IPsec представляет собой набор протоколов для обеспечения безопасности сетевого соединения. Протоколы IPsec разработаны IETF (Internet Engineering Task Force). Под безопасностью здесь подразумевается: контроль доступа, обеспечение сохранности данных, идентификация отправителя, защита от атак воспроизведения и секретность обмена. Первые документы, регламентирующие IPsec, были приняты в 1998-99 годах (RFC-2401-02, -2406, -2408 и -2709). Существуют версии IPsec для IPv4 и IPv6. Важной особенностью этой технологии является то, что пользователь может даже не знать, что он пользуется IPsec и, как правило, нет необходимости адаптировать для работы с IPsec уже существующие приложения. И, тем не менее, дебаты и обсуждения области и способов применения этой технологии продолжаются. Связано это с тем, что если, например, комбинация WEB-сервера/клиента поддерживает эту функцию, разработчик должен гарантировать, что данная услуга будет доступна на всех платформах, где данное приложение может работать.

В IPsec используются две базы данных: SPD (Security Policy Database, куда записываются правила обеспечения безопасности) и SADB (Security Association Database, где хранятся данные об активных ассоциациях безопасности).

Система IPsec предлагает многовариантный механизм реализации безопасности для обоих концов соединения. Эта техника пригодна для отдельного пользователя, особенно если он работает на выезде, и для виртуальных субсетей организаций, работающих с данными, которые требуют секретности.

При использовании совместно с Firewall IPsec предоставляет высокий уровень безопасности. При этом нужно иметь в виду, что для реализации IPsec оба партнера должны иметь оборудование и/или программы, которые поддерживают эти протоколы.

IPsec предусматривает процедуры аутентификации и шифрования. Формирование и удаления заголовка IPsec может осуществляться в машине клиента или в сетевом шлюзе (маршрутизаторе).

( Читать дальше )

История появления RDP

Протокол Remote Desktop создан компанией Microsoft для обеспечения удаленного доступа к серверам и рабочим станциям Windows. Протокол RDP рассчитан на использование ресурсов высокопроизводительного сервера терминалов многими менее производительными рабочими станциями. Впервые сервер терминалов (версия 4.0) появился в 1998 году в составе Windows NT 4.0 Terminal Server, на момент написания статьи (январь 2009 года) последней версией терминального сервера является версия 6.1, включенная в дистрибутивы Windows 2008 Server и Windows Vista SP1. В настоящее время RDP является основным протоколом удаленного доступа для систем семейства Windows, а клиентские приложения существуют как для OC от Microsoft, так и для Linux, FreeBSD, MAC OS X и др.

Говоря об истории появления RDP, нельзя не упомянуть компанию Citrix. Citrix Systems в 1990-х годах специализировалась на многопользовательских системах и технологиях удаленного доступа. После приобретения лицензии на исходные коды Windows NT 3.51 в 1995 году эта компания выпустила многопользовательскую версию Windows NT, известную как WinFrame. В 1997 году Citrix Systems и Microsoft заключили договор, по которому многопользовательская среда Windows NT 4.0 базировалась на технологических разработках Citrix. В свою очередь Citrix Systems отказалась от распространения полноценной операционной системы и получала право на разработку и реализацию расширений для продуктов Microsoft. Данные расширения изначально назывались MetaFrame. Права на ICA (Independent Computing Architecture), прикладной протокол взаимодействия тонких клиентов с сервером приложений Citrix, остались за Citrix Systems, а протокол Microsoft RDP строился на базе ITU T.120.

( Читать дальше )

У каждого из команды свои предпочтения по части софта и утилит для пен-теста. Посовещавшись, мы выяснили, что выбор так разнится, что можно составить настоящий джентльменский набор из проверенных программ. На том и решили. Чтобы не делать сборную солянку, весь список мы разбили на темы – и в этот раз коснемся утилит для снифинга и манипулирования пакетами. Пользуйся на здоровье.

( Читать дальше )

Почти четыре года назад исследователь безопасности вычислчтельных систем Антирез (Antirez — не знаю, имя это или псевдоним), опубликовал описание качественно новой техники сканирования TCP-портов.

IdleScan (или «сканирование вхолостую» — не нашел более краткого перевода для этого термина), позволяет произсести абсолютно невидимое сканирование портов (да, это действительно так!!!). Атакующий может просканировать цель, НЕ ПОСЫЛАЯ при этом ей (цели) пакетов от своего IP-адреса! Вместо этого используется хитрый метод, позволяющий просканировать жертву через так называемый хост-«зомби». Системы обнаружения атак (IDS — Intrusion Detection Systems) с радостью сообщат, что невинный «зомби» и есть злобный хакер. Кроме абсолютной невидимости, этот тип сканирования позволяет определить политику доверия между машинами на уровне протокола IP.

Мы предполагали, что такая важная проблема вызовет немедленную реакцию со стороны производителей операционных систем, и посыплются различные «патчи», но к сожалению, практически все проигнорировали это сообщение, и вскоре проблема была забыта. Разработчики посчитали, что это всего лишь теоретические доводы, не имеющие и не могущие иметь практическое воплощение в реальном мире. Для того, чтобы опровергнуть их позицию и заставить производителей ОС исправить положение, в сканере Nmap была реализована техника IdleScan. В этой статье детально описана сама техника IdleScan, а также для сетевых администраторов и производителей ОС даны рекомендации по защите от нее.

Заметьте, что сканирование вхолостую — это лишь один из многих рисков, основанных на предсказании чисел последовательности IPID. В этой статье приведени некоторые другие методы атак, осуществляемых при помощи этой характеристики.

( Читать дальше )

Настройка без использования IDM

Топология

Настройка клиента

В качестве клиента используется компьютер с Windows XP. Аутентификация MD5-Challenge.

Настройка NAC 800

NAC 800 работает в режиме CS. В файле /etc/raddb/users создан один пользователь с именем procurve и паролем procurve.

procurve Auth-Type := EAP, User-Password =="procurve"

Использование встроенного RADIUS сервера для аутентификации

Для того чтобы NAC 800 обрабатывал запросы RADIUS необходимо добавить пользователей в файле /etc/raddb/users. Формат записей в файле:

( Читать дальше )

Symantec Network Access Control (SNAC) – современное решение контроля доступа, которое защищает корпоративную сеть от вторжений неизвестных пользователей, подключения к сети незарегистрированных посторонних устройств и распространения угроз, содержащихся на компьютерах легитимных пользователей. Кроме того, SNAC позволяет обеспечить соблюдение политик безопасности на конечных устройствах.

Решение прекрасно интегрируется с другим продуктом Symantec для защиты конечных устройств сети – Symantec Endpoint Protection (SEP). В сочетании SEP и SNAC предоставляют мощный функционал, обеспечивающий комплексную защиту корпоративной сети любого масштаба. Очень важно что SNAC может работать как дополнительный полностью интегрированный модуль к SEP, так и отдельно — работая совместно с большинством сторонних продуктов по безопасности.

Network Access Control (NAC) – это технология или метод, который позволяет определить, разрешен ли доступ к корпоративной сети каждому отдельно взятому устройству, которое пытается к ней подключиться. Делается это на основе специального критерия, который прописывают в политиках безопасности. Для того чтобы получить доступ в сеть, каждое конечное устройство должно соответствовать этому критерию. Таким критерием может являться следующая информация:

( Читать дальше )