مقالات

امنیت در شبکه های NT

» تنظیمات پیش فرض NT
پس از نصب ویندوز NT یکسری تنظیمات پیش فرض انجام می گیرد که می تواند در صورت عدم تغییر مشکل ساز باشند ، زیرا این تنظیمات پیش فرض در اختیار همه قرار داشته و از آن آگاهی دارند.

• گروهها و کارهایی که بصورت پیش فرض می توانند انجام دهند
ServerOperators:Shutdown,reset the system time,perform backups and restores
BackupOperators: Shutdown,perform backups and restores
AccountOperators:Shutdown
PrintOperators:Shutdown

• شاخه ها و دسترسیهای پیش فرض:
\(root), \SYSTEM32, \WIN32APP
everyone امکان خواندن و اجرا کردن فایلها را دارد.
\SYSTEM32\CONFIG
everyone می تواند لیست فایلهای موجود در این شاخه را ببیند.
\SYSTEM32\DRIVERS, \SYSTEM\REPL
everyone امکان خواندن فایلهای این شاخه را دارد.
\SYSTEM32\SPOOL
everyone دسترسی خواندن دارد.
\USERS
Everyone می تواند لیست فایلهای موجود در این شاخه را ببیند.
\USERS\DEFAULT
everyone در این شاخه دارای دسترسی های خواندن،نوشتن و اجرا می باشد.

• جازه دسترسی به برنامه ها
Disk Administrator
کاربر باید عضو گروه Administrators باشد.

Event Log
هر کاربری می تواند Event Viewer را اجرا کند ولی فقط کاربران گروه Administrators می توانند لوگها را حذف کنند و Security log ها ببینند.

Backup
هر کاربری می تواند از یک فایل که به آن دسترسی دارد backup بگیرد

User Manager
کاربران می توانند گروههای محلی را ویرایش کنند.

User Manager for Domains
کاربران می توانند گروههای محلی را ویرایش کنند اگر به کنسول سرور logon کنند.در غیر اینصورت تنها کاربران گروههای Administrators و Account Operators می توانند.

Server Manager
فقط کاربران گروههای Administrators,Domain Admins,Server Operators

• Password های پیش فرض در NT

دو کاربر Administrator و Guest بدون کلمه عبور می باشند.
حذف Guest کار درستی نیست زیرا بعضی از برنامه ها به آن نیاز دارند(مثلا دسترسی به Microsoft Internet Studio از طریق remote)

» کلمات عبور

• طریقه دسترسی به فایل Password ها در NT
مسیر بانک اطلاعاتی امنیتی NT عبارتست از \\winnt\system32\config\sam. این مسیر به صورت پیش فرض قابل خواندن بوسیله همه می باشد ولی تا زمانی که بوسیله اجزای سیستم مورد استفاده قرار می گیرد قفل شده است.در صورتیکه فایلهای sam.sav که قابل خواندن باشند وجود داشته باشد می توان کلمات عبور را بدست آورد.هنگام نصب ویندوز NT یک کپی از فایل بانک اطلاعاتی password ها در شاخه \\winnt\repair گذاشته می شود(sam._).البته این فایل احتمالا فقط حاوی Guest,Administrator خواهد بود و اگر کلمه عبور Administrator بعد از نصب تغییر نکند می تواند مورد استفاده قرار بگیرد.البته در صورتیکه فایلهای repair بروز شده باشند امکان بدست آوردن کلمات عبور جدید فراهم خواهد شد.شاخه \\winnt\repair دارای دسترسیهای Execute,read,delete برای everyone می باشد.
بطور کلی فایل Password های NT در سه محل قرار دارد:
۱- %systemroot%system32config
2- %systemroot% repair(در صورتیکه rdisk اجرا شده باشد)
۳- در registry از مسیرHKEY_LOCAL_MACHINESAM
چهار روش برای بدست آوردن فایل Password ها وجود دارد:
۱- ساده ترین راه بوت کردن سیستم مورد نظر از طریق یک سیستم عامل دیگر مثل NTFSDOS و کپی کردن فایل sam از مسیر اصلی آن یعنی %systemroot%system32config می باشد.NTFSDOS از سایت http://www.sysinternals.com/ قابل download کردن می باشد
۲- بدست آوردن فایل از مسیر %systemroot%repair
3- استفاده از pwdump که فایل password را با استفاده از registry می سازد.
۴- گرفتن ترافیک شبکه و بدست آوردن hash ها (Password های کد شده( با استفاده از نرم افزارهایی از قبیل l0phtcrack.(این نرم افزار از مسیر http://online.securityfocus.com/tools/1005 قابل download کردن می باشد)

» رجیستری
رجیستری شامل ۴ گروه مهم به نامهای HKEY_LOCAL_MACHINE,HKEY_CURRENT_USER,
HKEY_USERS,HKEY_CLASSES_ROOT.
اولین و مهمترین مورد ارزشمند برای هکرها HKEY_LOCAL_MACHINE می باشد.این زیر درخت شامل ۵ کلید به صورت زیر می باشد:
- کلیدهای SAM,Security : این کلیدها حاوی اطلاعاتی از قبیل دسترسیهای کاربران،مشخصات گروهها و کاربران و کلمات عبور می باشد.دادها بصورت دودویی می باشند و بطور معمول تنها در صورتی در دسترس می باشد که کاربر جزء گروه Administrators باشد.این اطلاعات را در صورت offline بودن می توان بدست آورد.
- HARDWARE: شامل اطلاعاتی در خصوص سخت افزارها و داریورهای آنها می باشد.
- SYSTEM : این کلید شامل اجزای اصلی سیستم عامل از قبیل چه اتفاقاتی در هنگام بالا آمدن سیستم رخ می دهد؟ چه درایورهایی لود می شوند؟ چه سرویسهایی در حال کار هستند؟ وغیره.
- SOFTWARE : این کلید شامل اطلاعاتی در زمینه نرم افزارهایی است که بر روی سیستم وجود دارند.
دومین کلید مهم HKEY_USERS می باشد.برای هر کاربر محلی یک زیر کلید در آن وجود دارد.این کاربر می تواند از طریق local یا remote وصل شده باشد.
HKEY_CLASSES_ROOT,HKEY_CURRENT_USER کپی هایی از دو کلید HKEY_USERS و HKEY_LOCAL_MACHINE دارند.

» تقسیم بندی کلی انواع حمله ها
۱- Remote Penetration : برنامه هایی که از طریق شبکه یا اینترنت دسترسی و کنترل غیر مجاز در کامپیوتر مقصد را بدست می آورند
۲- Local Penetration : برنامه هایی که کنترل غیر مجاز کامپیوتری که در آن اجرا می شوند را بدست می آورند.
۳- Remote Denial Of Service : برنامه هایی که از طریق اینترنت یا شبکه ، کامپیوتر را یا یکی از سرویسهای انرا از کار می اندازند.(shutdown)
4- Local Denial Of Service : برنامه هایی که در کامپیوتر مورد نظر اجرا می شوند و کامپیوتر را یا یکی از سرویسهای آنرا از کار می اندازند.(shutdown)
5- Remote Scanners : برنامه هایی که یک شبکه را بررسی می کنند تا از کامپیوتر ها و سرویسهای موجود که قابل استفاده می باشند ، مطلع شوند.
۶- Vulnerability Scanners : برنامه هایی که اینترنت را جستجو می کنند برای یافتن کامپیوتری که برای یک حمله خاص آسیب پذیر باشد.
۷- Password Crackers : برنامه هایی که کلمات عبور را از فایلهای کد شده کلمات عبور استخراج می کنند.
۸- Sniffers : برنامه هایی که به ترافیک شبکه گوش می دهند.این برنامه ها اغلب دارای توانایی استخراج نام کاربری ،کلمه عبور و اطلاعات مربوط به کارت اعتباری می باشند.

» DOS
مبنای کار این حملات بر غیر قابل دسترس کردن یک سرویس بوسیله ایجاد اختلال در کارش یا خراب کردن آنها می باشد.
چند مورد از موارد حمله dos در زیر لیست شده است:
۱- telnet کردن به پورت ۵۳ ، ۱۳۵ یا ۱۰۳۱ و سپس تایپ کردن حدود ۱۰ کاراکتر یا بیشتر و فشردن کلید Enter .این کار ممکن است مشکلاتی را بوجود آورد.اگر DNS(پورت ۵۳) در حال اجرا باشد متوقف می شود.اگر پورت ۱۳۵ جواب دهد مصرف cpu تا ۱۰۰ درصد افزایش می یابد و از کارایی آن می کاهد.و اگر پورت ۱۰۳۱ هدف است ، IIS از کار خواهد افتاد.اگر آخرین sp نصب شده باشد این حمله موفق نخواهد بود.
۲- telnet کردن به پورت ۸۰ و تایپ get ../.. ، IIS را خراب خواهد کرد. اگر آخرین sp نصب شده باشد این حمله موفق نخواهد بود.
۳- مانند دو مورد فوق اگر به کامپیوتر مقصد وصل شده و DIR ..\ را برایش بفرستید، در صورتیکه آخرین sp بر روی آن نصب نشده باشد باعث خرابی آن خواهد شد.به این حمله حمله samba گفته می شود.
۴- Rollback.exe چکار می کند؟ در صورتیکه این فایل اجرا شود ، ممکن است رجیستری را پاک کند.
۵- حمله OOB جیست؟(Out Of Band) یک حمله نسبتا ساده و قدیمی است که Message هایی را عمدتا از پورت ۱۳۹ به سمت سیستم عامل می فرستد.این مشکل با sp3 ویندوز nt رفع شده است ولی ظاهرا با کمی شیطنت بر روی کد این برنامه می توان خطراتی را بوجود آورد.همچنبن می توان در این حمله از پورت ۵۳(dns)نیز استفده نمود و کامپیوتر مقصد را مورد حمله قرار داد.به این حمله ، حمله winnuke نیز گفته می شود.این حمله window 95/nt/3.1 را تحت تاثیر قرار می دهد.کد این برنامه را می توان از مسیر زیر download کرد:
http://www.fandelem.com/security/code/code.html

» Trojan
برنامه های Trojan بر روی کامپیوتر اجرا شده و برای بدست آوردن دسترسیهای نامحدود بکار می روند.کارهایی که یک برنامه trojan می تواند انجام دهد عبارتند از:
۱- download کردن،ویرایش کردن و حذف کردن داده ها.که شامل اطلاعات محرمانه می شود
۲- لوگ کردن تمام کلیدهای فشار داده شده ، که به منظور بدست آوردن نام کاربری و کلمه عبور بکار می رود.
۳- مونیتور کردن کامپیوتر با برداشتن عکسهایی در فاصله زمانی مشخص
۴- بدست گرفتن کنترل موس و صفحه کلید که اجازه انجام تمام کارها را به حمله کننده می دهد.
۵- فرستادن DOS به دیگر کامپیوترهای شبکه از کامپیوتری که مورد حمله قرار گرفته است

برنامه trojanhunter از مسیر http://www.misec.net/trojanhunter.jsp قابل download کردن می باشد.این برنامه دارای یک بانک اطلاعاتی از trojan های موجود می باشد که این بانک اطلاعاتی از طریق سایت مربوط به نرم افزار قابل update کردن می باشد.برنامه با استفاده از این بانک اطلاعاتی سیستم را برای پیدا نمودن trojan های احتمالی ، جستجو می کند و در صورت وجود آنها را حذف می کند.

» نرم افزارها و حملات معمول
علاوه بر نرم افزارهایی که در طول مستندات بالا به انها اشاره شده است ، نرم افزارهای زیر نیز مورد استفاده قرار می گیرند:
۱- نرم افزار NetBios Auditing Tool
هدف از این نرم افزار حرکت در بین شاخه های share شده کامپیوتر مورد نظر می باشد.
مهمترین مراحلی که این نرم افزار برای رسیدن به این منظور خود طی می کند به صورت زیر می باشد:
- فرستادن یک بسته UDP به کامپیوتر مقصد که از جوابش نام کامپیوتر مقصد را بدست می آورد(NetBios Name).جواب معمولا از پورت ۱۳۷ ارسال می شود حتی اگر بسته UDP از پورت دیگری آمده باشد.
- یک اتصال TCP با کامپیوتر مقصد از طریق پورت NetBios (139) بر قرار می شود.
- ….
این نرم افزار را می توان از مسیر http://online.securityfocus.com/tools/543 دریافت کرد.
۲- نرم افزار portscaning
این نرم افزار برای چک کردن پورتهای TCP/IP به منظور آگاهی از سرویسهای موجود می باشد.مثلا پورت ۸۰ معمولا مربوط به وب سرور و پورت ۲۵ مربوط به smtp می باشد.با آگاهی از این سرویسها می توان به نوع سیستم مقصد پی برده و در حملاتی که انجام خواهد شد از این اطلاعات استفاده نمود.
نرم افزار (iptools2000)ostroSoft Internet Tools یک نرم افزار با قابلیتهای زیادی از جمله انجام port scan می باشد.
۳- Ping مرگ آور
با استفاده از فرستادن یک بسته ICMP بزرگ می توان کامپیوتر مقصد را به عکس العملی غیر قابل پیش بینی مثل reset شدن یا hang کردن وا داشت.البته باید کامپیوتر مقصد windows95 یا nt3.51 باشد.
مقصد تکه های بسته را دریافت می کند و آنها را reassemble می کند.بدلیل حجم زیاد داده ها حالت overflow پیش می آید.
۴- حمله SYN Flood
در پروتکل TCP/IP برای انجام handshake سه مرحله پشت سر گذاشته می شود.ابتدا client یک بسته SYN به سرور می فرستد.سرور به با استفاده از بسته SYN-ACK به client جواب می دهد.و در پایان نیز client به سرور جواب داده و از این لحظع به بعد conversation شروع شده تلقی می شود.
اما مشکل زمانی پیش می آید که client در مرحله سوم به سرور جواب ندهد.این مشکل برای Nt3.51 و nt4.0 که با آخرین sp بروزدرآوری نشده است پیش می آید.
۵- LC3
این برنامه به منظور پیدا کردن کلمات عبور شبکه بکار می رود.از قابلیتهای این نرم افزار امکان رمز گشایی فایلهای sam و همچنین گوش فرا دادن به ترافیک شبکه برای به چنگ انداختن کلمات عبور می باشد.
وب سایت مربوط به این نرم افزار www.securitysoftwaretech.com می باشد.
۶- iisstorm
این نرم افزار به منظور حمله به سرورهایی که بر روی آنها IIS نصب شده است بکار می رود.با استفاده از این نرم افزار می توان فایلهایی از hard سرور را که قابل خواندن می باشند ، خواند و یا در شاخه هایی که اجازه نوشتن داده شده است فایلهای خود را قرار داد.همچنین یک گزارش از سروری که IP آن داده شده است تهیه می کند که می تواند در تشخیص آسیب پذیر بودن یا نبودن سرور مؤثر باشد.سایت مربوط به این نرم افزار www.m0sad.com می باشد.

» رعایت امنیت
چگونه می توان سرور را ایمن ساخت؟
۱/ غیر فعال کردن اتصال به ایستگاههای کاری از راه دور(Remote login to workstations)
2. بوت چندگانه نداشته باشید و از فرمت NTFS استفاده شود.
۳/ Everyone را از گروههایی که قابلیتی بیش از خواندن دارند خارج کنید
۴/ از آخرین Service Pack های ارائه شده استفاده شود
۵/ مطمئن شوید که دایرکتوریهای Program file فقط قابلیت خواندن و اجرا کردن دارند و سعی شود که دایرکتوریهای عمومی از دایرکتوریهای خصوصی جدا شوند
۶/ به owner شاخه ها دقت شود ، چون owner می تواند اطلاعات موجود در شاخه را تغییر دهد حتی اگر اسمش از لیست دسترسیهای آن شاخه حذف شده باشد
۷/ به usermanager رفته و یک Password Policy محدودکننده تعریف کنید
۸/ نمایش نام کاربری که آخرین بار به کامپیوتر logon کرده است را غیر فعال کنید(last logon username display)
9. اگر می توانید Scheduler Service را حذف کنیدزیرا از این سرویس بعضی trojan ها سوء استفاده می کنند.
۱۰/ دسترسی به فایلهای اجرایی خاص را که فکر می کنید خطرناک هستند را محدود کنید(مثل cmd.exe و ntbackup.exe)
11. از firewall استفاده کنید.حداقل محدودیت عدم دسترسی به پورتهای ۱۳۵ تا ۱۳۹ را چه از طریق TCP و چه UDP اعمال کنید
۱۲/ web,ftp و هر شاخه عمومی سرور رادر صورت امکان بیرون از firewall قرار دهید یا یک DMZ بین یک زوج از firewall قرار دهید. DMZ سروری است که به صورت یک منطقه خنثی عمل می کند و شبکه اینترنتی را از شبکه داخلی جدا می کند.
۱۳/ همچنین می توان با استفاده از برنامه هایی از قبیل PWAudit ، تلاشهایی که برای دسترسی به Password ها انجام می شود را لوگ نمود.
۱۴/ استفاده از ویروس یابها
۱۵/ استفاده از Auditکه در اینصورت دسترسی به شاخه ها لوگ خواهد شد.

۱۱ گزینه دیگر برای محافظت در برابر حملات
۱- Patching : شرکتهای ارائه دهنده نرم افزار ، معمولا برای اصلاح خطاهای موجود در سیستم شان ، هر چند مدت یکبار بسته هایی بنام patch عرضه می کنند که حاوی رفع خطاهای برنامه می باشد.بعضی از این خطاها ممکن است راهی برای نفوذ به کامپیوتر باز بگذارد.این بسته ها باید هر چند مدت یکبار نصب شوند.
۲- Virus Detection : وجود یک برنامه ویروس یاب در شبکه ضروری می باشد.استفاده از ویروس یاب در mail server و از بین بردن ویروسهای فایلهای attach قبل از رسیدن یه دست کاربر نیز می تواند مفید باشد.
۳- Firewalls : یکی از مهمترین موارد مورد نیاز برای حفظ امنیت شبکه می باشد.firewall ترافیک ورودی و خروجی به شبکه را کنترل می کند.
۴- password Cracker : هکرها معمولا از طریق یکسری راههای مشخص فایل مربوط به کلمات عبور را بدست می آورند و سپس با استفاده از نرم افزارهایی کلمات عبور ضعیف را از فایل کلمات عبور بدست می آورند.پس از بدست آوردن کلمه عبور وارد سیستم شده و کنترل کامل آنرا در دست می گیرند.با استفاده از نرم افزارهای password crack می توان فایل کلمات عبور را تست کرده و کلمات عبور ضعیف را تشخیص داد.
۵- Encryption : هکرها می توانند با گوش دادن به ترافیک شبکه ، کلمات عبور رد و بدل شده را بدست می آورند.به همین خاطر باید کلمات عبور در اتصالهای از راه دور به سیستم کدگذاری شوند.
۶- Vulnerability Scanner : این نرم افزار با استفاده از بانک اطلاعاتی وسیعی که از انواع آسیب پذیریها در اختیار دارد، کامپیوترهای شبکه را از لحاظ آسیب پذیر بودن تست می کند.
۷- Configuring Host and Security : کامپیوترهایی که تازه سیستم عامل بر روی آنها نصب شده است در برابر حملات آسیب پذیر خواهند بود.این تنظیمات پیش فرض باید بر اساس نیاز تغییر کرده وتنها از سرویسهایی استفاده شود که مورد نیاز می باشند .
۸- Denial Of Service Testing : DOS بسیار معمول می باشد. هکرها با استفاده از آن کامپیوتری را reset میکنند یا سرویسهای یک دستگاه را متوقف می سازند.برای تست کردن کامپیوترها می توان از برنامه های مختلف در این زمینه استفاده نموده و کامپیوتر را از لحاظ مقاومت در برابر این حملات تست کرد.البته باید از کامپیوترهای آزمایشی برای این منظور استفاده شود.
۹- Security Advisories : هشدارهایی که توسط تیمها یا فروشندگان درباره آسیب پذیری های فعلی موجود در سیستم ها منتشر می شوند.یکی از سایتهای فعال در این زمینه سایت www.cert.org می باشد.
۱۰- Intrusion Detection : این سیستمها حملات به کامپیوتر را تشخیص می دهند.آنها می توانند خارج از firewall استفاده شوند و حملاتی که به شبکه خواهد شد را زیر نظر بگیرند.اطلاعات و برنامه های موجود در این زیمنه در سایت www.trusecure.com آمده است.
۱۱- Network Discovery Tools and Port Scanners : این برنامه ها شبکه را بررسی می کنند تا از سرویسهای ارائه شده توسط آن آگاه شوند.هکرها با استفاده از آن ، کامپیوترهای آسیب پذیر در شبکه را تشخیص می دهند.Administrator می تواند با استفاده از این نرم افزارها کامپیوترهای ضعیف موجود در شبکه را شناسایی کنند و در جهت رفع مشکلات آن بر ایند.