Защита информационных ресурсов в локальной сети Автор:Ракитин Игорь Андреевич Пушкинская средняя школа 9, 11 класс Руководитель:Пугачев Илья Борисович Десятая научная конференция «Шаг в будущее, Москва»

Цели исследования 1. Изучить (исследовать) некоторые известные мне возможности нанесения ущерба безопасности информации, исходящего извне. 2. Понять какие средства (использование патчей и брандмауэров, отключение служб) целесообразно применить для нейтрализации попыток получения доступа к защищаемой информации в локальной сети. 3. На основании проведенного анализа исходных данных, добиться гарантированной защиты конкретных информационных ресурсов в локальной сети.

Типовая модель малой корпоративной(домашней) сети Многие домовые или корпоративные локальные сети организуются следующим образом: в сети имеются машины-клиенты в основном на известной всем платформе Microsoft Windows они объединены в одну подсеть, и завязаны на машину-шлюз, которая обеспечивает клиентов доступом в Интернет, одновременно фильтруя входящий к ним трафик. Обычно в роли шлюза выступает машина на платформе Linux GNU, т.к она имеет некоторые преимущества над Microsoft Windows, о них я расскажу позже. Именно такую модель сети я и организовал.

Организация локальной сети В целях безопасности и исключения возможного нанесения ущерба физическому компьютеру или другим компьютерам, я использовал программу для виртуализации VMWare Server. Из ее многих аналогов таких как: Virtual PC, Microsoft Virtual Server, Xen Virtual Machine и.т.д – я выбрал именно ее потому что, она полностью совместима с платформой Linux GNU и использует минимум системных ресурсов по сравнению с ее аналогами. Преимущества Virtual Machine Ware: 1. Полная совместимость с ОС LinuX 2. Гибкий и удобный интерфейс 3. Рациональное использование ресурсов физического компьютера 4. Возможность запуска нескольких виртуальных машин одновременно

Структура локальной сети построенной с помощью VMware Server Это модель локальной сети, представленная в моей работе в виде «полигона» для проведения исследований на уязвимости и нахождение способов защиты от них. Она создана с помощью среды виртуализации VMware Server. Сеть состоит из четырех компьютеров-клиентов ( ) и одного компьютера-шлюза ( ). А компьютер который имеет IP выступает в роли исследователя на уязвимости из Интернета.

Инструменты для анализа защищенности XSpider сканер портов Metasploit Framework Project (MSF) - это законченная среда для написания, тестирования и использования кода эксплойтов. Эта среда обеспечивает надежную платформу для испытаний на проникновение, разработки шел кодов и исследования уязвимостей.

План осуществления атаки 1. Сканирование локального компьютера с помощью xSpider Нахождение уязвимостей исходя из полученной информации при сканировании 3. Применение уязвимостей с помощью Metasploit Framework Project 4. Способы устранения уязвимостей

1. Сканирование локального компьютера с помощью xSpider 6.5

1. Открытый 135 tcp порт – Запущена служба DCOM, а значит клиент использует Windows Messenger Service 2. Открытый 445 порт – принадлежит службе Microsoft Directory Service 3. Открытый 5000 tcp порт - принадлежит службе SSDP (UPnP ) 2. Нахождение уязвимостей исходя из полученной информации при сканировании

3. Применение уязвимостей с помощью Metasploit Framework Project Перечень уязвимостей которые будут использованы далее: 1. MS Internet Explorer webview 2. Picture and Fax Viewer (ms06-001) 3. Messenger Service (ms04-007)

Исследование на уязвимость MS Internet Explorer webview Эта уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе. Целочисленное переполнение буфера обнаружено в методе "setSlice()" в ActiveX компоненте "WebViewFolderIcon". Удаленный пользователь может с помощью специально сформированной Web страницы или сообщения вызвать повреждение памяти и выполнить произвольный код на целевой системе. Этот эксплойт использует уязвимость в WindowsXP SP0/SP3, Windows2003 server SP0/SP4, Windows 2000 Service Pack 4 – Internet Explore Для применения этой уязвимости я запускаю MSF console после этого даю команду на использование эксплойта webview_setslice Теперь запускаю исполняемый Shellcode, я выбрал shell_reverse_tcp, так как он многофункционален и с подробным описанием.

Выбираю свой IP локальной сети или внешний IP Интернет соединения, в моем случае это мой сетевой IP адрес и директорию на которой будет находится наш Shellcode например 1111, при желании можно его замаскировать например под рисунок myphoto.jpg и.т.д Далее командуем: exploit. Теперь эксплойт находится по адресу остается только ждать подключения жертвы к этой web странице. Как только жертва подключится то в консоле я увижу соответствующее сообщение о том что эксплойт сделал свою работу по использованию уязвимости. Все, я в удаленной командной строке нашей жертвы.

Способ устранения уязвимости MS Internet Explorer webview Для устранения этой уязвимости достаточно установить патч от компании разработчика вашей ОС. Microsoft Windows 2000 Service Pack Microsoft Windows XP Service Pack 1, Service Pack 2 и Service Pack Microsoft Windows XP Professional x64 Edition Microsoft Windows Server 2003 и Microsoft Windows Server 2003 Service Pack Microsoft Windows Server 2003 для Itanium-based Systems и Microsoft Windows Server 2003 with SP1 для Itanium-based Systems Microsoft Windows Server 2003 x64 Edition

Исследование на уязвимость Исследование на уязвимостьPicture and Fax Viewer (ms06-001) Уязвимость существует в "Windows Picture and Fax Viewer" при обработке Windows метафайлов (".wmf"), содержащих специально сформированные SETABORTPROC "Escape" записи. Эти записи позволяют выполнить произвольные функции, если процесс генерации WMF файла заканчивается неудачно. Удаленный пользователь может с помощью специально сформированного WMF файла выполнить произвольный код на целевой системе с привилегиями пользователя, открывшего злонамеренный файл. Для применения этой уязвимости я запускаю MSF console после этого даю команду на использование эксплойта ms06_001_wmf_setabortproc и выбираю Shellcode (meterpreter_bind_tcp) у этого Шелла более интересные функции чем у shell_reverse_tcp например он умеет делать перезагрузку и выключение компьютера, удаление процессов из памяти например svchost.exe или lsass.exe и.т.д Далее выбираю директорию где будет находится Shellcode и запускаю эксплойт

Как только наша жертва скачает *wmf файл и откроет его то MSF сразу же известит меня об этом и начнет посылать вредоносный dll и открывать удаленную командную строку жертвы с использованием в ней скрипта meterpreter. Все, теперь можно выполнить пару команд, что бы убедиться, что у нас есть доступ к компьютеру жертвы… Для устранения этой уязвимости я предлагаю скачать Internet Explorer 7 и старше, или установить на своем компьютере Outpost Firewall 4.0 и старше, который не пропустит вредоносный файл dll с исполняемым Shellcode к вам на компьютер путем закрытия порта на который обращается эксплойт. Internet Explorer 7 Outpost Firewall 4.0

Исследование на уязвимость Messenger Service (ms04-007) Вот как описывается данная уязвимость: переполнение буфера обнаружено в Messenger Service в Microsoft Windows. Удаленный атакующий может выполнить произвольный код на уязвимой системе. Проблема связана с тем, что Messenger Service не проверяет длину сообщения. В результате злонамеренный пользователь может послать сообщение, которое переполнит буфер и выполнит произвольный код на уязвимой системе с привилегиями SYSTEM. Говоря простым языком, сформированное особым образом сообщение, переданное с помощью обычной команды «net send», может привести к запуску на машине жертвы любого программного кода. Чтобы использовать эту уязвимость, я запустил MSF console, как это описывалось в предыдущих уязвимостях, выбираю подходящий эксплойт для этой уязвимости – ms killbill, и сразу же выбираю Shellcode командой set PAYLOAD. И снова я прибегаю к помощи Шелкода под названием reverse-tcp.

Далее, я выбираю IP машины жертвы и мой внешний IP адрес Я выбрал все параметры необходимые для работы эксплойта, теперь остается только ввести команду exploit, и после этого дорога к компьютеру жертвы открыта Чтобы избежать несанкционированного проникновения на ваш компьютер с помощью этой уязвимости, первое что надо сделать - это отключить службу DCOM, если она действительно не нужна, и обязательно установить пакет обновлений Microsoft. Также необходимо отключить доступ по нулевой сессии. Для этого: 1) В разделе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA установить значение параметра RestrictAnonymous = 2 для Windows 2000/XP/2003 (1 для Windows NT3.5/NT4.0 ) (тип параметра REG_DWORD); 2) для Windows 2000/XP/2003: в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver установить значение параметра RestrictNullSessionAccess = 1 (тип параметра REG_DWORD); для Windows NT3.5/NT4.0: в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters установить значение параметра RestrictNullSessAccess = 1 (тип параметра REG_DWORD).

Итоги исследования 1. Создана виртуальная локальная сеть с помощью среды VM Ware Server 2. Просканирована машина-клиент с установленной на ней OC Windows 3. Найдены несколько уязвимостей на этой машине и реализованы 4. После реализации уязвимостей они были успешно устранены