В.

О. Атака с повторением пакетов состоит в том, что злоумышленник завладевает пересылаемым по сети пакетом и направляет его службе или приложению от имени пользователя, первоначально инициировавшего отправку пакета. Если пакет содержит данные проверки подлинности, злоумышленник может выполнить регистрацию от имени другого лица и, следовательно, получить доступ к ресурсам или данным этого лица.

Для защиты от атаки с повторением пакетов используется концепция структуры проверки подлинности, внедряемой в процесс обмена по протоколу Kerberos между запрашивающим клиентом и сервером аутентификации (в Windows – контроллер домена, DC). Структура проверки подлинности фиксирует дополнительные данные аутентификации, такие как срок действия билета и, что самое важное, временную метку клиента. Когда логика Kerberos на DC или сервере ресурсов удостоверяет сообщение о проверке подлинности, всегда проверяется временная метка. Если время соответствует или предшествует времени, зафиксированному в ходе предыдущей проверки, логика Kerberos на стороне сервера отклоняет пакет, поскольку считает его отправку атакой с повторением пакетов, и пользователь получает отказ в доступе. Кроме того, временная метка сравнивается с локальным временем сервера. Если зафиксированное время отличается от времени сервера больше чем на пять минут, пакет также отклоняется. Пятиминутный допустимый сдвиг по времени в Windows установлен по умолчанию, но при желании эту установку можно изменить с помощью параметра объекта групповой политики (GPO) Maximum tolerance for computer clock synchronization («Максимальная погрешность синхронизации часов компьютера»), находящегося в папке Computer Configuration\Windows Settings\Security Settings\Account Policies\Kerberos Policy.

Отсюда понятно, почему так важно поддерживать синхронизацию времени компьютеров леса Windows Active Directory (AD), начиная с Windows 2000 (когда Kerberos стал протоколом аутентификации Windows по умолчанию). Правильное функционирование аутентификации по протоколу Kerberos позволяет обеспечить работу службы времени Windows (Windows Time). Для поддержания расхождения системных часов компьютеров в домене Windows в пределах пяти минут служба времени Windows задействует протокол сетевой синхронизации времени Network Time Protocol (NTP). В операционных системах, предшествующих Windows Server 2003, используется предшественник NTP – простой протокол сетевой синхронизации времени Simple Network Time Protocol (SNTP).

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF