1 / 28

Некоторые механизмы защиты от сетевых атак в Microsoft Windows

Некоторые механизмы защиты от сетевых атак в Microsoft Windows. Дубровин Владимир Валентинович начальник сервис-центра группы компаний СЕНДИ vlad@sandy.ru Нижний Новгород 200 4. SD3+C Security. Secure by Desing - безопасен по внутренней структуре Secure by Default

aman
Download Presentation

Некоторые механизмы защиты от сетевых атак в Microsoft Windows

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Некоторые механизмы защиты от сетевых атак в MicrosoftWindows • Дубровин • Владимир Валентинович • начальник сервис-центра группы компаний СЕНДИ • vlad@sandy.ru • Нижний Новгород2004

  2. SD3+C Security • Secure by Desing • - безопасен по внутренней структуре • Secure by Default • - безопасен в стандартной установке • Secure in Deployment • - безопасен во внедрении • +Communication • - связь с сообществом

  3. Secure by Default Secure by Design Training Code reviews IIS re-architecture Threat models 19 Services off by default Secure default settings Lower privileges Secure in Deployment Communications Automated configuration Identity & access mgmt Monitoring infrastructure Prescriptive guidance Community investment Architecture Webcasts Writing Secure Code 2.0

  4. The underlying DLL (NTDLL.DLL) not vulnerable Fixed during secure code review IIS 6.0 not running by default on Windows Server 2003 Even if it was vulnerable IIS 6.0 doesn’t have DAV enabled by default Even if it was running Maximum URL length in IIS 6.0 is 16kb by default (>64kb needed) Even if it did have DAV enabled Would have occurred in w3wp.exe which is now running as ‘network service’ Even if it DID get this far and there WAS an actual Buffer Overrun SD3 At Work – MS03-007Windows Server 2003 Unaffected

  5. Защита от сетевых атак • Снижение эффективности атак на отказ в обслуживании • Фильтрация трафика и средства управления фильтрацией трафика • Снижение эффективности атак на уязвимые приложения • Новое в Windows XP SP2

  6. Снижение эффективности атак на отказ в обслуживании • Q315669 - HOW TO: Harden the TCP/IP Stack Against Denial of Service Attacks in Windows 2000 • SynAttackProtect • KeepAliveTime • EnableDeadGWDetect • EnablePMTUDiscovery

  7. Фильтры: SMTPPOP3IMAPFTP Telnet Применение SMTP POP3 IMAPFTPTelnet SMTP POP3 IMAP   Брандмауэр Открытая сеть Частная сеть Фильтрация трафика

  8. Методы IP фильтрации в Windows • Фильтрация TCP/IP (разрешенные/запрещенные порты) • Фильтрация RRaS • Фильтрация с помощью политик IPSec • Stateful-фильтрация с помощью Internet Connection Firewall (ICF)

  9. Фильтрация TCP/IP

  10. Фильтрация RRAS

  11. Политики IPSec: создание правила блокировки

  12. Политика IPSec: создание фильтра

  13. Политика IPSec: создание политики

  14. Internet Connection Firewall (ICF)

  15. Методы управления IP-фильтрацией в Windows • Оснастка Microsoft Management Console (MMC snap-in) • Командная строка (netsh.exe, ipsecpol.exe) • Windows Management Interface (WMI) • Групповая политика

  16. Пример: применение командной строки для управления фильтрацией • DDoSStop.bat (противодействие DDoS атаке прикладного уровня – request flood): • time /t >>dosstop.log • netstat -n | grep ":80" | cut -b 33-50 | cut -f 1 -d ":" | sort | uniq -c | sort > res • type res | grep "^....[^ ].*\." | cut -b 9-100 >res1 • type res | grep "^.... [^ 0-6].*\." | cut -b 9-100 >>res1 • echo connections: >>dosstop.log • type res >>dosstop.log • echo banning >>dosstop.log • type res1 >>dosstop.log • for /F %%i in (res1) do netsh routing ip add filter name=“WAN Connection" filtertype=INPUT srcaddr=%%i srcmask=255.255.255.255 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=ANY>>dosstop.log

  17. Пример: применение групповой политики для IP фильтрации • Организация «звездообразной» офисной сети Групповая политика x

  18. Защита стека в компиляторах Microsoft /GS в cl.exe – защита стека При возврате из функции контролируется целостность canary word, аварийное завершение в случае нарушения целостности. *text *text EBP, EIP EBP, EIP canary word buffer[256] buffer[256] i i Снижение эффективности атак на переполнение стека int vulnerable(char *text){ char buffer[256]; //используется фиксированный локальный буфер int i; … for(i=0; text[i]; i++) buffer[i] = text[i]; //не контролируется размер buffer … return 0; //управление передаетсяпо контролируемому адресу }

  19. Новые механизмы в Windows XP SP2 • Защита сетевых приложений: новые возможности Windows Firewall, защита RPC приложений, защита инфраструктуры DCOM • Защита памяти: неисполняемая память • Защита Internet Explorer: ограничения зоны локального компьютера и менеджер всплывающих окон. • Защита электронной почты: Attachment Execution Service

  20. Блокировка по приложениям в Windows Firewall

  21. Ограничения доступа по RPC • RestrictRemoteClients – ограничить доступ к RPC-интерфейсу только для локального компьютера или локальной сети. • EnableAuthEpResolution – использовать NTLM авторизацию для RPC endpoint mapper • + ряд изменений для разработчиков

  22. Расширения безопасности DCOM Списки контроля доступа к приложениям на уровне компьютера и по каждому из приложений

  23. Неисполняемая память • Стек, динамическая память (если не разрешена) и различные пулы (страничный и сеансовый – по умолчанию на 64 битных платформах) • В пользовательском режиме и режиме ядра • Доступна на Intel Itanium, AMD K8. Не поддерживается на 32-битных Intel-платформах, но частично поддерживается на 64 битных AMD платформах в legacy mode

  24. Локальная зона      Теперь можно ограничить локальную зону Подход предложен Thor Larholm (PivX solutions), и реализован в утилите Qwik-Fix Интерфейс для настройки Local Security Zone Доверенные узлы:      Intranet узлы:      Internet узлы:      Ограниченные узлы      Показ текста Выполнение сценариев Активные элементыОбращение к файлам Запуск приложений

  25. Запрет всплывающих окон в Internet Explorer Можно блокировать всплывающие окна инициированные скриптом или через активацию URL

  26. Обучение и сертификация • 2273a Managing and Maintaining a Microsoft Windows Server 2003 Environment • 2276b Implementing a Microsoft Windows Server 2003 Network Infrastructure: Network Hosts • 2277b Implementing, Managing, and Maintaining a Microsoft Windows Server 2003 Network Infrastructure: Network Services • 2823a Implementing and Administering Security in a Microsoft Windows Server 2003 Network

  27. Группа компаний СЕНДИ • Проектирование и строительство волоконно -оптических линий связи • Построение корпоративных информационных сетей • Скоростной интернет • Сервис-центр • Учебный центр

  28. Группа компаний СЕНДИ Нижний Новгород, ул. Ульянова, 46 Тел. (8312) 19-98-02 www.sandy.ru support@sandy.ru

More Related