Jump to content
СофтФорум - всё о компьютерах и не только

О сетевой безопасности.


Recommended Posts

Кхе-кхе...будучи несколько задет попытками уличить меня в пустом трёпе,флейме и других не менее страшных вещах,решил выложить статейку на тему настройки сетевой безопасности ХР. Написано,ясное дело,не мной,но мной протестировано при участии моих друзей в жесточайших условиях,ими созданных,на протяжении почти года.Всё описанное испытано на собственной системе и работает на самом деле.Это должен знать каждый! :unsure:

Начать следует с пользовательских аккаунтов. Так как, получив пароль администратора,

злоумышленник имеет неограниченную власть в системе. Из теории мы знаем, что данные о

пользователях и их пароли хранятся в файле SAM. Он расположен в директории %systemroot%\system32\config.

Следует отметить, что во время работы в системе никто, даже администратор не может получить доступ к

этому файлу, но если есть доступ к диску альтернативными способами, то получить этот файл не составит труда.

А, получив этот файл, можно расшифровать находящиеся в нем пароли. Отсюда ещё несколько правил:

- Во-первых, НИКОГДА не использовать Windows 9x как альтернативную ОС.

- А во-вторых, устанавливать Windows XP необходимо только на NTFS раздел. Именно в этом случае

XP приобретает свойственные ей меры безопасности, и получить допуск к диску из Windows 9x будет

практически невозможным. Тем более, если речь ведется о локальной сети, когда XP представляет собой сервер,

а Windows 9x - клиентские машины. Очень часто встречается ситуация, когда администратор оставляет ОС

на FAT для доступа к дискам сервера из клиентских машин.

Получив файл паролей и файл SYSTEM из той же директории, утилита типа Saminside взламывает

слабые пароли за считанные минуты. Отсюда ещё одно правило: ставить сложные пароли, используя

различные регистры и символы, а также задать новую политику Send NTLM response Only. Для этого

в панели администрирования выбрать оснастку Local Security Policy, затем Local Security Settings - Security Options.

Необходимо найти строку Network Security: Lan Manager Authentification level. И задать ей значение

"Send NTLMv2 response only".

С этим разобрались, затем стоит обратить внимение, что помимо этих ресурсов существует другие общие

системные ресурсы: Admin$ и IPC$. Злоумышленник может получить важную информацию об ОС, то есть узнать

ВСЁ об атакуемой машине. Это возможно из-за установления так называемой нулевой сессии.

Null Session - процесс подключения к IPC$ с пустой парой логин-пароль. Используется для удаленного

просмотра состояния ОС. IPC - Interprocess Communication - межпроцессорное взаимодействие по сети.

Admin$ - обеспечение удаленного управления ОС. Но вреда от этих ресурсов больше, чем пользы, поэтому

это необходимо запретить.

Итак, для этого необходимо в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

найти параметр restrictanonymous и присвоить ему значение 1 или 2. В случае присвоения параметра 1

система запретит анонимным пользователям просматривать данные о компьютере, но установление нуль

сессии останется возможным. В случае присвоения "2" система будет отказывать любой анонимный доступ

к компьютеру. И компьютер будет невиден при попытке скана или через "сетевое окружение". Но это не

лучший выход, если машина является контроллером домена

В описанном выше случае система будет отказывать в доступе анономным пользователям, но если известен

IP адрес машины, то доступ получить ещё можно. А если никакие удаленные подключения к системе не нужны,

тогда можно удалить все системные ресурсы одной правкой параметра реестра в ветке:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters. Здесь необходимо

создать строку AutoShareWks и присвоить ему значение "0". Или просто отключить службу "Сервер".

Но и это ещё не все. есть такой сервис - NetBios. Это протокол, предоставляющий право удаленного

доступа к файлам и папкам. Он может предоставить те же самые данные о компьютере, даже если IPC$

отключен. При удалении NetBIOS никто не сможет пробраться на локальный компьютер, но и пользователь

также не сможет просматривать другие share ресурсы. Выбираем, что лучше. Но при отключении NetBios

компьютер превращается в неприступную крепость, и найти его практически не будет предоставляться

возможным. Для его отключения необходимо:

1. Войти в свойства соединения и выбрать вкладку "networking".

2. Здесь необходимо выделить протокол TCP/IP и нажать "properties"

3. Тут же выбираем вкладку "Advanced".

И отмечаем пункт "Disable NetBios over TCP/IP. Всё, на этом пункте ПК превращен в неуязвимую извне крепость.

И последнее, сразу же стоит явно указать системе, где находится файл Explorer- проводник. Для этого необходимо

в реестре [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] явно указать

месторасположение файла explorer.exe - это необходимо для предотвращения запуска "левого" файла

explorer.exe из корневой директории диска. Так как туда может писать кто угодно, то никто не

помешает злоумышленнику всунуть туда НЕЧТО...

Есть ещё немного уже моих личных дополнений,но об этом в другой раз.

Link to comment
Share on other sites

Все это очень интересно и полезно.

А еще злоумышленник может загрузаться с дискеты и с помощью CIA Commander поменять к едрене фене проль чего угодно и любой параметр в реестре винды, которая на NTFS. И сама винда (точнее ее загрузка) хоть в каком режиме ему даром не нужна :)

Link to comment
Share on other sites

Voron

Верно.Но я с трудом представляю себе,что кто-то начнёт на моём компе что-то грузить с дискет,потому что сразу получит по башне чем-нибудь тяжёлым. :D Думаю,у большинства форумчан ситуация сходная.Если нет,можно попробовать раздобыть инструкцию по изготовлению бейсбольных бит в домашних условиях.:lol:

Link to comment
Share on other sites

Мифы компьютерной безопасности.

Автор: Валерий Коржов.

Проблема защиты информации не нова. Она появилась вместе с компьютерами. Естественно, что стремительное совершенствование компьютерных технологий отразилось и на принципах построения защиты информации. Задачи изменились, а мнения остались прежние - так рождаются мифы. Вот несколько мифов компьютерной безопасности.

МИФ ПЕРВЫЙ.

"Защита информации и криптография - близнецы-братья"

Этот миф, видимо, связан с тем, что с самого начала своего развития системы информационной безопасности разрабатывались для военных ведомств. Разглашение такой информации могла привести к огромным жертвам, в том числе и человеческим. Поэтому конфиденциальности (т.е. неразглашению информации) в первых системах безопасности уделялось особое внимание. Очевидно, что надежно защитить сообщения и данные от подглядывания и перехвата может только полное их шифрование. Видимо из-за этого начальный этап развития компьютерной безопасности прочно связан с криптошифрами.

Однако сегодня информация имеет уже не столь "убойную" силу, и задача сохранения ее в секрете потеряла былую актуальность. Сейчас главные условия безопасности информации - ее доступность и целостность. Другими словами, пользователь может в любое время затребовать необходимый ему сервис, а система безопасности должна гарантировать его правильную работу. Любой файл или ресурс системы должен быть доступен в любое время (при соблюдении прав доступа). Если какой-то ресурс недоступен, то он бесполезен. Другая задача защиты - обеспечить неизменность информации во время ее хранения или передачи. Это так называемое условие целостности.

Таким образом, конфиденциальность информации, обеспечиваемая криптографией, не является главным требованием при проектировании защитных систем. Выполнение процедур криптокодирования и декодирования может замедлить передачу данных и уменьшить их доступность, так как пользователь будет слишком долго ждать свои "надежно защищенные" данные, а это недопустимо в некоторых современных компьютерных системах. Поэтому система безопасности должна в первую очередь гарантировать доступность и целостность информации, а затем уже (если необходимо) ее конфиденциальность. Принцип современной защиты информации можно выразить так - поиск оптимального соотношения между доступностью и безопасностью.

МИФ ВТОРОЙ.

"Во всем виноваты хакеры"

Этот миф поддерживают средства массовой информации, которые со всеми ужасающими подробностями описывают "взломы банковских сеток". Однако редко упоминается о том, что хакеры чаще всего используют некомпетентность и халатность обслуживающего персонала. Хакер - диагност. Именно некомпетентность пользователей можно считать главной угрозой безопасности. Также серьезную угрозу представляют служащие, которые чем-либо недовольны, например, заработной платой.

Одна из проблем подобного рода - так называемые слабые пароли. Пользователи для лучшего запоминания выбирают легко угадываемые пароли. Причем проконтролировать сложность пароля невозможно. Другая проблема - пренебрежение требованиями безопасности. Например, опасно использовать непроверенное программное обеспечение. Обычно пользователь сам "приглашает" в систему вирусы и "троянских коней". Кроме того много неприятностей может принести неправильно набранная команда. Так, при программировании аппарата ФОБОС-1 ему с Земли была передана неправильная команда. В результате связь с ним была потеряна.

Таким образом, лучшая защита от нападения - не допускать его. Обучение пользователей правилам сетевой безопасности может предотвратить нападения. Другими словами, защита информации включает в себя кроме технических мер еще и обучение или правильный подбор обслуживающего персонала.

МИФ ТРЕТИЙ.

"Абсолютная защита"

Абсолютной защиты быть не может. Распространено такое мнение - "установил защиту и можно ни о чем не беспокоиться". Полностью защищенный компьютер - это тот, который стоит под замком в бронированной комнате в сейфе, не подключен ни к какой сети (даже электрической) и выключен. Такой компьютер имеет абсолютную защиту, однако, использовать его нельзя. В этом примере не выполняется требование доступности информации. "Абсолютности" защиты мешает не только необходимость пользоваться защищаемыми данными, но и усложнение защищаемых систем. Использование постоянных, не развивающихся механизмов защиты опасно, и для этого есть несколько причин.

Одна из них - развитие вашей собственной сети. Ведь защитные свойства электронных систем безопасности во многом зависят от конфигурации сети и используемых в ней программ. Даже если не менять топологию сети, то все равно придется когда-нибудь использовать новые версии ранее установленных продуктов. Однако может случиться так, что новые возможности этого продукта пробьют брешь в защите.

Кроме того, нельзя забывать о развитии и совершенствовании средств нападения. Техника так быстро меняется, что трудно определить, какое новое устройство или программное обеспечение, используемое для нападения, может обмануть вашу защиту. Например, криптосистема DES, являющаяся стандартом шифрования в США с 1977 г., сегодня может быть раскрыта методом "грубой силы" - прямым перебором.

Компьютерная защита - это постоянная борьба с глупостью пользователей и интеллектом хакеров.

В заключение хочется сказать о том, что защита информации не ограничивается техническими методами. Проблема значительно шире. Основной недостаток защиты - люди, и поэтому надежность системы безопасности зависит в основном от отношения к ней служащих компании. Помимо этого, защита должна постоянно совершенствоваться вместе с развитием компьютерной сети. Не стоит забывать, что мешает работе не система безопасности, а ее отсутствие.

(С) Web-hack.ru

Link to comment
Share on other sites

z-vet

А я легко представляю, как в элементе загрузиться на машину в организации, где этих самых машин под сотню.

Аууууууууу! И где наш админ с бейсбольной битой? :P

Link to comment
Share on other sites

z-vet

Имхо,не надо всё воспринимать настолько буквально

Золотые слова. Вообще-то параноя мешает по жизни иногда. ;)

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...