Некоторые механизмы защиты от сетевых атак в microsoft...
DESCRIPTION
Некоторые механизмы защиты от сетевых атак в Microsoft Windows. Дубровин Владимир Валентинович начальник сервис-центра группы компаний СЕНДИ [email protected] Нижний Новгород 200 4. SD3+C Security. Secure by Desing - безопасен по внутренней структуре Secure by Default - PowerPoint PPT PresentationTRANSCRIPT
1
С Е Н Д И
® Некоторые механизмы защиты от сетевых атак в Microsoft
Windows
ДубровинВладимир Валентинович
начальник сервис-центра группы компаний СЕНДИ[email protected]
Нижний Новгород2004
2
С Е Н Д И
®
SD3+C Security
Secure by Desing
- безопасен по внутренней структуре
Secure by Default
- безопасен в стандартной установке
Secure in Deployment
- безопасен во внедрении
+Communication
- связь с сообществом
Secure in DeploymentSecure in DeploymentSecure in DeploymentSecure in Deployment
Automated configurationAutomated configuration
Identity & access mgmtIdentity & access mgmt
Monitoring infrastructureMonitoring infrastructure
Prescriptive guidancePrescriptive guidance
Automated configurationAutomated configuration
Identity & access mgmtIdentity & access mgmt
Monitoring infrastructureMonitoring infrastructure
Prescriptive guidancePrescriptive guidance
Secure by DesignSecure by DesignSecure by DesignSecure by Design
TrainingTraining
Code reviewsCode reviews
IIS re-architectureIIS re-architecture
Threat modelsThreat models
TrainingTraining
Code reviewsCode reviews
IIS re-architectureIIS re-architecture
Threat modelsThreat models
Secure by DefaultSecure by DefaultSecure by DefaultSecure by Default
19 Services off by default19 Services off by default
Secure default settingsSecure default settings
Lower privilegesLower privileges
19 Services off by default19 Services off by default
Secure default settingsSecure default settings
Lower privilegesLower privileges
CommunicationsCommunicationsCommunicationsCommunications
Community investmentCommunity investment
Architecture WebcastsArchitecture Webcasts
Writing Secure Code 2.0Writing Secure Code 2.0
Community investmentCommunity investment
Architecture WebcastsArchitecture Webcasts
Writing Secure Code 2.0Writing Secure Code 2.0
SD3 At Work – MS03-007Windows Server 2003 Unaffected
The underlying The underlying DLL (NTDLL.DLL) DLL (NTDLL.DLL) not vulnerablenot vulnerable
The underlying The underlying DLL (NTDLL.DLL) DLL (NTDLL.DLL) not vulnerablenot vulnerable
Fixed during secure code reviewFixed during secure code reviewFixed during secure code reviewFixed during secure code review
EvenEven if it was running if it was runningEvenEven if it was running if it was running IIS 6.0 doesn’t have DAV enabled IIS 6.0 doesn’t have DAV enabled by defaultby defaultIIS 6.0 doesn’t have DAV enabled IIS 6.0 doesn’t have DAV enabled by defaultby default
Even Even if it did have if it did have DAV enabledDAV enabledEven Even if it did have if it did have DAV enabledDAV enabled
Maximum URL length in IIS 6.0 is 16kb by Maximum URL length in IIS 6.0 is 16kb by default (>64kb needed) default (>64kb needed) Maximum URL length in IIS 6.0 is 16kb by Maximum URL length in IIS 6.0 is 16kb by default (>64kb needed) default (>64kb needed)
EvenEven if it was if it was vulnerablevulnerableEvenEven if it was if it was vulnerablevulnerable
IIS 6.0 not running by default on IIS 6.0 not running by default on Windows Server 2003Windows Server 2003IIS 6.0 not running by default on IIS 6.0 not running by default on Windows Server 2003Windows Server 2003
EvenEven if it DID get this if it DID get this far and there WAS an far and there WAS an actual Buffer Overrunactual Buffer Overrun
EvenEven if it DID get this if it DID get this far and there WAS an far and there WAS an actual Buffer Overrunactual Buffer Overrun
Would have occurred in Would have occurred in w3wp.exew3wp.exe which which is now running as ‘network service’is now running as ‘network service’Would have occurred in Would have occurred in w3wp.exew3wp.exe which which is now running as ‘network service’is now running as ‘network service’
5
С Е Н Д И
®
Защита от сетевых атак
Снижение эффективности атак на отказ в обслуживании
Фильтрация трафика и средства управления фильтрацией трафика
Снижение эффективности атак на уязвимые приложения
Новое в Windows XP SP2
6
С Е Н Д И
®Снижение эффективности
атак на отказ в обслуживании
Q315669 - HOW TO: Harden the TCP/IP Stack Against Denial of Service Attacks in Windows 2000
• SynAttackProtect• KeepAliveTime• EnableDeadGWDetect• EnablePMTUDiscovery
7
С Е Н Д И
®
Фильтрация трафика
SMTP POP3 IMAPFTP
Telnet
SMTP POP3 IMAP
Брандмауэр
Открытая сеть Частная сеть
Фильтры:SMTP POP3 IMAP
FTP Telnet
Применение
8
С Е Н Д И
® Методы IP фильтрации в Windows
Фильтрация TCP/IP (разрешенные/запрещенные порты)
Фильтрация RRaS
Фильтрация с помощью политик IPSec
Stateful-фильтрация с помощью Internet Connection Firewall (ICF)
9
С Е Н Д И
®
Фильтрация TCP/IP
10
С Е Н Д И
®
Фильтрация RRAS
11
С Е Н Д И
® Политики IPSec: создание правила блокировки
12
С Е Н Д И
® Политика IPSec: создание фильтра
13
С Е Н Д И
® Политика IPSec: создание политики
14
С Е Н Д И
® Internet Connection Firewall (ICF)
15
С Е Н Д И
® Методы управления IP-фильтрацией в Windows
• Оснастка Microsoft Management Console (MMC snap-in)
• Командная строка (netsh.exe, ipsecpol.exe)• Windows Management Interface (WMI)• Групповая политика
16
С Е Н Д И
®Пример: применение командной строки для
управления фильтрацией
DDoSStop.bat (противодействие DDoS атаке прикладного уровня – request flood):
time /t >>dosstop.lognetstat -n | grep ":80" | cut -b 33-50 | cut -f 1 -d ":" | sort | uniq -c | sort > restype res | grep "^....[^ ].*\." | cut -b 9-100 >res1type res | grep "^.... [^ 0-6].*\." | cut -b 9-100 >>res1echo connections: >>dosstop.logtype res >>dosstop.logecho banning >>dosstop.logtype res1 >>dosstop.logfor /F %%i in (res1) do netsh routing ip add filter name=“WAN Connection"
filtertype=INPUT srcaddr=%%i srcmask=255.255.255.255 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=ANY>>dosstop.log
17
С Е Н Д И
®Пример: применение
групповой политики для IP фильтрации
Организация «звездообразной» офисной сети
x
Групповая политика
18
С Е Н Д И
®Снижение эффективности
атак на переполнение стека
int vulnerable(char *text){
char buffer[256];
//используется фиксированный локальный буфер
int i;
…
for(i=0; text[i]; i++)
buffer[i] = text[i];
//не контролируется размер buffer
…
return 0;
//управление передается по контролируемому адресу
}
buffer[256]
EBP, EIP
*text
ibuffer[256]
EBP, EIP
*text
i
canary word
Защита стека в компиляторах Microsoft/GS в cl.exe – защита стека
При возврате из функции контролируется целостность canary word, аварийное завершение в случае нарушения целостности.
19
С Е Н Д И
® Новые механизмы в Windows XP SP2
Защита сетевых приложений: новые возможности Windows Firewall, защита RPC приложений, защита инфраструктуры DCOM
Защита памяти: неисполняемая память
Защита Internet Explorer: ограничения зоны локального компьютера и менеджер всплывающих окон.
Защита электронной почты: Attachment Execution Service
20
С Е Н Д И
®Блокировка по
приложениям в Windows Firewall
21
С Е Н Д И
® Ограничения доступа по RPC
RestrictRemoteClients – ограничить доступ к RPC-интерфейсу только для локального компьютера или локальной сети.
EnableAuthEpResolution – использовать NTLM авторизацию для RPC endpoint mapper
+ ряд изменений для разработчиков
22
С Е Н Д И
® Расширения безопасности DCOM
Списки контроля доступа к приложениям на уровне компьютера и по каждому из приложений
23
С Е Н Д И
®
Неисполняемая память
Стек, динамическая память (если не разрешена) и различные пулы (страничный и сеансовый – по умолчанию на 64 битных платформах)
В пользовательском режиме и режиме ядра
Доступна на Intel Itanium, AMD K8. Не поддерживается на 32-битных Intel-платформах, но частично поддерживается на 64 битных AMD платформах в legacy mode
24
С Е Н Д И
® Интерфейс для настройки Local Security Zone
Доверенные узлы:
Intranet узлы:
Internet узлы:
Ограниченные узлы
Локальная зона
Теперь можно ограничить локальную зону
Подход предложен Thor Larholm (PivX solutions), и реализован в утилите Qwik-Fix
Показ текстаВыполнение сценариев
Активные элементы Обращение к файлам
Запуск приложений
25
С Е Н Д И
® Запрет всплывающих окон в Internet Explorer
Можно блокировать всплывающие окна инициированные скриптом или через активацию URL
26
С Е Н Д И
®
Обучение и сертификация
• 2273a Managing and Maintaining a Microsoft Windows Server 2003 Environment
• 2276b Implementing a Microsoft Windows Server 2003 Network Infrastructure: Network Hosts
• 2277b Implementing, Managing, and Maintaining a Microsoft Windows Server 2003 Network Infrastructure: Network Services
• 2823a Implementing and Administering Security in a Microsoft Windows Server 2003 Network
27
С Е Н Д И
®
Группа компаний СЕНДИ
• Проектирование и строительство волоконно -оптических линий связи
• Построение корпоративных информационных сетей
• Скоростной интернет• Сервис-центр• Учебный центр
28
С Е Н Д И
® Группа компаний СЕНДИ
Нижний Новгород, ул. Ульянова, 46
Тел. (8312) 19-98-02
www.sandy.ru