Конфигурирование брандмауэра следует начать с базовой операционной системы. «Лазейки» в ней должны быть перекрыты, а функции, не являющиеся необходимыми, — заблокированы. Наши инженеры были удивлены, обнаружив, что только двое поставщиков — AltaVista и Raptor, «укрепили» операционную систему, блокировав ненужные функции, «залатав» известные ошибки и устранив такие «лазейки», как идентификатор «гость». Остальные полагаются на самих реселлеров при конфигурировании защищенной операционной системы для обслуживания брандмауэра.

Изделия поставщиков, не предусмотревших «укрепление» операционной системы (CSM, LanOptics и Network-1), смогли отразить большую часть посягательств извне, однако в них остался ряд слабых мест с точки зрения возможных попыток взлома изнутри. А ведь любой юрист подтвердит, что самые удачные преступления совершаются при поддержке внутри организаций.

После того как наши инженеры «заткнули» все «дыры», продукты фирм CSM, LanOptics и Network-1 сумели отразить все предпринятые нами попытки вторжения с той же 100%-ной надежностью, что и изделия фирм AltaVista и Raptor.

Специалисты считают, что брандмауэр, который автоматически не укрепляет операционную систему, страдает серьезным дефектом. Что еще хуже, подобные изделия показали слабые результаты и в процессе установки. Качество документации, касающейся укрепления операционной системы, существенно различалось, но даже самый лучший образец был далеко не полон, что легко могло привести к ошибке.

Специалисты обнаружили дефекты в продукции фирм CSM, LanOptics и Network-1 (непосредственно после их установки, т. е. до настройки вручную).

Типичный дефект — сохранение по умолчанию активного гостевого идентификатора системы Windows NT. Это дает возможность взломщику просканировать регистр NT и узнать, как заданы ресурсы. Многие из журналов регистрации NT также могут быть просканированы, в том числе и файлы регистрации самой системы, приложений и защиты. Вместе взятые, эти отдельные элементы дают более чем достаточную информацию, позволяя взломщику проникнуть внутрь сети.

При установке системы Windows NT Server 4.0 по умолчанию включаются многие функции, в том числе планирования, обмена сообщениями и сигнализации. Оставив их в таком виде, вы предоставляете взломщику плацдарм для проникновения. Он может, например, спланировать новую службу, которая пропустит «троянского коня», а он перехватит пароль в системе со статусом доверия.

Не обязательно быть хакером или даже взломщиком-любителем, чтобы понимать, что самым привилегированным пользователем в системе с Windows NT является тот, кто имеет идентификатор «администратор». Поэтому первое, что сделает опытный реселлер, завершив установку Windows NT Server, — заменит ID администратора на другой не столь привлекательный, по возможности напоминающий идентификатор обычного пользователя. Продукт AltaVista Firewall 97 оказался единственным в нашем обзоре, который прямо-таки заставляет реселлера сменить идентификатор администратора. Это прекрасный пример того, как нужно действительно усиливать базовую операционную систему.

Отсутствие требования блокировки счетов открывает широкую дорогу даже самым неопытным взломщикам. Проникновение начинается с обнаружения идентификатора пользователя и строится на многократных попытках подобрать правильный пароль, основываясь на здравом смысле и методе «научного тыка», или с помощью автоматизированной, но грубой силы, используя простую программу подбора слов из словаря. Реальный же ID пользователя нетрудно обнаружить, посетив Web-узел компании. Там можно найти и имена служащих, и, весьма вероятно, адреса их электронной почты. Даже если сотрудники корпорации достаточно опытны и используют в адресах электронной почты псевдонимы, все равно легко сообразить, как построены идентификаторы пользователей — число перестановок вычисляется по известной формуле.

Далее, задав минимально допустимую длину пароля меньше шести, а еще лучше восьми и более символов, вы опять-таки существенно облегчите взломщику его работу.

При задании блокировки счетов следует разрешить разумное число попыток — от трех до пяти. Не следует также задавать слишком продолжительное время ожидания, ибо это может привести к отказу от ваших услуг.

Эрик Элгар

Версия для печати (без изображений)