Ложный сервер сети Novell NetWare 3.12.

Как известно, в ОС Novell NetWare 3.12 рабочая станция может быть одновременно подключена к восьми файл — серверам. Следовательно, перед сетевой оболочкой рабочей станции (NETX) при ее загрузке встает несколько проблем. Во-первых, какие файл — серверы активны в данный момент времени (активная станция или файл — сервер — это компьютер, подключенный к сети физически, включенный по питанию, на котором загружено сетевое программное обеспечение)? Во-вторых, к какому файл — серверу осуществить подключение? Эти проблемы решаются в ОС Novell NetWare 3.12 при помощи алгоритма удаленного поиска, названного протоколом объявления сервиса в сети (Service Advertising Protocol — SAP).

Как известно, базовым сетевым протоколом в ОС Novell NetWare является протокол IPX. Протокол SAP позволяет средствами IPX найти все активные файл — серверы в сети и определить их имена, и что самое главное, определить их аппаратные и логические адреса (аппаратный адрес — адрес сетевого адаптера на файл — сервере; логический адрес файл — сервера в ОС Novell NetWare представляет собой 12 — байтовую структуру следующего вида:

4 байта — номер сети (network)

6 байт — идентификатор файл — сервера

2 байта — командный сокет 0х451).

Все серверы в сети идентифицируют себя периодической посылкой SAP-пакета. Кроме того, что является чрезвычайно важным для данной удаленной атаки, рабочие станции и файл — серверы посылают пакеты запроса (SAP-запросы) по широковещательному адресу OxFFFFFFFFFFFF, в ответ на который все файл-серверы в сети присылают запросившей станции пакеты объявления сервиса (SAP-ответы).

Итак, рассмотрим стандартный процесс загрузки сетевой оболочки на рабочей станции в ОС Novell NetWare 3.12 (напомним, что сетевая оболочка, изначально, не имеет данных об активных файл-серверах в сети):

— на широковещательный адрес посылается SAP-запрос на поиск ближайшего активного файл-сервера в сети;

— принимается SAP-ответ от файл-сервера, в котором он сообщает свое имя, физический и логический адрес. Эти данные необходимы для создания виртуального канала с файл-сервером;.

— используя полученные в SAP-ответе данные устанавливается виртуальный канал с файл-сервером путем посылки и приема серии специальных пакетов обмена.

Из этой схемы не совсем ясно, что будет, если в сети окажется несколько файл-серверов. Ведь на получение SAP-запроса каждый сервер отреагирует немедленной ссылкой SAP-ответа и, следовательно, рабочая станция может получить ни один, а несколько SAP-ответов. Тогда возникает проблема: на какой из пришедших SAP-ответов реагировать, то есть, к какому из активных серверу подключиться? Эта проблема в ОС Novell NetWare решена следующим образом. Обратим внимание на первую часть загрузки сетевой оболочки: она ищет ближайший файл-сервер. Для этого в SAP-запросе существует специальное поле-тип допроса (QueryType), которое может содержать одно из двух значений: 1 или 3. Значение 3 позволяет найти ближайший сервер. Ближайшим будет считаться тот сервер, SAP-ответ от которого придет первым. Следующие SAP-ответы, пришедшие после первого, сетевой оболочкой будут игнорироваться.

Из этой схемы видно, что в ОС Novell NetWare 3.12 можно осуществить типовую удаленную атаку ложный сервер. Рассмотрим основные этапы ее осуществления:

Подготовительная фаза:

— посылка SAP-запроса на широковещательный адрес;

— получение SAP-ответа от настоящего файл-сервера для извлечения из него аппаратного и логического адресов файл-сервера;

Фаза ожидания:

— ожидание SAP-запроса от рабочей станции;

Фаза создания ложного виртуального канала:

— получение SAP-запроса от рабочей станции и передача на нее ложного SAP-ответа. В ложном SAP-ответе необходимо указать аппаратный адрес ложного сервера (атакующего компьютера);

— обмен с рабочей станцией серией специальных пакетов для создания ложного виртуального канала:

Фаза "прозрачной" переправки пакетов:

— прием, анализ, воздействие и передача пакетов обмена с рабочей станции на файл-сервер и обратно.

Результат этой атаки состоит в следующем: подключившаяся станция считает ложный сервер (атакующую станцию) настоящим файл—сервером и, в дальнейшем, вся информация из потока обмена между настоящим файл-сервером и рабочей станцией будет проходить через ложный сервер. При этом сам ложный сервер будет являться абсолютно "прозрачным" для ОС Novell NetWare. Это означает что стандартными средствами операционной системы обнаружить ложный сервер не представляется возможным. Это происходит из-за того, что рабочая станция считает ложный сервер настоящим файл -сервером, а файл-сервер принимает ложный сервер за эту рабочую станцию.

3. Подключение рабочей станции в сети |Novell NetWare 3.12.

В ОС Novell NetWare файл-сервер может одновременно обслуживать до 256 рабочих станций. Вследствие этого, перед файл-сервером стоит задача разделения потока информации, идущего с разных станций. Эта задача в многоранговых сетевых ОС, построенных по схеме "клиент-сервер", обычно решается с помощью уникальной идентификации каждой вновь подключившейся клиентской станции. Очевидно, что единственный способ общения в сети между файл-сервером и рабочей станцией - это передача по сети пакетов обмена. Таким образом, задача идентификации рабочей станции решается идентификацией пакетов обмена, которыми она обменивается с файл-сервером.

Для идентификации в ОС Novell NetWare 3.12 пакеты обмена файл-сервер — рабочая станция имеют следующие специальные поля, расположенные непосредственно за стандартным заголовком IPX-пакета:

по смещению 0: два байта, признак направленности пакета (2222h-от станции на сервер, 3333h-от сервера на станцию)

по смещению 2: один байт, счетчик номера пакета (после достижения значения FFh счетчик сбрасывается в ноль)

по смещению 3: один байт, номер канала, присвоенный рабочей станции файл-сервером, при создании с ней виртуального канала (отсюда ясно, почему в ОС Novell NetWare 3.12 возможно обслуживание до 256 рабочих станций: 1 байт-это 256 возможных номеров канала).

Для идентификации пришедшего на файл-сервер пакета используется следующая стандартная для ОС Novell NetWare 3.12 схема:

1. При создании виртуального канала сетевой оболочкой рабочей станции с файл-сервером, последний присылает на станцию номер канала, ей присвоенный;

2. Все пакеты, приходящие на файл-сервер идентифицируются по номеру канала и по номеру счетчика пакетов, который с каждым пакетом увеличивается на единицу, а, по достижению значения FFh, сбрасывается в ноль.

Из приведенной выше схемы ясно, что в ОС Novell NetWare 3.12 используются простейшие способы идентификации пакетов обмена, что позволяет осуществить в данной сетевой ОС типовую удаленную атаку "подмена доверенного хоста". Реализация этой атаки будет состоять в посылке с атакующей станции, на которой необходимо зарегистрироваться под именем любого не привилегированного пользователя, пакета на файл-сервер, от имени любого активного в данный момент привилегированного пользователя (например, супервизора), что приведет к несанкционированному присвоению пользователем на атакующей рабочей станции прав привилегированного пользователя.

В следующих двух пунктах рассмотрим примеры осуществления удаленных атак на ОС Novell NetWare 3.12 данного типа.

 

Голландская атака.

Данная удаленная атака носит название голландской атаки, так как она была впервые осуществлена в 1991г. в Голландии на ОС Novell NetWare 3.11. В версии ОС Novell NetWare 3.12в ответ на голландскую атаку введено дополнительное средство идентификации пакетов обмена — цифровая подпись. Однако, эта новая схема идентификации пакетов в ОС Novell NetWare 3.12 не является обязательной и может не применяться. Особенность голландской атаки состоит в начале осуществления атаки до завершения сеанса работы привилегированного пользователя.

Рассмотрим основные этапы реализации этой удаленной атаки:

— предварительно, до запуска атакующей программы, необходимо на атакующей рабочей станции войти в сеть под именем любого пользователя (GUEST, например);

— получить на файл-сервере список всех активных пользователей в сети и выясннить номер канала привилегированного пользователя;

— с помощью анализа пакетов на канальном уровне OSI (сетевого анализа) выяснить текущий номер счетчика пакетов у привилегированного пользователя;

— послать на файл-сервер пакет, от имени станции привилегированного пользователя с соответствующими номерами счетчика и канала, в котором дается команда операционной системе установить для пользователя с атакующей станции права привилегированного пользователя. При этом, если не принять необходимых мер, может нарушиться связь станции привилегированного пользователя с файл-сервером из-за рассогласования счетчика пакетов.

Подмена пользователя при некорректном завершении его сеанса работы с файл-сервером в ОС Novell NetWare 3.12.

В ОС Novell NetWare для корректного окончания сеанса работы пользователя с файл-сервером требуется выдача команды LOGOUT на рабочей станции пользователя для закрытия виртуального канала с сервером. Однако, многие пользователи редко пользуются этой командой, предпочитая просто выключить или перезагрузить свой компьютер. Такое окончание сеанса работы с файл-сервером является некорректным и в сочетании с отказом от использования цифровой подписи пакетов (а, следовательно, слабой идентификации пакетов) может привести к подмене пользователя в сети. Ниже схематично рассмотрены основные этапы осуществления этой удаленной атаки:

— предварительно, до запуска атакующей программы догрузка на рабочей станции необходимых драйверов сетевой карты и оболочки NETX;

— выяснение списка активных пользователей в сети;

— слежение за сетевым трафиком активных пользователей для выяснения их номеров счетчиков пакетов;

— используя средства IPX, периодическая посылка на активные станции диагностических запросов, и, в случае неполучения ответа на запрос от пользовательской станции и, если пользователь этой станции еще находится в списке активных пользователей на файл-сервере - вывод о некорректном завершении сеанса работы пользователя с файл-сервером (то есть, виртуальный канал связи рабочей станции с файл-сервером не был корректно закрыт);

— модификация таблиц сетевой оболочки NETX на атакующей рабочей станции для получения стандартными средствами ОС Novell NetWare несанкционированного доступа к файлам пользователя, некорректно завершившего сеанс связи с файл-сервером.

Вопрос 13.