Уязвимости, локальных сетей на основе AD.
1. Введение
MicrosoftActiveDirectory(MAD) как инструмент для развертывания и управления корпоративными сетями был впервые представлен корпорацией Microsoftв 1999г. С этого момента MADподвергается постоянной модернизации и улучшению (Windows2000 ServerEdition, WindowsServer2003, WindowsServer2003 R2, WindowsServer2008, WindowsServer2008 R2). Распространенность MAD[1] объясняется, прежде всего, широкой популярностью операционных систем семейства Windowsи относительной простотой развертывания и управления корпоративной сетью с использованием MAD.
Однако при неправильной или неполной настройке [2], использование MADкак решения для корпоративных сетей, связано с появлением серьезных угроз безопасности и конфиденциальности информации. Наличие дополнительных сервисов в корпоративной сети, таких как электронная почта, быстрый обмен сообщениями и т.д., существенно увеличивает риск возникновения таких угроз.
2. Классификация уязвимостей сетей на основе MAD
Первый тип уязвимости характерен для сетей MADв целом и связан с использованием, из-за поддержки обратной совместимости для гетерогенных сетей, устаревших и ненадежных протоколов аутентификации LM, NTLMv1, NTLMv2, NTLMv2-Session[3].
Например, при некорректной настройке, рабочие станции Windows, в процессе авторизации пользователей, передают контроллеру домена сети LMи NTLMхэши, несмотря на то, что, начиная с Windows2000, протоколом аутентификации по умолчанию является kerberos. Перехват (или сниффинг) LMили NTLMхэшей дает злоумышленнику возможность за приемлемое время восстановить пароли пользователей, используя, например, bruteforceили rainbowtables[4] криптоатаки. Технические аспекты реализации сниффинга и криптоатак LMи NTLMхэшей обсуждаются в следующем разделе данной статьи.
Уязвимости второго рода есть следствие применения в MADненадежных политик паролей и учетных записей [2]. Наиболее опасными с этой точки зрения являются следующие ошибки в проектировании политик безопасности корпоративной сети:
- использование пользователями слабых паролей;
- отсутствие требований к минимальному и максимальному сроку действия паролей;
- ненадежная политика блокировки учетных записей;
- отсутствие журналов паролей, исключающих их повторное использование;
- отсутствие политики периодической смены паролей, исключающей немедленного возврата старого пароля;
- хранение паролей, используя обратимое шифрование.
Третий вид уязвимости заключается в сильной зависимости службы каталогов MADот службы DNS[2]. В MADсетях служба DNSиспользуется для:
- авторизации клиентов и получения ими доступа к различным службам сети;
- разрешение доменных имен;
- обнаружения Web, почтовых и других ресурсов.
Служба DNS, в свою очередь, подвержена многочисленным видам так называемых DNS-атак [5]. На магистральных каналах связи системы обнаружения вторжений (IntrusionDetectionSystems, IDS) эффективно распознают эти атаки и блокируют злоумышленника. Однако в локальных сетях на основе MADстандартного и эффективного решения для защиты от DNS-атак пока не существует. Разновидности и технические аспекты реализации DNS-атак рассматриваются в следующем разделе данной статьи.
Следующий, четвертый вид уязвимости, присущий корпоративным сетям на основе MAD, связан с отсутствием стандартных и эффективных IDSсистем и систем предотвращения атак (IntrusionPreventionSystems, IPS) в серверных версиях Windowsи версиях Windowsдля рабочих станций. Таким образом, в отсутствие дополнительно установленных и корректно настроенных IDSи IPSсистем, в сетях на основе MADстановится возможным применение Man-In-The-Middle(MITM), Denial-of-Service(DoS) [5] и множества других видов сетевых атак. Классификация и технические аспекты этих атак также рассматриваются в следующем разделе данной статьи.
Последний вид уязвимости, рассматриваемый в рамках данной работы, есть следствие использования в корпоративной сети на основе MADнеправильно или некорректно сконфигурированных (с точки зрения безопасности) дополнительных сетевых сервисов, таких как электронная почта, сервисов быстрого обмена сообщениями, передача файлов, а также различных Web-сервисов. Например, для упрощения процессов администрирования, пользователи корпоративной сети для авторизации во всех сетевых сервисах, в том числе и для авторизации в домене, используют одну и ту же пару логин-пароль. Успешная сетевая (или какая-либо другая) атака на один из таких сервисов, возможная в силу вышеперечисленных уязвимостей, приводит к взлому MAD, и наоборот успешная атака на MADприводит к взлому всех сетевых сервисов.
3. Классификация атак в сетях на основе MAD
Как было уже отмечено в предыдущем разделе статьи, в сетях на основе MADвозможны следующие разновидности сетевых атак:
- сниффинг;
- DNS-атаки;
- атаки вида MITM;
- атаки вида DoS.
Сниффинг [5] – это сетевая атака, заключающаяся в перехвате и анализе информации проходящей через сетевой интерфейс, с использованием специального программного обеспечения, так называемых снифферов. С появлением интеллектуальных маршрутизаторов данный вид атаки несколько утратил свою актуальность, однако в сочетании с другими видами сетевых атак, такими как, например, спуфинг, сниффинг по-прежнему представляет серьезную опасность для корпоративных сетей. Это обусловлено, прежде всего, широкой распространенностью снифферов как программного обеспечения и практической невозможностью обнаружить сетевой интерфейс в локальной сети, работающий в режиме сниффинга.
Особую опасность сниффинг представляет, когда передача логинов и паролей клиентов при авторизации осуществляется в незашифрованном виде, а также когда для авторизации в каких-либо сервисах используются устаревшие или небезопасные протоколы аутентификации. В этих случаях, криптоатака либо совсем не нужна, так как логины-пароли перехватываются в открытом виде, например, при использовании протоколов SMTP, POP3, FTP, HTTP, либо криптоатака на хэш не требует существенных вычислительных ресурсов, например, в случае SSH1.
Поскольку авторизация клиентов в сетях на основе MADосуществляется при помощи криптографических протоколов аутентификации, то, как правило, сниффинг является промежуточным этапом между каким-то другим видом сетевой атаки, например спуффингом, и криптоатакой на перехваченные хэши.
Как уже было отмечено выше, перехваченные при помощи сниффинга LMи NTLMхэши, могут быть подвергнуты bruteforceили rainbowtablesкриптоатакам. С этой точки зрения, наибольший интерес представляет криптоатака rainbowtables, поскольку позволяет восстановить пароль по перехваченному хэшу за приемлемое время, используя вычислительные ресурсы обычного персонального компьютера.
В отличие от bruteforce, криптоатака rainbowtablesиспользует заранее подготовленные таблицы хэшей, которые либо генерируются при помощи специального программного обеспечения, либо доступны в свободном или коммерческом виде на сайтах многочисленных криптографических проектов.
Существуют следующие разновидности DNS-атак [5]:
- разведка (footprinting), заключается в похищении данных DNS-зоны с именами доменов, а также именами и IP-адресами компьютеров, и использовании этих данных для взлома системы;
- перенаправление (redirection), заключается в подмене IP-адреса и перенаправление клиентов на подконтрольные серверы;
- отказ в обслуживании (DenialofService, DoS), заключается в блокировке разрешения имен, перегрузкой DNS-сервера потоками рекурсивных запросов, при этом сервер обычно зависает, и служба DNS прекращает работу;
- подделка IP-пакетов (IP spoofing), заключается в использовании IP-адресов из похищенной DNS-зоны, для генерации IP-пакетов, имитирующих пакеты от узлов атакуемой сети (в действительности же эти пакеты могут использоваться для кражи информации или взлома ресурсов);
- отравление кэша DNS(DNScachepoisoning), когда в ответ на запросы DNS-сервера может возвращаться (и записываться в его кэш) информация о разрешении имен, для которых данный сервер не уполномочен. Клиентские запросы разрешения имен могут удовлетворяться с использованием данных из кэша. Изменив записи в кэше, злоумышленник перенаправляет клиента на подконтрольный ему компьютер, либо просто на неверный адрес.
Атака MITM[5] – это метод компрометации канала связи, при котором злоумышленник, подключившись к каналу между контрагентами, осуществляет активное вмешательство в протокол передачи, удаляя, искажая информацию или навязывая ложную. По существу MITMявляется комбинацией сниффинга и спуфинга на каком-нибудь уровне сетевого взаимодействия, например на канальном, с использованием специального программного обеспечения. Наиболее опасными разновидностями MITMдля корпоративных сетей на основе MADявляются атаки ARP-poisoningи DNScachepoisoningпо причине отсутствия стандартных и эффективных средств их обнаружения и блокировки.
DoS-атака [5] – это атака на сетевой сервис с целью вывести его из строя, то есть создание таких условий, при которых пользователи сервиса не могут получить доступ к предоставляемым сервисом ресурсам, либо этот доступ затруднён. DoS-атака заключается в перегрузке сервиса, например почтового, потоками специальным образом сформированных запросов. Атакуемый сервер, при этом, перестает справляться с поступающими запросами и отказывает в обслуживании легитимным пользователям.
Существуют многочисленные методы борьбы с DoS-атаками и все они, как правило, сводятся к установке и настройке дополнительного программного обеспечения, как на серверные, так и на рабочие станции корпоративной сети.
4. Общие рекомендации по улучшению безопасности
Основными рекомендациями для улучшения безопасности корпоративной сети на основе MADмогут быть следующие:
1. Использовать более надежные политики паролей, т.е.
- запретить использование пользователями слабых паролей, например, пароли пользователей в обязательном порядке должны иметь минимальную длину 12 символов и состоять из символов букв с учетом регистра, цифр и специальных символов, таких как ~!@#$%^&*()_+=- и т.д.;
- определить минимальный и максимальный срок действия паролей, например, 5 и 20 дней;
- определить надежную политику блокировки учетных записей, например, пользователи имеют только 3 попытки неправильного ввода пароля с обязательными 1-минутными паузами между ними;
- использовать журналы паролей, исключающие их повторное использование;
- определить политику периодической смены паролей, исключающую немедленный возврат старого пароля;
- запретить локальное хранение паролей, с использованием обратимого шифрования.
2. Для авторизации в домене и в сетевых сервисах, таких как электронная почта, Интранет и т.д., использовать разные логины-пароли.
3. Любая, передаваемая внутри корпоративной сети, информация (в том числе логины-пароли) должна шифроваться с использованием проверенных и устойчивых алгоритмов криптографической защиты, во избежание перечисленных в предыдущем разделе атак.
4. Протоколы аутентификации LM, NTLM, NTLMSSP, используемые по умолчанию в устаревших версиях Windows(явление характерное для гетерогенных корпоративных сетей) необходимо заменить на более устойчивый протокол аутентификации kerberos. Данный шаг требует правильного конфигурирования системного программного обеспечения не только серверных станций, но и всех рабочих станций корпоративной сети.
5. Все используемые в корпоративной сети сервисы должны быть тщательно проверены на уязвимости к атакам, перечисленным во втором и третьем разделах данной статьи и путем установки и конфигурирования дополнительно программного обеспечения, надежно защищены от этих атак.
5. Заключение
MicrosoftActiveDirectoryявляется эффективным и многофункциональным инструментом развертывания и управления корпоративными сетями. Однако, с точки зрения информационной безопасности, корпоративная сеть на основе MADтребует особо внимательного отношения в плане настройки и конфигурирования.
При использовании ненадежных политик безопасности, непродуманной архитектуры, устаревшего программного обеспечения корпоративная сеть на основе MADстановится небезопасной и доступной для осуществления многочисленных видов сетевых атак.
MicrosoftActiveDirectory(MAD) как инструмент для развертывания и управления корпоративными сетями был впервые представлен корпорацией Microsoftв 1999г. С этого момента MADподвергается постоянной модернизации и улучшению (Windows2000 ServerEdition, WindowsServer2003, WindowsServer2003 R2, WindowsServer2008, WindowsServer2008 R2). Распространенность MAD[1] объясняется, прежде всего, широкой популярностью операционных систем семейства Windowsи относительной простотой развертывания и управления корпоративной сетью с использованием MAD.
Однако при неправильной или неполной настройке [2], использование MADкак решения для корпоративных сетей, связано с появлением серьезных угроз безопасности и конфиденциальности информации. Наличие дополнительных сервисов в корпоративной сети, таких как электронная почта, быстрый обмен сообщениями и т.д., существенно увеличивает риск возникновения таких угроз.
2. Классификация уязвимостей сетей на основе MAD
Первый тип уязвимости характерен для сетей MADв целом и связан с использованием, из-за поддержки обратной совместимости для гетерогенных сетей, устаревших и ненадежных протоколов аутентификации LM, NTLMv1, NTLMv2, NTLMv2-Session[3].
Например, при некорректной настройке, рабочие станции Windows, в процессе авторизации пользователей, передают контроллеру домена сети LMи NTLMхэши, несмотря на то, что, начиная с Windows2000, протоколом аутентификации по умолчанию является kerberos. Перехват (или сниффинг) LMили NTLMхэшей дает злоумышленнику возможность за приемлемое время восстановить пароли пользователей, используя, например, bruteforceили rainbowtables[4] криптоатаки. Технические аспекты реализации сниффинга и криптоатак LMи NTLMхэшей обсуждаются в следующем разделе данной статьи.
Уязвимости второго рода есть следствие применения в MADненадежных политик паролей и учетных записей [2]. Наиболее опасными с этой точки зрения являются следующие ошибки в проектировании политик безопасности корпоративной сети:
- использование пользователями слабых паролей;
- отсутствие требований к минимальному и максимальному сроку действия паролей;
- ненадежная политика блокировки учетных записей;
- отсутствие журналов паролей, исключающих их повторное использование;
- отсутствие политики периодической смены паролей, исключающей немедленного возврата старого пароля;
- хранение паролей, используя обратимое шифрование.
Третий вид уязвимости заключается в сильной зависимости службы каталогов MADот службы DNS[2]. В MADсетях служба DNSиспользуется для:
- авторизации клиентов и получения ими доступа к различным службам сети;
- разрешение доменных имен;
- обнаружения Web, почтовых и других ресурсов.
Служба DNS, в свою очередь, подвержена многочисленным видам так называемых DNS-атак [5]. На магистральных каналах связи системы обнаружения вторжений (IntrusionDetectionSystems, IDS) эффективно распознают эти атаки и блокируют злоумышленника. Однако в локальных сетях на основе MADстандартного и эффективного решения для защиты от DNS-атак пока не существует. Разновидности и технические аспекты реализации DNS-атак рассматриваются в следующем разделе данной статьи.
Следующий, четвертый вид уязвимости, присущий корпоративным сетям на основе MAD, связан с отсутствием стандартных и эффективных IDSсистем и систем предотвращения атак (IntrusionPreventionSystems, IPS) в серверных версиях Windowsи версиях Windowsдля рабочих станций. Таким образом, в отсутствие дополнительно установленных и корректно настроенных IDSи IPSсистем, в сетях на основе MADстановится возможным применение Man-In-The-Middle(MITM), Denial-of-Service(DoS) [5] и множества других видов сетевых атак. Классификация и технические аспекты этих атак также рассматриваются в следующем разделе данной статьи.
Последний вид уязвимости, рассматриваемый в рамках данной работы, есть следствие использования в корпоративной сети на основе MADнеправильно или некорректно сконфигурированных (с точки зрения безопасности) дополнительных сетевых сервисов, таких как электронная почта, сервисов быстрого обмена сообщениями, передача файлов, а также различных Web-сервисов. Например, для упрощения процессов администрирования, пользователи корпоративной сети для авторизации во всех сетевых сервисах, в том числе и для авторизации в домене, используют одну и ту же пару логин-пароль. Успешная сетевая (или какая-либо другая) атака на один из таких сервисов, возможная в силу вышеперечисленных уязвимостей, приводит к взлому MAD, и наоборот успешная атака на MADприводит к взлому всех сетевых сервисов.
3. Классификация атак в сетях на основе MAD
Как было уже отмечено в предыдущем разделе статьи, в сетях на основе MADвозможны следующие разновидности сетевых атак:
- сниффинг;
- DNS-атаки;
- атаки вида MITM;
- атаки вида DoS.
Сниффинг [5] – это сетевая атака, заключающаяся в перехвате и анализе информации проходящей через сетевой интерфейс, с использованием специального программного обеспечения, так называемых снифферов. С появлением интеллектуальных маршрутизаторов данный вид атаки несколько утратил свою актуальность, однако в сочетании с другими видами сетевых атак, такими как, например, спуфинг, сниффинг по-прежнему представляет серьезную опасность для корпоративных сетей. Это обусловлено, прежде всего, широкой распространенностью снифферов как программного обеспечения и практической невозможностью обнаружить сетевой интерфейс в локальной сети, работающий в режиме сниффинга.
Особую опасность сниффинг представляет, когда передача логинов и паролей клиентов при авторизации осуществляется в незашифрованном виде, а также когда для авторизации в каких-либо сервисах используются устаревшие или небезопасные протоколы аутентификации. В этих случаях, криптоатака либо совсем не нужна, так как логины-пароли перехватываются в открытом виде, например, при использовании протоколов SMTP, POP3, FTP, HTTP, либо криптоатака на хэш не требует существенных вычислительных ресурсов, например, в случае SSH1.
Поскольку авторизация клиентов в сетях на основе MADосуществляется при помощи криптографических протоколов аутентификации, то, как правило, сниффинг является промежуточным этапом между каким-то другим видом сетевой атаки, например спуффингом, и криптоатакой на перехваченные хэши.
Как уже было отмечено выше, перехваченные при помощи сниффинга LMи NTLMхэши, могут быть подвергнуты bruteforceили rainbowtablesкриптоатакам. С этой точки зрения, наибольший интерес представляет криптоатака rainbowtables, поскольку позволяет восстановить пароль по перехваченному хэшу за приемлемое время, используя вычислительные ресурсы обычного персонального компьютера.
В отличие от bruteforce, криптоатака rainbowtablesиспользует заранее подготовленные таблицы хэшей, которые либо генерируются при помощи специального программного обеспечения, либо доступны в свободном или коммерческом виде на сайтах многочисленных криптографических проектов.
Существуют следующие разновидности DNS-атак [5]:
- разведка (footprinting), заключается в похищении данных DNS-зоны с именами доменов, а также именами и IP-адресами компьютеров, и использовании этих данных для взлома системы;
- перенаправление (redirection), заключается в подмене IP-адреса и перенаправление клиентов на подконтрольные серверы;
- отказ в обслуживании (DenialofService, DoS), заключается в блокировке разрешения имен, перегрузкой DNS-сервера потоками рекурсивных запросов, при этом сервер обычно зависает, и служба DNS прекращает работу;
- подделка IP-пакетов (IP spoofing), заключается в использовании IP-адресов из похищенной DNS-зоны, для генерации IP-пакетов, имитирующих пакеты от узлов атакуемой сети (в действительности же эти пакеты могут использоваться для кражи информации или взлома ресурсов);
- отравление кэша DNS(DNScachepoisoning), когда в ответ на запросы DNS-сервера может возвращаться (и записываться в его кэш) информация о разрешении имен, для которых данный сервер не уполномочен. Клиентские запросы разрешения имен могут удовлетворяться с использованием данных из кэша. Изменив записи в кэше, злоумышленник перенаправляет клиента на подконтрольный ему компьютер, либо просто на неверный адрес.
Атака MITM[5] – это метод компрометации канала связи, при котором злоумышленник, подключившись к каналу между контрагентами, осуществляет активное вмешательство в протокол передачи, удаляя, искажая информацию или навязывая ложную. По существу MITMявляется комбинацией сниффинга и спуфинга на каком-нибудь уровне сетевого взаимодействия, например на канальном, с использованием специального программного обеспечения. Наиболее опасными разновидностями MITMдля корпоративных сетей на основе MADявляются атаки ARP-poisoningи DNScachepoisoningпо причине отсутствия стандартных и эффективных средств их обнаружения и блокировки.
DoS-атака [5] – это атака на сетевой сервис с целью вывести его из строя, то есть создание таких условий, при которых пользователи сервиса не могут получить доступ к предоставляемым сервисом ресурсам, либо этот доступ затруднён. DoS-атака заключается в перегрузке сервиса, например почтового, потоками специальным образом сформированных запросов. Атакуемый сервер, при этом, перестает справляться с поступающими запросами и отказывает в обслуживании легитимным пользователям.
Существуют многочисленные методы борьбы с DoS-атаками и все они, как правило, сводятся к установке и настройке дополнительного программного обеспечения, как на серверные, так и на рабочие станции корпоративной сети.
4. Общие рекомендации по улучшению безопасности
Основными рекомендациями для улучшения безопасности корпоративной сети на основе MADмогут быть следующие:
1. Использовать более надежные политики паролей, т.е.
- запретить использование пользователями слабых паролей, например, пароли пользователей в обязательном порядке должны иметь минимальную длину 12 символов и состоять из символов букв с учетом регистра, цифр и специальных символов, таких как ~!@#$%^&*()_+=- и т.д.;
- определить минимальный и максимальный срок действия паролей, например, 5 и 20 дней;
- определить надежную политику блокировки учетных записей, например, пользователи имеют только 3 попытки неправильного ввода пароля с обязательными 1-минутными паузами между ними;
- использовать журналы паролей, исключающие их повторное использование;
- определить политику периодической смены паролей, исключающую немедленный возврат старого пароля;
- запретить локальное хранение паролей, с использованием обратимого шифрования.
2. Для авторизации в домене и в сетевых сервисах, таких как электронная почта, Интранет и т.д., использовать разные логины-пароли.
3. Любая, передаваемая внутри корпоративной сети, информация (в том числе логины-пароли) должна шифроваться с использованием проверенных и устойчивых алгоритмов криптографической защиты, во избежание перечисленных в предыдущем разделе атак.
4. Протоколы аутентификации LM, NTLM, NTLMSSP, используемые по умолчанию в устаревших версиях Windows(явление характерное для гетерогенных корпоративных сетей) необходимо заменить на более устойчивый протокол аутентификации kerberos. Данный шаг требует правильного конфигурирования системного программного обеспечения не только серверных станций, но и всех рабочих станций корпоративной сети.
5. Все используемые в корпоративной сети сервисы должны быть тщательно проверены на уязвимости к атакам, перечисленным во втором и третьем разделах данной статьи и путем установки и конфигурирования дополнительно программного обеспечения, надежно защищены от этих атак.
5. Заключение
MicrosoftActiveDirectoryявляется эффективным и многофункциональным инструментом развертывания и управления корпоративными сетями. Однако, с точки зрения информационной безопасности, корпоративная сеть на основе MADтребует особо внимательного отношения в плане настройки и конфигурирования.
При использовании ненадежных политик безопасности, непродуманной архитектуры, устаревшего программного обеспечения корпоративная сеть на основе MADстановится небезопасной и доступной для осуществления многочисленных видов сетевых атак.
- 0
- 8 октября 2010, 00:39
- комментировать
