Вывод из строя внутренней сети недовольным сетевым администратором
Введение
Эта история описывает, как уволенный сетевой администратор подарил на прощание "подарок" своей организации, выведя из строя ее сеть.
Предыстория атаки
Однажды сетевой администратор большой страховой компании был вызван на беседу со своим начальником, на которой ему был задан ряд вопросов, включая:
- Где пропавшие сетевые концентраторы и другое сетевое оборудование?
- Где дистрибутивы ряда программ?
- Где два пропавших компьютера?
Этот сетевой администратор отрицал, что у него есть что-либо из пропавшего, но ряд других сотрудников перед этим разговором сказали начальнику, что имеют подозрения в отношении именно этого администратора. Кража всего перечисленного выше была нужна ему для организации своего собственного бизнеса в области интернет-провайдерства.
В ходе беседы, когда ему были предъявлены обвинения, сетевой администратор повел себя так, что начальник решил тут же уволить его. Ему было позволено только забрать вещи из своего стола и он под присмотром сопровождающего был выведен из компании.
К сожалению, компания ничего не сделала для того, чтобы изменить пароли, которые он знал и не внесла нужные изменения в средства защиты для удаленного доступа. Это означало, что этот сетевой администратор по-прежнему имел полный доступ ко всем ресурсам сети, даже не находясь физически в здании.
Через неделю, пользователи начали жаловаться, что они не могут получить доступ к системам и службам в сети компании и системам во внешних сетях, хотя могли делать на прошлой неделе. Эти происшествия казались индивидуальными для каждого пользователя ПЭВМ, но наблюдались у всех пользователей. Дальнейшее расследование показало, что проблема возникает после перезагрузки ПЭВМ. До перезагрузки ПЭВМ может получить доступ куда-либо, куда это нужно ее пользователю. Но после перезагрузки ПЭВМ не могла установить соединения со многими машинами в сети. Важным фактором было то, что все пострадавшие системы были полностью работоспособны, и не имелось никаких проблем в работе сети, кроме … увольнения сетевого администратора.
Проблема по сути была похожа на то, как будто бы собаку посадили на привязь в саду, хотя раньше этой собаке разрешалось свободно гулять по саду. Но в сети за последнюю неделю не делалось никаких изменений в конфигурации, и не вносились никакие изменения в программное обеспечение.
Результатом этой проблемы стало то, что многие пользователи не могли получить доступа к веб-серверам интранета, многие не могли получить доступ к ресурсам Интернета, а ряд систем во внутренней сети и во внешних сетях оказались недоступными всем пользователям.
По словам одного пользователя "сеть усохла". Но никакого оборудования не было удалено из сети, а наоборот планировалось добавить новые компоненты в сеть для ее расширения.
Расследование и его результаты
Расследование началось с изучения концентраторов и маршрутизаторов во внутренней сети и ее соединений с внешней сетью. Никаких модификаций обнаружено не было. Фактически, последние модификации в программы, обеспечивающие работу сети, вносились за три недели до увольнения сетевого администратора.
Изучение ПЭВМ было гораздо более трудным, так как нет никаких средств протоколирования в таких операционных системах, как Windows'95, Windows for Workgroups, Windows V3.11 и OS/2. Кстати, пострадали компьютеры именно с этими операционными системами, и не было замечено никаких проблем у компьютеров под управлением UNIX, Macintosh, у старых компьютеров IBM и DEC.
Анализ дат и времен модифицированных файлов оказался бесполезным, так как все системы администрировались удаленно группой системных администраторов каждый день, и наиболее критические файлы на большинстве систем обновлялись ежедневно.
Единственным способом понять, что происходит, было более детальное изучение проблем, возникающих у пользователей, и попытка установить причины происходящих конкретных проблем. Компания не хотела обратно нанимать уволенного сетевого администратор по политическим и кадровым соображениям, поэтому экспертам пришлось действовать самостоятельно.
При попытке установить соединения с другими системами стало ясно, что системы, которые не перезагружались, вообще не имеют проблем. Это означало, что следовало определить, какие различия имеются между системой, которая перезагрузилась, и той, которая не делала этого. Это оказалось очень сложным и дало небольшие результаты. Имелись естественные системные различия, но большинство из них могли быть вызваны различиями в администрировании их и различиями в их конфигурации. Но эта работа не была полностью бесполезной, так как позволила глубже изучить эксплуатируемые операционные среды сотрудникам отдела автоматизации.
Изучение систем, которые стали плохо работать, не выявило никаких необычных установок в панели средств управления сетью. Фактически, за исключением адреса, большинство установок во всех системах были идентичны и совпадали с тем, которые стояли на нормально работавших системах.
Следующим шагом был запуск сетевого анализатора в этом сегментеЛВС для выявления различий в трафике между нормально работающими системами и тем, которые работали плохо. Первичный анализ пакетов протоколов TCP/IP, используемых всеми рабочими станциями, не показал никаких различий в формате пакетов. Но после анализа большого числа пакетов и побитного их сравнения было выявлено небольшое различие между правильно работающими системами и теми, которые не могли получить доступ к Интернету.
В пакете IP есть поле, называемое "ВРЕМЯ ЖИЗНИ", которое используется для предотвращения переполнения сети ошибочными пакетами. Как правило, значение, стоящее в этом поле, декрементируется каждый раз, когда пакет проходит через маршрутизатор. Когда это значение становится равным нулю, пакет уничтожается маршрутизатором. С помощью такого удаления ошибочные пакеты удаляются из сети.
Это поле также часто используется для установки максимально допустимого числа маршрутизаторов между отправителем пакетов и их получателем. Его функция очень похожа на поводок собаки: оно ограничивает величину расстояния, на которое кто-то может отойти от своей системы. По умолчанию на большинстве систем его значение равно 255. Это означает. Что на пути между отправителем и получателем может быть не более 255 маршрутизаторов, при попытке пройти большее их число пакет будет уничтожен.
Изучение пакетов выявило, что правильно функционирующие системы посылали пакет с полем "ВРЕМЯ ЖИЗНИ", имеющим значение 255, а в пакетах, отправляемых плохо работающими системами он было равно 1. Это означало, что первый же маршрутизатор, на который попадал пакет, уничтожал его. По сути это лишало пользователя неправильно работающих систем возможности использовать сеть за маршрутизатором. Ему были доступны только те системы, пакеты к которым передавались через коммутаторы и концентраторы. Естественно для объединения сетей в организации использовались маршрутизаторы, и пользователи не могли добраться до удаленных машин.
Исследование параметров протокола на плохо работающих системах выявило, что это поле устанавливалось в 1 в одном из файлов, использовавшихся для конфигурирования протокола после перезагрузки. Другие системы не пострадали сразу же из-за того, что после перезагрузки они не считывали конфигурационные файлы и не меняли значение поля "ВРЕМЯ ЖИЗНИ".
Дата последнего изменения файлов соответствовала следующему дню после увольнения сетевого администратора. Дальнейшее расследование показало, что для распространения измененных файлов по системам пользователей были использованы средства системного администрирования. Журналы модемного пула показали наличие сеансов этого сетевого администратора в ночь после увольнения и на следующий день. Сразу же после этих сеансов начались проблемы у пользователей.
К сожалению в данной ситуации не было абсолютно никакого способа доказать, что именно сетевой администратор был причиной всех бед, хотя было ясно, что только он единственный из тех, кто имел доступ к системе администрирования, обладал необходимой квалификацией для совершения таких действий. Недостаточно для возбуждения судебного иска, но достаточно для установления причин произошедшего.
Средства системного администрирования были сконфигурированы так, что на всех пользовательских системах было установлено новое значение "ВРЕМЯ ЖИЗНИ" и они были обязательно перегружены на следующий день. После этого все заработало. В то же самое время были изучены все установки сетевых программ на предмет выявления аналогичных вредных установок. Было обнаружено, что на нескольких компьютерах ряд параметров также были изменены, что со временем также привело бы к их неработоспособности - они были исправлены. Изучение установок маршрутизаторов, концентраторов и других сетевых компонент также выявило факты модификации загрузочных модулей операционной системы и других файлов - эти файлы также были восстановлены.
Фактически, не зная никаких паролей на компьютерах, а имея только один аккаунт , сетевой администратор скомпрометировал всю сеть и модифицировал ее для вывода из строя сетевых компонентов.
Решение проблемы
Следующие действия были предприняты для предотвращения повторения подобных проблем в будущем:
- Был разработана автоматизированная процедура еженедельного аудирования всех систем и ежедневного аудирвоания всех сетевых компонент. О любых изменениях в сетевых компонентах теперь становится известно после следующего запуска программ аудирования ночью.
- Для всех увольняющихся сотрудников организации (и особенно для технических специалистов) отделом кадров и отделом автоматизации был разработан новый, очень строгий порядок увольнения. Как только отдел кадров узнает о том, что нужно уволить кого-то из организации, его сотрудники предпринимают действия, гарантирующие, что увольняющиеся технические работники уведомлены о том, что доступ к компьютерам организации после увольнения является незаконен, и что их аккаунты будут корректно отключены после их увольнения.
- Была произведена замена ряда сетевых компонент на аналогичные, но поддерживающие аутентификацию с использованием криптографии. Это позволило защититься от любых атак, связанных с паролями.
- Был заново составлен контракт для всех новых работников, чтобы можно было законно наказать их в случае попыток несанкционированного доступа к системам организации.
Драйвера для всех протоколов должны иметь конфигурационные файлы, которые должны изменяться крайне редко. Лучший способ гарантировать, что конфигурационные файлы не были изменены неавторизованным образом - контроль за этими файлами и использование специальных программ для их модификации.
Заключение
Эта история стала возможной из-за плохого управления конфигурацией сети, которое было использовано для ее вывода из строя, из-за отсутствия мер безопасности при увольнении технических специалистов, из-за того, что не был блокирован доступ уволенного технического специалиста к системам организации, и из-за того, что не было принято юридических мер защиты от попыток неавторизованного доступа к системам организации уволенного сотрудника. Описанные ошибки на самом деле являются распространенными, но о случаях их использования не сообщается из-за боязни потерять репутацию. При наличии правильного управления конфигурацией сети в большинстве случаев последствия попыток неавторизованного доступа были бы минимизированы.
Назад |
Начало