Геннадий Вильдяйкин – Технология сканирования на наличие уязвимостей. Для студентов технических специальностей (страница 2)
Если UDP-порт закрыт, то отправляется ICMP сообщение – Port unreachable, активность других портов не подтверждена.
Проведем сканирование портов при установленном межсетевом экране с настройками по умолчанию (рисунки 2.6—2.10).
Рисунок 2.6 – Предупреждение сканера портов
Рисунок 2.7 – Реакция межсетевого экрана на сканирование
Рисунок 2.8 – Происходит только первоначальный ARP-запрос
Рисунок 2.9 – Сканирование портов не произошло
Рисунок 2.10 – Журнал межсетевого экрана: обнаружение атаки
В соответствии с настройками по умолчанию IP-адрес атакующего блокируется на 5 минут (рисунок 2.11).
Рисунок 2.11 – Действия МЭ в случае атаки
2.2 Блокировка доступа к серверу для Internet Explorer
Согласно варианту задания, необходимо разрешить программе Internet Explorer доступ в Internet, за исключением одного сервера. При проведении работы будем использовать сервер с IP-адресом 185.189.14.207. Зайдем на сайт (рисунок.2.12).
Рисунок 2.12- Сервер доступен до создания правила для МЭ
Создадим правило, запрещающее программе Internet Explorer доступ к серверу с данным IP-адресом (рисунок 2.13).
Рисунок 2.13 – Создание правила для МЭ
Теперь доступ на сайт заблокирован, другие сайты доступны (рисунки 2.14, 2.15).
Рисунок 2.14 – Соединение с сайтом заблокировано
Рисунок 2.15 – Другие сайты доступны
Рисунок 2.16— Установление соединения с сайтом до создания правила блокировки
Рисунок 2.17 – Ошибка после создания правила блокировки
При блокировании сервера получен код ошибки 403 – доступ запрещен.
2.3 «Отрезать» защищаемый компьютер от сети
Создадим правило блокировки для всех IP-адресов (рисунок 2.18).
Рисунок 2.18 – Правило блокировки IP-адресов
Результат работы правила на рисунках 2.19—2.12.
Рисунок 2.19 – IP-адрес заблокирован
Рисунок 2.20 – IP-адрес заблокирован
Рисунок 2.21 – IP-адрес заблокирован
На практике была рассмотрена многофункциональная диалоговая программа NetScanTools, изучены её основные функции. С ее помощью были получены сведения о конфигурации сети, расположенных в ней компьютерах, которые могут быть использованы злоумышленниками при атаке. Это составляет зачастую первую стадию работы по «анализу» сети.
Также был использован программный межсетевой экран Outpost Firewall. Настроены правила для блокирования IP-адресов, созданы правила для приложения, работающего с сетью.
Для анализа пакетов использовалось приложение Wireshark, которое может работать со структурой самых различных сетевых протоколов, и поэтому позволяет разобрать сетевой пакет, отображая значение каждого поля протокола любого уровня.
3 Политика паролей учетных записей в Active Directory
Пусть вновь есть две виртуальные машины с ОС Windows 7, состоящих в домене. Контроллер домена работает на третьей виртуальной машине с ОС Windows Server 2008 R2.
Настройка и внедрение политики паролей, обеспечивающей достаточную сложность, длину пароля, частоту смены пароля пользователей и сервисных учетных записей, позволяет усложнить злоумышленнику возможность подбора или перехвата паролей пользователей.
Настроим политику паролей учетных записей домена, задав единые требования к паролям пользователей рисунки 3.1—3.5.
Откроем консоль управления доменными политиками GPO – Group Policy Management console – gpmc.msc.
Рисунок 3.1 – Пункт «Управление групповой политикой»
Развернем вкладку нашего домена, найдем политику Default Domain Policy. Нажмем правую клавишу мыши на нее и выберем пункт изменить (рисунок 3.2).
Рисунок 3.2 – Меню управления групповыми политиками
Политики паролей находятся в следующем разделе редактора GPO: Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Политики учетных записей – Политика паролей (рисунок 3.3).
Рисунок 3.3 – Окно редактора GPO
Чтобы отредактировать настройки нужной политики, дважды нажмем по ней. Чтобы включить политику, нужно поставить флажок «Определить следующий параметр политики» и указать необходимую настройку.
По заданию необходимо запретить «простые» с точки зрения безопасности пароли. Для этого включим параметр политики «Пароль должен отвечать требованиям сложности» (рисунок 3.4).
Рисунок 3.4 – Включение параметра политики безопасности
Данная настройка параметров управления паролями означает, что пользователю запрещено использовать имя своей учетной записи в пароле (не более чем два символа подряд из username или Firstname), также в пароле должны использоваться 3 типа символов из следующего списка: цифры (0 – 9), символы в верхнем регистре, символы в нижнем регистре, спец символы ($, #, % и т.д.).
Новые настройки парольной политики будут применены ко все компьютерам домена в фоновом режиме в течении некоторого времени (90 минут), при загрузке компьютера
Чтобы принудительно выполнить фоновое обновление всех параметров групповой политики, независимо от того, изменились ли они, воспользуемся командой gpupdate /force (рисунок 3.5).
Рисунок 3.5 – Принудительное обновление политик безопасности
Для проверки создадим пользователя (рисунок 3.6).
Рисунок 3.6 – Созданный пользователь
Позволим ему самостоятельно изменять пароль (рисунок 3.7).
Рисунок 3.7 – Имя входа пользователя
Сделаем так, чтобы компьютером PC-1 в домене могу управлять только данный пользователь (рисунок 3.8).
Рисунок 3.8 – Компьютером PC-1 управляет только user-1
Рисунок 3.9 – Свойства PC-1
Зайдем под учетной записью данного пользователя на PC-1 и попробуем поставить пароль «User-1*743». Данный пароль включает в себя специальные символы, большие и маленькие буквы, цифры и его длина составляет 10 символов (минимальная длина в соответствии с политикой – 7) (рисунок 3.10).
Рисунок 3.10 – Попытка изменить пароль
При попытке изменить пароль получено сообщение об ошибке, потому что пароль содержит в себе имя пользователя для входа (рисунок 3.11).
Рисунок 3.11 – Не удалось изменить пароль
Проверим сможет ли администратор на контролере домена установить пароль «PAUL_*%351» (рисунки 3.12).
Рисунок 3.12 – Меняем пароль на DC
Рисунок 3.13 – Вводим пароль
Получаем сообщение об ошибке (рисунок 1.14). Пароль отвечает требованиям сложности, но содержит в себе целиком имя пользователя (firstname).
Рисунок 3.14 – Сообщение об ошибке
4 Аудит событий в Active Directory
В Windows Server 2008 необходимо настроить аудит события «Вход в систему» (успешный и неуспешный).