Firewall to nie wszystko

Dobrze skonfigurowany firewall jest pierwszą i najskuteczniejszą linią obrony. Cały sekret konfiguracji to dostosowanie go do systemu, który ma chronić. Ten artykuł omawia aspekty restrykcyjnej konfiguracji firewalli do Windows NT/2000.

Dobrze skonfigurowany firewall jest pierwszą i najskuteczniejszą linią obrony. Cały sekret konfiguracji to dostosowanie go do systemu, który ma chronić. Ten artykuł omawia aspekty restrykcyjnej konfiguracji firewalli do Windows NT/2000.

Firewalle, określające jakiego rodzaju aktywność jest dozwolona pomiędzy siecią lokalną a Internetem, zyskały zasłużoną sławę jako skuteczne rozwiązania w dziedzinie bezpieczeństwa. Poniżej przedstawiamy kilka wskazówek zwiększających skuteczność zapór ogniowych i podwyższających poziom bezpieczeństwa sieci komputerowych.

Enumeracja NetBIOS-u

Mały pokaz możliwości przeglądarki IP Network Browser firmy SolarWinds dowodzi, jak wielkim zagrożeniem są otwarte porty 161 TCP/UDP.

Mały pokaz możliwości przeglądarki IP Network Browser firmy SolarWinds dowodzi, jak wielkim zagrożeniem są otwarte porty 161 TCP/UDP.

Piętą achillesową systemów Microsoftu jest domyślne korzystanie z protokołu NetBIOS, zawierającego interfejsy zwracające informacje przez port 139 nawet w wypadku nieautoryzowanych użytkowników. Ta swego rodzaju luka w zabezpieczeniach pozwala na uzyskanie dość interesujących informacji (m.in. o sieci, zasobach, użytkownikach i grupach, niekiedy klucze Rejestru). Jest często wykorzystywana do zebrania jak największej ilości informacji o atakowanym komputerze.

Rozwiązanie problemu

  • Blokada portów TCP i UDP od 135 do 137-139 na poziomie granicznych urządzeń (np. routerów); w Windows 2000 i nowszych powinien być dodatkowo zablokowany port 445 TCP/UDP.

  • Wyłączenie NetBIOS-u przez TCP/IP na poziomie systemu.

  • Wyłączenie wiązań z klientami dla kart dostępu, przyłączonych do sieci publicznych. Dzięki temu można pozostawić włączony NetBIOS karty obsługującej usługi wewnątrz sieci (co jest niezbędne np. do udostępniania plików). W takim wypadku zewnętrzny port będzie nadal widziany jako nasłuchujący, ale nie odpowie na wywołania.

    Enumeracja SNMP

    Nawet gdy wyłączysz lub zablokujesz NetBIOS, system nadal może udostępniać informacje. Dzieje się tak za sprawą agenta Simple Network Management Protocol (SNMP), dostępnego przez domyślne kanały (np. public). Jest on dla agesora łakomym kąskiem, gdyż udostępnia sporo informacji (np. o kontach użytkowników, uruchomionych usługach, otwartych portach, wersji systemu itd).

    Rozwiązanie problemu

  • Jeśli SNMP służy do zarządzania siecią, pamiętaj o zablokowaniu portów 161 TCP/UDP (SNMP GET/SET) we wszystkich granicznych urządzeniach kontroli dostępu. Jeśli systemem jest Windows 2000 lub nowszy, to zamknij także port 445 TCP/UDP.

  • Najprostsza metoda powstrzymania wykorzystania enumeracji SNMP to usunięcie agenta SNMP lub wyłączenie usługi SNMP w panelu sterowania. Jeśli nie jest to możliwe, skonfiguruj odpowiednie prywatne nazwy wspólnoty, zamiast domyślnej public. Ryzyko zmniejszy się znacznie, bo żeby rozpocząć skanowanie, intruz będzie musiał znać nazwę wspólnoty.

  • Można również tak zmodyfikować Rejestr, aby dopuszczać jedynie autoryzowany dostęp do nazwy wspólnoty SNMP. W tym celu uruchom edytor Rejestru i przejdź do klucza HKLM\System\CurrentControlSet\ Services\SNMP\Parameters\ ValidCommunities. Wybierz Zabezpieczenia | Uprawnienia, a następnie ustaw dostęp jedynie dla zatwierdzonych użytkowników. Następnie przejdź do klucza HKLM\System\CurrentControlSet\Services\SNMP\Parameters\ExtensionAgents, usuń wartość zawierającą ciąg "LANMangerMIB2Agent", potem zmień nazwy pozostałych pozycji, żeby uaktualnić sekwencję.

    Enumeracja rejestru systemów NT/2000

    Nie jest to mechanizm bezpośrednio związany z firewallem, ale dość istotny. Polega na "wyciąganiu" informacji z użyciem rejestru zdalnego. Jest to metoda stosowana w celu zdalnego dopisania programu lub skryptu ładowanego podczas startu systemu (np. trojan albo skrypt dezaktywujący programowy firewall, program antywirusowy itp.). Technika ta zazwyczaj nie działa podczas pustych sesji z wyjątkiem sytuacji, gdy klucz HKLM\System\CurrentControlSet\ Control\SecurePipeServer\Winreg\AllowedPaths określa inne klucze, które mają być dostępne przez puste sesje. Domyślnie pozwala na dostęp do klucza HKLM\Software\Microsoft\WindowsNT\Current Version\.

    Rozwiązanie

  • Upewnij się że twój Rejestr jest zamknięty i niedostępny zdalnie. Więcej na ten temat można znaleźć w bazie wiedzy Microsoftu, w artykule Q155363 (http://search.support.microsoft.com).

  • Blokowanie za pomocą filtrów IPSec.

    Zdalne odgadywanie haseł

    Rejestr zdalny został wyłączony w celu uniemożliwienia dodawania wartości do Rejestru systemowego.

    Rejestr zdalny został wyłączony w celu uniemożliwienia dodawania wartości do Rejestru systemowego.

    Zdalne odgadywanie haseł jest dość istotnym problemem, zwłaszcza w sieciach lokalnych. Można je przeprowadzić ręcznie, używając polecenia net use, albo zautomatyzować, używając np. Brutusa. Technika zdalnego odgadywania hasła stosowana jest do znanych kont lokalnych, zwłaszcza kont administratorów. Oczywiście daje rezultaty tylko wtedy, gdy hasło jest słabe, tzn. proste i krótkie (np. lampa) albo stanowi je wyraz zawarty w słowniku hakera (np. komputer).

    Rozwiązanie

  • Blokowanie kont po określonej liczbie nieudanych prób logowania się. W tym celu Microsoft udostępnia kilka narzędzi:

    Zasady konta - program pozwala wymusić pewne zasady dotyczące haseł kont (np. długość, złożoność, maksymalny lub minimalny okres ważności).

    Passfilt - biblioteka zmuszająca użytkowników do tworzenia trudnych do złamania haseł.

    Passprop - przydatny dodatek z pakietu NT Resource Kit. Definiuje następujące wymagania wobec kont domen NT:

    1) założenia co do złożoności haseł (ich liczba oraz liczba poszczególnych znaków, np. 2 litery, 3 liczby, 4 znaki specjalne)

    2) blokada konta administratora;

    3) rejestrowanie prób logowania (udanych i nieudanych). Szczególnie interesujące są zdarzenia 529 i 539 (nieprawidłowe logowania spowodowane błędną nazwą użytkownika lub podaniem nieprawidłowego hasła). W większości dzienników znajdują się informacje pozwalające zidentyfikować źródło ataku, a w konsekwencji wyśledzić agresora.

    Podsłuch w sieci

    Program Brutus w trakcie łamania hasła do konta FTP metodą brute force.

    Program Brutus w trakcie łamania hasła do konta FTP metodą brute force.

    Monitorowanie komunikacji staje się działaniem dość powszechnym w sieciach osiedlowych, ale niekiedy i biurach, co stanowi duże zagrożenie dla bezpieczeństwa i interesu firmy oraz danych zgromadzonych na dyskach prywatnych użytkowników. Jest to dość szybki sposób na zdobywanie informacji dotyczących uwierzytelniania (nazwy użytkowników i ich hasła), przeważnie w transmisji niezaszyfrowanej, ale nie tylko. Panuje powszechne przekonanie, że wykorzystanie przełączników rozwiązuje ten problem. Nic podobnego. Wystarczy zaatakować strukturę węzeł-router, żeby przekierować ruch (technika szczególnie przydatna, gdy serwer do identyfikacji używa adresu IP). Można jednak poprzestać na monitorowaniu strumienia ruchu.

    Porty najczęściej monitorowane przez agresorów

    21 - FTP

    23 - Telnet

    110 - POP

    119 - NNTP

    143 - IMAP

    512 - rexec

    513 - rlogin

    + port 80 - jeśli intruz chce wiedzieć, jakie witryny przeglądają użytkownicy.


  • Zobacz również