Rozdział 3.
Sekrety zespołu Tiger Team

W trakcie kolejnej fazy procedury zapewniania bezpieczeństwa skoncentrujemy się na typowych celach ataków, badając sposoby zabezpieczenia urządzeń sieciowych i demonów usług przed włamaniami wymienionymi w pierwszym tomie tej książki, Hack wars. Na tropie hakerów. W tym rozdziale omówione zostaną bramy i routery, demony serwerów internetowych, systemy operacyjne a także firewalle i proxy.

Zabezpieczanie urządzeń sieciowych i usług

Ten rozdział omawia procedury zabezpieczania i zdradza sekrety zespołu Tiger Team, którymi możesz posłużyć jako środkami ochronnymi przed konkretnymi sposobami włamań do typowych bram i routerów, serwerów internetowych, systemów operacyjnych oraz proxy i firewalli. Zanim jednak przejdziemy do konkretnych rozwiązań, przyjrzyjmy się funkcjom i zastosowaniom poszczególnych celów włamania.

• Bramy i routery. Brama (gateway) to punkt sieciowy, który działa jako przejście między wieloma sieciami; około 90 procent obecnie używanych bram służy głównie jako routery dostępowe i dlatego są one popularnym celem ataków.

• Demony serwerów internetowych. Demon serwera WWW (HTTPD) to program, który nasłuchuje (standardowo przez port TCP 80) i akceptuje żądania dostępu do informacji, które są przesyłane protokołem HTTP. W efekcie takiego działania przeglądarka internetowa otrzymuje strony w formacie HTML.

• Systemy operacyjne. System operacyjny to oprogramowanie wymagane przez system komputerowy do działania. Komputer wykorzystuje system operacyjny do zarządzania wszystkimi zainstalowanymi i przyłączonymi programami oraz urządzeniami. Z tego powodu jest to najważniejsze oprogramowanie działające na komputerze.

• Proxy i firewalle. Proxy to program komputerowy, który działa jako pośrednik pomiędzy przeglądarką internetową użytkownika a zasobami w Internecie. Po zainstalowaniu takiego oprogramowania na serwerze, proxy może być uważane za „bramę” oddzielającą wewnętrzną sieć użytkownika od sieci zewnętrznej. Proxy przede wszystkim kontroluje warstwę aplikacji, a jako typ firewalla filtruje wszystkie przychodzące pakiety i zabezpiecza sieć przed nieautoryzowanym dostępem. W podobny sposób oprogramowanie firewalla kontroluje dojścia do sieci za pomocą zadanych zasad zabezpieczeń przez odpowiednie filtry kontroli, które mogą zablokować lub umożliwić dostęp do danych w sieci wewnętrznej.

Opisane tutaj środki ochronne mogą być używane jako zabezpieczenie przed niektórymi popularnymi typami włamań. Oczywiście, istnieją jednak tysiące innych odmian ataków; dlatego też należy regularnie kontaktować się z producentami urządzeń i programów w celu uzyskania nowych poprawek i aktualizacji. Większość witryn internetowych producentów zawiera strony, które służą tylko do tego celu, na przykład http://stage.caldera.com/support/security/ to strona z aktualizacjami zabezpieczającymi firmy Caldera (patrz rysunek 3.1).

Rysunek 3.1. Większość witryn internetowych producentów zawiera sekcje poświęcone zabezpieczeniom

Bramy i routery

Ten rozdział rozpoczniemy od przedstawienia procedur zespołu Tiger Team dla bram, które działają głównie jako routery dostępowe, co, jak wcześniej wspomnieliśmy, obejmuje ponad 90 procent bram będących obecnie w użyciu. Przyjrzymy się dokładniej produktom następujących firm: 3Com, Ascend, Cabletron, Cisco, Intel i Nortel/Bay.

3Com

Jak omówiono to w pierwszym tomie tej książki, typowe próby włamania do produktów firmy 3Com (www.3com.com) obejmują atak DoS (odmowa usługi) na kartę HiPer ARC, logowanie do karty HiPer ARC, filtrowanie, hasła głównego klucza, atak DoS na NetServer 8/16 oraz atak DoS na Palm Pilot Pro. Więcej informacji na temat środków zaradczych znaleźć można w nowej, inteligentnej bazie danych Knowledgebase firmy 3Com pod adresem http://knowledgebase.3com.com (patrz rysunek 3.2).

Rysunek 3.2. Baza danych firmy 3Com z informacjami technicznymi

Atak DoS na kartę HiPer ARC

Opis: Karta 3Com HiPer ARC jest wrażliwa na ataki DoS typu Nestea i 1234.

Skutek ataku: Zawieszenie systemu.

Słabe strony: Karta HiPer ARC z systemem w wersji 4.1.11/x.

Środek zaradczy: Jeśli Twoje urządzenia 3Com są wrażliwe na ten atak, odwiedź witrynę producenta w poszukiwaniu poprawek i aktualizacji. 3Com naprawił błąd w podstawowym kodzie karty Total Control NetServer. Środkiem zaradczym na ataki DoS, mające na celu złamanie usługi telnet, jest ograniczenie dostępności tej usługi tylko dla listy zaufanych hostów. Prostym rozwiązaniem może być również aktualizacja do wersji 4.1.27-3 lub 4.2.32-1.

Logowanie do karty HiPer ARC

Opis: Karta HiPer ARC powoduje powstanie potencjalnego zagrożenia w powiązaniu z domyślnym kontem adm.

Skutek ataku: Nieautoryzowany dostęp.

Potencjalne ofiary: Wersje karty HiPer ARC o numerach 4.1.x.

Środek zaradczy: Aby zatrzymać logowanie adm, musisz wyłączyć to konto. Uwaga: nie próbuj usunąć tego konta logowania w celu wyeliminowania słabego punktu.

Filtrowanie

Opis: Filtrowanie nie jest skuteczne w przypadku połączeń przez linie telefoniczne. Użytkownik może się połączyć, otrzymać znak zachęty hosta, a następnie wprowadzić dowolną nazwę bez uruchomienia procedur uwierzytelniających. W efekcie system zapisuje w dzienniku informację, iż połączenie zostało odrzucone.

Skutek ataku: Nieautoryzowany dostęp.

Potencjalne ofiary: Systemy z kartą Total Control NETServer v.34/ISDN z Frame Relay v.3.7.24 AIX 3.2.

Środek zaradczy: Chociaż eksperci nie traktują tego zagrożenia poważnie, aktualizacja rozwiązuje ten problem całkowicie.

Hasła głównego klucza

Opis: Niektóre przełączniki 3Com otwierają furtkę dla hakerów przez domyślne hasła administratora, które zostały rozpowszechnione w Internecie.

Skutek ataku: Nieautoryzowany dostęp do konfiguracji.

Potencjalne ofiary: Zagrożone są przełączniki CoreBuilder 2500, 3500, 6000 i 7000 oraz SuperStack II 2200, 2700, 3500 i 9300.

Środek zaradczy: Hasła mogą być zmodyfikowane po zalogowaniu jako debug i wprowadzeniu polecenia system password debug. Zostaniesz poproszony o podanie i potwierdzenie nowego hasła. Pamiętaj o odwiedzeniu bazy danych Knowledgebase, gdzie znajdziesz najnowsze ulepszenia zabezpieczające przed tym zagrożeniem.

Atak DoS na NetServer 8/16

Opis: NetServer 8/16 jest wrażliwy na atak DoS typu Nestea.

Skutek ataku: Zawieszenie systemu.

Potencjalne ofiary: NetServer 8/16, system operacyjny w wersji 2.0.14.

Środek zaradczy: Aktualizacja systemu rozwiąże ten problem i zapobiegnie efektom działania wszystkich jego odmian.

Atak DoS na Palm Pilota Pro

Opis: Palm Pilot jest wrażliwy na atak DoS typu Nestea.

Skutek ataku: Zawieszenie systemu.

Potencjalne ofiary: Palm Pilot Pro, system operacyjny w wersji 2.0.x.

Środek zaradczy: Skontaktuj się z działem obsługi Palma w celu otrzymania poprawki programowej lub aktualizacji systemu operacyjnego.

Ascend/Lucent

Ta część opisuje środki zabezpieczające przed typowymi atakami na urządzenia firmy Ascend/Lucent (www.lucent.com), włączając w to atak uszkodzonymi pakietami UDP, przeciążenie potoku haseł oraz atak MAX.

Atak uszkodzonymi pakietami UDP

Opis: Błąd w sieciowym systemie operacyjnym routera umożliwia zawieszenie urządzenia przez odpowiednio zmodyfikowane pakiety UDP.

Skutek ataku: Zawieszenie systemu.

Potencjalne ofiary: Urządzenia Ascend Pipeline i MAX.

Środek zaradczy: Najszybszym rozwiązaniem tego problemu jest odfiltrowanie pakietu do portu „Discard” UDP (9). Ponieważ dostęp SNMP, pozwalający na zapis na routerze Ascend, jest równoważny pełnemu dostępowi administratora, należy upewnić się, czy nie można odgadnąć nazw społeczności SNMP. Użyj do tego opisanego w rozdziale 2. narzędzia TigerCrypt, które pomoże w nazywaniu użytkowników. Konfiguracja SNMP w routerze Ascend jest dostępna z systemu menu.

Przeciążenie potoku haseł i atak MAX

Opis: Wywoływanie zdalnych sesji telnetu może spowodować przekroczenie limitu sesji routera Ascend i wtedy system będzie odmawiał wykonania dalszych prób. Napastnik może również zdalnie zrestartować urządzenia Ascend MAX przez połączenie przez Telnet z portem 150 podczas wysłanie pakietów o niezerowej długości offsetu TCP.

Skutek ataku: Znaczne przeciążenie lub restart systemu.

Potencjalne ofiary: Urządzenia Ascend Pipeline i MAX 5x.

Środek zaradczy: Rozwiązaniem tego problemu może być implementacja funkcji uwierzytelniania zdalnych sesji Telnetu. Jak wcześniej stwierdziliśmy w tej książce, tylko lokalne, autoryzowane segmenty powinny otrzymywać prawo do utworzenia sesji.

Cabletron/Enterasys

Opisane w tej części środki zaradcze odnoszą się do typowych włamań do urządzeń firmy Cabletron (obecnie Enterasys — www.enterasys.com), włączając w to blokowanie procesora oraz atak DoS typu ARP.

Blokowanie procesora

Opis: Seria routerów SmartSwitch Router (SSR) jest wrażliwa na przeciążenie procesora.

Skutek ataku: Problemy z obróbką danych wskutek przeciążenia.

Potencjalne ofiary: Seria routerów SmartSwitch Router (SSR).

Środek zaradczy: Do tego momentu nie ogłoszono sposobu rozwiązania tego problemu.

Atak DoS

Opis: Istnieje możliwość zaatakowania routerów serii SmartSwitch Router (SSR).

Skutek ataku: Problemy z obróbką danych wskutek przeciążenia.

Potencjalne ofiary: Router SSR 8000 z oprogramowaniem sprzętowym w wersji 2.x.

Środek zaradczy: Skontaktuj się z producentem urządzenia w celu aktualizacji oprogramowania routera do wersji 3.x.

Cisco

Przedstawione w tej części środki obronne odnoszą się do ataków przeciwko urządzeniom Cisco (www.cisco.com), włączając w to różnego rodzaju ogólne ataki DoS, atak HTTP DoS, słabe punkty w przypadku wykorzystania narzędzia do łamania haseł IOS, atak NAT oraz atak skanowania UDP. Sprawdź bazę danych Cisco UniverCD w celu odnalezienia dokumentacji dla całej linii produktów. Bazę znajdziesz pod adresem www.cisco.com/univercd/home/home.htm (patrz rysunek 3.3).

Ogólne ataki DoS

Opis: Urządzenia dostępowe Cisco cechują się wrażliwością na ataki DoS.

Skutek ataku: Nieautoryzowany dostęp lub zawieszenie systemu.

Rysunek 3.3. Dostęp do bazy danych Cisco UniverCD

Potencjalne ofiary: Poniższe urządzenia:

• serwery dostępowe serii AS5200,AS5300 i AS5800,

• routery serii 7200 i 7500,

• routery kablowe serii ubr7200,

• routery serii 7100,

• routery serii 3660,

• routery serii 4000 i 2500,

• kontrolery systemowe SC3640,

• urządzenia Voice Gateway serii AS5800,

• urządzenia AccessPath LS-3, TS-3 i VS-3 Access Solutions.

Środek zaradczy: Nie jest dostępna jeszcze żadna poprawka. Rozwiązaniem tymczasowym jest filtrowanie zagrożonych portów TCP i UDP.

Atak HTTP DoS

Opis: Urządzenia dostępowe Cisco cechują się wrażliwością na ataki HTTP DoS.

Skutek ataku: Nieautoryzowany dostęp lub zawieszenie systemu.

Potencjalne ofiary: Routery dostępowe.

Środek zaradczy: W celu usunięcia problemu po prostu wyłącz zarządzanie przez HTTP przy użyciu poniższego polecenia:

no ip http server

Łamacz haseł IOS

Opis: Istnieje potencjalne zagrożenie haseł Cisco IOS.

Skutek ataku: Złamanie hasła.

Potencjalne ofiary: Routery dostępowe.

Środek zaradczy: Rozwiązanie składa się z dwóch kroków; po pierwsze, dokonaj aktualizacji do najnowszej wersji IOS; po drugie, włącz szyfrowanie hasła przy użyciu poniższego polecenia:

service password-encryption

Atak NAT

Opis: Błędy w oprogramowaniu IOS powodują wyciek pakietów pomiędzy translacją adresów sieciowych (NAT) a wejściowymi filtrami dostępu.

Skutek ataku: Wyciek pakietów.

Potencjalne ofiary: Poniższe urządzenia:

• routery serii 17xx,

• routery serii 26xx,

• routery serii 36xx,

• routery serii AS58xx (wyłączając AS52xx i AS53xx),

• routery serii 72xx (włączając ubr72xx),

• routery serii RSP70xx (wyłączając routery nienależące do serii RSP70xx),

• routery serii 75xx,

• moduł Catalyst 5xxx Route-Switch Module (RSM).

Środek zaradczy: Tworzone są poprawki oprogramowania, ale mogą nie być jeszcze dostępne dla wszystkich wersji programów. Jeśli Twój plik konfiguracyjny nie zawiera polecenia ip access-group in na tym samym interfejsie, co ip nat inside lub ip nat outside, jesteś bezpieczny. Urządzenia Cisco, które nie są wrażliwe na ten atak, to:

• routery serii 8xx,

• routery serii ubr9xx,

• routery serii 10xx,

• routery serii 14xx,

• routery serii 16xx,

• routery serii 25xx,

• routery serii 30xx,

• routery serii mc38xx,

• routery serii 40xx,

• routery serii 45xx,

• routery serii 47xx,

• routery serii AS52xx,

• routery serii AS53xx,

• routery przełączające Catalyst 85xx,

• gigabitowe routery przełączające GSR12xxx,

• uniwersalne koncentratory dostępowe 64xx AGS/MGS/CGS/AGS+ oraz routery IGS,

• przełączniki ATM LS1010,

• przełączniki sieci LAN Catalyst 2900XL,

• DistributedDirector,

• routery dostępu telefonicznego 7xx (serie 750, 760 i 770),

• przełączniki sieci LAN Catalyst 19xx, 28xx, 29xx, 3xxx oraz 5xxx,

• urządzenia przełączające sieci WAN w rodzinach produktów IGX i BPX,

• firewall PIX,

• LocalDirector,

• mechanizm Cache.

Atak skanowania UDP

Opis: Wykonanie skanowania UDP na porcie 514 powoduje zawieszenie systemu na niektórych routerach działających z oprogramowaniem IOS w wersji 12.0.

Skutek ataku: Zawieszenie systemu.

Potencjalne ofiary: Oprogramowania IOS 4000 (C4000-IK2S-M), wersja 12.0(2)T oraz oprogramowanie IOS 2500 (C2500-IOS56I-L), wersja 12.0(2).

Środek zaradczy: Poprawka nie jest jeszcze dostępna. Jako środek zaradczy można włączyć filtrowanie portu 514.

Intel

Poniższa część przedstawia środki zabezpieczające przeciwko atakom DoS na routery Intel Express (www.intel.com).

Atak DoS

Opis: Routery Intel Express są wrażliwe na przetwarzanie fragmentowanych oraz zbyt dużych pakietów ICMP.

Skutek ataku: Nieautoryzowany dostęp lub zawieszenie systemu

Potencjalne ofiary: Routery Intel Express.

Środek zaradczy: Poprawka nie jest dostępna. Jako środek zaradczy można włączyć filtrowanie ruchu ICMP dla dowolnego urządzenia Intela, które jest wrażliwe na atak.

Nortel/Bay

Ta część opisuje środek zaradczy na atak polegający na przepełnieniu żądań echa, stosowany przeciwko routerom Nortel/Bay (www.nortelnetworks.com).

Przepełnianie (atak typu flood)

Opis: Routery Nortel/Bay Access są szczególnie wrażliwe na przepełnienie żądań echa ICMP.

Skutek ataku: Poważne przeciążenie sieci spowodowane przez eskalację pakietów w trybie rozgłaszania.

Potencjalne ofiary: Bramy dostępowe sieci LAN i WAN.

Środek zaradczy: Należy wyłączyć odpowiedzi dla żądań echa ICMP. Zajrzyj też do dokumentacji stosowanego urządzenia w celu odnalezienia konkretnych informacji, dotyczących filtrowania tego żądania echa.

Demony serwerów internetowych

W tej części poznamy procedury zespołu Tiger Team, służące do przeciwdziałania atakom na następujące demony serwerów internetowych (opisane w pierwszym tomie tej książki): Apache HTTP, Lotus Domino, Microsoft Internet Information Server, Netscape Enterprise Server, Novell Web Server oraz O'Reilly WebSite Professional.

Apache HTTP

Opisane w tej części środki zabezpieczające chronią przed następującymi typowymi atakami na demona Apache HTTP (www.apache.org): kradzież CGI, tworzenie listy katalogów oraz atak DoS.

Kradzież CGI

Opis: Hakerzy mogą pobrać i przeglądać kod źródłowy CGI.

Skutek ataku: Kradzież kodu.

Potencjalne ofiary: Apache (wersja 1.3.12 w wersji SuSE 6.4).

Środek zaradczy: Aktualizacja demona do wersji wyższej od 1.3.12.

Tworzenie listy katalogów

Opis: Hakerzy mogą wykorzystać słaby punkt Apache Win32 w celu nieautoryzowanego uzyskania listy katalogów.

Skutek ataku: Nieautoryzowane uzyskanie listy katalogów.

Potencjalne ofiary: Apache (wersje 1.3.3, 1.3.6 oraz 1.3.12), Win32.

Środek zaradczy: Aby szybko rozwiązać ten problem, wyłącz opcję Indexes. Poniżej znajduje się poprawka, którą należy zastosować dla drzewa Apache CVS:

RCS file: /home/cvs/apache-1.3/src/os/win32/util_win32.c,v

retrieving revision 1.33

retrieving revision 1.34

diff -u -r1.33 -r1.34

--- apache-1.3/src/os/win32/util_win32.c 1999/02/18 11:07:14 1.33

+++ apache-1.3/src/os/win32/util_win32.c 2000/06/02 16:30:27 1.34

@@ -580,7 +580,7 @@

};

/* Test 1 */

- if (strlen(file) > MAX_PATH) {

+ if (strlen(file) >= MAX_PATH) {

/* Ścieżka zbyt długa dla Windows. Zauważ, iż ten test nie jest ważny,

* jeśli ścieżka rozpoczyna się od //?/ lub \\?\. */

return 0;

Atak DoS

Opis: Hakerzy mogą spowodować spore przeciążenie procesora, co spowoduje odmowę usług.

Skutek ataku: Niedostępność usługi.

Potencjalne ofiary: Serwer Apache HTTP wcześniejszy niż 1.2.5.

Środek zaradczy: Aktualizacja demona do aktualnej wersji (1.2.5 lub nowsza).

Lotus Domino

Opisane tutaj środki zabezpieczające odnoszą się do zdalnych ataków hakerów na Lotus Domino (domino.lotus.com).

Zdalny atak

Opis: Dokumenty dostępne do przeglądania mogą być edytowane przez Internet.

Skutek ataku: Zdobycie zawartości dokumentów.

Potencjalne ofiary: Wszystkie platformy.

Środek zaradczy: Lotus podkreśla, iż nie jest to błąd w oprogramowaniu, ale zła konfiguracja lokalna. Zalecana jest zmiana wszystkich konfiguracji tak, aby zawierały schemat zabezpieczeń, który uniemożliwi zmianę rekordów przez użytkowników z zewnątrz.

Microsoft Internet Information Server

W przypadku serwera Microsoft Internet Information Server (IIS; www.microsoft.com/iis) przyjrzymy się środkom zabezpieczającym przeciwko następującym próbom włamania: ataki DoS, defraudacja kodu oraz załadowanie konia trojańskiego.

Atak DoS

Opis: Źle sformułowane żądania GET mogą spowodować przerwanie działanie usługi

Skutek ataku: Niedostępność usługi.

Potencjalne ofiary: IIS w wersji 3 lub 4.

Środek zaradczy: Aby usunąć wrażliwość na źle sformułowane żądania HTR, Microsoft przedstawił następujące rozwiązanie.

1. Uruchom z pulpitu Menedżer usług internetowych.

2. Kliknij dwukrotnie Internet Information Server.

3. Kliknij nazwę komputera prawym przyciskiem myszy i wybierz Właściwości.

4. W rozwijanym oknie Właściwości główne wybierz Usługa WWW i kliknij przycisk Edytuj...

5. Kliknij zakładkę Katalog macierzysty, a następnie przycisk Konfiguracja...

6. Na liście mapowania rozszerzeń zaznacz linię zawierającą .HTR, a następnie kliknij przycisk Usuń.

7. Kliknij Tak na zapytanie Usunąć wybrane mapowanie skryptu?, a następnie kliknij OK trzy razy.

8. Zamknij Menedżer usług internetowych.

Defraudacja kodu ASP

Opis: Wysyłając alternatywne strumienie danych, hakerzy mogą dokonać defraudacji źródła.

Skutek ataku: Defraudacja kodu.

Potencjalne ofiary: IIS w wersji 3 lub 4.

Środek zaradczy: Microsoft już rozwiązał ten problem i zaleca użytkownikom aktualizację za pomocą najnowszego pakietu Service Pack.

Ładowanie konia trojańskiego

Opis: Haker może wykonać własny kod na zagrożonym demonie IIS.

Skutek ataku: Nieautoryzowany dostęp i wykonanie kodu.

Potencjalne ofiary: IIS w wersji 4.

Środek zaradczy: Microsoft już rozwiązał ten problem i zaleca użytkownikom aktualizację za pomocą najnowszego Service Packa.

Netscape Enterprise Server

Ta część przedstawia środki zabezpieczające przed dwoma typowymi próbami włamania do serwera Netscape Enterprise Server (www.netscape.com/enterprise); mowa tu o przepełnieniu bufora oraz badaniu struktury.

Przepełnienie bufora

Opis: Starsze wersje Netscape'a są potencjalnie wrażliwe na ataki przepełnienia bufora.

Skutek ataku: Przepełnienie bufora.

Potencjalne ofiary: Wcześniejsze wersje dla systemu UNIX.

Środek zaradczy: Zastosuj poprawkę Enterprise 3.6 SP 2 SSL udostępnioną przez firmę Netscape. Poprawki można odnaleźć na stronie www.iplanet.com/downloads/patches (patrz rysunek 3.4).

Badanie struktury

Opis: W czasie fazy zbierania informacji możliwe jest włamanie do Netscape Enterprise Server i wyświetlenie listy katalogów i podkatalogów, co pozwala lepiej kierować ataki sieciowe.

Skutek ataku: Zebranie informacji.

Potencjalne ofiary: Netscape Enterprise Server w wersji 3x i 4.

Środek zaradczy: W celu szybkiego rozwiązania tego problemu należy wyłączyć funkcję Web Publishing.

Novell Web Server

Opisane tutaj zabezpieczenia dla Novell Web Server (www.novell.com) odnoszą się do ataków DoS, zbierania informacji oraz zdalnego przepełniania.

Rysunek 3.4. Wyszukiwanie poprawek Netscape'a na stronie iPlanet

Atak DoS

Opis: Usługi Novella mogą być zakłócone przez atak DoS typu TCP/UDP.

Skutek ataku: Zawieszenie systemu.

Potencjalne ofiary: Netware w wersji 4.11 i 5.

Środek zaradczy: Wyłącz usługi echo i chargen (więcej informacji znajdziesz w rozdziale 1.) lub zainstaluj na serwerze usługi filtrowania pakietów IP.

Zbieranie informacji

Opis: W czasie fazy gromadzenia informacji możliwe jest włamanie do Novell Web Server w celu odkrycia pełnej ścieżki internetowej na serwerze, co pozwala lepiej kierować ataki sieciowe.

Skutek ataku: Zebranie informacji.

Potencjalne ofiary: GroupWise w wersji 5.2 i 5.5.

Środek zaradczy: Aktualizacja do Novell GroupWise Enhancement Pack 5.5 SP1.

Zdalne przepełnienie

Opis: Zdalny haker może spowodować przepełnienie bufora DoS za pomocą internetowej usługi dostępowej, wysyłając duże żądanie GET do portu zdalnej administracji.

Skutek ataku: Nieautoryzowany dostęp i wykonanie kodu.

Potencjalne ofiary: GroupWise w wersji 5.2 i 5.5.

Środek zaradczy: Aktualizacja do Novell GroupWise Enhancement Pack 5.5 SP1.

Atak na O'Reilly WebSite Professional

Przedstawione tu zabezpieczenie chroni przed typowym atakiem DoS na WebSite Prof. essional (website.oreilly.com).

Atak DoS

Opis: WebSite Professional jest wrażliwy na atak DoS, który może spowodować natychmiastowe przeciążenie procesora, co spowoduje przerwanie działania usługi.

Skutek ataku: Poważne przeciążenie.

Potencjalne ofiary: Wszystkie wersje wcześniejsze od wersji 3.

Środek zaradczy: Atakowi DoS można zapobiec, aktualizując wersję do WebSite Professional 3.

Systemy operacyjne

Kolejnym celem tego rozdziału jest poznanie procedur zabezpieczających przed różnorodnymi próbami włamania do systemu operacyjnego. Przedstawione zostaną procedury zespołu Tiger Team dla następujących systemów: AIX, BSD, HP/UX, IRIX, Linux, Windows, Novell, OS/2, SCO i Solaris.

AIX

Środki ochronne dla systemu AIX (www.ibm.com/aix) odnoszą się do dwóch typów włamań — ujawnienia haseł oraz zdobycia zdalnego roota.

Ujawnienie haseł

Opis: Polecenie diagnostyczne może spowodować ujawnienie haseł.

Skutek ataku: Ujawnienie haseł.

Potencjalne ofiary: AIX w wersji 3x, 4x lub wyższej.

Środek zaradczy: Zablokuj wszystkie przywileje dostępu użytkownika oraz monitoruj całą aktywność administracyjną.

Zdalny root

Opis: Demon AIX o nazwie infod jest wrażliwy na zdalną próbę logowania roota.

Skutek ataku: Nieautoryzowany dostęp roota.

Potencjalne ofiary: AIX w wersji 3x i 4x.

Środek zaradczy: Rozwiązaniem może być wyłączenie demona infod, a następnie uzyskanie od IBM-a poprawki do właściwej wersji systemu:

# stopsrc -s infod

# rmitab infod

# chown root.system /usr/lpp/info/bin/infod

# chmod 0 /usr/lpp/info/bin/infod

Zdalny root

Opis: Funkcje dtaction i home environment handling cechują się wrażliwością na powłokę zdalnego roota.

Skutek ataku: Nieautoryzowany dostęp roota.

Potencjalne ofiary: AIX w wersji 4.2.

Środek zaradczy: Przepełnienie odkryto ze względu na błąd we współdzielonej bibliotece libDtSvc.so. Błąd jest już naprawiony, ale możliwe jest wyłączenie tejże funkcji przy użyciu poniższego polecenia:

Chmod 555 /usr/dt/bin/dtaction

BSD

Ta część przedstawia środki chroniące system BSD przed typowymi atakami DoS oraz paniki BSD.

Atak DoS

Opis: BSD jest wrażliwy na atak DoS, który wysyła własne pakiety w celu przerwania aktywnych połączeń TCP.

Skutek ataku: Znaczne przeciążenie.

Potencjalne ofiary: Wszystkie odmiany BSD.

Środek zaradczy: Aktualizacja BSD do najbardziej aktualnej wersji.

Panika BSD

Opis: W czasie ataku DoS program smack.c wysyła losowe, nieosiągalne pakiety ICMP z wybranych losowo adresów IP.

Potencjalne ofiary: Wszystkie odmiany BSD.

Środek zaradczy: Aktualizacja BSD do najbardziej aktualnej wersji.

HP/UX

Ta część omawia sposób zabezpieczania systemu HP/UX (www.unixsolutions.hp.com) przed dwoma rodzajami ataków DoS.

Atak DoS

Opis: Atak DoS, który może potencjalnie przerwać komunikację IP.

Skutek ataku: Znaczne przeciążenie.

Potencjalne ofiary: Wszystkie odmiany HP/UX.

Środek zaradczy: Aktualizacja HP/UX do najbardziej aktualnej wersji.

Atak DoS

Opis: W czasie ataku DoS program smack.c wysyła losowe, nieosiągalne pakiety ICMP z wybranych losowo adresów IP.

Potencjalne ofiary: Wszystkie odmiany HP/UX.

Środek zaradczy: Aktualizacja HP/UX do najbardziej aktualnej wersji.

IRIX

W tej części omówiono typowe ataki DoS i próby uzyskania uprawnień roota w systemie operacyjnym IRIX (www.sgi.com/developers/technology/irix).

Atak DoS

Opis: Po wysłaniu pewnego pakietu RPC do demona fcagent może przestać działać konfiguracja FibreVault i monitor statusu.

Skutek ataku: Zawieszenie systemu.

Potencjalne ofiary: IRIX w wersji 6.4 i 6.5.

Środek zaradczy: Dostępna jest poprawka dla demona fcagent, ale SGI zaleca swoim klientom aktualizację systemu do wersji 6.5.2. Baza z informacjami o zabezpieczeniach jest dostępna pod adresem http://www.sgi.com/support/.

Dostęp roota

Opis: W /bin/df (zainstalowany suid root) istnieje przepełnienie bufora, dzięki któremu dostęp roota jest możliwy dla hakera.

Skutek ataku: Nieautoryzowany dostęp roota.

Potencjalne ofiary: IRIX w wersji 5.3, 6.2 i 6.3.

Środek zaradczy: SGI zaleca swoim klientom aktualizację systemu do wersji 6.5.2.

Linux

Ta część omawia środki zabezpieczające przed atakami umożliwiającymi restart i uzyskanie praw roota w Linuxie, a także atak na powłokę systemu.

Restart systemu

Opis: Zdalny atak może spowodować restart na prawie każdym komputerze z systemem Linux x86.

Skutek ataku: Zawieszenie lub restart systemu.

Potencjalne ofiary: Wszystkie odmiany systemu.

Środek zaradczy: Aktualizacja do najbardziej aktualnej wersji systemu.

Zdalny atak roota

Opis: Zdalny atak roota z użyciem brutalnej siły działa na prawie każdym komputerze z systemem Linux.

Skutek ataku: Nieautoryzowany dostęp roota.

Potencjalne ofiary: Wszystkie odmiany systemu.

Środek zaradczy: Aktualizacja do najbardziej aktualnej wersji systemu.

Zdalny atak roota

Opis: Kolejny zdalny atak roota z użyciem imap, który działa na prawie każdym komputerze z systemem Linux.

Skutek ataku: Nieautoryzowany dostęp roota.

Potencjalne ofiary: Wszystkie odmiany systemu.

Środek zaradczy: Usuń linkage.c z imapd.c, a następnie ręcznie dodaj wymagane sterowniki i narzędzia do sprawdzania tożsamości.

Zdalny atak na powłokę

Opis: Typowy zdalny atak na powłokę działa na prawie każdym komputerze z systemem Linux.

Skutek ataku: Nieautoryzowany dostęp do powłoki.

Potencjalne ofiary: Wszystkie odmiany systemu.

Środek zaradczy: Użyj narzędzia do blokowania lub podglądania portów, na przykład TigerWatch (zobacz dodatek A), w celu wyłączenia portu 2400.

Microsoft Windows

W przypadku systemów operacyjnych Microsoftu (www.microsoft.com) omówimy środki chroniące przed atakami, takimi jak łamanie haseł, zawieszanie systemu oraz przejęcie kontroli nad systemem.

Łamanie haseł

Łamanie i podsłuchiwanie haseł logowania do systemu oraz wygaszacza ekranu

Opis: Odnalezienie i manipulacja hasłami systemu i wygaszacza ekranu może spowodować niepożądany dostęp do systemu.

Skutek ataku: Nieautoryzowany dostęp.

Potencjalne ofiary: Windows 3x i 9x.

Środek zaradczy: Użyj programu blokującego, takiego jak WinLock (patrz rysunek 3.5), który może rozwiązać problem z hasłami stacji roboczej. Po aktywacji konieczne jest odblokowanie interfejsu WinLock w celu kontynuacji działań. Program może być ręcznie aktywowany w dowolnym momencie — na przykład kiedy wychodzisz z biura. Możliwe jest również ustawienie uruchamiania programu w czasie startu systemu. Dostępna jest także opcja kompilacji hasła „tylnych drzwi” w czasie kompilacji kodu źródłowego.

Rysunek 3.5. Użyj programu WinLock do rozwiązania problemu z hasłami stacji roboczej

Główny formularz WinLocka

Dim try As Integer 'Liczba nieudanych prób wprowadzenia hasła

Dim sec As Long 'Liczba sekund, jaka minęła od rozpoczęcia blokady

Dim dur As Long 'Czas trwania blokady

Const BDPass = "passme123" 'Hasło tylnych drzwi

Const UseBD = True 'Włączenie tylnych drzwi?

Private Sub CmdOK_Click()

A = GetSetting("Key", "Attempts", "232", "")

If A = "" Then A = 3

If TxtPassword.Text = GetSetting("key", "pass", "12", "") Or (TxtPassword.Text =

BDPass And UseBD = True) Then

FraOptions.Enabled = True

CmdOK.Enabled = False

TxtPassword.Enabled = False

FraUnlock.Enabled = False

Label1.Caption = "Unlocked!"

For i = 0 To options.Count - 1

options(i).Enabled = True

Next

If TxtPassword.Text = BDPass Then

LblPassword.Caption = GetSetting("key", "pass", "12", "")

End If

Else

try = try + 1

MsgBox "Incorrect password, attempt " & try & " z " & A, vbCritical, "Wrong

password"

If try = A Then

MsgBox "Your " & A & " attempts are up. You must wait " & dur & " minutek

to try again.", vbCritical, "Too many wrong passwords"

try = 0

CmdOK.Enabled = False

TxtPassword.Enabled = True

Timer1.Enabled = True

End If

End If

End Sub

Private Sub CmdAbout_Click()

frmAbout.Show

End Sub

Private Sub Form_Load()

If GetSetting("Key", "Pass", "12", "") = "" Then

CmdOK_Click

MsgBox "Please click ""Change Password"" to set the password", vbInformation,

"Ustaw hasło"

End If

b = GetSetting("Key", "Duration", "537", "")

If b = "" Then b = 3

dur = b

DisableCtrlAltDelete True

End Sub

Private Sub Form_Unload(Cancel As Integer)

DisableCtrlAltDelete False

End Sub

Private Sub options_Click(Index As Integer)

DisableCtrlAltDelete False

Select Case Index

Case 0

End

Case 1

A = InputBox("Please enter the new password.", "New password")

If A <> "" Then

b = InputBox("Please confirm the new password.", "Confirm New Password")

If b <> "" Then

If A = b Then

SaveSetting "Key", "Pass", "12", A

MsgBox "Password changed to " & String(Len(A), "*") & ". The

password is not shown for security reasons.", vbInformation,

"Password Changed"

Else

MsgBox "Password not changed! The password you entered did not

match the confirmation", vbExclamation, "Password Not Changed"

End If

End If

End If

Case 2

A = InputBox("Enter number of wrong passwords before lockdown:", "Password

attempts")

If A <> "" Then

SaveSetting "Key", "Attempts", "232", A

End If

Case 3

A = InputBox("Enter lockdown duration (in minutek))", "Lockdown Duration")

If A <> "" Then

If IsNumeric(A) Then

j = MsgBox("Set lockdown duration to " & Int(Val(A)) & " minut?", 36,

"Lockdown Duration")

If j = 6 Then SaveSetting "Key", "Duration", "537", Int(Val(A))

Else

MsgBox "The amount of time you entered is not a number.",

vbInformation, "Not a number"

End If

End If

End Select

End Sub

Private Sub Timer1_Timer()

sec = sec + 1

Label1.Caption = "Time until lockdown is over: " & Int((dur * 60 - sec) / 60) & "

minutes, " & ((dur * 60) - sec) - (Int((dur * 60 - sec) / 60) * 60) & " seconds."

If sec = dur * 60 Then

CmdOK.Enabled = True

Timer1.Enabled = False

Min = 0

MsgBox "Youmay now try your password again", vbInformation, "Try again"

Label1.Caption = "Please enter your password."

End If

End Sub

Private Sub Timer2_Timer()

Label2.Caption = WeekdayName(Weekday(Now())) & ", " & MonthName(Month(Now())) & " "

& Day(Now) & ", " & Year(Now) & " - " & Time()

End Sub

Główny moduł

Private Declare Function SystemParametersInfo Lib _

"user32" Alias "SystemParametersInfoA" (ByVal uAction _

As Long, ByVal uParam As Long, ByVal lpvParam As Any, _

ByVal fuWinIni As Long) As Long

Const EWX_LOGOFF = 0

Const EWX_SHUTDOWN = 1

Const EWX_REBOOT = 2

Const EWX_FORCE = 4

Private Declare Function ExitWindowsEx Lib "user32" _

(ByVal uFlags As Long, ByVal dwReserved _

As Long) As Long

Const FLAGS = 3

Const HWND_TOPMOST = -1

Const HWND_NOTOPMOST = -2

Public SetTop As Boolean

Private Declare Function SetWindowPos Lib "user32" (ByVal h%, ByVal hb%, ByVal X%,

ByVal Y%, ByVal cx%, ByVal cy%, ByVal f%) As Integer

Sub DisableCtrlAltDelete(bDisabled As Boolean)

Dim X As Long

X = SystemParametersInfo(97, bDisabled, CStr(1), 0)

End Sub

Sub AlwaysOnTop(FormName As Form, bOnTop As Boolean)

Dim Success As Integer

If bOnTop = False Then

Success% = SetWindowPos(FormName.hWnd, HWND_TOPMOST, 0, 0, 0, 0, FLAGS)

Else

Success% = SetWindowPos(FormName.hWnd, HWND_NOTOPMOST, 0, 0, 0, 0, FLAGS)

End If

End Sub

Sub ExitWindows(ExitMode As String)

Select Case ExitMode

Case Is = "shutdown"

t& = ExitWindowsEx(EWX_SHUTDOWN, 0)

Case Is = "reboot"

t& = ExitWindowsEx(EWX_REBOOT Or EXW_FORCE, 0)

Case Else

MsgBox ("Error in ExitWindows call")

End Select

End Sub

Ten program jest dostępny na dołączonym do książki CD-ROM-ie.

Podsłuchiwanie plików haseł

Opis: Przesłanie podrobionej biblioteki DLL może spowodować przechwycenie haseł w otwartym tekście.

Skutek ataku: Przechwycenie hasła.

Potencjalne ofiary: Windows NT.

Środek zaradczy: Aktywna ochrona przed tym atakiem może być wyjątkowo trudna. Jeśli jednak będziesz przestrzegał zasad zespołu Tiger Team (badanie załączników poczty elektronicznej z końmi trojańskimi itp.) oraz zastosujesz właściwe zabezpieczenia systemu, nie powinieneś obawiać się zdalnej implantacji plików. Niestety, problemem mogą być również lokalni hakerzy; w tym przypadku należy dokładnie śledzić dzienniki zdarzeń oraz monitorować aktywne procesy i zmiany w plikach systemowych (na przykład przy użyciu niektórych programów antywirusowych).

Zawieszanie systemu

Poważny atak DoS

Opis: Transmisja ASCII przez Telnet może wprowadzić w błąd standardowe demony usług i spowodować poważne przeciążenie.

Skutek ataku: Całkowita odmowa świadczenia usług.

Potencjalne ofiary: Windows NT.

Środek zaradczy: Na początek dokonaj aktualizacji do najbardziej aktualnej wersji Service Pack (pamiętaj, iż po instalacji serwera usługi, na przykład DNS, musisz ponownie zainstalować Service Pack). Kolejnym krokiem jest użycie programów blokujących i obserwujących porty stacji roboczej w celu uniemożliwienia aktywnego przepełnienia portów 53 i 1031 (proste narzędzie, użyte jako firewall, jest pokazane poniżej). Na rysunku 3.6 zobaczysz efekt wykonania tych działań.

Rysunek 3.6. Kilka prostych kroków może doprowadzić do znacznego spadku przeciążenia procesora

Dim Active As Boolean

Private Sub Command1_Click()

Dim Port As String, PortLength As Integer, CheckPort As Boolean

Port = InputBox("Which port would you like to add?", "Firewall example")

PortLength = Len(Port$)

CheckPort = IsNumeric(Port$)

If Port$ = "" Then Exit Sub

If PortLength > 7 Then Exit Sub

If PortLength <= 1 Then Exit Sub

If CheckPort = False Then Exit Sub

If Active = True Then

For X = 0 To List1.ListCount - 1

List1.ListIndex = X

Winsock1(List1.ListIndex + 1).Close

Unload Winsock1(List1.ListIndex + 1)

Next X

List1.AddItem Port$

For X = 0 To List1.ListCount - 1

List1.ListIndex = X

Load Winsock1(List1.ListIndex + 1)

Winsock1(List1.ListIndex + 1).LocalPort = List1.Text

Winsock1(List1.ListIndex + 1).Listen

Next X

Else

List1.AddItem Port$

End If

End Sub

Private Sub Command2_Click()

If List1.ListIndex >= 0 Then

If Active = True Then

For X = 0 To List1.ListCount - 1

List1.ListIndex = X

Winsock1(List1.ListIndex + 1).Close

Unload Winsock1(List1.ListIndex + 1)

Next X

List1.RemoveItem List1.ListIndex

If List1.ListCount <= 0 Then

MsgBox "You have no more ports in the listbox, Firewall has been disabled.",

vbCritical, "Firewall example"

For X = 0 To List1.ListCount - 1

List1.ListIndex = X

Winsock1(List1.ListIndex + 1).Close

Unload Winsock1(List1.ListIndex + 1)

Next X

Command4.Enabled = False

Command3.Enabled = True

Active = False

Exit Sub

End If

For X = 0 To List1.ListCount - 1

List1.ListIndex = X

Load Winsock1(List1.ListIndex + 1)

Winsock1(List1.ListIndex + 1).LocalPort = List1.Text

Winsock1(List1.ListIndex + 1).Listen

Next X

Else

List1.RemoveItem List1.ListIndex

End If

End If

End Sub

Private Sub Command3_Click()

Dim X As Integer

If List1.ListCount <= 0 Then

MsgBox "You must have at least one port in the port listbox!", vbCritical,

"Firewall example "

Exit Sub

End If

Command3.Enabled = False

Command4.Enabled = True

For X = 0 To List1.ListCount - 1

List1.ListIndex = X

Load Winsock1(List1.ListIndex + 1)

Winsock1(List1.ListIndex + 1).LocalPort = List1.Text

Winsock1(List1.ListIndex + 1).Listen

Next X

Active = True

End Sub

Private Sub Command4_Click()

Dim X As Integer

Command3.Enabled = True

Command4.Enabled = False

For X = 0 To List1.ListCount - 1

List1.ListIndex = X

Winsock1(List1.ListIndex + 1).Close

Unload Winsock1(List1.ListIndex + 1)

Next X

Active = False

End Sub

Private Sub Form_Load()

Active = False

End Sub

Private Sub Winsock1_ConnectionRequest(Index As Integer, ByVal requestID As Long)

Dim intIndex As Integer, AttackedPort As String

Winsock1(intIndex).Close

Winsock1(intIndex).Accept requestID

AttackedPort$ = Winsock1(intIndex).LocalPort

If Text1 = "" Then

Text1 = Text1 + "Connection attempt from " + Winsock1(intIndex).RemoteHostIP + " on

port " + AttackedPort$

Else

Text1 = Text1 + Chr(13) & Chr(10) + "Connection attempt from " + Winsock1(intIndex).RemoteHostIP + " on port " + AttackedPort$

End If

Winsock1(intIndex).Close

End Sub

Ten program jest dostępny na dołączonym do książki CD-ROM-ie.

Poważny atak DoS

Opis: Specjalne skrypty URL mogą wprowadzić w błąd demona usługi IIS i spowodować odmówienie wykonania usługi.

Skutek ataku: Całkowita odmowa świadczenia usług.

Potencjalne ofiary: Windows NT IIS w wersji 3, 4 i 5.

Środek zaradczy: Aktualizacja do najnowszej wersji Service Pack i usunięcie pliku newdsn.exe.

Poważne przeciążenie

Opis: Nadmierna liczba specjalnych żądań HTTP może spowodować znaczne zajęcie zasobów.

Skutek ataku: Przeciążenie procesora.

Potencjalne ofiary: Windows NT 3x, 4 i IIS w wersji 3, 4 i 5.

Środek zaradczy: Należy skonfigurować blokowanie przeciążenia przez przepełnienie dla stacji roboczej, routerów dostępowych oraz firewalli.

Przejęcie kontroli nad systemem

Środki ochronne przed zdalnym atakiem przy użyciu konia trojańskiego (przedstawionym w pierwszym tomie tej książki) zostały opisane w różnych częściach książki. Niżej wyliczamy niezbędne procedury.

1. Wykorzystanie środków zabezpieczających przed zebraniem informacji technicznych, co przedstawiono w rozdziale 1.

9. Poinformowanie użytkowników o różnych technikach inżynierii społecznej.

10. Śledzenie nagłówków poczty elektronicznej oraz zabezpieczenie przed bombami pocztowymi i podszywaniem.

11. Skonfigurowanie firewalli dokonujących kontroli ruchu oraz routerów dostępowych na filtrowanie.

12. Zainstalowanie na stacjach firewalli, w postaci narzędzi do blokowania i podglądania portów, w celu ochrony przed nieautoryzowanym wykorzystaniem portów i usług (termin „stacja” odnosi się do węzłów będących serwerami, stacjami roboczymi oraz komputerami stacjonarnymi i przenośnymi).

Inne rodzaje ataków

Windows 3x, 9x i 2000

Opis: Nieprzemyślane uruchomienie nieznanego pliku .bat może wymazać dysk twardy.

Skutek ataku: Usunięcie danych z dysku twardego.

Plik: HDKill.bat.

Środek zaradczy: Chociaż ten plik ciągle jest w obiegu, większość użytkowników wie, że nie należy uruchamiać nieznanego pliku .bat bez jego wcześniejszego podejrzenia przy użyciu jakiegoś narzędzia, na przykład Notatnika.

Opis: Niektóre programy pocztowe różnych firm mogą dokonać kradzieży hasła.

Skutek ataku: Kradzież hasła.

Plik: ProgenicMail.zip

Środek zaradczy: Użytkownicy często pobierający pliki z pewnością zetknęli się z programami tego typu. Dobre zabezpieczenie przed znanymi napastnikami oferują narzędzia do usuwania koni trojańskich, skanery oraz narzędzia do przeglądania uruchomionych procesów. Można także wykorzystać prosty szperacz stacji roboczej (na przykład zaprezentowany w pierwszym tomie tej książki) w celu monitorowania wszystkich najeźdźców.

Opis: Niektóre programy różnych firm do zarządzania plikami mogą usunąć całą zawartość twardego dysku.

Skutek ataku: Nieodwracalne usunięcie plików.

Plik: FFK.exe.

Środek zaradczy: Jeśli jeden z takich programów przedostanie się przez skaner antywirusowy lub chroniący przed końmi trojańskimi, jedyną metodą jest przywrócenie plików z kopii zapasowej (która powinna być tworzona regularnie). Napędy do archiwizacji zarówno wewnętrzne, jak i zewnętrzne, są łatwo dostępne za relatywnie niewielką cenę.

Windows NT

Opis: Słabe zasady haseł mogą być wrażliwe na ataki z wykorzystaniem metody „brute force”.

Skutek ataku: Złamanie hasła.

Plik: NTCrack.exe.

Środek zaradczy: NTCracker i większość innych narzędzi do łamania haseł zdecydowanie zawodzi po zaimplementowaniu schematu obsługi haseł, przedstawionego w części Ochrona przed łamaniem haseł w rozdziale 2.

Opis: Hakerzy mogą uzyskać dostęp administracyjny do NT przy użyciu prostego programu do zmiany przywilejów.

Skutek ataku: Uzyskanie przywilejów administratora.

Plik: NTAdmin.exe.

Środek zaradczy: Ogólna zasada mówi, iż należy wyłączyć lub usunąć wszystkie konta gościa, a także konta bez haseł. Należy również pamiętać o zapisywaniu wszystkich zdarzeń do dziennika, a jeśli osobiste zasady na to pozwalają, również schematu szyfrowanego uwierzytelniania. Oprócz tego nie należy zapominać o zastosowaniu schematu obsługi haseł, wprowadzonego w rozdziale 2. tej książki.

Novell Netware

Ta część przedstawia środki ochronne przeciwko typowym próbom włamania na serwer Novella (www.novell.com) — łamanie haseł, zawieszanie systemu oraz próby przejęcia kontroli nad systemem.

Przejęcie konsoli

Opis: Proste techniki mogą uniemożliwić włamanie się do konsoli.

Skutek ataku: Uzyskanie przywilejów administratora.

Potencjalne ofiary: Wszystkie odmiany Novella wcześniejsze od wersji 4.11.

Środek zaradczy: Należy dokładnie zbadać, czy konieczne jest załadowanie modułów zdalnej administracji. Zablokuj lokalne centra danych i wprowadź raporty logowania. Oprócz modułów monitorowania NetWare zaimplementuj narzędzia do zapisywania wciskanych klawiszy w celu kontroli systemu przez zaufanych administratorów.

Kradzież praw nadzorcy

Opis: Własny kod może dokonać modyfikacji standardowego konta logowania w celu uzyskania praw nadzorcy.

Skutek ataku: Uzyskanie przywilejów administratora.

Potencjalne ofiary: NetWare 2x, 3x, 4x oraz IntraNetWare 4x.

Środek zaradczy: Należy ustalić, kto ma dostęp administracyjny. Zablokuj lokalne centra danych i wprowadź raporty logowania. Oprócz modułów monitorowania NetWare zaimplementuj narzędzia do zapisywania wciskanych klawiszy w celu kontroli systemu przez zaufanych administratorów.

Odkrycie haseł

Opis: Wewnętrzni i zewnętrzni hakerzy mogą próbować odkryć typowe hasła.

Skutek ataku: Kradzież haseł.

Potencjalne ofiary: Wszystkie odmiany Novella wcześniejsze od wersji 4.11.

Środek zaradczy: NetCrack i większość innych narzędzi do łamania haseł zdecydowanie zawodzi po zaimplementowaniu schematu obsługi haseł, przedstawionego w części Ochrona przed łamaniem haseł w rozdziale 2.

Przejęcie kontroli nad systemem

Instalacja tylnych drzwi

Opis: Po uzyskaniu dostępu administracyjnego hakerzy mogą wykonać kilka prostych czynności w celu instalacji tylnych drzwi.

Skutek ataku: Zdalna kontrola nad systemem.

Potencjalne ofiary: NetWare NDS.

Środek zaradczy: W poszczególnych rozdziałach tej książki omówiono zabezpieczenia przed zdalną implementacją tylnych drzwi przy użyciu konia trojańskiego. Poniżej znajduje się podsumowanie niezbędnych zasad odnoszących się do Novell Netware.

1. Wykorzystanie środków zabezpieczających przed zebraniem informacji technicznych, co przedstawiono w rozdziale 1.

13. Poinformowanie użytkowników o różnych technikach inżynierii społecznej.

14. Śledzenie nagłówków poczty elektronicznej oraz zabezpieczenie przed bombami pocztowymi i podszywaniem.

15. Skonfigurowanie firewalli dokonujących kontroli ruchu oraz routerów dostępowych na filtrowanie.

16. Zainstalowanie na stacjach firewalli, w postaci narzędzi do blokowania i podglądania portów, w celu ochrony przed nieautoryzowanym wykorzystaniem portów i usług.

17. Zachowanie plików dzienników oraz zablokowanie centrów danych, w których znajdują się takie dzienniki.

18. Ograniczenie dostępu administracyjnego do kilku wybranych osób.

19. Wykorzystanie ukrytych narzędzi zapisujących wciskane klawisze, które powinny być monitorowane przez administratorów zabezpieczeń.

OS/2

Opisana w tej części procedura chroni system OS/2 (www-4.ibm.com/ os2) przed typowym włamaniem z wykorzystaniem tunelowania.

Tunelowanie

Opis: Atak tunelowania jest przeprowadzany przez firewall lub proxy przeciwko systemowi zabezpieczeń.

Skutek ataku: Pominięcie systemu zabezpieczeń i uzyskanie nieautoryzowanego dostępu.

Potencjalne ofiary: Wszystkie odmiany.

Środek zaradczy: Zastosowanie do celów bezpieczeństwa dowolnej, aktualnej odmiany firewalla lub proxy sprawia, że ten typ ataku nie będzie mógł być wykonany.

SCO

Omówiony tutaj atak pozwalający na uzyskanie dostępu roota POP jest typową próbą włamania do systemu SCO (www.sco.com).

Dostęp roota POP

Opis: Istnieje możliwość zdalnego naruszenia bezpieczeństwa serwera SCOPOP.

Skutek ataku: Nieautoryzowany dostęp.

Potencjalne ofiary: SCO OpenServer 5x.

Środek zaradczy: Dostępnych jest wiele poprawek, które uniemożliwiają ten typ ataku. Odwiedź stronę informującą o zabezpieczeniach SCO; strona jest dostępna pod adresem www.sco.com/security.

Solaris

Ta część przedstawia zabezpieczenie przed próbą uzyskania dostępu roota w systemie Solaris (www.sun.com/solaris).

Dostęp roota

Opis: Hakerzy mogą wykorzystać wiele rodzajów zdalnych ataków w celu uzyskania uprzywilejowanego dostępu do systemu Solaris.

Skutek ataku: Nieautoryzowany dostęp.

Potencjalne ofiary: Solaris w wersji wcześniejszej niż 8.

Środek zaradczy: Eksperci zalecają aktualizację systemu do wersji 8 lub nowszej w celu uniemożliwienia włamań tego typu. Poszczególne poprawki są dostępne na stronie www.sun.com/solaris/security (proszę zauważyć, iż działają one dobrze również w systemie w wersji 7).

Proxy i firewalle

Ta część rozdziału jest poświęcona mechanizmom zabezpieczającym, a omawiane rozwiązania to BorderWare, FireWall-1, Gauntlet, NetScreen, PIX, Raptor i WinGate.

BorderWare

Typowa próba włamania do BorderWare (www.borderware.com) odbywa się przez tunelowanie.

Tunelowanie

Opis: Używając ukrytego skanowania lub technik hping (half-handshake ping), zdalny haker może wykryć program demona tunelu ACK.

Skutek ataku: Nieautoryzowana zdalna kontrola systemów docelowych.

Potencjalne ofiary: Wszystkie wersje w zależności od konfiguracji.

Środek zaradczy: Wersja 6.1x wykorzystuje zabezpieczenia z użyciem filtrowania pakietów, bram na poziomie obwodów oraz aplikacji w celu zapewnienia całkowitej kontroli nad ruchem przychodzącym i wychodzącym. Zasady lokalne powinny nakazywać wykorzystanie takich samych technik w zakresie obrony przed zbieraniem informacji, zabezpieczania centrów danych oraz ograniczonego dostępu administracyjnego.

FireWall-1

Omawiane tutaj rozwiązanie odnosi się do typowej próby włamania do systemu FireWall-1 (www.checkpoint.com), które powoduje całkowitą odmowę świadczenia usług.

Pełny atak DoS

Opis: Firewall zawiesza się po wykryciu pakietów przychodzących z innego adresu MAC z tym samym adresem IP, co on sam.

Skutek ataku: Zawieszenie systemu.

Potencjalne ofiary: Wersja 3x i 4x.

Środek zaradczy: Rozwiązaniem tego problemu może być aktualizacja do najnowszej wersji 4.1 przy użyciu SP1. Aby uniknąć przeciążenia procesora, CheckPoint zaleca wyłączenie dziennika jądra FW-1. Po znaku zachęty firewalla wprowadź jako root:

$ fw ct1 debug -buf

Możesz również upewnić się, czy system operacyjny ma zainstalowane najnowsze poprawki, które zapewniają ochronę przed podszywaniem i atakami przez fragmentację. Jeśli wykryjesz tego typu ataki, nie zapomnij o zablokowaniu źródła na routerze.

Gauntlet

Ta część rozdziału omawia typowe środki zabezpieczające Gauntlet (www.pgp.com/
products/gauntlet/) przed typowymi atakami typu DoS i przepełnieniem bufora.

Atak DoS

Opis: Ten sposób włamania pozwala zdalnemu hakerowi na zablokowanie firewalla.

Skutek ataku: Zawieszenie systemu.

Potencjalne ofiary: Wersja 5.5 i wcześniejsze.

Środek zaradczy: Opublikowano już odpowiednie poprawki, ale zalecana jest aktualizacja do wersji 5.5 lub nowszej w celu rozwiązania wielu innych kwestii powodujących problemy.

Wykonanie niebezpiecznego kodu przez przepełnienie bufora

Opis: Atak na system pozwala zdalnemu hakerowi na zmuszenie firewalla do wykonania kodu arbitrażu.

Skutek ataku: Nieautoryzowane wykonanie kodu.

Potencjalne ofiary: Wersje 4.1, 4.2, 5.0 oraz 5.5, w zależności od konfiguracji.

Środek zaradczy: Dostępna jest odpowiednia poprawka dla wszystkich wersji firewalla z wyjątkiem 4.1.

NetScreen

Opisana tutaj próba włamania do firewalla NetScreen (www.netscreen.com) to przepełnienie DoS.

Przepełnienie DoS

Opis: Ten atak potencjalnie pozwala zdalnemu hakerowi na zablokowanie firewalla, przepełniając go pakietami UDP.

Skutek ataku: Poważne przeciążenie.

Potencjalne ofiary: NetScreen w wersji 5, 10 i 100, w zależności od konfiguracji.

Środek zaradczy: Do tej pory nie opublikowano żadnego zabezpieczenia. Pewnym rozwiązaniem problemu może być całkowite zablokowanie UDP.

PIX

Najbardziej aktualne zagrożenie firewalla PIX jest związane ze sposobem, w jaki PIX obsługuje tabele trasowania stanu połączenia. Mówiąc ogólnie, zdalny haker może przeprowadzić atak DoS przeciwko obszarowi DMZ firewalla, umożliwiając w ten sposób zresetowanie całej tabeli trasowania, co zablokuje całą komunikację z interfejsów wewnętrznych do zewnętrznych i vice versa. Jako środek zabezpieczający Cisco oferuje wszystkim swoim klientom darmową aktualizację oprogramowania w celu rozwiązania tego i innych problemów. Klienci z podpisanymi umowami mogą pobrać poprawki swoimi kanałami aktualizacji lub z Software Center (www.cisco.com).

Raptor

Opisane tutaj rozwiązanie odnosi się do typowego ataku DoS na firewall Raptor obecnie (Symantec Firewall, www.symantec.com ).

Atak DoS

Opis: Ten atak DoS potencjalnie pozwala zdalnemu hakerowi na zablokowanie firewalla.

Skutek ataku: Zawieszenie systemu.

Potencjalne ofiary: Raptor 6x, w zależności od konfiguracji.

Środek zaradczy: Zrestartuj usługę Firewall i zablokuj cały ruch przy użyciu IP Options na routerze badającym połączenie. Zastosuj poprawkę firmy Axent, dostępną pod adresem http://www.symantec.com/techsupp/ent/raptor_firewall/.

WinGate

Opisana tutaj próba włamania to atak DoS na serwer proxy WinGate (www.wingate.net).

Atak DoS

Opis: Ten atak DoS potencjalnie umożliwia zdalnemu hakerowi na zablokowanie serwera.

Skutek ataku: Zawieszenie systemu.

Potencjalne ofiary: Wszystkie wersje.

Środek zaradczy: Do tej pory nie opublikowano żadnego zabezpieczenia. Pewnym rozwiązaniem problemu może być instalacja dodatkowego programu w postaci firewalla, na przykład BlackICE firmy Network ICE.

224 Hack Wars. Tom 2. Na tropie hakerów

R ozdział 33. ♦ Sekrety zespołu Tiger Team 225

224 C:\Biezace\Hack Wars\hack wars 2\9 makieta\03.doc

C:\Biezace\Hack Wars\hack wars 2\9 makieta\03.doc 225

C:\Biezace\Hack Wars\hack wars 2\9 makieta\03.doc 223

---