Организация рекламных акций в
advertisement
®
С
Е
Н
Д
И
Некоторые механизмы защиты
от сетевых атак в Microsoft
Windows
Дубровин
Владимир Валентинович
начальник сервис-центра группы компаний СЕНДИ
vlad@sandy.ru
Нижний Новгород
2004
1
®
С
Е
Н
Д
И
SD3+C Security
Secure by Desing
- безопасен по внутренней структуре
Secure by Default
- безопасен в стандартной установке
Secure in Deployment
- безопасен во внедрении
+Communication
- связь с сообществом
2
Secure by Design
Training
Code reviews
IIS re-architecture
Threat models
Secure in Deployment
Automated configuration
Identity & access mgmt
Monitoring infrastructure
Prescriptive guidance
Secure by Default
19 Services off by default
Secure default settings
Lower privileges
Communications
Community investment
Architecture Webcasts
Writing Secure Code 2.0
SD3 At Work – MS03-007
Windows Server 2003 Unaffected
The underlying
DLL (NTDLL.DLL)
not vulnerable
Fixed during secure code review
Even if it was
vulnerable
IIS 6.0 not running by default on
Windows Server 2003
Even if it was running
IIS 6.0 doesn’t have DAV enabled
by default
Even if it did have
DAV enabled
Maximum URL length in IIS 6.0 is 16kb by
default (>64kb needed)
Even if it DID get this
far and there WAS an
actual Buffer Overrun
Would have occurred in w3wp.exe which
is now running as ‘network service’
®
С
Е
Н
Д
И
Защита от сетевых атак
Снижение эффективности атак на отказ в
обслуживании
Фильтрация трафика и средства управления
фильтрацией трафика
Снижение эффективности атак на уязвимые
приложения
Новое в Windows XP SP2
5
®
С
Е
Н
Д
И
Снижение эффективности
атак на отказ в
обслуживании
Q315669 - HOW TO: Harden the TCP/IP Stack
Against Denial of Service Attacks in Windows
2000
• SynAttackProtect
• KeepAliveTime
• EnableDeadGWDetect
• EnablePMTUDiscovery
6
®
С
Е
Н
Д
Фильтрация трафика
И
Фильтры:
SMTP
POP3
IMAP
FTP
Telnet
SMTP
POP3
IMAP
FTP
Telnet
Открытая сеть
SMTP
POP3
IMAP
Брандмауэр
Частная сеть
7
®
С
Е
Н
Д
И
Методы IP фильтрации в
Windows
Фильтрация TCP/IP
(разрешенные/запрещенные порты)
Фильтрация RRaS
Фильтрация с помощью политик IPSec
Stateful-фильтрация с помощью Internet
Connection Firewall (ICF)
8
®
С
Е
Н
Д
И
Фильтрация TCP/IP
9
®
С
Е
Н
Д
И
Фильтрация RRAS
10
®
С
Е
Н
Д
И
Политики IPSec: создание
правила блокировки
11
®
С
Е
Н
Д
И
Политика IPSec: создание
фильтра
12
®
С
Е
Н
Д
И
Политика IPSec: создание
политики
13
®
С
Е
Н
Д
И
Internet Connection Firewall
(ICF)
14
®
С
Е
Н
Д
И
Методы управления IPфильтрацией в Windows
• Оснастка Microsoft Management Console
(MMC snap-in)
• Командная строка (netsh.exe, ipsecpol.exe)
• Windows Management Interface (WMI)
• Групповая политика
15
®
С
Е
Н
Д
И
Пример: применение
командной строки для
управления фильтрацией
DDoSStop.bat (противодействие DDoS атаке прикладного уровня –
request flood):
time /t >>dosstop.log
netstat -n | grep ":80" | cut -b 33-50 | cut -f 1 -d ":" | sort | uniq -c | sort > res
type res | grep "^....[^ ].*\." | cut -b 9-100 >res1
type res | grep "^.... [^ 0-6].*\." | cut -b 9-100 >>res1
echo connections: >>dosstop.log
type res >>dosstop.log
echo banning >>dosstop.log
type res1 >>dosstop.log
for /F %%i in (res1) do netsh routing ip add filter name=“WAN Connection"
filtertype=INPUT srcaddr=%%i srcmask=255.255.255.255
dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=ANY>>dosstop.log
16
®
С
Е
Н
Д
И
Пример: применение
групповой политики для IP
фильтрации
Организация «звездообразной» офисной сети
Групповая политика
x
17
Снижение эффективности
атак на переполнение
стека
®
С
Е
Н
Д
И
int vulnerable(char *text){
*text
EBP, EIP
canary word
buffer[256]
buffer[256]
i
i
Защита стека в компиляторах Microsoft
char buffer[256];
/GS в cl.exe – защита стека
//используется фиксированный локальный буфер
int i;
При
… возврате из функции
контролируется
for(i=0; text[i];целостность
i++)
canary
buffer[i] = text[i];
word, аварийное
завершение в случае
//не контролируется размер buffer
нарушения целостности.
…
return 0;
//управление передается по контролируемому адресу
}
18
®
С
Е
Н
Д
И
Новые механизмы в
Windows XP SP2
Защита сетевых приложений: новые возможности
Windows Firewall, защита RPC приложений,
защита инфраструктуры DCOM
Защита памяти: неисполняемая память
Защита Internet Explorer: ограничения зоны
локального компьютера и менеджер
всплывающих окон.
Защита электронной почты: Attachment Execution
Service
19
®
С
Е
Н
Д
И
Блокировка по
приложениям в Windows
Firewall
20
®
С
Е
Н
Д
И
Ограничения доступа по
RPC
RestrictRemoteClients – ограничить доступ к
RPC-интерфейсу только для локального
компьютера или локальной сети.
EnableAuthEpResolution – использовать
NTLM авторизацию для RPC endpoint
mapper
+ ряд изменений для разработчиков
21
®
С
Е
Н
Д
И
Расширения безопасности
DCOM
Списки контроля
доступа к приложениям
на уровне компьютера и
по каждому из
приложений
22
®
С
Е
Н
Д
И
Неисполняемая память
Стек, динамическая память (если не разрешена) и
различные пулы (страничный и сеансовый – по
умолчанию на 64 битных платформах)
В пользовательском режиме и режиме ядра
Доступна на Intel Itanium, AMD K8. Не
поддерживается на 32-битных Intel-платформах,
но частично поддерживается на 64 битных AMD
платформах в legacy mode
23
®
С
Е
Н
Д
И
Интерфейс для настройки
Local Security Zone
Локальная
зона
Показ текста
Выполнение сценариев
Активные элементы
Обращение к файлам
Запуск приложений
Доверенные Intranet Internet Ограниченные
узлы:
узлы: узлы:
узлы
Теперь можно ограничить локальную зону
Подход предложен Thor Larholm (PivX solutions), и
реализован в утилите Qwik-Fix
24
®
С
Е
Н
Д
И
Запрет всплывающих окон
в Internet Explorer
Можно блокировать
всплывающие окна
инициированные
скриптом или через
активацию URL
25
®
С
Е
Н
Д
И
Обучение
и сертификация
• 2273a Managing and Maintaining a Microsoft
Windows Server 2003 Environment
• 2276b Implementing a Microsoft Windows Server
2003 Network Infrastructure: Network Hosts
• 2277b Implementing, Managing, and Maintaining a
Microsoft Windows Server 2003 Network
Infrastructure: Network Services
• 2823a Implementing and Administering Security in a
Microsoft Windows Server 2003 Network
26
®
С
Е
Н
Д
И
Группа компаний СЕНДИ
• Проектирование и строительство волоконно оптических линий связи
• Построение корпоративных информационных
сетей
• Скоростной интернет
• Сервис-центр
• Учебный центр
27
Группа компаний
СЕНДИ
®
С
Е
Н
Д
И
Нижний Новгород, ул. Ульянова, 46
Тел. (8312) 19-98-02
www.sandy.ru
support@sandy.ru
28
