CC BY
99
АНАЛИЗ И БЕЗОПАСНОСТЬ СЕТЕВОГО СТЕКА ОС WINDOWS VISTA
Д.С. Туранцев Научный руководитель - д.т.н., профессор Ю.А. Гатчин
Статья является техническим обзором сетевых и коммуникационных усовершенствований в ОС Windows Vista для решения вопросов связи, удобства использования, управления, повышения надежности и обеспечения безопасности.
Введение
В ОС Windows Vista реализована новая версия стека TCP/IP, существенным образом улучшающая несколько наиболее важных аспектов сетевой работы и позволяющая добиться повышения производительности и пропускной способности, а также собственная архитектура Wi-Fi и интерфейсы API для проверки сетевых пакетов.
Для максимального использования сетевых возможностей необходима комплексная настройка конфигурационных параметров TCP/IP. В Windows Vista не приходится делать это вручную, так как система сама анализирует сетевые условия и автоматически оптимизирует сетевые параметры. В сетях с большими потерями данных, например, в беспроводных сетях, Windows Vista способна лучше восстанавливать информацию после потери одного или нескольких пакетов. Она может динамически увеличивать или уменьшать окно TCP на прием, что позволяет использовать всю ширину канала. При передаче файлов по высокоскоростной глобальной сети с большим временем отклика или при скачивании файлов из сети Интернет пользователи, несомненно, заметят существенное сокращение времени передачи файлов.
Кроме того, в состав базового сетевого стека Windows Vista включена собственная архитектура беспроводного соединения (собственный интерфейс Wi-Fi). К числу его преимуществ можно отнести гибкое использование во многих моделях устройств различных торговых марок, схожие приемы работы с разными устройствами и более надежные драйверы беспроводных сетевых карт независимых поставщиков. Беспроводными сетями в ОС Windows Vista можно управлять централизованно, причем соединения по таким сетям поддерживают новейшие протоколы безопасности и позволяют пользователям работать с меньшими задержками.
В стеке TCP/IP нового поколения реализована новая архитектура сетевой защиты Windows Filtering Platform (WFP) с интерфейсами API, позволяющими независимым разработчикам программного обеспечения участвовать в процессе принятия решений о фильтрации пакетов на нескольких уровнях стека протокола TCP/IP без написания собственных приложений привилегированного режима. Эта архитектура обеспечивает поддержку таких функций сетевого экрана нового поколения, как проверка подлинности при соединении и динамическое конфигурирование сетевого экрана при использовании приложениями интерфейса Windows Sockets API (политика, зависящая от приложения).
Облегчение задач пользователей
Узнать о состоянии сети, т.е. проверить наличие соединения, выяснить провайдера соединения, узнать, в местной сети или в сети Интернет они находятся, пользователи теперь могут из единого центра управления сетевыми возможностями (см. рис. 1). Кроме того, они могут просматривать состояние различных сетевых служб на своих компьютерах. Виден ли компьютер в местной сети? Какие папки и принтеры открыты у них для доступа по сети? Пользователь может создать сеть (временную или инфра-
структурную беспроводную сеть, сеть VPN или домашнее широкополосное соединение) или подключиться к существующей сети любого типа.
Рис. 1. Центр управления сетевыми возможностями
Система Windows Vista способна самостоятельно диагностировать и разрешать многие проблемы со связью, так что пользователю не приходится обращаться в службу техподдержки. Инфраструктура диагностики сетевого соединения (Network Diagnostics Framework) позволяет ОС Windows Vista выявлять основные причины проблем со связью в контексте операции приложения. Например, если пользователь не может попасть на какой-либо Интернет-сайт, то данная система диагностики попытается отследить проблему по всей цепочке связи, начиная от определения наличия активного беспроводного соединения и действительного IP-адреса, вплоть до установления связи с DNS сервером, нахождения прокси-сервера и получения ответа от требуемого веб-сервера.
В случае определения причины проблемы пользователь получает сообщение с четким описанием проблемы и способов ее разрешения. Иногда проблема устраняется простым щелчком мыши на данном сообщении. В некоторых случаях пользователю придется внести изменения в настройки, и диалоговое окно доставит пользователя в необходимое место. А в случаях, когда пользователь просто не может выполнить необходимые действия по причине недостатка знаний или отсутствия прав, в обозреватель событий записываются более полные сведения, поэтому служба техподдержки может быстро устранить проблему, не тратя часы на поиск неполадок.
В ОС Windows Vista используются интерфейсы API Network Awareness, вызываемые приложениями для выяснения состояния соединения и определения типа сети (домен, сеть общего доступа или частная сеть), к которой подключен компьютер в настоящий момент. Если ОС Windows Vista может получить сетевой доступ к контроллеру домена, то она автоматически выбирает профиль «Домен». Другие сети в эту категорию попасть не могут. Все другие сети определяются как сети общего доступа, если пользователь или приложение не укажет, что сеть частная. Сети с прямым подключением к Интернет или сети в общественных местах, например, в аэропортах или Интернет-кафе, следует оставить в категории сетей общего доступа. К категории частных се-
тей следует относить только те сети, которые защищены частным межсетевым шлюзом, например, домашние сети или небольшие корпоративные сети.
Наличие интерфейса Network Awareness позволяет таким приложениям, как сетевой экран с дополнительными функциями безопасности (Windows Firewall with Advanced Security) (описываемый ниже), использовать различные настройки для сетей разного типа и переходить на эти настройки автоматически при изменении типа сети. Например, администратор может настроить сетевой экран таким образом, чтобы при подключении компьютера к сети с доменом определенные порты для программы управления рабочим столом были открыты, но автоматически закрывались при работе в общедоступных хот-спотах.
Групповая политика в ОС Windows Vista также определяется типом сетевого подключения: при подключении компьютера к сети с доменом система автоматически начинает обрабатывать новые настройки групповой политики, не ожидая следующего цикла обновления. Это означает, что ОС Windows Vista автоматически запрашивает новые настройки групповой политики при подключении компьютера к сети с доменом даже в том случае, когда она выходит из спящего режима. Это позволяет администраторам более оперативно вводить новые настройки безопасности, когда время играет существенную роль.
Обеспечение безопасности сети
При работе по сети существует несколько типов опасностей - подключение к беспроводным сетям злоумышленников, имитирующим сети общего доступа; подключение зараженных ПК к корпоративной сети; попытка неуправляемых ресурсов получить доступ к закрытым для них ресурсам. Перечисленные опасности могут загрузить сетевого администратора на весь рабочий день и заставить беспокойно ворочаться всю ночь. ОС Windows Vista может облегчить борьбу со всеми этими опасностями благодаря дополнительным функциям сетевой защиты, простым в настройке и всеобъемлющим одновременно.
Собственная архитектура Wi-Fi в Windows Vista имеет широкую поддержку новейших протоколов безопасности, в том числе корпоративной и персональной версии протокола Wi-Fi Protected Access (WPA) 2, протокола PEAP-TLS и протокола PEAP-MS-CHAP v2 (защищенный наращиваемый протокол аутентификации с обеспечением безопасности на транспортном уровне и с протоколом взаимной аутентификации). Такая широкая поддержка обеспечивает возможность взаимодействия между Windows Vista и почти всеми беспроводными устройствами. Windows Vista анализирует характеристики беспроводной сетевой карты, что позволяет по умолчанию выбрать наиболее безопасный протокол при подключении к беспроводной сети или создании такой сети. При помощи платформы EAP-HOST ОС Windows Vista может поддерживать специализированные механизмы аутентификации, разработанные поставщиком беспроводных устройств или какой-либо организацией.
В ОС Windows Vista реализованы многочисленные усовершенствования клиентской части беспроводного соединения, позволяющие отражать ненаправленные беспроводные атаки. Такой клиент автоматически подключается только к сетям, указанным пользователем в списке разрешенных сетей, или подключается по прямому требованию пользователя. К временным сетям он автоматически не подключается. Кроме того, клиент выдает предупреждение, если пользователь собирается установить соединение с ненадежной сетью. Активный поиск разрешенных сетей клиент осуществляет по сокращенному списку и только по указанию пользователя, что усложняет злоумышленникам задачу определения названия сети, к которой пользователь пытается подключиться, и подмены ее своей сетью с тем же именем.
Собственный клиент беспроводного соединения ОС Windows Vista поддерживает функцию единого входа (SSO), осуществляющую аутентификацию пользователя в сети на уровне Layer 2 в необходимый момент времени с учетом настроек сетевой безопасности, причем вход в сеть и вход в систему Windows при этом взаимосвязаны. После создания профиля единого входа вход в сеть будет осуществляться раньше входа в систему Windows. Эта возможность позволяет выполнять такие операции, как обновление групповой политики, запуск скриптов регистрации, начальная загрузка по беспроводной сети, требующие подключения к сети прежде входа пользователя в систему.
Сетевой экран с дополнительными функциями безопасности обеспечивает новый уровень сетевой защиты в системе Windows с поддержкой фильтрации входящих и исходящих пакетов и функции повышения стойкости служб (Windows Service Hardening). Если сетевой экран обнаруживает, что поведение какой-либо службы Windows отклоняется от нормального, описанного в сетевых правилах системы повышения стойкости служб, то он блокирует эту службу. Данный сетевой экран поддерживает и функцию разрешенного обхода (Authenticated Bypass), позволяющую некоторым компьютерам после проверки их подлинности службой IPsec обходить правила сетевого экрана для выполнения таких задач, как удаленное управление.
Одно из наиболее существенных изменений в сетевом экране заключается в его объединении со службой IPSec. Раньше для создания многоуровневой совокупности правил сетевой безопасности администраторам приходилось полагаться на два отдельных инструмента - сетевой экран и средство применения протокола IPsec и управления им. В Windows Vista для защиты сети от несанкционированного доступа администраторы могут создавать простые правила сетевой безопасности, объединяющие правила сетевого экрана и правила IPSec. Благодаря такому объединению можно осуществлять сквозную передачу данных по сети после установления подлинности обменивающихся сторон с обеспечением расширяемого многоуровневого доступа к доверенным сетевым ресурсам и/ или защиты конфиденциальности и целостности данных.
Администратор может логически разделить корпоративную сеть на зоны, доступ в которые может быть предоставлен любому компьютеру (в том числе с правами гостя), или только компьютерам, прошедшим аутентификацию в домене (отделение домена). Кроме того, администратор может отделить некоторые серверы, доступ к которым следует предоставлять только определенной группе пользователей или компьютеров, например, сервер приложений отдела кадров с разрешением доступа только компьютерам отдела кадров (отделение сервера), как показано на рис. 2.
еть организаций (неподключенные к сети и другие ком пьют
Рис. 2. Изоляция серверов и доменов
Упрощение управления сетью
Сетевые возможности в ОС Windows Vista спроектированы с поддержкой управляемости по всем основным параметрам, позволяющей сократить расходы на внедрение беспроводных сетей и политик сетевой безопасности, а также обеспечить качество обслуживания приложений и пользователей. Для управления сетевыми функциями в ОС Windows Vista широко используются скрипты групповой политики или командной строки, выполняемые в сетевой оболочке NETSH, поэтому вам не требуется изучать или внедрять новый инструмент управления, а можно получить большую отдачу от вложенных средств в систему Active Directory® и использовать созданную вами структуру подразделения (OU).
Внедрение правил сетевой безопасности (с объединением политик сетевого экрана и службы IPsec) и управление этими правилами упрощается благодаря использованию одного встроенного в консоль управления MMC приложения (сетевого экрана с дополнительными функциями безопасности), сопровождающего пользователя подсказками, или скриптов командной строки, выполняемых в оболочке NETSH. Это новое встроенное приложение позволяет легко и удобно реализовать правила фильтрации входящих или исходящих потоков, а также правила установления безопасной связи, ограничивающие доступ конкретным пользователям, компьютерам или приложениям с обеспечением административного управления на уровне мельчайших деталей. Для обеспечения соответствия политике безопасности на основе сценариев служба IPSec может затребовать проверку подлинности пользователей, компьютеров или отсутствия вирусов (совместно с функцией защиты сетевого доступа). Встроенное приложение облегчает создание правил отделения сервера или домена, а поскольку оно работает на основе групповой политики, вы можете применять эти правила гибким образом, в зависимости от структуры вашей организации.
Оболочка NETSH позволяет автоматизировать поиск неполадок в беспроводных соединениях и использовать при этом скрипты. С командной строки администраторы могут проверять, изменять или удалять конфигурационные профили беспроводной сети. Эти конфигурационные профили можно экспортировать на другие компьютеры или импортировать из других компьютеров, что упрощает настройку нескольких компьютеров с одинаковыми функциями.
Вопреки всем заверениям Microsoft, сетевой стек ОС Windows Vista намного менее надежен и безопасен, чем в XP, к тому же он совершенно не изучен и абсолютно непредсказуем. У администраторов нет опыта решения проблем, с которыми они прежде не сталкивались, разработчики защитных компонентов (от программных брандмауэров до аппаратных комплексов) еще не включили поддержку ОС Windows Vista и ее протоколов в свои продукты.
Сетевой стек тесно интегрирован с ОС, и отделить его, вернув старый стек на место, никакой возможности нет. Нам предлагают множество новых компонентов, причем это предложение из разряда тех, от которого невозможно отказаться — ведь ни отключить, ни заблокировать ненужные функции все равно нельзя. То есть можно, конечно, но отнюдь не через графический интерфейс, и большинство пользователей этого сделать не сможет, а, значит, черви, хакеры и удаленные атаки будут процветать.
Глубины безопасности сетевого стека ОС Windows Vista
Главным и, пожалуй, единственным достижением Microsoft^ стала интеграция IPv4 и IPv6 в единый стек (до этого они были реализованы как раздельные компоненты), что и плохо, и хорошо одновременно. Хорошо то, что конечный пользователь получает готовый IPv6 без всякой головой боли и установки дополнительных пакетов.
Катастрофическая нехватка IP-адресов с каждым сезоном ощущается все острее и острее, но переход на IPv6 сдерживается как необходимостью смены сетевого оборудования, так и обновлением серверных и клиентских ОС. В исторической перспективе переход на IPv6 неизбежен.
Большинству сегодняшних пользователей IPv6 совершенно не нужен, поскольку для локальной сети и IPv4 хватает с лихвой, а основная масса провайдеров еще не поддерживает IPv6 и в обозримом будущем переходить на него не собирается. Проблема в том, что IPv6 несет в себе множество нововведений, еще не обкатанных и не протестированных в планетарном масштабе.
Теоретически IPv6 обеспечивает более высокую производительность и лучшую защиту от атак, но практически вопросы производительности решаются «тонкой» настройкой опций TCP//IP-протокола, которые в Windows доступны лишь частично, и крайне отрывочно документированы в виде заметок в Knowledge Base.
Настойки по умолчанию стремятся удовлетворить сразу всех и каждого, в результате чего по-настоящему не удовлетворен никто. Отсутствие легальных рычагов управления не позволяет оценивать реальную производительность сетевого стека, и громкие заявления Microsoft^, что в ОС Windows Vista стек намного более производителен, следует расценивать как пропаганду. Результаты тестов ни о чем не говорят! Тем более что в большинстве случаев реальный CPS определяется отнюдь не «качеством» сетевого стека, а загруженностью удаленного сервера, пропускной способностью каналов связи и так далее. Глупо ожидать, что, установив ОС Windows Vista на свой компьютер, мы «разгоним» свой модем хотя бы на десяток процентов...
Следствием интеграции IPv4 с IPv6 в единый сетевой стек стало появление туннельных протоколов Teredo, ISATAP, 6to4 и 6over4, причем Teredo уже успел попасть в RFC и осесть под номером 4380 [1].
Teredo инкапсулирует (упаковывает) IPv6-трафик внутрь IPv4-пакетов, используя протокол UDP, слабости и недостатки которого хорошо известны. Если два IPv6-узла разделены IPv4-сегментом сети (наиболее типичная на сегодняшний день конфигурация), ОС Windows Vista задействует Teredo, направляя запрос одному из публичных Teredo-серверов, который, в свою очередь, передает его получателю, фактически выполняя роль proxy-сервера.
Самое интересное, что Teredo позволяет обходить трансляторы сетевых адресов (они же NAT') и брандмауэры, причем это не ошибка, а его функция. Рассмотрим два узла, защищенные NAT, прямое взаимодействие между которыми невозможно. Но это оно по IPv4 невозможно, а если использовать Teredo-тоннель, то истинный адрес и порт назначения окажется скрыт в Teredo-заголовке, а в IPv4 попадает адрес узла, «смотрящего» в Интернет и UDP-порт самого Teredo (3544 порт), который, конечно, можно и закрыть, но как же тогда с остальными Vista-клиентами общаться?! Поскольку NAT не может установить ни реального целевого адреса, ни реального целевого порта протокола IPv6, он беспрепятственно пропускает IPv4-пакет. Это же самое относится и к другим защитным механизмам, не поддерживающим протокола Teredo.
Но это еще что! Поддержка новых протоколов - всего лишь вопрос времени. Переход на ОС Windows Vista означает переход на Teredo, а переход на Teredo навязывает глобальную маршрутизацию, заставляющую забыть о приватных IP-адресах, использующихся в локальных сетях и невидимых снаружи.
Плюс ко всему Виста поддерживает инкапсуляцию IPv4 в IPv4 и IPv6 в IPv6, что позволяет скрывать истинные целевые адреса и порты, вынуждая брандмауэры и другие защитные средства проводить скрупулезный анализ трафика, а это сразу же увеличивает потребности в памяти и мощности процессора со всеми вытекающими отсюда последствиями.
TCP/IP и его свита
На самом деле, TCP/IP никогда не используются в «чистом» виде и всегда окружены свитой вспомогательных протоколов, причем далеко не все из них нужны домашнему пользователю. Привычка Microsoft пихать все в одну коробку без возможности отделить одно от другого дает о себе знать, и мы не можем удалить лишние протоколы, которые не только занимают системные ресурсы, но еще и служат источником потенциальных ошибок.
Сетевой стек ОС Windows Vista включает в себя следующие протоколы: ICMP; IGMP; IPV4; IPV6; ICMPV6, TCP; UDP; ^б; GRE; ESP; AH; 43; 44; 249; 251. Половина протоколов не нужна не только рабочим станциям, но и серверам, а многие из них даже не имеют собственного имени, ограничиваясь только номером. В частности, протоколы 43 и 44 отвечают за маршрутизацию и фрагментацию в IPv6. Причем, в ранних бетах посылка мусора по 43 протоколу вводила ОС Windows Vista в глубокую задумчивость, но через некоторое время она, как ни в чем не бывало, возвращалась к обработке сетевых запросов. А вот «сетевой мусор», переданный по 44 протоколу, обрушивал систему в голубой экран смерти. Сейчас это уже исправлено, но неизвестно, сколько еще ошибок реализации предстоит обнаружить.
Алгоритм сборки IP-пакетов изменился в худшую сторону, и частично перекрывающиеся пакеты теперь безжалостно отбраковываются как неверные, порочные и вообще недостойные существования (по всей видимости, программистам лень было топтать клавиатуру, вот они и «срезали углы»). Исключение составляет ситуация, когда два пакета перекрываются на 100 %, - тогда отбрасывается последний пакет в пользу первого, хотя LINUX-системы поступают с точностью до наоборот. Вообще же говоря, проблем со сборкой перекрывающихся пакетов у всех систем хватает, и каждая из них имеет свои особенности, в результате чего принятые данные искажаются до неузнаваемости или пакет не собирается вообще [2].
Новые TCP-ZUDP-порты
Нормальный клиентский узел вообще не должен содержать никаких открытых TCP-ZUDP-портов I Он даже может не обрабатывать ICMP-сообщения, в частности, иг-норовать echo-запросы (на чем основан ping) и не отправлять уведомлений о «казни» пакета с «просроченным» TTL (на чем основана работа утилиты tracert), хотя все это считается дурным тоном и создает больше проблем, чем их решает.
Наличие открытых портов указывает на присутствие серверных служб, обслуживающих удаленных клиентов. Каждая такая служба - потенциальный источник дыр, переполняющихся буферов и прочих лазеек, через которые просачиваются черви, а воинствующие хакеры берут компьютер на абордаж.
Вот неполный список портов, открываемых системой в конфигурации по умолчанию: IPV6 UDP; MS-RPC (135); NTP (123); SMB (445); ISAKMP (500); UPNP (1900); WEB SERVICES DISCOVERY (3702); WINDOWS COLLABORATION (54745); СОВМЕСТНЫЙ ДОСТУП К ФАЙЛАМ И ПРИНТЕРАМ (137, 138); ПОРТЫ-ПРИЗРАКИ - (49767, 62133); IPV4 UDP; TEREDO (4380, 61587); MS-RPC (135); SMB (445); NBT (139); NRP 3540; IPV4 TCP; P2P GROUPING MEETINGS (3587); WINDOWS COLLABORATION (54744); СОВМЕСТНЫЙ ДОСТУП К ФАЙЛАМ И ПРИНТЕРАМ (137, 138).
Изобилие открытых портов создает серьезную угрозу безопасности. IPv6 отображает часть UDP-портов на IPv4, однако забывает «объяснить» этот факт своему же собственному брандмауэру, и если мы закрываем печально известный 135-й порт на IPv4, его необходимо закрыть также и на IPv6, равно как и наоборот.
В ранних бетах факт закрытия портов было очень легко обнаружить, поскольку при попытке установки соединения с несуществующим портом система возвращала пакет с флагом RST (как, собственно, и положено делать по RFC). Соответственно, порты, не возвратившие пакета с таким флагом, но и не установившие соединения, все-таки существуют, но закрыты брандмауэром, который можно легко обойти, например, через RPC. Правда, эта лазейка была быстро закрыта, но зато при отправке сообщения на несуществующий UDP 1Руб-порт до сих пор возвращается 1СМРуб-сообщение об ошибке, опять-таки позволяющее отличить отсутствующие порты от портов, закрытых брандмауэром.
Протокол SMB, обеспечивающий совместный доступ к файлам и принтерам, так же полностью переписан и представлен в новой версии как SMB2, ориентированный на передачу больших файлов данных и как будто бы обеспечивающий лучшую производительность, однако реализованный далеко не самым лучшим образом. В частности, засылка мусора в порт 445 обрушивала бету build 5270 в голубой экран смерти, и этот косяк был исправлен только в следующей версии [2].
Механизмы аутентификации, вызывающие множество нареканий еще со времен 9x, похоже, не претерпели никаких радикальных изменений, откатившись назад в мрачную готическую тьму средневековья, когда нестандартные клиенты типа SAMBA предоставляли доступ ко многим защищенным ресурсам, не требуя авторизации. Помнится, реакция Microsoft была такова: «SAMBA - это неправильный клиент, пользуйтесь штатными средствами Windows, и у вас не будет никаких проблем». Протокол SMB держит для своих внутренних целей именованный канал (по-английски - pipe) «IPC$», через который можно подключаться к ресурсам netlogon, lsarpc и samr БЕЗ аутентификации! В SMB2 этот список пополнился каналами «protected_storage» и «lsass».
Механизм именованных каналов тесно связан со столь горячо любимым в Microsoft механизмом удаленного вызова процедур Remote Procedure Call или, сокращенно, RPC, через который распространялся MSBlast и другие черви подобного типа. В Висте до сих пор сохранилась возможность определять список доступных интерфейсов и вызывать некоторые из них (ServerAlive2, OXIDResolver, etc), и все это - без всякой авторизации!
Глобализация ARP
В локальных Ethernet-сетях на физическом уровне используется MAC-адресация, поверх которой натягивается TCP/IP, использующий IP-адресацию. В результате этого каждый узел имеет как минимум один MAC-адрес и один IP-адрес, которые никак не связаны с друг другом, и чтобы отправленный пакет дошел до места назначения, мар-штутизатору необходимо иметь таблицу соответствия IP- и MAC-адресов, которая динамически создается при помощи протокола ARP. Грубо говоря, в сеть посылается широковещательный запрос: «Обладатель такого-то IP, сообщите своей MAC-адрес!». Никакой аутентификации при этом не производится, и присвоить себе чужой IP - плевое дело. Атаки такого типа давно изучены и подобно описаны. Хакер может: разрывать TCP-ZIP-соединения, установленные жертвой, перехватывать трафик, выдавать себя за другой узел и прочее. Но все это - строго в рамках локальной сети, причем предыдущие версии Windows, обнаружив, что хакер захватил их IP-адрес, выплевывали на экран предупреждение. Виста же просто отмечает этот факт в системном журнале и... прекращает реагировать на сетевые запросы.
Существует масса способов вычислить злоумышленника, подняв по тревоге бригаду каратистов быстрого реагирования, доходчиво объясняющих незадачливому хакеру, что лучше уйти по-хорошему, чем всю жизнь работать на больницу. Заботясь о пользователях, тьфу, о хакерах, Microsoft добавила новый протокол для разрешения ад-
ресов - Neighbor Discovery или сокращенно ND, доступный извне локальной сети. И хотя реализация удаленной атаки сопряжена с рядом трудностей, она все-таки осуществима! Система уязвима только во время так называемой probe-фазы, в течение которой происходит ожидание отклика от «соседних» (neighbor) узлов. Все остальное время поддельные пакеты, посланные злоумышленником, игнорируются. Однако, учитывая значительную продолжительность probe-фазы, а также ее высокую периодичность, хакеру даже не понадобится запасаться терпением! Ну, разве за пивом сгонять, пока его компьютер методично бомбардирует жертву запросами.
Трудность номер два: ND-пакет содержит специальный счетчик, начальное значение которого равно 255, и при пересылке через каждый узел оно уменьшается на единицу, таким образом, атакующий должен находиться достаточно близко от жертвы. «Близко», естественно, не в географическом смысле.
Идентификация сетевого стека Висты
Сетевой стек всякой операционной системы имеет свои особенности реализации (они же «fingerprint» - отпечатки пальцев), позволяющие идентифицировать жертву, что значительно упрощает атаку, поскольку хакер заранее знает, какие дыры там есть и какие действия предпринимать. Снять отпечатки пальцев (также называемые «сигнатурой») с удаленного узла можно, например, с помощью знаменитой утилиты nmap.
Заключение
ОС Windows Vista являет собой наиболее существенное обновление сетевых возможностей операционной системы за весь период времени, прошедший после выпуска Windows 95. Пользователям стало проще использовать преимущества проводных и беспроводных сетей в своих поездках. Благодаря новому самонастраиваемому сетевому стеку ускоряется передача файлов по сети.
Вопреки всем заверениям Microsoft, сетевой стек ОС Windows Vista намного менее надежен и безопасен, чем в XP, к тому же он совершенно не изучен и абсолютно непредсказуем. У администраторов нет опыта решения проблем, с которыми они прежде не сталкивались, разработчики защитных компонентов (от программных брандмауэров до аппаратных комплексов) еще не включили поддержку ОС Windows Vista и ее протоколов в свои продукты. Переход на ОС Windows Vista, несомненно, сулит большие перспективы для хакеров, а также для всех сторонних разработчиков, предлагающих защитные комплексы разной степени сложности.
Литература
1. http://www.rfc-editor.org/rfc/rfc4380.txt
2. http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/teredo.mspx
3. http://www.symantec.com/avcenter/reference/ATR-VistaAttackSurface.pdf
