Безопасность в Internet- Intranet



         

Расследование и его результаты


Расследование началось с изучения концентраторов и маршрутизаторов во внутренней сети и ее соединений с внешней сетью. Никаких модификаций обнаружено не было. Фактически, последние модификации в программы, обеспечивающие работу сети, вносились за три недели до увольнения сетевого администратора.

Изучение ПЭВМ было гораздо более трудным, так как нет никаких средств протоколирования в таких операционных системах, как Windows'95, Windows for Workgroups, Windows V3.11 и OS/2. Кстати, пострадали компьютеры именно с этими операционными системами, и не было замечено никаких проблем у компьютеров под управлением UNIX, Macintosh, у старых компьютеров IBM и DEC.

Анализ дат и времен модифицированных файлов оказался бесполезным, так как все системы администрировались удаленно группой системных администраторов каждый день, и наиболее критические файлы на большинстве систем обновлялись ежедневно.

Единственным способом понять, что происходит, было более детальное изучение проблем, возникающих у пользователей, и попытка установить причины происходящих конкретных проблем. Компания не хотела обратно нанимать уволенного сетевого администратор по политическим и кадровым соображениям, поэтому экспертам пришлось действовать самостоятельно.

При попытке установить соединения с другими системами стало ясно, что системы, которые не перезагружались, вообще не имеют проблем. Это означало, что следовало определить, какие различия имеются между системой, которая перезагрузилась, и той, которая не делала этого. Это оказалось очень сложным и дало небольшие результаты. Имелись естественные системные различия, но большинство из них могли быть вызваны различиями в администрировании их и различиями в их конфигурации. Но эта работа не была полностью бесполезной, так как позволила глубже изучить эксплуатируемые операционные среды сотрудникам отдела автоматизации.

Изучение систем, которые стали плохо работать, не выявило никаких необычных установок в панели средств управления сетью. Фактически, за исключением адреса, большинство установок во всех системах были идентичны и совпадали с тем, которые стояли на нормально работавших системах.

Следующим шагом был запуск сетевого анализатора в этом сегментеЛВС для выявления различий в трафике между нормально работающими системами и тем, которые работали плохо. Первичный анализ пакетов протоколов TCP/IP, используемых всеми рабочими станциями, не показал никаких различий в формате пакетов. Но после анализа большого числа пакетов и побитного их сравнения было выявлено небольшое различие между правильно работающими системами и теми, которые не могли получить доступ к Интернету.

В пакете IP есть поле, называемое "ВРЕМЯ ЖИЗНИ", которое используется для предотвращения переполнения сети ошибочными пакетами. Как правило, значение, стоящее в этом поле, декрементируется каждый раз, когда пакет проходит через маршрутизатор. Когда это значение становится равным нулю, пакет уничтожается маршрутизатором. С помощью такого удаления ошибочные пакеты удаляются из сети.

Это поле также часто используется для установки максимально допустимого числа маршрутизаторов между отправителем пакетов и их получателем. Его функция очень похожа на поводок собаки: оно ограничивает величину расстояния, на которое кто-то может отойти от своей системы. По умолчанию на большинстве систем его значение равно 255. Это означает. Что на пути между отправителем и получателем может быть не более 255 маршрутизаторов, при попытке пройти большее их число пакет будет уничтожен.

Изучение пакетов выявило, что правильно функционирующие системы посылали пакет с полем "ВРЕМЯ ЖИЗНИ", имеющим значение 255, а в пакетах, отправляемых плохо работающими системами он было равно 1. Это означало, что первый же маршрутизатор, на который попадал пакет, уничтожал его. По сути это лишало пользователя неправильно работающих систем возможности использовать сеть за маршрутизатором. Ему были доступны только те системы, пакеты к которым передавались через коммутаторы и концентраторы. Естественно для объединения сетей в организации использовались маршрутизаторы, и пользователи не могли добраться до удаленных машин.

Исследование параметров протокола на плохо работающих системах выявило, что это поле устанавливалось в 1 в одном из файлов, использовавшихся для конфигурирования протокола после перезагрузки. Другие системы не пострадали сразу же из-за того, что после перезагрузки они не считывали конфигурационные файлы и не меняли значение поля "ВРЕМЯ ЖИЗНИ".

Дата последнего изменения файлов соответствовала следующему дню после увольнения сетевого администратора. Дальнейшее расследование показало, что для распространения измененных файлов по системам пользователей были использованы средства системного администрирования. Журналы модемного пула показали наличие сеансов этого сетевого администратора в ночь после увольнения и на следующий день. Сразу же после этих сеансов начались проблемы у пользователей.

К сожалению в данной ситуации не было абсолютно никакого способа доказать, что именно сетевой администратор был причиной всех бед, хотя было ясно, что только он единственный из тех, кто имел доступ к системе администрирования, обладал необходимой квалификацией для совершения таких действий. Недостаточно для возбуждения судебного иска, но достаточно для установления причин произошедшего.

Средства системного администрирования были сконфигурированы так, что на всех пользовательских системах было установлено новое значение "ВРЕМЯ ЖИЗНИ" и они были обязательно перегружены на следующий день. После этого все заработало. В то же самое время были изучены все установки сетевых программ на предмет выявления аналогичных вредных установок. Было обнаружено, что на нескольких компьютерах ряд параметров также были изменены, что со временем также привело бы к их неработоспособности - они были исправлены. Изучение установок маршрутизаторов, концентраторов и других сетевых компонент также выявило факты модификации загрузочных модулей операционной системы и других файлов - эти файлы также были восстановлены.

Фактически, не зная никаких паролей на компьютерах, а имея только один аккаунт , сетевой администратор скомпрометировал всю сеть и модифицировал ее для вывода из строя сетевых компонентов.




Содержание  Назад  Вперед