Author Archives: Artur

MS Windows i Trumpet Winsock

Trumpet Winsock występuje z wbudowanymi możliwościami współpracy z serwerem proxy. Aby go skonfigurować wystarczy w setup menu wprowadzić adres serwera, i adresy komputerów dostępnych bezpośrednio. Program przekieruje na serwer wszystkie pakiety mające wyjść na zewnątrz.

Pakiet SOCKS pracuje jedynie z pakietami TCP, pomijając UDP. Powoduje to trochę mniejszą jego użyteczność. Wiele użytecznych programów, takich jak na przykład talki Archie używa UDP. Jest jednak pakiet który może być użyty jako serwer proxy dla UDP: UDPrelay.

Serwer proxy, jak  pokazano powyżej jest narzędziem bezpieczeństwa. Używanie go zwiększa dostępność do Internetu z ograniczoną liczbą adresów wiąże się jednak z wieloma niedogodnościami. Serwer proxy pozwala na większą dostępność internetu z sieci chronionej, ale pozostawia wnętrze całkowicie niedostępne z zewnątrz. Oznacza to brak możliwości uruchomienia wewnątrz sieci rozmaitych serwerów, talk i archie, oraz bezpośredniego wysyłania listów do chronionej sieci.

Przypadek FTP pokazuje jeszcze jeden problem z serwerami proxymi. Kiedy pobieramy pliki lub wydajemy komendę ls, serwer FTP otwiera gniazdo (,,socket”) na maszynie klienckiej i wysyła o tym informację. Serwer proxy nie pozwala na to, tak więc FTP nie działa w sposób prawidłowy.

Poza tym serwery pośredniczące działają powoli – z powodu większej wydajności większość innych metod dostępu do Internetu będzie szybsza.

Jeśli mamy przydzielony adres IP, i nie musimy martwić się o bezpieczeństwo, nie zachodzi konieczność używania ścian ogniowych i/lub serwerów proxy. Jeśli nie mamy IP, i także nie trzeba przejmować się bezpieczeństwem  sieci, możemy użyć jednego z ,,emulatorów IP” takich jak Term, Slirp lub TIA. Pakiety te pracują szybciej, pozwalają na szybsze połączenia i na większy dostęp z sieci wewnętrznej do internetu. Serwery pośredniczące są dobre dla tych który mają duże sieci z komputerami mającymi mieć dostęp ,,w locie” do internetu z jednorazowym ustawieniem.

Przykłady programów powodujących blokowanie usług (DoS)

Bonk i Boink

Tabela 10

Nazwa pliku
bonk.c
Autor:
Zespół ROOTSHELL.COM
Lokalizacja:
Dodatkowe informacje:
Por. kod źródłowy
Wejściowy system operacyjny:
UNIX
Docelowy system operacyjny:
Windows 95 Windows NT
Skutki:
Program ten powoduje zawieszenie dowolnej maszyny z systemem Windows 95, bodź Windows NT

Źródło własne

Pong

Tabela 11

Nazwa pliku
pong.c
Autor:
FA-Q
Lokalizacja:
Dodatkowe informacje:
Por. kod źródłowy
Wejściowy system operacyjny:
LINUX
Docelowy system operacyjny:
Windows 95
Skutki:
Cel ataku zalewany sfałszowanymi pakietami ICMP (ping) zawiesza się.

Źródło własne

Funkcje Firewall

Dzisiaj praca magisterska o zaporach ogniowych. Miłego czytania!

Zapora sieciowa (firewall) jest urządzeniem zaprojektowanym do zapobiegania niepowołanemu dostępowi do sieci. Urządzeniem tym zazwyczaj jest niezależny komputer, ruter lub inny sprzętowy element sieci. Zapora stanowi jedyny punkt wejściowy do sieci lokalnej – jej zadaniem jest kwalifikacja nadchodzących z zewnątrz zgłoszeń według zadanych reguł i ich przetworzenie, co w najprostszym ujęciu sprowadza się do akceptacji, bądź odrzucenia żądania połączenia z danym serwerem usług sieciowych.

W większości przypadków kwalifikacji żądania połączenia dokonuje się bazując na adresie źródłowym pakietu. Jeśli, przykładowo, nie chcemy udostępniać usług naszego serwerem użytkownikom z danej domeny, wprowadzamy odpowiednią maskę do reguł sterujących zapory i odtąd próby połączenia z naszym serwerem dla danej grupy użytkowników zakończą się komunikatem „Connection Refused” (połączenia odmówiono) lub podobnym (możliwa jest również sytuacja, gdzie połączenie jest zrywane bez prezentacji żadnego komunikatu).

Zapory sieciowe mogą przeprowadzać analizy nadchodzących pakietów różnych protokołów. W oparciu o taką analizę, zapora sieciowa może podjąć różne działania, zatem możemy zaprogramować firewall do przeprowadzania warunkowego przetwarzania pakietów. („Jeśli zostanie napotkany pakiet spełniający warunek A, podejmij działanie B”).

Takie warunkowe struktury nazywane są regułami. Na ogół, podczas „stawiania” zapory wyposażamy ją w zestaw reguł odzwierciedlający strukturę zależności służbowych w naszej organizacji. Na przykład, załóżmy, że w firmie jest dział sprzedaży i księgowości, a strategia przedsiębiorstwa wymaga, aby tylko dział sprzedaży miał dostęp do zasobów naszego serwera. Aby wymusić realizację tej polityki, wyposażamy nasz firewall w regułę nie przyjmującą zgłoszeń połączenia otrzymywanych z działu księgowości. W takim aspekcie zapory sieciowe są tym dla sieci, czym są przywileje użytkownika dla systemu operacyjnego. Windows NT pozwala na wskazanie użytkowników mających dostęp do danego pliku lub katalogu. Jest to kontrola dostępu na poziomie systemu operacyjnego. Podobnie zapory sieciowe pozwalają na zastosowanie kontroli dostępu do zasobów naszego serwera i stacji roboczych w sieci.

Monitorowanie dostępu jest jednakże tylko częścią tego, do czego można wykorzystać nowoczesne zapory sieciowe – większość komercyjnych firewalli pozwala na kontrolę zawartości pakietów. Można to wykorzystać do odfiltrowywania niepożądanych skryptów JavaScript, VBScript i ActveX oraz plików cookies. Co więcej, mamy możliwość zdefiniowania reguł dyskryminujących poszczególne połączenia na podstawie tzw. sygnatur ataku.

Sygnatury ataków są wzorcami poleceń charakterystycznymi dla danego ataku przypuśćmy, że nasz intruz „telnetuje’ się na port 80 i wydaje szereg istotnych z jego punktu widzenia komend. Znając taki proces, możemy „nauczyć” firewall rozpoznawać i blokować podobne ataki na podstawie wzorca zawartego w sygnaturze. Podobne efekty można również uzyskać analizując ruch na poziomie pakietu niektóre programy do zdalnego wykorzystywania luk systemowych generują charakterystyczne pakiety, które można wyodrębnić i podjąć odpowiednie działania.

Ogólne rozwiązania ochrony Windows NT

Najbardziej niebezpieczne luki w systemie ochrony Windows NT wykorzystującym protokół TCP/IP powstają wskutek złej konfiguracji. Hakerzy nie muszą się nawet specjalnie wysilać. Niedoświadczonego administratora zaskoczy, jak wiele informacji o odległym systemie można uzyskać wykorzystując Telnet do przepytywania różnych portów.

Sens zastosowania wielu elementów z podstawowej palety środków ochronnych zależy od tego, czy łączymy się z Internetem, czy nie. Na przykład, wszystkie systemy otwarte na zewnątrz, powinny wyświetlać komunikat, który ostrzega użytkownika rejestrującego się w sieci, że nieuprawnione korzystanie z systemu jest zabronione i będzie ścigane prawnie. Im lepiej zabezpieczona jest sieć wewnętrzna tym bardziej jest odporna na zagrożenia z Internetu.

Spowodowanie, aby podczas rejestracji system wyświetlał komunikat ostrzegawczy jest bardzo łatwe:

W edytorze rejestrów (regedit32.exe) należy wybrać strukturę:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinLogon.

Wpisać dwie nowe wartości do odpowiednich pozycji:

Value Name: LegalNoticeCaption; Value Type: REG_SZ; Value: pożądany_tekst_ nagłówka

Value Name: LegalNoticeText; Value Type: REG_SZ; Value: pożądany_tekst_ ostrzeżenia

Ochrona systemu plików

Dzisiaj praca inżynierska we fragmentach. Miłego czytania!

Oryginalny system plików opracowany przez Microsoft to NTFS, który można skutecznie wykorzystać do zwiększenia bezpieczeństwa w sieci Windows NT połączonej z Internetem. Przede wszystkim, komputery bezpośrednio połączone z Internetem powinny mieć swoje dyski sformatowane systemie NTFS. Ewentualnym włamywaczom nie wystarczy pokonanie bariery stworzonej na poziomie zbiorów współdzielonych, będą jeszcze musieli uporać się z zabezpieczeniami systemu plików.

Mając już odpowiednio sformatowane partycje, należy przejrzeć prawa dostępu do plików i katalogów pod kątem zasady minimalnych przywilejów. Kolejna zasada każe nie przechowywać poufnych informacji na serwerach narażonych na bezpośredni kontakt ze światem zewnętrznym. Nawet jeśli intruzi zdobędą przyczółki naszej sieci, nie powinni mieć możliwości penetracji kluczowych danych. Dobrą taktyką, utrudniającą możliwość zablokowania systemu (denial-ofservice) jest odpowiedni podział przestrzeni dyskowych i wykorzystanie różnych partycji dla rozdzielenia usług.

System operacyjny powinien znajdować się na jednej partycji serwer Web na drugiej, katalogi z danymi serwera Web na trzeciej itd. Haker, który znajdzie lukę w ochronie jednej części systemu nie powinien mieć szans na zablokowanie pozostałych elementów. Następna grupa zagrożeń dotyczy rejestrów. Nie chodzi jedynie o możliwość odczytania ważnych informacji, zmiana parametrów rejestrów może skutecznie zablokować działanie systemu i jest bardzo trudna do zdiagnozowania. Taki atak kończy się zazwyczaj ponowną instalacją systemu, na co włamywacz odpowiada zmianą ustawień itd.

Rozwiązaniem jest uważna konfiguracja rejestrów. Na koniec, należy rozważyć usunięcie programów narzędziowych TCP/IP, które są domyślnie instalowane na serwerach, to jest FTP, Telnet i Finger. Co prawda omawiane usługi bywają poręczne do diagnozowania problemów, ale funkcjonowanie ich na serwerach niesie duże ryzyko. Wyobraźmy sobie na przykład, że włamywacz zdobywa dostęp do odpowiedniego konta i uruchamia jedno z wymienionych narzędzi. Ponieważ działa od środka, może oszukać pozostałe z zastosowanych systemów ochrony, takich jak serwery pośredniczące lub zapory sieciowe.

Nadzór

Odpowiednie wykorzystanie możliwości monitorowania szerokiej gamy działań użytkowników pozwala zapobiegać groźbie dezintegracji sieci. We wszystkich systemach, które są bezpośrednio połączone z Internetem, należy uaktywnić nadzór. Za możliwość śledzenia i dokumentowania aktywności użytkowników, warto zapłacić cenę w postaci wzrostu nakładu pracy i obniżenia wydajności systemu. Monitorowanie procesów rejestracji pozwala kontrolować aktywność użytkowników, a co ważniejsze osób próbujących nielegalnie skorzystać z systemu.