Проблемы обеспечения безопасности сетевых операционных систем Лепихин В. Б. УЦ «Информзащита»

DMZ-2 DMZ-1 Корпоративная сеть Внутренние серверы Рабочие места Филиал Мобильные сотрудники РесурсыInternet Пользователи Internet МЭ

Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ

Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ TCP/IPNetBEUIIPX/SPX

Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ

Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ

Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ

Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ

Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ

Уязвимости по уровню в информационной инфраструктуре Уровень сети Уровень операционной системы Уровень баз данных Уровень персонала Уровень приложений

Причины возникновения уязвимостей ОС ошибки проектирования (компонент ядра, подсистем) ошибки реализации (кода) ошибки эксплуатации (неправильная настройка, неиспользуемые компоненты, слабые пароли)

Слайд 12 Источники информации о новых уязвимостях о новых уязвимостях - координационный центр CERT/CC - база данных компании ISS А также:

Дополнительные источники информации о безопасности NT/

BUGTRAQ Vulnerability Database Statistics

Слайд 15 Источник возникновения: Источник возникновения: ошибки реализации Название: Название: nt-getadmin-present Описание Описание: проблема одной из функций ядра ОС Windows NT, позволяющая злоумышленнику повысить привилегии обычного пользователя до привилегий администратора Примеры уязвимостей

Слайд 16 Источник возникновения: Источник возникновения: ошибки реализации Название: Название: explorer-relative-path-name Описание: Описание: в реестре Windows NT/2000 указан относительный путь к файлу explorer.exe (Windows shell) вместо абсолютного пути. Примеры уязвимостей

Единая система наименований для уязвимостей Стандартное описание для каждой уязвимости Обеспечение совместимости баз данных уязвимостей

CAN CVE Кандидат CVE Индекс CVE

Ситуация без CVE ISS RealSecure Bindview Microsoft MS:MS Bugtraq Database Local promotion vulnerability in NT4's NTLM Security Support Provider ntlm-ssp-elevate-privileges(6076) 'NTLMSSP' Privilege Escalation Vulnerability Уязвимость в NTLM Security Support Provider

Поддержка CVE CVE vulnerability in NTLM Security Support Provider CVE Microsoft Bindview ISS RealSecure Bugtraq Database

CVE entry Номер Описание Ссылки CVE NTLM Security Support Provider (NTLMSSP) service does not properly check the function number in an LPC request, which could allow local users to gain administrator level access. Reference: BINDVIEW: Local promotion vulnerability in NT4's NTLM Security Support Provider Reference: MS:MS Reference: BID:2348 Reference: XF:ntlm-ssp-elevate- privileges(6076)

Ошибки проектирования Ошибки, допущенные при проектировании алгоритмов и принципов работы компонент ядра, подсистем: отсутствие ограничений на количество создаваемых объектов особенности шифрования (хэширования) и хранение паролей …

Ошибки реализации int i, offset=OFFSET; if (argv[1] != NULL) offset = atoi(argv[1]); buff = malloc(BSIZE); egg = malloc(EGGSIZE); addr = get_sp() - offset; printf("Using address: 0x%x\n", addr); ptr = buff; addr_ptr = (long *) ptr; for (i = 0; i < BSIZE; i+=4) *(addr_ptr++) = addr; /* Now it fills in the egg */ ptr = egg; for (i = 0; i < EGGSIZE – … Ошибки кода ОС

Ошибки реализации Переполнение буфера – наиболее распространённая техника использования ошибок реализации Переполнение буфера – манипуляции с данными без проверок соответствия их размера выделенному для них буферу Если буфер расположен в стеке, возможна перезапись адреса возврата из функции

Переполнение стека адрес возврата local[2] local[1] local[0] Стек Буфер f_vulner() { char local[3] ……}

int f_vulner (char arg) { char local[100] char local[100] //обработка //обработка return 0 return 0} void main() { char arg[200] char arg[200] gets (arg) gets (arg).. f_vulner (arg) f_vulner (arg) printf(arg) printf(arg) return 0 return 0} адрес возврата [100] local Стек Обычный ход выполнения программы «Переполнение стека» Переменная arg [100] strcpy(local, arg)

int f_vulner (char arg) { char local[100] char local[100] //обработка //обработка return 0 return 0} void main() { char arg[200] char arg[200] gets (arg) gets (arg).. f_vulner (arg) f_vulner (arg) printf(arg) printf(arg) return 0 return 0} адрес возврата [100] local Данные [200] Переполнение стека «Переполнение стека» Стек strcpy(local, arg) Ошибка ! Вместо возврата запуск кода

Данные [200] «Переполнение стека» Вызов функций ядра (программное прерывание INT 0x80) Вызов функций из модулей DLL (например, KERNEL32.DLL) Использование функции «WinExec» Использование переполнения стека

Исправление ошибок реализации Проблема аутентификации обновлений Производитель ПО Клиент

Исправление ошибок реализации Проблема аутентификации обновлений Цифровая подпись не используется вообще Цифровая подпись не используется вообще Нет прямого пути, чтобы проверить, что используемый ключ действительно принадлежит производителю ПО Нет прямого пути, чтобы проверить, что используемый ключ действительно принадлежит производителю ПО Цифровая подпись, используемая в оповещении о выходе обновлений, не аутентифицирует само обновление Цифровая подпись, используемая в оповещении о выходе обновлений, не аутентифицирует само обновление

Аутентификация обновлений Использование отозванных сертификатов Sun Microsystems (CERT® Advisory CA ) Использование отозванных сертификатов Sun Microsystems (CERT® Advisory CA ) Троянский конь в одной из версий «TCP Wrappers» (CERT® Advisory CA ) Троянский конь в одной из версий «TCP Wrappers» (CERT® Advisory CA ) Троянский конь в пакете «util-linux-2.9g» (securityfocus) Троянский конь в пакете «util-linux-2.9g» (securityfocus) Примеры инцидентов

Исправление ошибок реализации Способы получения обновлений PGP (GnuPG) PGP (GnuPG) HTTPS HTTPS SSH SSH

Ошибки обслуживания Ошибки использования встроенных в ОС механизмов защиты

Слайд 34 Защитные механизмы идентификация и аутентификация идентификация и аутентификация разграничение доступа (и авторизация) разграничение доступа (и авторизация) регистрация событий (аудит) регистрация событий (аудит) контроль целостности контроль целостности затирание остаточной информации затирание остаточной информации криптографические механизмы криптографические механизмы идентификация и аутентификация идентификация и аутентификация разграничение доступа (и авторизация) разграничение доступа (и авторизация) регистрация событий (аудит) регистрация событий (аудит) контроль целостности контроль целостности затирание остаточной информации затирание остаточной информации криптографические механизмы криптографические механизмы …встроенные в большинство сетевых ОС

Субъекты и объекты

Объект доступа - пассивная сущность операционной системы (файл, каталог, блок памяти) Субъект доступа - активная сущность операционной системы (процесс, программа)

Пример субъекта доступа Субъект доступа = Маркер безопасного доступа + Процесс (поток) Субъект доступа в ОС Windows NT Пользователь Master …

Слайд 38 Субъект доступа Процесс Субъект доступа в Linux В роли субъектов доступа в Linux выступают процессы Процессы : Получают доступ к файлам Управляют другими процессами файл процесс Пример субъекта доступа

Идентификация и аутентификация Идентификация (субъекта или объекта): 1) именование (присвоение имен-идентификаторов); 2) опознавание (выделение конкретного из множества). Аутентификация (субъекта или объекта) - подтверждение подлинности Аутентификация (субъекта или объекта) - подтверждение подлинности (доказательство того, что он именно тот, кем представился).

Сетевая аутентификация Передача пароля в открытом виде Передача хэша пароля Механизм «запрос/отклик» Клиент Сервер Запрос пароля Установление связи

Сетевая аутентификация Клиент Сервер Механизм «запрос/отклик» Запрос пароля Зашифрованный запрос Установление связи Аналогичная операция и сравнение

Уязвимости аутентификации (по паролю) Возможность перехвата и повторного использования пароля (получение доступа к файлам с паролями) «Троянские кони» в процедуре входа в систему Социальная инженерия Повторяющийся запрос при сетевой аутентификации Возможность перехвата и повторного использования пароля (получение доступа к файлам с паролями) «Троянские кони» в процедуре входа в систему Социальная инженерия Повторяющийся запрос при сетевой аутентификации

Слайд 43 Сетевая аутентификация Предсказуемый запрос f(t)=k*t+c Сервер Запрос на аутентификацию «Случайный» запрос пароля …

Слайд 44 Сетевая аутентификация Предсказуемый запрос f(t)=k*t+c Запрос пароля от имени сервера Отклик Сервер Клиент Имя – user1

Слайд 45 Сетевая аутентификация Предсказуемый запрос f(t)=k*t+c Сервер Запрос на аутентификацию «Случайный» запрос пароля Совпал с предсказанным Полученный ранее от клиента отклик

Разграничение доступа

избирательное управление доступом полномочное управление доступом

Разграничение доступа Диспетчер доступа Субъект доступа Объект доступа Правила разграничения доступа Журнал регистрации

Разграничение доступа Диспетчер доступа (Security reference monitor) Режим ядра Режим пользователя Процесс пользователя

Матрица избирательного управления доступом объекты субъекты 1 2 J N 1 I K RW RW - RWXR J+1 - R Права доступа i-го субъекта к j-му объекту

Списки управления доступом в Windows NT (NTFS) - R-Х R- RWХ C:\Program Files Реализация матрицы доступа «по столбцам» Access Control List (ACL) AuditAudit User 1 BuchgBuchg AdministratorAdministrator

Слайд 52 Списки управления доступом в UNIX RWXR-Х--- /home/www Владелец Группа Остальные otherwebgroupalex Права доступа хранятся в служебной информации файла

Полномочное управление доступом Иерархия меток (грифов) конфиденциальности: «Особой важности» «Совершенно секретно» «Секретно» «Строго конфиденциально» «Конфиденциально» Неиерархическая система меток конфиденциальности: «Геология» «Математика» «Физика» «Строительство» и др. Уровень допуска: «Совершенно секретно» Уровни допуска: «Геология» «Физика»

Механизм регистрации и аудита событий Диспетчер доступа Субъект доступа Объект доступа Журнал регистрации

Механизм регистрации и аудита событий (Windows NT) Локальный администратор безопасности (LSA) Журнал аудита Монитор безопасности (SRM) Режим ядра Режим пользователя

Слайд 56 Система регистрации событий в UNIX login telnetd rlogin syslogd /var/log/logins /var/log/notice syslog.conf

Контроль целостности Механизм контроля целостности предназначен для своевременного обнаружения фактов модификации (искажения, подмены) ресурсов системы (данных, программ и т.п).

Контроль целостности Контролируемые ресурсы: - файлы и каталоги - элементы реестра - сектора дисков Контролируемые параметры: - содержимое ресурса - списки управления доступом - атрибуты файлов Алгоритмы контроля: - сравнение с эталоном - вычисление контрольных сумм (сигнатур) - формирование ЭЦП и имитовставок Время контроля: - до загрузки ОС - при наступлении событий - по расписанию Контролируемые ресурсы: - файлы и каталоги - элементы реестра - сектора дисков Контролируемые параметры: - содержимое ресурса - списки управления доступом - атрибуты файлов Алгоритмы контроля: - сравнение с эталоном - вычисление контрольных сумм (сигнатур) - формирование ЭЦП и имитовставок Время контроля: - до загрузки ОС - при наступлении событий - по расписанию

Контроль целостности (Windows 2000) Подсистема Windows File Protection Повреждённый системный файл заменяется копией из каталога %systemroot%\system32\dllcache sfc [/scannow] [/scanonce] [/scanboot] [/cancel] [/quiet] [/enable] [/purgecache] [/cachesize=x] Настройка – при помощи утилиты System File Checker (sfc.exe)

Затирание остаточной информации Удаление информации с диска Очистка области памяти

Затирание остаточной информации Очистка файла подкачки Hive: HKEY_LOCAL_MACHINE Key: System\CurrentControlSet\Control\ \Session Manager\Memory Management Name: ClearPageFileAtShutdown Type: REG_DWORD Value: 1

Политика безопасности и ОСПолитикабезопасности Другие ОС UNIX Windows NT Общие стандарты Руководства по настройке

Политика безопасности и ОСПолитикабезопасности Другие ОС UNIX Windows NT Общие стандарты Руководства по настройке Общие рекомендации по различным областям Связующее звено между политикой безопасности и процедурой настройки системы Пример: British Standard BS7799

Структура стандарта BS7799 Политика в области безопасности Организация системы безопасности Классификация ресурсов и управление Безопасность и персонал Физическая и внешняя безопасность Менеджмент компьютеров и сетей Управление доступом к системе Разработка и обслуживание системы Обеспечение непрерывности работы 109 элементов

Политика безопасности и ОСПолитикабезопасности Другие ОС UNIX Windows NT Общие стандарты Руководства по настройке Детальные рекомендации по настройке различных ОС Пошаговые руководства типа «Step-by-step» Пример: Руководство Стива Саттона по настройке Windows NT

NT Security Guidelines Структура документа Level 1 Level 2 Level 1 – незначительная модификация установок по умолчанию Level 2 – для узлов с повышенными требованиями к безопасности

NT Security Guidelines Введение Обзор документа Процесс инсталляции Особенности клонирования операционной системы Отключение неиспользуемых подсистем HKEY_LOCAL_MACHINE\System\CurrentControl Set\Control\Session Manager\Subsystems Отключение ненужных устройств 4. 4.… 19 частей

Слайд 68 NT Security Guidelines 1. Домены и ограничение доступа 1.Domain&Trust (деление на домены и доверительные отношения) 2. Logon Rights (Log on locally, Logon Remote) 3. Ограничение входа только с определённых узлов 2. Привилегии администратора 1. Бюджет администратора 2. Группа администраторов 3. Domain Operators&Power Users 19 частей

Слайд 69 NT Security Guidelines 6. General Policies (общие рекомендации) 1. Ограничение доступа к FDD и СD 2. Ограничение удалённого доступа к реестру 3. Утилиты SYSKEY, C2Config…. 7. ACL для файловой системы и реестра 8. Установка приложений и пользовательские каталоги 9. Бюджеты пользователей и групп 10. Пароли 11. Редактор системной политики 12. Права пользователей 19 частей

Слайд частей NT Security Guidelines 13. Журнал безопасности 14. Службы 15. Доступ к общим ресурсам 16. Сетевые возможности 17.Удалённый доступ 18. Атаки 19. Рекомендации для пользователей

Утилиты для настройки Анализ текущего состояния системы Автоматизация процесса настройки системы

Утилиты для настройки C2 Config - Windows NT Resource Kit Security Configuration Manager (SCM) Security Configuration Tool Set Windows NT (2000)

Дополнительные средства Средства анализа защищённости Средства обнаружения и блокировки вторжений Дополнительные средства защиты

Дополнительные средства Дополнительные средства защиты Средства, расширяющие возможности встроенных механизмов защиты Средства, реализующие дополнительные механизмы защиты

Дополнительные средства Усиление процедуры аутентификации Дополнительные требования к паролям Фильтр passfilt.dll для Windows NT Модули PAM для Linux

Фильтр для паролей Passfilt.dll Длина пароля не менее 6 знаков Обязательные символы (верхний/нижний регистр, числа, спецсимволы) Пароль не должен содержать имя пользователя

Дополнительные средства Утилита Passprop Включение режима усложнения пароля Управление блокировкой учётной записи «Administrator»

ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ Агенты для различных ОС Анализ защищенности на уровне операционной системы

Дополнительные средства Средства обнаружения и блокировки вторжений Системы обнаружения атак на базе узла Персональные МЭ

Системы обнаружения атак на базе узла Источники данных: Журналы аудита Журналы аудита Действия пользователей Действия пользователей Необязательно: Сетевые пакеты (фреймы), направленные к узлу и от узла

Рекомендации по выбору ОС Критерии выбора Доступность исходных текстов Доступность исходных текстов Уровень квалификации персонала Уровень квалификации персонала Варианты осуществления технической поддержки Варианты осуществления технической поддержки Требования к ОС и цели её использования Требования к ОС и цели её использования Стоимость «железа», программного обеспечения и сопровождения Стоимость «железа», программного обеспечения и сопровождения

Вопросы? Учебный Центр «ИНФОРМЗАЩИТА» ( Лепихин Владимир Телефон: (095) Факс:(095)