RSS

Архив рубрики: IT security

В данной рубрике размещены статьи, относящиеся к информационной безопасности.

TTL — ловим нарушителей периметра сети или развенчиваем мифы.


Доброго времени суток всем тем, кто сегодня читает данную статью!

Я не нашел во всемирной сети Интернет упоминания о возможности использования поля TTL (time to live /время жизни пакета данных в протоколе IP/) таким образом, о котором пойдет речь.
Данного функционала мною не найдено ни в одной общеизвестной коммерческой или Open Source реализации системы безопасности локальных и глобальных сетей.
Между тем возможности по использованию данного поля при обеспечении информационной безопасности локальных и глобальных сетей довольно широки, т. к. имеется возможность с большой степенью достоверности (не совсем верно при использовании генераторов пакетов) определять нарушителей периметра локальной сети или сегмента любой другой сети, а также выполнять достаточно точную идентификацию регионального расположения пользователей в глобальных сетях. Сегодня пойдёт речь лишь об одном из вариантов использования поля TTL для систем безопасности локальной сети, обещаю через некоторое выставить на ваше обозрение материал об использовании поля TTL в целях идентификации пользователей в глобальных сетях.
Начнём, алгоритм с использованием которого возможно выявление компьютерных хулиганов/нарушителей периметра безопасности сети:
1. Устанавливаем для хостов в нашей локальной сети периодически меняющиеся значение поля TTL. На платформах MS Windows данное значение возможно выставить использованием локальных, групповых политик безопасности, либо изменением параметра реестра [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters] «DefaultTTL»=dword:00000063; для платформ на основе операционных систем Linux данное значение возможно изменить с помощью модификации соответствующего параметра сетевого стека «echo 120 > /proc/sys/net/ipv4/ip_default_ttl». Изменение данных параметров возможно реализовать в виде соответствующих скриптов на VBScript для MS Windows с последующим добавлением в GPO и bash (shell) для Linux платформ, а также последующим добавлением данных заданий в планировщик задач (шедулер, cron) для периодического выполнения данных скриптов. Возможно и единоразовое изменение параметра TTL по возникшей потребности в выявлении нарушителя периметра сети. Нарушение периметра безопасности сети возможно по различным причинам, в т. ч. и в результате действия инсайдеров.
2. Периодически изменяющиеся значение поля TTL, отличное от значения TTL для других хостов, имеет смысл установить особенно для хостов, которым не разрешен выход в сеть интернет через шлюз организации, что позволит отслеживать пользователей, которые нарушают систему безопасности организации, т. к. логично предположить, что данные нарушители получили тем или иным способом административные права на своем хосте (при аутентификации на шлюзе по паре MAC-IP) и/или кто-то по доброте душевной сообщил другому сотруднику свой пароль авторизации на шлюзе доступа в сеть интернет. Для таких хостов, которым не разрешен выход в интернет, устанавливаем значение поля TTL в несколько единиц, такое значение позволит пройти пакетам только через несколько маршрутизаторов (-р) и не даст нарушителям доступа к ресурсам сети интернет.
3. После таких нехитрых приготовлений мы получим в итоге известные значения TTL для нашей подсети (сети), которые меняются со временем. Согласитесь, что нарушителю об этом не будет известно, а это дает возможность выявить такого непрошенного гостя по значению его TTL. Значение TTL нарушителя будет отличным от известных нам в текущий момент значений TTL для нашей подсети (сети).
4. Остается дело техники. 🙂 Для мониторинга значений TTL в сети можно воспользоваться различным программным обеспечением (анализаторы пакетов с фильтрацией по известным нам значениям полей TTL; IDS, IPS с соответствующим написанным дополнением), которое будет отслеживать не валидные значения поля TTL в пакетах и сообщать нам информацию о нарушителе, а также будет иметься возможность по автоматической блокировке нарушителя со стороны средств превентивного реагирования. Дополнительная фильтрация осуществляется: по флагу SYN (TCP) или по запросу на соединение (NEW); для UDP по запросу на соединение NEW, для валидного диапазона сети.
5. После выявления нарушителя можно воспользоваться станцией управления сетью (SNMP) для поиска оного на портах наших коммутаторов по значениям его MAC и IP адресов.
6. Идем к нарушителю и вершим суд праведный.

Как вы уже поняли, данный способ делает поиск нарушителя в локальной сети довольно тривиальным.

Это вся информация, которой я хотел поделиться с вами, уважаемые читатели моего блога.

Обращаю ваше внимание, уважаемые посетители, при использовании материала данной статьи или её части, прямая ссылка на данную статью обязательна. Все права на данную статью, в т. ч. интеллектуальные, принадлежат автору данного сайта.

Если вас заинтересовала данная статья, пожалуйста, распространите ссылку на данную статью через своих знакомых.

UPD: Надеюсь читатели имеют представление о граничных значениях для поля TTL для локальных и глобальных сетей. Не забываем так же о влиянии флага TTL на маршрутизацию пакетов, при прохождении пакета через маршрутизаторы, но это забота провайдеров, которые обязаны производить соответствующее изменение некоторых полей проходящих транзитных пакетов, таких как TTL, ToS согласно требований вышестоящих телекоммуникационных компаний. Особенное внимание не забываем обращать на мультикаст, аникаст трафик.

UPD2: Обращаю внимание, что данный алгоритм позволяет выявлять и такой бич вычислительных сетей, как генераторы пакетов, с точностью до сегмента, а затем до порта (поиск в сегменте труда не составит, если задействовать зеркалирование трафика на управляемом оборудовании или даже вручную). 😉 Есть и другие применения данного алгоритма, которые позволяют вывести уровень защиты вычислительных сетей на качественно новый уровень. Но об этом позже.

 
 

Метки:

Немного о прямом доступе к диску.


Существует такая замечательная возможность, как прямой доступ к жесткому диску компьютера, в обход BIOS материнской платы. Данную возможность предоставляют множество программ (программы разбиения дисков, низкоуровнего форматирования, криптоваяния, безопасного затирания информации и многие другие). Не все имеют представление, зачем может понадобиться такая возможность.
Приведу лишь один пример использования данной технологии.
Не так давно столкнулся в одной организации с тем, что BIOS моего компьютера оказался нестандартным, такого BIOS с такой хэш суммой не было даже на сайте производителя. Посмотрев описания компонентов компьютера нашел материнскую плату с такими же компонентами и скачал соответствующий BIOS. Затем попытался перепрошить полностью (заменить) BIOS своей материнской платы. Прошивка прошла успешно, компьютер перезагрузил. Все работало. Но мне давала покой одна небольшая проблемка, в BIOS оказались неперезаписываемы некоторые блоки (таблицы) Flash-памяти. 😉 Если посмотреть на описания на данный тип BIOS (можно найти в интернет), то окажется, что часть данных блоков (таблиц) отвечали за работу контроллера HDD материнскрой платы. После довольно длительных раздумий я решил сравнить информацию BIOS о HDD контроллера материнской платы и информацию о HDD при прямом доступе к HDD. HDD был по информации BIOS на 80 Gb. Для получения доступа к жесткому диску компьютера я воспользовался последовательно программами низкоуровневого форматирования, затирания информации по ГОСТу и программой разбиения диска на разделы.
Результат меня удивил. Оказалось, что жесткий диск на моем компьютере не на 80 Gb, как информировал BIOS, а на 160 Gb.
Решил проверить свои умозаключения по данному поводу в беседе со специалистами в данной области.
Немного пообщавшись в интернет, я выяснил, что имеется возможность для дублирования информации между видимой частью, которую выдавал BIOS, и другой частью, которая была доступная только при прямом доступе к диску.

Вот такая история. Поэтому следует обращать внимание не только на программную защиту, но и проверять программно-аппаратные компоненты вашего компьютера.

Надеюсь, что мой опыт окажется кому-то полезным. Удачи! 😉

 
 

Метки:

Настройка HASP сервера на несколько подсетей с одним сетевым адаптером.


Добрый день, хочу поделиться опытом по настройке HASP-сервера на одном сетевом адаптере, привязанном к нескольким IP.

Описание настроек HASP-сервера

В настройках сети удаляем службу доступа к файлам и принтерам для сетей Microsoft, затем отключаем службу сервера (если у нас нет общих ресурсов и станция для HASP сервера у нас выделенная), тем самым обходим ограничения на подлючение к ресурсам IPC и Server (было по 10), что применительно к не серверным продуктам операционных систем от корпорации Microsoft.
Далее прописываем необходимые IP-адреса для сетевого адаптера, например, 172.16.88.48 по маске 255.255.255.0 и 172.16.2.248 по маске 255.255.240.0, адреса шлюза и DNS-серверов, WINS-серверов оставляем не заполненными (лишние проблемы со зловредами /материальными и нематериальными/ нам ни к чему). Отключаем NetBios over TCP/IP. Отключаем службу Net-BIOS
Присваиваем компьютеру имя одинаковое (не обязательно) с HASP-ключом, имя группы, в которую входит данный компьютер, обозначаем одноименно с ведущим доменом, например, ORG (рекомендую HASP-сервер не включать ни в один из доменов).
Для установки HASP-сервера необходимо установить HASP_LM_setup.zip версии не ниже 5 для USB ключа и версии не ниже 4 для LPT ключа.
При установке драйвера ключа выбираем инсталляцию в качестве сервиса.
После установки необходимо скопировать из каталога, куда установились доплнительные программы HASP-сервера, файл nhsrv.ini в системный каталог
%systemroot%\system32 , после чего данный файл необходимо отредактировать, например:

[NHS_SERVER]
NHS_USERLIST = 250
NHS_SERVERNAMES = key1-1 ;-имя сервера
NHS_HIGHPRIORITY = yes ;-использовать высокий приоритет для HASP-сервера

[NHS_IP]
NHS_USE_UDP = enabled ;-разрешить UDP ***
NHS_USE_TCP = enabled ;-разрешить TCP ***
NHS_IP_portnum = 475 ;-используемый порт, как ни старался, получить рабочую конфу с другим портом не выходит. Может кто поделится опытом?
;NHS_IP_LIMIT = 10.24.2.18-99, 10.1.1.9/16, 10.25.0.0/24, ;-указываем диапазоны IP-адресов, с которых разрешен доступ

[NHS_IPX]
NHS_USE_IPX = disabled ; запрещаем IPX, остальное так же закомментируем
;NHS_addrpath = c:\temp ; pathname for haspaddr.dat (default: current dir)
;NHS_AppendAddr = no ; append to haspaddr.dat (default: replace)
;NHS_usesap = enabled ; enabled or disabled (default: enabled)
;NHS_ipx_socketnum = 0×7483 ; IPX socket number (default: 0×7483)

[NHS_NETBIOS]
NHS_USE_NETBIOS = disabled ; запрещаем использование NetBIOS, остальное также закомметируем
;NHS_NBNAME = tf88 ; use another than predefined NetBios name
; CAUTION: clients must use the same name !
;NHS_use_lana_nums = 3,0,7,2 ; default = all (automatic) – Номера используемых областей NetBIOS

Для вступления данных настроек в силу необходимо перезапустить в менеджере служб службу «HASP Loader».
В виду того, что у сервера HASP имеется нестабильность в работе, предположительно не корректно собирается мусор в памяти, что особенно характерно для LPT ключа, за USB ключом такое пока не наблюдалось; необходимо добавить в планировщик заданий запуск задания по расписанию, через каждые 10-15, на перезапуск службы «HASP Loader» (данный интервал может быть уменьшен). Данное задание исполняем в виде коммандного файла для Windows NT и добавляем его в планировщик.
Содержание коммандного файла на перезапуск данной слжбы:

net stop «HASP Loader»
net start «HASP Loader»

На компьютере HASP-сервера отключаем лишние службы, например, средства удаленного редактирования реестра и Telnet. Отключаем все порты на вкладке IP фильрации сетевого адаптера, разрешаем там же только подключения на порт 475 по протоколу TCP! Так мы обезопасим себя от зловредов (виртуальных и материальных 😉 ).
Внимание для пользователей антивируса Касперского!
За данным антивирусом замечено не совсем однозначное поведение в отношении HASP-сервера, поэтому рекомендую его отключить. Это будет вполне безопасно, т. к. у нас работает (открыт) только один порт, который слушает только TCP. Замечу, что еще не встречал сетевых вирусов, эксплуатирующих какую-либо уязвимость на данном порту и данного сервиса (HASP LM).

*** – Включение протоколов TCP и UDP в настройках HASP сервера нам необходимо для того, чтобы клиент HASP сервера мог соединяться с ним по протоколу TCP, Странно на первый взгляд, не так ли? Но практика показывает, что только при включении обоих опций клиенты смогут работать по протоколу TCP. Такой вот баг HASP сервера. А лишний трафик по протоколу UDP нам в сети ни к чему (не забываем отключать входящие подключения, как описано выше, на вкладке фильтрации сетевого адаптера).
В ближайшее время обещаю поделиться твиком об увеличении количества подключаемых клиентов к HASP серверу, без нарушения лицензионного соглашения.

Данная статья уже размещена мною на сайте alladin`a: http://www.aladdin-rd.ru/support/forum/?PAGE_NAME=read&FID=39&TID=63 и данную статью трудно найти, поэтому я решил опубликовать её ещё раз. Кроме того, после смены движка форума на Aladdin.ru, я почему-то не могу зайти на форум под своим именем и паролем.

 
Оставить комментарий

Опубликовал на 12 февраля, 2011 в HASP

 

Метки:

Тонкая настройка клиентов менеджера лицензий HASP.


Ниже приводится листинг файла nethasp.ini для клиентов HASP-сервера:

; Данный листинг с пояснениями создан для помощи в администрировании начинающим специалистам.
; Данный файл выкладывается в каталог %systemroot%\system32, если на компьютере есть только одна программа,
; работающая с HASP-серверами. Если программ несколько, например, 1С, Компас 3D, T-Flex, T-Doc`s, то выкладываем данные файлы
; в каталог из которого данные программы запускаются….
; Прошу обратить особое внимание на параметры NH_SESSION и NH_SEND_RCV, т.к. данные параметры позволяют нам
; не только обезопасить пользователей и себя от кратковременных сбоев в сети, но несколько smile;-) увеличить число рабочих
; станций работающих с сервером лицензирования без нарушения условий лицензирования, при соответсвующей модификации штатными средствами операционной системы того или иного сетевого стека, но об этом позже…
; Хочу сказать, что для больших контор это будет довольно хорошая экономия денег….
; Еще раз обращаю внимание на мой топик по поводу настройки nhsrv.ini «HASP-сервер с одним сетевым адаптером на несколько IP (подсетей) «,
; в котором есть такие строки NHS_USE_UDP = enabled ;-разрешить UDP и NHS_USE_TCP = enabled ;-разрешить TCP
; именно оба протокола необходимо разрешить на HASP-сервере и не беда, что в мониторе HAPS-ключа будет отображаться UDP метод,
; на самом деле будет работать по TCP… Спросите почему? Думаю, что такой вопрос нужно задать экспертам…
; Кроме того, если порулить групповыми политиками в домене и шаблонами безопасности на HASP-сервере, то можно добиться значительно
; большего количества клиентов без нарушения лицензирования ПО, процентов на 25%, как минимум….
[NH_COMMON]
NH_IPX = Disabled ; <— Здесь запрещаем использовать протокол IPX
NH_NETBIOS = Disabled ; <— Здесь запрещаем использовать протокол NetBIOS, лишний трафик нам ни к чему
NH_TCPIP = Enabled ; <— Здесь разрешает использовать протокол TCP/IP
NH_SESSION = 15 ; <— Продолжительность сессии с HASP-сервером в секундах
NH_SEND_RCV = 30 ; <— Продолжительность попыток, в секундах, поиска HASP сервера в сети

[NH_NETBIOS] ; NetBIOS отключен, да и не к чему он собственно.
;NH_NBNAME = 11tf1
;NH_SESSION = 30
;NH_SEND_RCV = 10

[NH_TCPIP]
NH_SERVER_ADDR = 172.16.88.48, 172.16.2.248 ; <— Адреса HASP-серверов
;NH_SERVER_NAME = 11tf1
NH_TCPIP_METHOD = TCP ; Протокол используемый клиентом для работы с HASP-сервером
NH_USE_BROADCAST = Disabled ; <— Запрещаем использование широковещательного запроса, т. к. лишний трафик нам в сети ни к чему
NH_SESSION = 15
NH_SEND_RCV = 30

; Отключение броадкастов и жестская привязка на IP адрес дает и еще очень важный момент, если в сети используется несколько HASP-серверов….
; В данном случае наш клиент уже не будет подключаться к первому попавшемуся менеджеру лицензий, а обязательно найдет «свой» сервер…

;Знания и труд – горы перетрут…..
; Буду рад, если мои советы помогут вам в решении ваших проблем…
; Копилка знаний должна копиться… Удачи всем…

; Это перепост моей статьи с сайта aladdin.ru, сейчас данный пост можно найти по адресу: http://www.aladdin-rd.ru/support/forum/?PAGE_NAME=read&FID=39&TID=284

 
Оставить комментарий

Опубликовал на 12 февраля, 2011 в HASP

 

Метки:

 
%d такие блоггеры, как: