Monday, December 11th, 2017

Сервер ISA 2006 глазами хакера: Часть 2 – Внутренние атаки

Published on Февраль 11, 2009 by   ·   Комментариев нет

Это заключительная часть статьи о том, какими наши брандмауэры видятся хакерам. В этой части мы посмотрим, как ISA-сервер реагирует на атаки из внутренней сети, такие как заражение ARP, спуфинг и атаку типа «man-in-the-middle».

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Ну вот, теперь я знаю о моем внешнем интерфейсе. Может, отдохнем?

К сожалению, нет. 80% атак исходят из внутренней сети. Обычно в Интернете вы публикуете максимум десяток серверов, но во внутренней сети их могут быть сотни.

Ниже на рисунке представлена общая схема сети, которую мы будем использовать в нашей статье для примера.

Внутренние атаки ос

Схема 1:Пример сети

Внутренняя сеть – это кошмар администратора безопасности. Обычно внутренние сети объединены в DMZ, но пользователи и серверы часто находятся в одной сети.

Для серверов, которые не расположены в DMZ, можно использовать IPSec или внутренние брандмауэры, но… Что будет с DMZ, если хакер попадет внутрь?

Есть два варианта: заражение ARP во всех его проявлениях и программы сканирования сети.

Администраторы ISA-сервера внутренних сетей для определения авторизованных пользователей могут использовать два элемента:

  • IP-адрес источника: IP-адрес компьютера легко подменяется. С помощью различных методов управления ARP есть возможность взломать сеть через IP и MAC-адреса. Хакеры в Интернете могут только видеть порты, которые брандмауэр публикует для всех IP-адресов или общих подсетей, но хакеры внутренних сетей могут найти все порты, опубликованные брандмауэром для внутренней сети, хотя у хакеров и нет нужного IP-адреса для доступа.
  • Пользователь, зарегистрировавшийся на компьютере-источнике; используя заражение ARP и программы сканирования сети, можно легко узнать пароли. Во внутренних сетях, где защита ниже, чем в Интернете, работают сотни различных служб, которые, в большинстве случаев, являются старыми, не обновленными версиями. Базовая и явная аутентификация, а также службы, такие как шифрованные терминальные службы, прокси и web, дают возможность хакерам перехватывать пароли.

Для дальнейших тестов нашего ISA-сервера мы будем использовать правило, разрешающее трафик из всей внутренней сети, кроме одного IP-адреса (адрес внутреннего хакера), к серверу в DMZ (192.168.10.2).

Внутренние атаки ос

Рисунок 1:Правило ISA-сервера для тестирования

Внутренние атаки ос

Рисунок 2:Детали правила (1)

Внутренние атаки ос

Рисунок 3:Детали правила (2)

Теперь, если мы просканируем Web-сервер, находящийся в DMZ, все порты будут показаны как открытые или с установленным на них фильтром.

Внутренние атаки ос

Рисунок 4:Результаты сканирования

Единственное, что нам не хватает, это подмена нашего IP-адреса и пароля.

А что если для отправки пакетов на подмену IP-адреса мы используем Nmap? И что будет, если это IP принадлежит другой сети с ISA-сервером?

Внутренние атаки ос

Рисунок 5:Использование NMap для подмены IP –адреса другого сегмента с помощью команды “nmap –p 80-90 –e eth0 –S 10.10.10.2 –P0 192.168.10.2”

Внутренние атаки ос

Рисунок6:ISA-сервер определяет пакеты и отклоняет трафик

Внутренние атаки ос

Рисунок7:ISA-сервер определяет атаку и создает событие

Хорошо. Но что если пакет придет из другой сети?

Программу Nmap можно использовать для подмены MAC и IP адресов, но лучшим средство для этого является IRS от компании Cain & Abel.

С помощью IRS мы можем сканировать порты и подменять IP-адреса всей подсети. Помимо этого, можно подменять и MAC-адрес источника атаки.

Внутренние атаки ос

Рисунок 8:Использование IRS (1)

Внутренние атаки ос

Рисунок 9:Использование IRS (2), настройка интерфейса

Внутренние атаки ос

Рисунок 10:Использование IRS(3), настройка цели

Внутренние атаки ос

Рисунок 11:Использование IRS (4), Результаты

Теперь мы знаем, какие адреса имеют доступ к источнику.

ARP и сканировщики сети дают нам и другие интересные возможности.

Мы можем просканировать сеть на предмет поиска пароля. На самом деле, безопасность – вещь достаточно относительная: либо защищено все, либо ничего. Если вы пользуйтесь незащищенными системами и не можете их защитить, изолируйте их от остальных систем вашей сети. Создайте для незащищенных систем отдельный домен и используйте для доступа к ним отдельные учетные записи пользователей. Если пользователи используют один и тот же пароль для доступа к защищенным и незащищенным системам, хакер, с помощью сканера и ARP-атак типа «man-in-the-middle» (mitm), может определить эти пароли. Программное обеспечение, наподобие Ettercap, может сканировать сети с помощью декодеров протоколов, осуществлять поиск паролей, а также позволяет проводить некоторые атаки типа «man-in-the-middle».

Внутренние атаки ос

Рисунок 12:Использование Ettercap (1) Сканирование сети

Внутренние атаки ос

Рисунок 13:Использование Ettercap (2) Протоколы и дополнительные программные модули загружены, начало сканирования

Внутренние атаки ос

Рисунок 14:Использование Ettercap (3) Пароли определены

Внутренние атаки ос

Рисунок 15:Использование Ettercap (4), атаки типа «man-in-the-middle»

После всего этого у хакера во внутренней сети есть вся информация для атаки служб из DMZ, но… что если хакер является серьезным взломщиком, а мы не приняли всех необходимых мер предосторожности? Сможет ли хакер обойти соединения брандмауэра с другими сетями, включая внешнюю сеть? В нашем примере брандмауэр выходит в Интернет через маршрутизатор с IP-адресом 10.10.10.2. Что если хакер обманет брандмауэр с помощью поддельного MAC-адреса маршрутизатора? Ответ: брандмауэр не сможет соединиться с внешней сетью; это атака типа D.O.S (Denial Of Service – отказ от обслуживания).

Внутренние атаки ос

Рисунок 16:Использование Nemesis для отсылки ARP-пакета брандмауэру

Ну вот, вы видели все плохое и очень плохое. Теперь посмотрим, что тут есть хорошего

Главное, что нужно знать об атаках ARP и MITM, это то, что их очень трудно осуществить из Интернета. Хакеры обладают средствами, но и у администраторов они тоже есть. Для того, чтобы избежать атак типа DOS или MITM ARP обязательно добавьте статические записи ARP на ваши брандмауэры и сетевые устройства. Для этого используйте команду ARP.

Внутренние атаки ос

Рисунок17:Creating a static ARP entry

Сетевые устройства могут служить отличными союзниками в борьбе против спуфинга и сканироващиков сети. Для устранения широковещательной рассылки ARP можно создать виртуальные локальные сети VLAN, а у многих сетевых устройств есть функции для усиления безопасности сети. Также администраторы могут использовать IDS (Intrusion Detection System – Система обнаружения вторжения). IDS используют сканеры сети для анализа сетевого трафика и нахождения уязвимостей с помощью правил. Программа Snort – это одна из самых известных бесплатных систем IDS, в которой клиентская часть называется IDSCenter. Можно настроить Snort на определение ARP-атак на IP-адреса брандмауэров, маршрутизаторов, прокси-серверов и т.д. Snort также определяет сканирование портов и сотни других событий, относящихся к защите и безопасности.

Внутренние атаки ос

Рисунок 18:Настройка Snort на определение ARP-атак

Кроме того, Snort можно настроить на запуск сценариев для блокирования трафика с IP-адреса хакера и отсылку почты при появлении предупреждения.

Внутренние атаки ос

Рисунок19:Настройка оповещения

Внутренние атаки ос

Рисунок 20:Событие: определена подмена ARP

Внутренние атаки ос

Рисунок 21:Событие: обнаружено сканирование портов

Если на сервер Snort вы установите MOM-агент, вы сможете читать предупреждения журнале событий и обрабатывать предупреждения в консоли MOM.

Защита от переполнения

Одной из новых возможностей сервера ISA 2006 является защита от переполнения, которая позволяет избежать атак типа D.O.S, червей и других проблем.

Внутренние атаки ос

Рисунок 22:Защита от переполнения (1)

Внутренние атаки ос

Рисунок 23:Защита от переполнения (2)

Внутренние атаки ос

Рисунок 24:Защита от переполнения (3)

Для каждой потенциальной атаки вы можете определить предел и настраиваемый предел. Настраиваемый предел применяется только к списку исключений IP-адресов. В нашем примере мы включили IP-адрес одного из внутренних компьютеров в список исключений и определили настраиваемый предел равный 3-м одновременным соединениям TCP/IP.

Внутренние атаки ос

Рисунок 25:Защита от переполнения (4)

Внутренние атаки ос

Рисунок 26:Защита от переполнения (5)

Внутренние атаки ос

Рисунок 27:Защита от переполнения (6)

С такими настройками компьютер с адресом 192.168.0.30 обладает количеством одновременных соединений равным 3.

Используем telnet для создания соединений с адреса 192.168.0.30, а для просмотра одновременных TCP-соединений используем на ISA-сервере монитор производительности.

Внутренние атаки ос

Рисунок28:Защита от переполнения (7)

Когда компьютер пытается создать четвертое соединение, ISA-сервер отклоняет трафик и записывает событие в журнал.

Резюме

ISA-сервер – это великолепный продукт, обладающий сертификатом высокого уровня безопасности и «защищенный по умолчанию». Система Windows предоставляет нам множество функций защиты для борьбы с атаками хакеров, но главная ответственность за безопасность сети находится в ваших руках и все зависит от вашего профессионализма.

www.isaserver.org


Смотрите также:

Tags:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]