową połączoną
z Internetem. Jeśli host połączony bezpośrednio z Internetem, działa
pod kontrolą Windows NT, nie wolno zapomnieć o wyłączeniu na
nim routingu IP.
Należy chronić wszystkie informacje potrzebne do uzyskania dostępu
z nie chronionej części sieci pomiędzy zaporą a routerem Internetu.
Wybrać dla swojej sieci wewnętrznej pulę adresów IP, które są praw-
dopodobnie wykorzystywane w Internecie. Jeśli istniejące szlaki ko-
munikacyjne wskazują inną sieć, to są małe szanse na skierowanie ru-
chu do naszej sieci wewnętrznej.
Uruchamiać tylko niezbędne usługi. Im mniej działających usług, tym
mniej prawdopodobne są luki w systemie ochrony.
National Computer Security Agency (NCSA) opracowała bardzo rygory-
styczny plan testowania i certyfikacji zapór sieciowych. Gorąco zachęca-
Przegląd problematyki ochrony sieci połączonej z Internetem
335
my do przeczytania tego dokumentu, przed zakupem jakiegokolwiek
rozwiązania; można go znaleźć pod adresem: http://www.ncsa.com
.
Tabela 13.5 zawiera listę kilku dostawców zapór sieciowych i serwerów
pośredniczących.
Tabela 13.5 Dostawcy zapór sieciowych
Dostawca Kontakt Nazwa
produktu
Check Point
www.checkpoint.com
FireWall-1
Digital Equipment
Corporation
www.dec.com AltaVista
Firewall
McAfee Asociates
www.mcafee.com
PCFirewall
Microsoft www.microsoft.com
Internet
Access server
Network-1 Software
www.network-1.com
FireWall/Plus for Windows NT
Raptor Systems
www.raptor.com
Eagle NT
Secure Computing
www.sctc.com
Sidewinder Security Server
W innych rozdziałach...
Zgodnie z zaleceniami NCSA, ochrona systemu nie polega na akcie jed-
norazowym, ale jest nieustannym procesem, zwłaszcza w dziedzinie
bezpieczeństwa internetowego. Odpowiadając za ochronę sieci, należy
pozostawać czujnym, systematycznie testować swój system i nieustannie
podnosić swoje kwalifikacje. Wraz ze zmianami technologii zmieniają się
metody działania hakerów. W trwającej nieustannie batalii największym
wrogiem jest ignorancja.
Znamy już podstawowe działania, które należy przedsięwziąć, aby za-
bezpieczyć swój system (i podłączoną do niego sieć) zanim połączymy go
z Internetem. Problematyka internetowego bezpieczeństwa jest rozległa
i zakończony przed chwilą rozdział jedynie ją zarysował.
Informacje o pojęciach z zakresu ochrony Windows NT, związanych
z problematyką niniejszego rozdziału, zawierają następujące fragmenty
książki:
Rozdział 2 - Przegląd systemu ochrony Windows NT - który jest dobrym
punktem do dalszej nauki o metodach zabezpieczania systemu.
Rozdział 4 - Pojecie domen Windows NT - wyjaśniający zawiłości mode-
lu domen Windows NT.
Rozdział 6 - Ochrona kont użytkownika w systemie Windows NT - obja-
śnia zasady tworzenia i ochrony kont w systemie Windows NT.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
336
Rozdział 7 - Zabezpieczenia możliwe dzięki systemowi plików NTFS- ilu-
struje specyficzny dla Windows NT system ochrony przed intruzami
zasobów plików i katalogów.