понедельник, марта 17, 2008

IT-Безопасность: FAQ по выделенным серверам (Dedicated Servers)

1) Очень часто на форумах задают довольно тривиальный вопрос: "Что такое дедик и для чего он вообще нужен?". Во-первых, слово "дедик", очевидно, пошло от английского слова "dedicated" - то есть выделенный, в данном случае "dedicated server" - выделенный сервер. Те, кто имеют уже опыт работы в Интернете, довольно хорошо знают, для чего они нужны, а также какие цели можно преследовать, используя их (сервера), но есть и новички, для которых это есть в некотором понимании неизвестность. Дедики, как их принято называть, на которых имеются довольно мощные сетевые интерфейсы, каналы и довольно не слабая аппаратная конфигурация служат для обработки данных, а также для хранения баз данных или любого другого материала находящегося на них для обслуживания персонала, фирмы или организации.

2) Управление сервером осуществляется в основном через Remote Desktop (Удалённый рабочий стол), вызвать который можно командой "mstsc" в меню Пуск -> Выполнить.

Возможности, как уже наверно стало понятно, у серверов, особенно таких, которые обслуживают сразу несколько сотен, а, иногда, и несколько тысяч компьютеров, довольно таки большие и мощная конфигурация, но никогда не надо забывать, что рано или поздно они тоже имеют свойство иссякать. Как правило, находясь в сети, сервер постоянно пропускает через себя огромные потоки информации, которая ему приходит от нескольких компьютеров и роутеров. Их запросы он должен своевременно обработать и выполнить, от этого зависит продуктивность работы в целом и, как следствие, достижение определённых результатов в её производительности. В большинстве случаев, когда сервера используются в организациях, фирмах в сетевом пространстве интернета, они являются как бы внешним окном в сеть, и, как следствие, они, конечно же, должны обладать стабильностью в работе и грамотной защитой в архитектуре системы, её программ и баз данных. Теперь, когда я немного ознакомил тех, кто не совсем чётко себе представлял для чего они нужны и какая задача на них возлагается в первую очередь, постараюсь рассказать о тех тонкостях работы по использованию их ресурсов в осуществлении задач, которые мною были упомянуты ранее, а именно: как работать на взломанном сервере и не выделяться своим присутствием, дабы нам не заблокировали доступ к нему администраторы этих серверов и, что ещё хуже, не приняли более строгих мер по выяснению обстоятельств проникновения в его работу и следов обнаружения несанкционированного доступа, что само по себе уже уголовно наказуемо. Итак, если вы используете сервер вам не принадлежащий, и цель ваша как можно дольше остаться на нём незамеченным, прежде всего, было бы не плохо обзавестись такими программами как SocksCap и свежими прокси типа SOCKS, работающих на порту 1080 и сохраняющих вашу конфиденциальность в работе с сервером, если он был добыт нелегальным путём, и есть риск оставить на нём следы своего присутствия, то есть скрыть свой истинный IP адрес при подключении к подобным серверам. Далее, необходимо немножко представлять параметры конфигурации на сервере, для начала хотя бы такие как: создание учётных записей пользователей, раздачи прав и привилегий, а так же необходимо прописаться в группы пользователей, дабы получить необходимый нам доступ, создавая свою учётную запись, а не использовать существующие админские. Сделать это рекомендуется чем быстрее тем лучше, так как находясь долгое время на аккаунте главного администратора у нас постоянно растёт риск быть обнаруженными. Исходя из этого, необходимо очень оперативно зайти в Панель Управления компьютером и создать свой собственный аккаунт (учётную запись), желательно с менее заметными ником, дабы он не бросался в глаза при мониторинге сервера администратором. Итак, зайдя в Панель управления, если брать, например, Windows 2000 Terminal Server, мы находим папку Администрирование (Administrative Tools).

Открываем её и запускаем значок с подписью Управление компьютером (Computer Management), находим там вкладку Локальные пользователи и Группы (Local Users and Groups) и щёлкаем правой кнопкой мыши по вкладке Пользователи (Users), вследствие чего, появиться меню в которой, на самом верху будет предложение о создании нового пользователя (Create new user), нажимаем её, и у нас появляются поля для ввода логина и пароля для нового аккаунта (учётной записи), мы присваиваем ей имя (ник), в данном случае я рекомендовал бы создавать ник и описание учётной записи с именами сервисов и служб, необходимых для работы системы, чтобы администратор как можно менее обращал внимание на новый аккаунт и, таким образом, он меньше бы бросался в глаза.

Далее, после того как мы создали логин и пароль, нам предстоит назначить права этому пользователю. Для этого мы находим его уже в списке пользователей и правой клавишей выбираем свойства пользователя (properties; чтобы было понятно, тут я говорю об русской и английской версии системы, следовательно названия опций на английском и русском языке) и там выбираем вкладку Членство в группах, где находим кнопку Добавить (Add).

Далее, в появившемся окне нажимаем кнопку Дополнительно и справа нажимаем Поиск, после чего внизу будут отображаться все группы пользователей зарегистрированных на этой машине, одну из которых мы выбираем, выделяя её мышкой, и нажимаем ОК, то есть добавляем себя в группу, к примеру, Администраторы, что наиболее логично в нашем случае.

Далее, смотрим есть ли в списке группа Пользователи удалённого рабочего стола (Remote Desktope Users). Если есть, то добавляем себя и в эту группу, как раз для того, чтобы иметь права на подключение через Удалёный рабочий стол (Remote Desktop или Terminal Service), после добавления в эту группу, мы сможем подключаться через RDC, введя IP сервера, а так же логин и пароль, который мы создавали в закладке Локальные пользователи и группы. Так же следует обратить внимание на то, есть ли в папке Администрирование (Administrative Tools) конфигураторы под названием Active directory и, если есть, то не торопимся создавать свою учётную запись в ранее указанном месте, а открываем закладку, где находим раздел Users and Computers в Active directoryСоздаём пользователя именно там, потому что локальные и доменные пользователи имеют разные права доступа. К примеру, доменный администратор, естественно, имеет больше прав, чем локальный администратор, так как локальному даны права на администрирование только того сервера, на котором он прописан как локальный Администратор, и доступа к доменным сервисам у него, естественно, не будет, а поскольку большинство серверов являются ещё и контроллерами домена, то желательно иметь права доменного админа, то есть входить в группу Администраторов домена, даже потому как, если вы будите пробовать устанавливать удалённое соединение с сервером через RDC (Remote Desktop), то при наличии домена в закладке ввода логина и пароля, имея права пусть и администратора, но локального, система попросту вас не пустит, так как у вас не будет прав авторизации в домене.

Теперь, когда у нас есть пользователь с правами админа, и, желательно, не локального, а доменного, то мы можем действовать довольно свободно при обращении к тем или иным свойствам и параметрам сервера. Так же, с особой осторожностью следует относиться к параметрам конфигураций, которые мы делаем, и не допустить ошибок, так как можно потерять доступ к серверу по собственной вине из-за невнимательности и спешки, дабы побыстрее всё сделать!

Далее, необходимо проверить ещё наиболее важный раздел под названием Политика безопасности (Security Policy)

Здесь желательно проверить все опции, относящиеся к разделу Локальные политики, где нас будут интересовать 2 подраздела, а именно: Назначение прав пользователей и Параметры безопасности. Здесь находятся наиболее важные свойства конфигурации системы, отвечающие за её безопасность, так что здесь надо быть наиболее внимательным и неторопливым в выборе опций, поэтому хочу заранее предупредить: если вами будут внесены некорректные изменения в эти 2 раздела Политики Безопасности, то система неминуемо выйдет из строя и работа сервера будет остановлена, в результате чего у вас уже не будет никаких шансов что-либо вернуть на место!!! Помните, с Политикой Безопасности не шутят!!! Она ошибок не прощает!
Итак, если мы не собираемся делать поспешных действий, то можно приступить к корректировке свойств Политики Безопасности под себя, то есть под свою учётную запись. Значит так, начнём с того, что внимательно осмотрим эти два подраздела раздела Локальная политика. Найдём в списке значений, которые находятся в подразделе Назначение прав пользователя в виде значков вида "файл", с обозначениями ноликов и единичек синего цвета, функции которых в свойствах каждого объекта имеют два значения "включить" или "выключить". Теперь нам нужно определить по названию, какие из них относятся к опциям удалённого доступа и служб терминального соединения, а именно, как вам уже, наверно, известно: Удалённого рабочего стола. Дело в том, что здесь очень важно не пропустить нужный нам объект, для того чтобы проверить свойства доступа к системе, и каковы именно права нашего вновь созданного аккаунта (учётной записи) относительно конфигурации прав доступа к системе по терминальному соединению! Очень важно запомнить одно: Чего не знаешь или не уверен - никогда не трогай и не изменяй, лучше обратитесь к справочной системе, которая имеет довольно-таки неплохое описание параметров настроек конфигураций модулей безопасности и их статусы. Итак, нам необходимо искать имена модулей в списке таких как: Удалённый доступ или Терминальное соединение, и внимательно смотреть в их свойствах наличие нашей учётной записи в списках разрешённой и имеющей полномочия прав доступа на совершение удалённого соединения. Должен сказать, что этому моменту я, как видите, решил уделить несколько больше времени, потому что имею хорошее представление о том, что как раз именно не корректные настройки или, даже, отсутствие таковых, в Политике Безопасности, решает абсолютно всё, касаемо вашего пребывания на сервере, в первую очередь в плане его функциональности, а так же, если брать на вторичном плане: ваших прав на совершение каких-либо действий как пользователь. Самое главное помните: главное не задеть саму систему, так как права пользователя в системе можно восстановить, а вот если вы их нарушите права системы, то последствия в поведении сервера могут быть просто непредсказуемыми! Далее необходимо проверить настройки в модуле Мой Компьютер, где, щёлкнув правой клавишей по иконке Мой компьютер, вы увидите в самом низу открывшегося меню опцию Свойства (Properties), выбрав которую, вы увидите вкладку Удалённые сеансы, где будет находиться опция включения Удалённого помощника, что в нашем случае нам не понадобится, но нас будет интересовать нижняя опция - Дистанционное управление рабочим столом, где надо поставить галочку Разрешить удалённый доступ к этому компьютеру, и нажать применить (Apply) внизу. Затем следует нажать кнопку Выбрать удалённых пользователей, где вы должны убедиться, что ваша учётная запись присутствует в списке пользователей, имеющих право на Дистанционное подключение к рабочему столу, и, если ваш профиль присутствует в этом списке, то остается только нажать применить и Oк, если же нет, то необходимо его туда добавить и сохранить при выходе из параметров.
Итак, мы закончили первичную конфигурацию своей учётной записи. Теперь нам необходимо заняться самим сервером: чтобы проверить, разрешает ли сам сервер входящие подключения по Удалённому рабочему столу, нам нужно будет получить доступ к модулю, который также находится в Панели управления в разделе или папке этого раздела под названием Администрирование (Administrative Tools), где мы увидим модуль под названием Terminal Server configuration client и, запустив его, нам необходимо будет проверить в параметрах вкладки Server, нажав на которую мы увидим значки аналогичные значкам в Политике Безопасности (не забыли их, надеюсь), в которых будут выставлены опции, значение которых будет располагаться напротив каждого из них. Нас интересует модуль, на котором есть надпись Remote Desktop, и вот, как раз напротив него, должно стоять значение "Включён" (Enabled), что будет говорить о том, что удалённый рабочий стол активен в параметрах серверного соединения с сетью. Далее, мы должны получить доступ через Удалённый рабочий стол. То, что я здесь рассказал, это лишь малая часть того, что необходимо знать при работе с сервером, будь то Windows 2000 Terminal Server или же Windows 2003 Server, так как принципиальной разницы нет (присутствуют только самые малые различия в местонахождении некоторых конфигураторов, которые в одной системе - в одном месте, в другой - в ином). Итак, теперь, я надеюсь, вы немного стали понимать, что и как приходиться делать на сервере, если вы, конечно, раньше этого не знали. После данных настроек сервер будет считать вас одним из своих пользователей с правами Администратора, и вы уже сможете заходить на сервер под своей учётной записью. И, наконец, последнее по этому вопросу: также не мешало бы тем, кто хочет работать на сервере быстро и прогрессивно по тем моментам, которые я здесь перечислил, со временем попробовать работать через консоль управления, так как это значительно ускоряет ваши действия и экономит время, делая ваши шансы завладеть уязвимым сервером, находясь на нём, намного выше, так как вы уменьшаете вероятность быть обнаруженным администратором системы или сервера. А суть того, о чём я говорю, заключается в следующем: необходимо выучить название модулей в файловом формате и расширения, для той цели, чтобы не открывать кучу окон и терять время, пока вы ждёте их открытия, тем более, удалённо - через интернет, а вводить имена модулей, вызывая их из командной строки (Пуск -> Выполнить -> Команда). К примеру, вызов Конфигуратора Политики Безопасности, в которую мы с вами попадали через Панель управления, и в ней же ещё и папка Администрирование, которые необходимо постоянно запускать и ждать пока они откроются, я делаю по другому, и хочу показать вам насколько это удобнее, если всего-навсего заучить имена и расширение файлов каждого модуля. К примеру, Модуль Политики Безопасности вызывается путём ввода в строку Выполнить (Run) в меню Пуск (Start) команду "secpol.msc", и мы уже имеем перед собой окно Политики безопасности почти за 1 секунду! Далее, к примеру, нам нужен модуль Управления компьютером, который так же находиться в Администрировании. Лезть за ним очень долго и нудно, поэтому мы, чтобы вызвать этот модуль, в котором как раз, если вы не забыли, находятся разделы конфигурации Локальных пользователей и групп, (мы за несколько секунд сделаем то, что могли бы делать несколько минут, я имею ввиду, конечно же, через сеть Интернет, как вы понимаете, так как связь с другим компьютером всегда замедляет посланную вами команду, и её выполнение, как минимум, на несколько секунд) вызываем модуль путём ввода "compmgmt.msc" и получаем Конфигуратор управления компьютером и редактирования его параметров, а, в данном случае, создание пользователя и присвоение ему административных прав доступа. Далее, вызов Терминального серверного клиента конфигурации проводим командой "tscc.msc"

И, наконец, если мы хотим вызвать Конфигуратора Сервиса Терминала, а именно Terminal Services Manager, мы используем команду "tsadmin.msc", что позволит нам наблюдать за тем, кто сейчас на сервере из пользователей, а также чем они занимается.

Ещё в нём есть опции не только наблюдения, но и управления активными пользователями, при использовании которых можно завершать работу сессии пользователей, закрывать программы, ими используемые. Далее, при наличии пароля доступа к аккаунту пользователя, можно войти в его сессию и, таким образом, просмотреть в живую чем он занимается и какие программы работают, и, по мере необходимости, вводить коррективы в работу программ и прав доступа к ним, контролировать их работу.

3) Ну а теперь, я постараюсь немного рассказать об одном из способов взлома серверов на платформе NT-2000-2003. Для начала, необходимо наличие сканеров, желательно тех, которыми пользоваться, увы, не считается популярным, как, например, NMAP - консольный TCP/IP сканер наиболее популярных уязвимостей на серверах. Так же необходимо, ориентируясь на диапазоны прокси серверов, выстраивать для себя приблизительную картину масштаба определения местонахождения выделенных серверов, затем выбрать приблизительный диапазон сканирования на предмет уязвимых сервисов. К примеру, необходимо обращать внимание на наличие на сервере открытых портов, таких как TCP порты: 3389 - это порт, используемый программой Remote Desktop и её сервисами, а также порт 4899, который используется радмином - прогой Remote Administrator. Все эти сервисы довольно уязвимы, и через них вполне реально поиметь сервак. Все секреты, конечно, я тут раскрывать не стану, так как мне ещё дорог свой бизнес которым я занимаюсь, но один из способов рассказать могу!
Значит так, есть такая программа, которую в сети вам найти будет вполне по силам и называется она NTSCAN.

Делает она следующее: при выборе определённого диапазона она сканирует сервера на предмет простых паролей (simple passwords). Программа имеет довольно неплохой выбор метода атаки, и вероятность взлома сервером с её помощью очень велика, так как админы часто ставят простые пароли к серверу, особенно на забугорных. Прога работает по принципу брута: посылает запрос на авторизацию на сервере и получает ответ от севера. В случае успешной авторизации выводит список серверов в нижней части программы. Теперь главное выбрать диапазон сканирования и настроить программу для эффективной работы. Сверху мы вписываем диапазон IP серверов, как вы наверно уже поняли. Далее, HostFile - список хостов (я не использовал эту опцию), здесь можно создать файл с конкретными хостами и брутить конкретные хосты. Потоки я оставлял как есть: 50, Timeout - аналогично. ConnectShare - подключение к расшаренным ресурсам. Можно выбирать метод атаки: IPCscan, SMBscan, WMIscan. Далее, "ping from host" - пинговать хосты, то есть проверка на живучесть хоста, перед попыткой атаки, чтобы не брутить в холостую мёртвые хосты. Scan host opened port - сканировать хосты с открытым портом 139, но так же можно и изменить при желании. Speed - скорость работы брута (перебора паролей). Дальше уже всё зависит от вашего желания и способностей завладеть серверами. На сим закончу!

С уважением, ваш 0.p.т.i.ђ icq:#788897.


©Zloy.org

Комментариев нет: