Засоби віддаленого керування комп'ютерами сьогодні набули великої популярності. Поступово, крок за кроком, з інструменту віддаленого адміністрування, що використовувалися суто в технологічних цілях, програмні засоби цього типу почали використовуватися співробітниками різних організацій для роботи зі своїм офісним комп'ютером не виходячи з будинку, з домашнього комп'ютера. Сучасні програми віддаленого керування офісним комп'ютером надають цілий набір засобів для підключення - прямого, модемного і мережевого. Все це надає великі зручності для співробітників організацій, проте і хакерам також відкриваються можливості для досягнення своїх цілей.

Інсталюючи засоби віддаленого керування, існує можливість його несанкціонованого використання. Якщо встановити на офісний комп'ютер модем і підключити його до телефонної лінії для подальших сеансів зв'язку з домашнього комп'ютера, то хакер при виявленні телефонів організації і протестувавши на наявність з'єднання за допомогою спеціальних програм ідентифікує засоби віддаленого керування та взламує їх.

Програма pcAnywhere

Програма pcAnywhere корпорації Symantec є одним з кращих інструментів віддаленого керування хостами мережі TCP/IP. pcAnywhere встановлюється на комп'ютерах, зв'язаних локальною мережею, модемною лінією зв'язку або безпосередньо, через послідовні і паралельні порти. Комп'ютери, керовані засобами pcAnywhere, називаються хостами, а комп'ютери, що керують, називаються абонентами. Взаємодія хостів і абонентів pcAnywhere відбувається наступним чином, після встановлення зв'язку на екрані віддаленого комп'ютера відображаються ті ж засоби призначеного для користувача інтерфейсу і діалоги програм, що і на моніторі хосту. При цьому дії користувача в діалозі абонента pcAnywhere негайно копіюються на екрані хоста pcAnywhere.

Таким чином, користувач комп'ютера-абонента pcAnywhere отримує в своє розпорядження консоль віддаленого керування хостом pcAnywhere, практично співпадаючу з локальною консоллю хосту (рис. 3.15).

Для керування роботою своїх хостів і абонентів програма pcAnywhere надає диспетчер, робоче вікно якого, pcAnywhere Manager (Диспетчер pcAnywhere), представлене на рис. 3.16.

Версія 10.5.1 програми pcAnywhere не дозволяє поповнювати список абонентів хоста без вказівки логіна і пароля вхідної реєстрації. Новому абонентові при створенні надаються за замовчуванням обмежані права.
Отже, на перший погляд, все, що можна запропонувати для злому доступу до хосту pcAnywhere – це спробувати вгадати логін і пароль, часто співпадаючі з логіном і паролем вхідної реєстрації. Для цього можна скористатися програмою Brutus. Ця програма дозволяє настроювати свої засоби злому паролів. Проте це трудомісткий і ненадійний шлях, оскільки користувач встановить надійний пароль для реєстрації, а система захисту зафіксує численні спроби вхідної реєстрації [8].

Існує обхідний шлях – підміна профілю підключення абонента до хосту. В цьому випадку необхідно створити хост pcAnywhere, ім'я якого співпадає з тим, що відображається в діалозі очікування з'єднання. Наступним кроком є створення абонента для підключення до цього хосту, цьому абонентові надаються необмежені права доступу до хосту, встановлюючи перемикач Superuser (Суперкористувач) на вкладці Privileges (Привілеї) діалогу властивостей абонента.

Після створення хосту pcAnywhere в папці Системний диск:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere (або в іншій папці, вказаній в списку діалогу диспетчера pcAnywhere), створюється файл профілю абонента цього хоста з передбаченим ім'ям. У даному випадку для хосту Sword-2000 після створення абонента pcAnywhere з логіном А1ех-3 був створений файл профілю з ім'ям PCA.Alex-3.CIF - тобто з ім'ям, що містить логін абонента в середині запису, і з розширенням .CІF.

Створивши за допомогою диспетчера pcAnywhere нового абонента наприклад, Hacker, профіль якого буде збережений у файлі PCA.Hacker.CIF на комп'ютері хакера. Якщо цей файл РСА.Hacker.CIF помістити на хост Sword-2000 в теку Системний диск:/Documents and Settings/All Users/Application Data/Symantec/ pcAnywhere, то в діалозі абонентів хоста Sword-2000 з'явиться новий обліковий запис ( рис. 3.17).

Тепер до хосту pcAnywhere можна підключитися, знаючи логін і пароль нового абонента Hacker, в даному випадку - хакер, що трохи попрацював для створення і перенесення файлу профілю на комп'ютер-жертву.

Існує декілька шляхів для запису файлу на атакований комп’ютер. Одним з них це атака на протокол NETBIOS, або підготувавши і відправити лист з активним вкладенням, яке завантажить на хост файл, скажімо, з використанням клієнта TFTP. Можна також вдатися до методів соціальної інженерії і змусити ламера клацнути на посиланні для завантаження безкоштовної программи (це найкращий метод для людей із специфічними схильностями). Якщо хост pcAnywhere функціонує як Web-сервер, є сенс атакувати сервер IIS, і якщо це програма IIS 5, не оброблена сервісними пакетами, то шанси на успіх майже стовідсоткові[8].

Щоб віддалено визначити, чи встановлений на комп'ютері хост pcAnywhere і чи працює він в даний момент, слід звернутися до засобів інвентаризації ресурсів локальної мережі, які повинні виявити на комп'ютері відкриті порти віддаленого управління. Проте в мережах Windows є і ще одна можливість – використання засобів інвентаризації, вбудованих в системи Windows NT/2000/XP, які спираються на протокол SNMP (Simple Network Management Protocol -простий протокол мережевого управління).

Протокол SNMP

Протокол SNMP призначений для віддаленого адміністрування хостів локальної мережі. Для хакерів протокол SNMP забезпечує великі можливості з інвентаризації мережі, на вразливостях SNMP базується багато хакреських атак. Тому розроблено безліч програм управління мережами з опорою на протокол SNMP, з яких виділимо пакет SOLARWINDS. Ці утиліти мають подвійне застосування. Системні адміністратори використовують їх для адміністрування мережі, а хакери – для проникнення в мережу і заволодіння її ресурсами. Отже, перейдемо до знайомства з пакетом SOLARWINDS з врахуванням завдань злому і захисту.

Протоколом SNMP є стандарт управління мережами TCP/IP (а також мережами IPX). На основі протоколу SNMP створюються програмні засоби віддаленого управління мережевими серверами, робочими станціями і іншими пристроями, що дозволяють налаштовувати роботу мережевих хостів, спостерігати за їх роботою, відстежувати збої і поточну діяльність користувачів в мережі.

Для роботи вищезгаданих програмних засобів SNMP використовуються системи управління SNMP (або консолі SNMP) і агенти SNMP, тобто служби SNMP, що збирають інформацію про вузли, і поміщають її в бази даних MIB (Management Information Base - база керуючої інформації). База MIB містить таблицю запущених служб, звіт про спосіб розмежування доступу, перелік сеансів і облікових записів користувачів, набір загальних ресурсів сервера і іншу інформацію. Для проглядання бази МІВ застосовуються системи управління SNMP, наприклад, утиліта snmputil з пакету W2RK або ж спеціальне програмне забезпечення, прикладом якого є застосуванню IP Network Browser, що входить в пакет SOLARWINDS 2002 Engineer's Edition. Хости, на яких функціонують консолі і агенти SNMP, об'єднуються в співтовариства SNMP, що ідентифікуються іменами співтовариства. Агенти SNMP кожного хосту співтовариства можуть передавати повідомлення у відповідь на запити консолей SNMP тільки «свого» співтовариства і тих співтовариств, які вказані в списку, що створюється при конфігурації служби SNMP. Для обміну інформацією використовується транспортний протокол UDP, а передача пакетів SNMP виконується через сокети Windows з портами 161 і 162.

Якщо хакерові вдається визначити ім'я співтовариства SNMP, інвентаризація мережевих ресурсів комп'ютерів співтовариства не викликає жодних проблем. Для вирішення цього завдання можна скористатися пакетом SOLARWINDS, що включає у себе найрізноманітніші утиліти для збору відомостей про локальну мережу.

На рис. 3.18. представлений діалог браузера MIB з пакету Solar Winds 2001 Engineer’s Edition, що відображає записи бази даних MIB комп’ютера А1ех-3, що входять в розділ відомостей про облікові записи і загальні ресурси комп’ютера.

На рис. 3.18. можна відмітити, що дані, які відображаються браузером МІВ аналогічні таким, що виявлені з бази SAM за допомогою утиліти LC4 . Таким чином, база МІВ не менш інформативна, ніж база SAM, крім того, що в ній відсутні паролі облікових записів.

Існує й інша утиліта для проглядання ресурсів мережевих хостів – Network Browser , яка представляє інформацію бази даних МІВ мережі, що інвентаризується в доступнішій формі ( рис. 3.19).

Проблема у використанні бази MIB для цілей інвентаризації полягає в отриманні імені співтовариства, яке по суті є паролем для доступу до інформації в базі MIB. Це завдання зовсім не безнадійне, оскільки засоби пакету SOLARWINDS 2001 Engineer's Edition включають утиліти SNMP Brute Force Attack і SNMP Dictionary Attack для злому доступу до бази МІВ підбором імені співтовариства, що виконується, відповідно, прямим перебором символів і шляхом словникової атаки.

Дуже часто для надання імен співтовариствам, SNMP адміністратори використовують встановлені за замовчуванням імена public, або private, або їх варіації. Тому утиліти SNMP Brute Force Attack і SNMP Dictionary Attack для злому доступу до співтовариства SNMP враховують таку особливість. Вони дозволяють хакерові вводити початкові імена співтовариства SNMP типу public або private в стартовий рядок пошуку з автоматичною генерацією варіантів рядків, що випробовуються. Це дозволяє швидко знаходити імена типу public2 і інші, що базуються на стандартному імені public[8].

Для захисту від атаки на протокол SNMP, слід закрити доступ до портів 161 і 162, які використовуються агентами і консоллю SNMP, вдавшись до засобів фільтрації ТСР/ІР, або засобами аплета Служби (Services) комп'ютера Windows 2000/XP, щоб відключити на хості службу SNMP. У будь-якому випадку ім'я співтовариства SNMP повинно бути достатньо складним для злому методом грубої сили, оскільки ім'я співтовариства служить фактично паролем доступу до агента SNMP.

Встановлені на мережевому хості засоби віддаленого управління, як від незалежного виробника (програма pcAnywhere). так і вбудовані (служба SNMP) можуть стати справжніми знахідками для хакера, оскільки дуже часто після інсталяції цих засобів їх система захисту не настроєтна належним чином. Це стосується практично всіх загальнопоширених програм віддаленого керування, особливо ранніх версій. Щоб виявити комп'ютер зі встановленою програмою віддаленого керування, можна скористатися засобами протоколу SNMP, що забезпечує роботу агентів і консолі SNMP управління ресурсами комп'ютера. Браузер IP Network Browser, розглянутий в цьому розділі, надійно ідентифікує відкриті порти програми віддаленого управління pcAnywhere, після чого хакер може скористатися різними засобами для віддаленого злому доступу до хосту pcAnywhere.

Не слід нехтувати також можливостями SNMP для вирішення загального завдання інвентаризації систем, що атакуються. Засоби захисту агентів і консолі SNMP, вбудовані в систему Windows не забезпечують належноїй безпеки для комп'ютерів співтовариства SNMP. Для хакера це надає обширні можливості для інвентаризації ресурсів мережевих хостів і подальших спроб злому доступу до комп'ютерів.

Для запобігання взлому, паролі доступу до хостів pcAnywhere мають бути досить складними, щоб їх не можна було зламати словниковою атакою, або простим перебором. Описаній вище атаці на хост pcAnywhere можна також запобігти, обмеживши доступ до папок комп'ютера, що зберігають інформацію для налаштування. Тому налаштування системи захисту Windows – найкращий спосіб запобігання атакам на засоби віддаленого управління[7].

Функції брандмауерів

Брандмауером називають спеціальний програмно-апаратний комплекс, що забезпечує захист локальної мережі від вторгнень з локальної або глобальної мережі, наприклад, Інтернету, в точці їх з'єднання. Брандмауери дозволяють пропускати через мережеве з'єднання тільки авторизований трафік, контролюючи тим самим мережеву взаємодію між комп'ютерами глобальної і локальної мережі. Високорозвинуті брандмауери дозволяють виконувати дуже точну настройку доступу до мережевих служб, надаючи для цього зручний графічний інтерфейс. Добре настроєний брандмауер не просто блокує неавторизовані запити з боку зовнішніх комп'ютерів, але і намагається ідентифікувати авторів запиту разом з негайним повідомленням адміністратора системи про спроби таких запитів.

Брандмауери дозволяють управляти мережевим трафіком, що проходить усередині локальної мережі. За допомогою брандмауерів можна розділити локальну мережу на домени безпеки - групи комп'ютерів з одним рівнем захищеності. На комп'ютерах найбільш захищеного домена слід зберігати конфіденційну інформацію, наприклад, облікові записи користувачів, документи фінансової звітності, відомості про поточну виробничу діяльність і тому подібне. Розділення доступу користувачів до мережевих ресурсів різного ступеня секретності вже само по собі різко підвищує рівень безпеки мережі. Якщо до того ж набудувати брандмауер так, щоб доступ до виділеного мережевого сегменту був максимально обмеженим, то можна значною мірою забезпечити інформацію, що зберігається в сегменті, від розкриття конфіденційності[6].

У загальному випадку методика Firewall, тобто брандмауерів, реалізує наступні основні три функції:

1. Багаторівнева фільтрація мережного трафіка.

Фільтрація звичайно здійснюється на трьох рівнях OSI:

• мережному (IP);

• транспортному (TCP, UDP);

• прикладному (FTP, TELNET, HTTP, SMTP ).

Фільтрація мережевого трафіка є основною функцією систем Firewall і дозволяє адміністратору безпеки мережі централізовано здійснювати необхідну мережеву політику безпеки у виділеному сегменті IP-мережі. Тобто, настроївши відповідним чином Firewall, можна дозволити чи заборонити користувачам як доступ із зовнішньої мережі до хостів, що знаходяться в сегменті, який захищається, так і доступ користувачів із внутрішньої мережі до відповідного ресурсу зовнішньої мережі.

2. Proxy-схема з додатковою ідентифікацією й аутентифікацією користувачів на Firewall - хості.

Proxy-схема дозволяє, по-перше, при доступі до захищеного Firewall сегменту мережі здійснити на ньому додаткову ідентифікацію й аутентифікацію віддаленого користувача. По-друге, є основою для створення приватних мереж з віртуальними IP-адресами. Proxy-схема призначена для створення з'єднання з кінцевим адресатом через проміжний proxy-сервер (proxy від англ. повноважний) на хості Firewall. На цьому proxy-сервері і може здійснюватися додаткова ідентифікація абонента.

3. Створення приватних віртуальних мереж (Private Virtual Network - PVN) з "віртуальними" IP-адресами (NAT - Network Address Translation).

У випадку, якщо адміністратор безпеки мережі вважає за доцільне приховати топологію своєї внутрішньої IP-мережі, то йому необхідно використовувати системи Firewall для створення приватної мережі (PVN-мережа). Хостам у PVN-мережі призначаються будь-які "віртуальні" IP-адреси. Для адресації в зовнішню мережу (через Firewall) необхідне використання на хості Firewall proxy-серверів, або застосування спеціальних систем роутінгу (маршрутизації). Це відбувається через те, що віртуальна IP-адреса, яка використовується у внутрішній PVN-мережі , не придатна для зовнішньої адресації (зовнішня адресація - це адресація до абонентів, що знаходиться за межами PVN-мережі). Тому proxy-сервер, чи засіб роутінгу повинен здійснювати зв'язок з абонентами з зовнішньої мережі зі своєї дійсної IP-адреси. Ця схема зручна в тому випадку, якщо для створення ІР-мережі виділили недостатню кількість IP-адрес, тому для створення повноцінної IP-мережі з використанням proxy-схеми досить тільки однієї виділеної IP-адреси для proxy-сервера.

Будь-який пристрій, що реалізує хоча б одну з цих функцій Firewall-методики, і є Firewall-пристроєм. Наприклад, ніщо не заважає використовувати в якості Firewall - хосту комп'ютер зі звичайною ОС FreeBSD чи Linux, у якої відповідним чином необхідно скомпілювати ядро ОС. Firewall такого типу буде забезпечувати тільки багаторівневу фільтрацію ІР-трафіка. Пропоновані на ринку Firewall-комплекси, створені на базі ЕОМ звичайно реалізують усі функції Firewall-методики і є повнофункціональними системами Firewall. На рис. 3.20 зображений сегмент мережі, відділений від зовнішньої мережі повнофункціональним Firewall - хостом.

Однак адміністраторам IP-мереж треба розуміти, що Firewall це не гарантія абсолютного захисту від віддалених атак у мережі Internet. Firewall - не стільки засіб забезпечення безпеки, скільки можливість централізовано здійснювати мережну політику розмежування віддаленого доступу до доступних ресурсів мережі. Firewall не зможе запобігти таким видам атак як: аналізу мережного трафіку, помилковий ARP-сервер, помилковий DNS-сервер, підміна одного із суб'єктів TCP-з'єднання, порушення працездатності хосту шляхом створення спрямованої атаки помилковими запитами чи переповнення черги запитів. В таких випадках використання Firewall не допоможе. Для того, щоб вивести з ладу (відрізати від зовнішнього світу) усі хости усередині захищеного Firewall-системою сегмента, досить атакувати тільки один Firewall. Це пояснюється тим, що зв'язок внутрішніх хостів із зовнішнім світом можливий тільки через Firewall.

З усього вищесказаного аж ніяк не випливає, що використання систем Firewall є абсолютно безглуздим, на даний момент цій методиці немає альтернативи. Однак треба чітко розуміти і пам'ятати її основне призначення. Застосування методики Firewall для забезпечення мережної безпеки є необхідною, але аж ніяк не достатньою умовою. Не потрібно вважати, що поставивши Firewall вирішуються всі проблеми з мережною безпекою і усунуться усі можливі віддалені атаки з мережі Internet [7].