Safenet sentinel: Скачать драйверы для SafeNet Sentinel HASP Key (сетевые устройства) для Windows

SafeNet Authentication Service — система управления одноразовыми паролями / Хабр

Примерно год назад, в статье «eToken жил, eToken жив, eToken будет жить» я упоминал такой продукт как Gemalto Safenet Authentcation Service, пришло время рассказать про него подробнее. Данная статья вводная, но будут и другие, более технические и думаю даже с реальными бизнес кейсами.

IT специалисты часто сталкиваются с вопросом об усилении безопасности того или иного сервиса. И вопрос идентификации пользователя с прохождением аутентификации так же играет ключевую роль в безопасности сервиса.

Что выбрать:

• Использовать связку Login & Password?
• Развернуть PKI инфраструктуру и раздать всем сертификаты?
• Усилить аутентификацию одноразовыми паролями?

Ведь использование принятого решения не должно усложнить доступ к сервису, иначе это приведет к сопротивлению со стороны конечного пользователя. По статистике большинство случаев, компрометация пользователя происходит на этапе аутентификации. Прежде чем разобраться, что использовать на практике, IT менеджеры подвергают серьёзной оценке различные методы. Особенное внимание уделяется, когда работают пользователи из так называемой «недоверенной среды».

Допустим, при работе пользователь из недоверенной среды вводит свои пользовательские данные для идентификации и пароль для прохождения аутентификации, находясь за чужим компьютером, скажем в интернет-кафе. Тем временем, злоумышленники могут перехватить либо сетевые пакеты, либо вводимые данные с клавиатуры, что позволит им в дальнейшем использовать пользовательские данные. Так же вся вводимая пользователем информация в недоверенной среде может локально кэшироваться на компьютере, которым он воспользовался.

Разумеется, использование отчуждаемых носителей в виде смарт-карт или USB-токенов значительно надёжнее, чем использование паролей. Но что делать, когда наступает частный случай, когда пользователю необходимо в данный момент воспользоваться смарт-картой или USB-токеном вне офиса. Не говоря уже о том, что для каждого типа смарт-карт и USB-токенов необходимо наличие специализированного программного обеспечения (ПО) на компьютере. На что в публичной зоне, надеяться не приходится и мало вероятно удастся его установить. Так же нельзя исключать, необходимость наличия свободного USB порта, который может быть заблокирован для подключения USB-токенов или оборудования ПК со считывателем для работы смарт-карт. А с учётом возросшей популярности у пользователей работать за мобильными устройствами, вероятность использования на них отчуждаемых носителей существенно ниже.

Куда легче в использовании одноразовые пароли — OTP — One-Time Password для однократной процедуры аутентификации пользователя. Такой пароль проще и удобней в использовании. Одноразовый пароль нет смысла перехватывать с помощью кейлогера или опасаться, что он будет закэширован на компьютере. Бесполезно подглядывать одноразовый пароль или думать, что его могут перехватить в виде сетевых пакетов. На сегодняшний момент это единственный вид токенов, которые не требуют ни подключения к персональному компьютеру, ни наличия на нём специализированного ПО, работая с любой платформой в любой среде. А большой выбор модельного ряда в виде генераторов одноразовых паролей позволит предприятиям обеспечить усиленную безопасность в предоставлении доступа к корпоративным ресурсам, порталу (-ам) или личному кабинету пользователя, к которым сейчас со стороны бизнеса идет отдельное требование по безопасности.

Что делать, когда мы определились с методом прохождения пользователем аутентификации? Кому передать роль ответственного за управление и поддержку сервисом? Как управлять жизненным циклом OTP-токенов, которые раздали пользователям? Как отслеживать их статусы? Как повысить сервис поддержки пользователей? Эти, а также ещё множество вопросов может возникнуть перед IT менеджерами.

Ключевую роль в решении данных вопросов занимает выбор решения, которое будет справляться с задачей управления жизненным циклом OTP-токенов. Так как основная задача, после ввода токенов в эксплуатацию и передачу их в руки пользователям, — это оказание в максимально короткие сроки своевременного сервиса пользователям токенов. Конечно на рынке присутствует достаточное количество систем управления, но в первую очередь всё же стоит обращать внимание на моно-вендорность решений. Никто лучше, как вендор свои токены не знает.

Нельзя пройти и мимо решения компании Gemalto-SafeNet – SafeNet Authentication Service, которое ежегодно номинируется на «Лучшее решение по мульти-факторной аутентификации» авторитетными изданиями и исследовательскими компаниями.

Выбор правильного решения для аутентификации имеет большое значение в снижение бизнес рисков. Разумеется, лучшие решения имеют самый большой ряд поддерживаемых моделей токенов, и могут защитить как облачные, так и локальные приложения, и сервисы, а также любой сетевой доступ с любого устройства. Но речь идет не только о безопасности, речь идет так же о том, как легко вы сможете развертывать, управлять и масштабировать решение аутентификации.
Что из себя представляет SafeNet Authentication Service.

SafeNet Authentication Service — это полностью автоматизированный сервис многофакторной аутентификации, целью которого является обслуживание пользователей с токенами. SafeNet Authentication Service распространяется в 2-х видах редакций. Локальная версия, которую можно самостоятельно развернуть в собственной инфраструктуре предприятии. А также в виде облачной редакции — такой сервис уже развернут и не надо задаваться вопросом: «где найти ресурсы на его разворачивание?». Управление SafeNet Authentication Service осуществляется в браузерной консоли администратора. В консоли оптимальные условия управления процессов: автоматическая подготовка пользователей и репозитария пользователей, скажем, если у вас за основу пользователей берётся LDAP-каталог или СУБД; настройка пользователей самообслуживания; широчайшие настройки механизмов проверки подлинности и защита для всех ваших самых ценных корпоративных ресурсов, как локальных, так и веб-ресурсов или ресурсов в «облаке».

SafeNet Authentication Service поддерживает следующие методы аутентификации и форм-факторы:

• Методы проверки подлинности:
  • Одноразовый пароль (OTP)
  • OOB с помощью получения уведомления, по SMS и/или на электронную почту
  • — Аутентификации на основе матрицы шаблонов (GrIDsure)

• Доступные Форм-факторы:
  • Аппаратные токены (OTP-токен)
  • Программные токены (OTP приложения)
  • — Телефон-как-токен

Программные токены для SafeNet Authentication Service поддерживают большое количество платформ, среди которых: ОС семейства MS Windows, Windows Mobile, MAC OS X, iOS, Android и BlackBerry. SafeNet Authentication Service поддерживает различные комбинации профилей пользователя, которые позволяют комбинировать различные методы прохождения аутентификации, с учётом требований политики безопасности предприятия.

Аппаратные OTP-токены используются для создания высокозащищённых одноразовых паролей. Большой выбор модельного ряда аппаратных токенов eToken PASS, eToken GOLD, KT-4, RB-1 позволяет авторизовываться пользователям к критически важным приложениям и данным.

SafeNet Authentication Service использует Enterprise- стандарт RADIUS и SAML-протоколов, которые, по сути означают, что сервис может быть интегрирован в любую сеть и приложение, в том числе в решения от всех ведущих вендоров. С SafeNet Authentication Service можно будет защитить любой доступ к любому приложению.

SafeNet Authentication Service из «коробки» поддерживает VPN с усиленной аутентификацией, как IPSec, так и SSL VPN, другими словами идёт совместимость на уровне вендоров таких производителей, как Cisco, Checkpoint, Juniper, F5, Palo Alto, SonicWall, Citrix и WatchGuard. Расширение усиленной аутентификации в инфраструктуре виртуализации (VDI), позволят обеспечить надежность аутентификации на «тонких клиентах», мобильных терминалах и собственных устройств сотрудников (BYOD) в средах виртуализации от Citrix, VMware и AWS (Amazon Web Services).

Не так давно, официальный дистрибьютор решений Gemalto-SafeNet в России TESSIS (Technologies, Systems and Solutions for Information Security) объявил о том, что был продлён сертификат соответствия ФСТЭК №3070 до 27 января 2020 года. Решение можно использовать в информационных системах и систем обработки персональных данных для 3 и 4 класса защищенности с актуальной угрозой отсутствия не декларированных возможностей 3 типа.

Кейсы, когда и где может использовать решение SAS?

Финансовые организации и дистанционное банковское обслуживание:

• Использование усиленной аутентификации при проверке авторизованного пользователя;
• Обеспечение целостности транзакций;
• Механизмы согласования безопасности в каждом случае использования для подтверждения пользовательских действий.

Телеком и операторы связи:

• Использование усиленной аутентификации при проверке авторизованного пользователя;
• Обеспечение необходимого уровня оперативности и доступности без ущерба безопасности;
• Контроль доступа авторизованных пользователей к биллинговой системе;
• Повышенная безопасность доступа для широкого спектра предоставляемых сервисов для заказчиков;

Медицинские и фармацевтические организации:

• Использование усиленной аутентификации при проверке авторизованного пользователя;
• Обеспечение необходимого уровня безопасности при доступе к электронной картотеке пациентов/ БД учета складских препаратов и т.д.;
• Интеграция с собственными программными средами;

Корпоративная безопасность:

• Обеспечение защиты, повышенной безопасность всей среды, охватывающей сервисы удаленного доступа, виртуальных частных сетей, web-порталов, корпоративных сетей и облачных приложений;
• Политики централизованного управления аутентификаторами и авторизованными пользователями;

В заключении хотелось бы отметить, что выбор в сторону усиленной аутентификации и использования одноразовых паролей действительно защищает аутентификацию пользователей. Одноразовые пароли удобны и просты в использовании для организации доступа к корпоративным ресурсам, к порталам и облачным сервисам. Пользователю не придётся запоминать пароли, так как одноразовый пароль ввёл и забыл. А также немаловажно, что в независимости от рабочего места, за которым работает пользователь, ему не требуется устанавливать драйвер для токена. А используя SafeNet Authentication Service мы получаем законченное решение по организации доступа к различным сервисам и управлению жизненным циклом OTP-токенов. Концепция SafeNet Authentication Service — сделать мульти факторную аутентификацию общедоступной. А использование SafeNet Authentication Service доказывает, что высокий уровень безопасности не означает высокую стоимость и дорогое обслуживание самого сервиса.

Sentinel protection installer что это за программа?

Для чего нужна программа Sentinel protection installer?

Изучая список установленных программ на своем компьютере, некоторые пользователи сталкиваются с неким приложением под названием Sentinel protection installer. Далеко не всем известно что это за программа и для чего она нужна. Ответы на эти вопросы вы найдете в данной статье и на основании их сможете принять решение об удалении этой программы.

Основное назначение программы

Sentinel protection installer представляет собой программный комплекс, основной задачей которого является защита программного обеспечения и другой интеллектуальной собственности по средствам аппаратных ключей.

Говоря простыми словами, если вы хоть раз сталкивались с программами, которые работают только со вставленной в USB порт компьютера флешкой (аппаратный ключ защиты), то sentinel protection installer это та программа, которая позволяет этой самой защите работать.

В данный программный комплекс входят:

• Parallel Driver – драйвер виртуализации;
• USB System Driver – драйвер, обеспечивающий обнаружение USB ключей;
• Sentinel Protection Server – модуль сервера защиты;
• Sentinel Keys Server – сервер лицензионных ключей;
• Sentinel Security Runtime – модуль запуска защищенного приложения.

Откуда программа взялась на компьютере?

Чаще всего она устанавливается вместе с программой, которая работает только через защиту Sentinel. Обычно это какие – то банковские или налоговые приложения, типа клиент – банка и программ отправки налоговых деклараций.

Можно ли ее удалить?

Если у вас нет приложений, использующих защиту Sentinel, то Sentinel protection installer может быть удален. Этим шагом вы сделаете невозможным запуск программ, требующих наличие данной защиты.

Лучший способ отблагодарить автора статьи- сделать репост к себе на страничку

Аппаратные USB ключи защиты программ Sentinel HL

SafeNet USB SuperPro/UltraPro драйвер ключа v.7.6.6 (7.5.8.0)

Поиск по ID

SafeNet USB SuperPro / UltraPro Drivers. Характеристики драйвера

Драйвер для USB ключа SuperPro и UltraPro от компании SafeNet. Предназначен для автоматической установки на Windows XP, Windows Vista, Windows 7, Windows 8.

Для установки необходимо распаковать архив и запустить файл — Sentinel Protection Installer 7.6.6.exe.

Внимание! Перед установкой драйвера SafeNet USB SuperPro / UltraPro Drivers рекомендутся удалить её старую версию. Удаление драйвера особенно необходимо — при замене оборудования или перед установкой новых версий драйверов для видеокарт. Узнать об этом подробнее можно в разделе FAQ.

Скриншот файлов архива

Скриншоты с установкой SafeNet USB SuperPro / UltraPro Drivers

Файлы для скачивания (информация)

Оцените драйвер:

• Текущий 2.64/5
• 1
• 2
• 3
• 4
• 5

Рейтинг: 2.6/5 ( Проголосовало: 25 чел.)

Поддерживаемые устройства (ID оборудований):

Другие драйверы от SafeNet

Сайт не содержит материалов, защищенных авторскими правами. Все файлы взяты из открытых источников.

© 2012-2020 DriversLab | Каталог драйверов, новые драйвера для ПК, скачать бесплатно для Windows
[email protected]
Страница сгенерирована за 0.080166 секунд

Sentinel key, не видится в системе. Алгоритм решения

Добрый день! Уважаемые читатели и гости популярного компьютерного блога pyatilistnik.org. Недавно я по почте получил письмо с просьбой описать процесс поиска неисправности в работе USB ключей Sentinel key (Sentinel SuperPro, Sentinel UltraPro и SHK), и тут как раз на работе была ситуация с одной из АТС, которая лицензировалась, как раз по аппаратному ключу Sentinel. В итоге решение с данной ситуацией и позволило описать процесс диагностики, который вы можете применять. Надеюсь, что данный опыт окажется для вас полезным.

Sentinel key not found

Очень часто случается такая ситуация, что ваша операционная система не видит аппаратный, электронный токен. Описываю свое окружение. Есть виртуальная машина на ESXI 6.5, в ней установлена операционная система Windows Server 2008 R2. На данном сервере есть программный комплекс «Altitude 7.1», для запуска которого нужен ключик SafeNet USB SuperPro/UltraPro. После перезагрузки сервера, выскочила ошибка:

The Altitude License Manager 7.1.A1 — easy_lms service on Local Computer started and then stopped. Some services stop automatically if they are not in use by other services or programs

Из сообщения видно, что служба не смогла обнаружить аппаратный Sentinel key.

Диагностика работы электронного ключа Safenet

Давайте я опишу алгоритм диагностики работы вашего токена:

• Если ключ вставлен локально, то убедитесь, что он горит
• Если USB ключ подключен по локальной сети, то убедитесь, что он видится в утилите клиента
• Удостоверьтесь, что нет проблем с драйверами в диспетчере устройств
• Запустите специальную утилиту диагностики SAM, от Safenet
• Переустановка драйверов и удаление мусора с помощью Sentinel System Driver Cleanup Utility

Вот по этим пунктам мы и проведем базовую диагностику сервера на котором есть софт работающий с аппаратным ключом Sentinel key. Думаю все могут посмотреть, горит ваш ключ или нет. Если горит, то хорошо, если нет, то переходим к следующему пункту. В моей инфраструктуре сервер, где не видится USB токен, это виртуальная машина на гипервизоре Vmware ESXI 6.5 и Sentinel ключ, подключен к ней по сети, с помощью устройства digi anywhereusb или SEH myUTN, по технологии USB over IP, как это делается смотрите по ссылкам. В обоих случаях устанавливается на сервере программный клиент, задачей которого выступает связать его с сетевым USB коммутатором.

Первым делом вы должны проверить, нету ли проблем в данной связке. Приведу пример с клиентом «AnywhereUSB Configuration Utility и Remote USB Hub Viewer» для устройств DIGI. В данном клиенте, у вас должен быть статус, что успешно подключено и не быть желтых предупреждений.

Если подключение отсутствует, то нужно смотреть сетевые настройки и самого клиента, самая распространенная ошибка, это: Can not find Remote Hub, почитайте как она решается.

Если увидели в клиенте предупреждение, то есть проблема с драйверами, и чтобы понять, в какую сторону нужно капать, нужно зайти в «Диспетчер устройств». Там необходимо удостовериться, что так же нет предупреждений и неопределенных устройств. Выглядит, это вот таким образом. Когда вы зайдете в свойства сбойного устройства, то обнаружите там код ошибки, могут быть такие разновидности ошибок:

Что делать если все видится хорошо?

Бывают случаи, как у меня, что в системе все видится хорошо, клиент видит сетевой ключ по сети, драйвера установлены и диспетчер устройств все определяет, но служба не запускается и пишет, что-то вроде моего:

The Altitude License Manager 7.1.A1 — easy_lms service on Local Computer started and then stopped. Some services stop automatically if they are not in use by other services or programs

В таких случаях нужно переустанавливать драйвера и провести диагностику подключения.

Для диагностики подключения у компании Sentinel, есть специальная утилита под названием Sentinel Advanced Medic.

Запускаете утилиту диагностики подключения Sentinel ключа. Ставим галки:

• Enable Logging — чтобы результаты тестирования записались в файл.
• Enable Terminal Services

И нажимаем Test, если у вас ключ прокинут по сети, то у вас как и у меня пункты «Sentinel Protection Server Installation и Sentinel Keys Server Installation», будут крестиком, это нормально, данные тесты для локальных служб. Как видите, у меня найден SuperPro Key и остальные тесты пройдены.

Вот так вот выглядят тесты с локальными службами. Как видите ошибки Sentinel key not found, у меня не выскочило.

Так же можно проверить и удаленный сервер по локальной сети, для этого нажмите «network Test». Указываете ip адрес или можете прописать localhost, для локального компьютера и запустить тесты. Утилита так же покажет, доступность всех служб и ключей на удаленном или локальном сервере.

Если у вас все хорошо по тестам, но сервер все равно отказывается видеть аппаратный ключ, то тут уже придется переустанавливать драйвера и играться с версиями, как клиентов от USB коммутатора, так и с драйверами от самого производителя токенов.

Как правильно удалять драйвера Sentinel Usb Key

Для того, что бы правильно удалить или переустановить драйвера на Sentinel key, нужно соблюдать некоторые правила и порядок, чтобы все починить и не сломать.

1. Перед любыми установками и удалением драйверов Sentinel , ВЫТАЩИТЕ или отключите USB ключ.
2. Удалите из панели управления «Sentinel Protection Installer»
3. Далее обязательно удалите все все упоминания в реестре, о ключе, с помощью утилиты Cleanup Utility 1.2.0.3. Скачать Cleanup Utility 1.2.0.3 можно по ссылке. Запускаете ее от имени администратора и следуете инструкциям мастера. Как видите утилита очистит реестр Windows, но я на всякий случай еще удаляю хвосты, дополнительными программами.
4. Как я и писал выше, дочистите реестр утилитой Ccleaner. После чего обязательно перезагружаемся.
5. Далее устанавливаем нужный драйвер с официального сайта (https://safenet-sentinel.ru/helpdesk/download-space/), если нужны более старые версии драйверов для ключа Sentinel, например 7.4 или 7.5, то можете скачать их тут. Устанавливайте драйвера обязательно БЕЗ ВСТАВЛЕННОЙ ФЛЕШКИ! Потом так же перезагружаетесь и проверяете.

Надеюсь эти не хитрые шаги смогут вам помочь исправить ситуацию, когда Sentinel key, не видится в системе и пишет not found, если есть дополнительные методы, то пишите о них в комментариях.

Опрос сети на предмет поиска уязвимых версий службы управления ключами SafeNet Sentinel License Manager (HASP License Manager)

Многим администраторам так или иначе приходилось в своей работе сталкиваться с аппаратными ключами защиты Alladin HASP/SafeNet Sentinel и приходилось устанавливать поставляемый в составе ПО поддержки этих ключей программный пакет HASP License Manager/Sentinel License Manager. Это приложение отвечает за контроль лицензий всевозможного ПО, используемого во множестве самых разных приложений, начиная с бизнес-систем типа 1С и заканчивая разнообразными критичными для производственных процессов системами АСУ ТП.

Как правило, единожды установив это ПО, администратор не задумывается о необходимости его периодического обновления, так как не для всех очевидно то, что такое ПО может стать источником серьёзных проблем информационной безопасности, делая систему, на которой оно установлено, критически уязвимой и открывая новые векторы для возможных атак.

В Январе на сайте команды Kaspersky Lab Industrial Control Systems Cyber Emergency Response Team (ICS CERT) был опубликован интересный отчёт о проделанной работе по выявлению уязвимостей в программно-аппаратном комплексе SafeNet Sentinel компании Gemalto: Серебряная пуля для атакующего. Исследование безопасности лицензионных токенов.

Результатом работы, проделанной в 2016-2017 годах, стало обнаружение 14 серьёзных уязвимостей, информация по которым была передана вендору. Однако, как следует из пояснения Kaspersky Lab ICS CERT, должной огласки эта проблема так и не получила, так как вендор после исправления уязвимостей не сделал никаких публичных объявлений о необходимости скорейшего обновления. Поэтому мы решили не оставаться в стороне и включиться в процесс продвижения этой информации.

Для лучшего понимания серьёзности проблемы, мы наглядно продемонстрируем то, как легко эксплуатируется одна из уязвимостей на необновлённой версии ПО SafeNet Sentinel License Manager (LM). Но для начала стоит сказать пару слов о том, как устроен этот License Manager.

Общая информация о Sentinel License Manager

После установки пакета Sentinel LDK Run-time, в системный каталог Windows попадает приложение hasplms.exe, которое обеспечивает доступ локальных приложений к аппаратным лицензионными ключам (как правило, это USB-токены), подключенным к данному серверу, либо может выступать в качестве перенаправителя клиентских запросов на удалённые экземпляры License Manager.

Данное приложение работает, как служба Windows, в контексте привилегий служебного пользователя SYSTEM (локальная система):

Нетрудно догадаться о том, что эксплуатация возможных уязвимостей такой службы будет выполняться с высоко-привилегированным уровнем доступа к системе.

Служба hasplms открывает в системе TCP/UDP-прослушиватели, через которые и возможна, как локальная, так и удалённая, эксплуатация уязвимостей.

Занятно в этой ситуации то, что при установке пакета Sentinel LDK Run-time в системе (без какого-либо явного оповещения администратора) автоматически создаётся разрешающее правило Windows Firewall для приложения hasplms.exe. Этим правилом разрешён любой входящий трафик на любые порты, поэтому никаких проблем с доступностью из сети TCP–прослушивателя, открываемого службой на порту 1947, не возникает.

На указанном порту служба hasplms фактически имеет веб-сервер, с которым можно общаться по протоколу HTTP. В частности этот веб-сервер обеспечивает работу веб-сайта SafeNet Sentinel License Manager Admin Control Center (ACC), через который можно выполнять ряд административных действий по манипуляциям со службой управления ключами.

Сразу стоит отметить тот факт, что в конфигурации по умолчанию служба hasplms настроена таким образом, что удалённый доступ на порт 1947 запрещён, но зато на этот порт разрешены любые локальные подключения на localhost «не взирая на чины и звания». А это уже может стать реальной проблемой на многопользовательских системах, например на сервере с ролью Remote Desktop Services. Фактически на таких системах зачастую и оказывается ПО Sentinel, так как оно обеспечивает успешный запуск всевозможных бизнес приложений, использующих аппаратные ключи защиты. И получается, что на такой системе, любой непривилегированный пользователь может получить доступ веб-серверу License Manager.

Эксплуатация уязвимости

После небольшого захода в Интернет-поисковик, выяснилось, что в публичном доступе уже почти 2 года доступен эксплоит, позволяющий работать с одной из известных уязвимостей: Exploit Database — Gemalto Sentinel License Manager 18.0.1.55505 — Directory Traversal. На базе этой информации рассмотрим наглядный пример эксплуатации уязвимости с некорректной обработкой параметра alpremove в коде веб-страницы action.html веб-сервера License Manager.

Итак, предположим, что мы от имени простого непривилегированного пользователя вошли на сервер удалённых рабочих столов с ОС Windows Server 2012 R2 с запущенным в конфигурации по умолчанию License Manager. И предположим, на данной системе есть некоторый файл, к которому у нас нет доступа, но, который при этом, мы неистово желаем удалить, да и ещё не оставив после себя никаких следов.

Для примера я создал файл с именем «Important File.security» в корне системного диска C:\. Для чистоты эксперимента можно даже явным образом ограничить доступ к этому файлу так, чтобы он был доступен только Администраторам и локальной системе.

Имеющаяся в нашей необновлённой версии ПО Sentinel уязвимость позволяет удалить этот файл практически двумя последовательными GET-запросами. Выполнить эти запросы можно разными способами (тут всё зависит от сноровки атакующего). Мы будем использовать доступную по умолчанию всем пользователям системы оболочку Powershell:

Invoke-WebRequest -Uri "http://127.0.0.1:1947/_int_/action.html?alpremove=/../../../../../../../Important File.security"
Invoke-WebRequest -Uri "http://127.0.0.1:1947/_int_/action.html?alpremove=/../../../../../../../Important File.security"

Первый запрос переименует целевой файл, добавив к имени файла расширение «bak», то есть в нашем случае имя файла изменится на «Important File.security.bak»

Здесь хорошо видно, что веб-сервер LM успешно «проглотил» наш запрос и ещё в ответе рассказал нам о своей версии.

Вторым точно таким же GET-запросом ранее переименованный bak-файл будет удалён.

Напомню, что веб-сервер LM выполняется от имени SYSTEM, и поэтому у нас не возникает никаких проблем с доступом при удалении файла. При этом в системе от выполненного деструктивного действия фактически не остаётся никаких следов, которые бы могли в дальнейшем помочь администратору при выяснении причин случившегося.

Более сложный вид будет иметь задача изменения любого существующего в системе файла, реализуемая путём отсылки POST-запроса HTTP, пример которого рассмотрен здесь. Но я думаю, что продемонстрированной возможности несанкционированного действия более чем достаточно для того, чтобы принять решение о необходимости обновления License Manager до актуальной версии.

В рассмотренном примере мы действовали на уровне локального доступа, но если License Manager находится в конфигурации по умолчанию, то нам не составит труда получить локальный доступ к веб-консоли Sentinel License Manager Admin Control Center (ACC), открыв в веб-браузере адрес:

http://127.0.0.1:1947/

В АСС мы можем перейти в раздел Configuration и легким движением руки включить выключенный по умолчанию удаленный доступ Allow Remote Access to ACC:

Начиная с этого момента эксплуатировать уязвимости LM можно будет по сети, не имея локального доступа к данному серверу.

На тот случай, если нужно включить удалённый доступ, но браузер пользователю недоступен, в функционале License Manager Admin API, имеется параметр <accremote>, который через функцию Set может быть установлен в 1, что будет равнозначно включению опции Allow Remote Access to ACC через браузер.

Итак, наличие проблемы на старых версиях LM очевидно. Теперь нужно определиться с тем, на каких системах в нашей сети установлено данное ПО, чтобы оценить масштаб проблемы и запланировать объём необходимой работы по обновлению. Ведь не стоит забывать про то, что данное ПО может быть не только на серверных системах, но и, в ряде случаев, на клиентских системах.

Обнаружение уязвимых хостов

Для обнаружения уязвимых систем могут использоваться самые разные механизмы. Здесь всё зависит от нашей фантазии и текущих возможностей. Например можно воспользоваться возможностями продуктов Microsoft System Center, если такие имеются в инфраструктуре, – будто проверка BaseLine в SCCM или самописный Management Pack в SCOM. Любой метод будет иметь свои преимущества и недостатки. Здесь я приведу пример нехитрого PowerShell-скрипта, как наиболее доступного инструмента для любого Windows-администратора.

В начальных строках скрипта задаём переменные:

• $StartScanIP — Начальный IP адрес диапазона сканирования сети;
• $EndScanIP — Конечный IP диапазона;
• $HTTPport — Номер порта на котором запущен HTTP-сервер на базе LM;
• $ActualVersionMask – Интересующая нас маска имени веб-сервера, получаемого в HTTP-ответе;
• $ActualVersionFull — Имя веб-сервера для актуальной на данный момент версии LM.

Для ускорения процесса сканирования скрипт работает множеством потоков, поэтому нагрузка на систему, где он будет запущен, может быть ощутимой. Обратите также внимание на величину, указанную в $WebRequest.Timeout. Если сканирование будет выполняться в сетях не очень хорошего качества (сильная загрузка сети, потери пакетов и т.п.), то возможно имеет смысл увеличить значение этого параметра. Но нужно понимать, что это приведёт к увеличению общего времени сканирования.

[System.Net.IPAddress]$StartScanIP = "10.1.0.1"
[System.Net.IPAddress]$EndScanIP =   "10.1.0.254"
[int]$HTTPport = "1947"
[string]$ActualVersionMask = "HASP LM/*"
[string]$ActualVersionFull = "HASP LM/20.05"
#
$Watch = [System.Diagnostics.Stopwatch]::StartNew()
$Watch.Start()
#
$ScanIPRange = @() 
if($EndScanIP -ne $null) 
{
  $StartIP = $StartScanIP -split '\.' 
  [Array]::Reverse($StartIP)   
  $StartIP = ([System.Net.IPAddress]($StartIP -join '.')).Address  
  #               
  $EndIP = $EndScanIP -split '\.' 
  [Array]::Reverse($EndIP)   
  $EndIP = ([System.Net.IPAddress]($EndIP -join '.')).Address  
  #               
  For ($x=$StartIP; $x -le $EndIP; $x++) {     
      $IP = [System.Net.IPAddress]$x -split '\.' 
      [Array]::Reverse($IP)    
      $ScanIPRange += $IP -join '.'  
  }
} 
  else 
{ 
 $ScanIPRange = $StartScanIP 
} 

Workflow Network-Scan{
  param($ippool,$port)    
  $WFResult = @()
  foreach -parallel -throttlelimit 50 ($ip in $ippool)
  {
    $ItemReturn = inlinescript
    {
       [uri]$Url = "http://" + $USING:ip + ":" + $USING:port
       $WebRequest = [System.Net.WebRequest]::Create($Url)
       $WebRequest.Timeout = 1000 #Default 600000
       $WebRequest.AuthenticationLevel = "None"
       $WebRequest.Method = "HEAD"
       try{
           $WebResponse = $WebRequest.GetResponse()
       }
       catch [System.Net.WebException]{
             $WebResponse = $_.Exception.Response
       }
       If ($WebResponse.Server) {
          try{
             $hName = [System.Net.Dns]::GetHostByAddress($USING:ip).HostName
          } 
          catch{
             $hName = " - "
          }
          $Item = New-Object System.Object
          $Item | Add-Member -MemberType NoteProperty -Name "SrvIP" -Value $USING:ip
          $Item | Add-Member -MemberType NoteProperty -Name "SrvName" $hName
          $Item | Add-Member -MemberType NoteProperty -Name "Version" $WebResponse.Server
          $Item | Add-Member -MemberType NoteProperty -Name "Status" $WebResponse.StatusCode
             return $Item
       }        
     } #inlinescript
     $WORKFLOW:WFResult += $ItemReturn
   }
  return $WORKFLOW:WFResult
}
$Result = Network-Scan $ScanIPRange $HTTPport
$Result | Sort-Object Version,SrvIP,Status | Format-Table -GroupBy Version -Autosize `
  @{Name="Host IP address";Expression = { $_.SrvIP }; Alignment="Center"},
  @{Name="Host name from DNS";Expression = { $_.SrvName }; Alignment="Center"},
  @{Name="HTTP-server version";Expression = { $_.Version };Alignment="Center"},
  @{Name="Remote HTTP status";Expression = { $_.Status };Alignment="Center"},
  @{Name="Update is required";Expression = { 
     if (
     ($_.Version -like $ActualVersionMask) -and 
     ($_.Version -notlike $ActualVersionFull)) {"Yes"} 
     else {"No"} 
  };Alignment="Center"}
  
Write-Host $Result.Count "hosts found on network range " $StartScanIP "-" $EndScanIP
$Watch.Stop()
Write-Host "Script time:" $Watch.Elapsed

В результате работы скрипта мы должны получить отсортированный по версиям LM список хостов:

   Version: HASP LM/16.00

Host IP address   Host name from DNS   HTTP-server version Remote HTTP status Update is required
---------------   ------------------   ------------------ ------------------ ------------------
 10.1.0.93       kom-rds83.holding.com   HASP LM/16.00        Forbidden             Yes        
 10.1.0.94       kom-rds84.holding.com   HASP LM/16.00           ОК                 Yes        
 10.1.0.95       kom-rds85.holding.com   HASP LM/16.00        Forbidden             Yes        


   Version: HASP LM/20.05

Host IP address   Host name from DNS    HTTP-server version Remote HTTP status Update is required
---------------  ------------------     ------------------- ------------------ ------------------
 10.1.0.20       kom-lic56.holding.com    HASP LM/20.05        Forbidden             No        


4 hosts found on network range  10.1.0.1 - 10.1.0.254
Script time: 00:00:09.1204247

В вывод попадают только те хосты, с которых получен ответ на HTTP-запрос, выполненный на проверяемый нами порт 1947. В данном примере мы обнаружили 4 сервера с доступной из сети службой LM. На всех четырёх хостах получен HTTP-ответ от LM, причём на одном из хостов включен удалённый доступ к ACC — статус ОK, то есть получен HTTP-код 200. На всех остальных хостах удалённый доступ выключен — статус Forbidden, то есть получен HTTP-код 403. Три хоста имеют старые уязвимые версии LM и требуют обновления.

Обновляемся и усиливаем защиту Sentinel License Manager

После получения списка уязвимых систем, нам нужно выполнить обновление ПО Sentinel LDK Run-time по рекомендации Kaspersky Lab ICS CERT до версии не ниже 7.6.

Последнюю актуальную версию ПО можно скачать с сайта Gemalto Sentinel Customer Community 

На данный момент времени там фигурирует пакет Sentinel HASP LDK Windows GUI Run-time Installer версии 7.65 (файл HASPUserSetup.exe), который включает в себя License Manager версии 20.05

Обратите внимание на то, что по завершению установки инсталлятор, с подозрительно улыбающимися гражданами, как бы предлагает нам подумать о том, что нужно бы открыть порт 1947

Однако комичность ситуации заключается в том, что, как и в старых версиях, инсталлятор сам создаёт нескромное разрешающее правило в Windows Firewall, не спрашивая об этом у администратора. Это как раз одна из странностей, на которую обращают внимание в своей статье специалисты Kaspersky Lab ICS CERT.

После завершения установки можно откорректировать созданное инсталлятором правило Windows Firewall, сузив до разумных пределов область разрешений (например, как минимум, разрешив подключения только с IP-подсетей, где есть клиенты использующие ключи с данного LM)

Либо если удалённый доступ к службе управления ключами не требуется, а служба используется только локально приложениями на сервере (когда лицензионные ключи установлены в самом сервере, либо когда ключи установлены в другом сервере и данный LM работает в режиме проксирования запросов на сторонний LM) данное правило Windows Firewall можно попросту отключить.

Обратите внимание на то, что после переустановки или установки новой версии (обновления) инсталлятор перепишет данное правило Windows Firewall, заново разрешив доступ к службе «везде и вся». Не забывайте про это при последующих обновлениях.

После обновления ПО до актуальной версии, весьма желательно задать пароль для ограничения доступа к ACC, чтобы даже в случае локального доступа к ACC у непривилегированных пользователей не было возможности беспрепятственно менять конфигурацию сервера LM (например включать удалённый доступ к нему).

Для этого в обновлённой версии АСС мы можем перейти в раздел Configuration, переключить Password Protection в режим защиты всех веб-страниц All ACC Pages, а также кнопкой Change Password задать пароль для ограничения доступа к веб-серверу:

Кстати здесь же внизу страницы мы увидим имя конфигурационного файла, в котором LM и хранит всю заданную конфигурацию.

После проведённых мероприятий по обновлению и усилению защиты всех установленных экземпляров Sentinel License Manager, можно повторно запустить скрипт сканирования сети.

Поделиться ссылкой на эту запись:

Похожее

Центр загрузки драйверов, утилит и документации

Для полноценной работы электронных ключей и смарт-карт Рутокен на персональном компьютере, либо корпоративном сервере необходимо установить драйвер устройства, соответствующий конкретной операционной системе вашего компьютера или сервера.

В случае использования идентификаторов…

Для корректной работы электронных USB-ключей, именуемых также USB-токенами, и контактных смарт-карт семейства eToken на компьютере, сервере, ноутбуке, необходимо предварительно загрузить и установить драйверы устройств eToken, поддерживающие установленную на вашем оборудовании оп…

Для полноценной работы с возможностью администрирования электронных USB-ключей и смарт-карт JaCarta PKI, на компьютере пользователя необходимо установить соответствующий операционной системе комплект драйверов и утилит JaCarta PKI.

Примечание: при использовании JaCarta PKI, вы…

Электронные ключи семейства SafeNet Sentinel HL, продолжающие линейку популярных аппаратных ключей HASP HL, применяются для защиты коммерческого программного обеспечения от нелицензионного неправомерного использования и пиратского тиражирования.

Для корректной работы вышеупомя…

Комплект разработчика Sentinel LDK (ранее известный производителям программ как HASP SDK от компании Aladdin Knowledge Systems) представляет собой набор программных приложений и документации в электронном виде, способный помочь разработчику программного обеспечения осуществить ко…

Электронные идентификаторы семейства iButton, известные также как ключи Dallas Touch Memory, получили на сегодняшний день широчайшее распространение и признание пользователей, благодаря чему применяются в самых различных системах идентификации, защиты информации, средствах провед…

Популярная почтовая программа The Bat! и не менее популярные её разновидности The Bat! Professional и The Bat! Voyager получили на сегодняшний день широкое распространение среди пользователей Интернет, работающими одновременно с самыми различными поставщиками услуг почтовой переп…

Показано с 1 по 7 из 7 (всего 1 страниц)

SafeNet Authentication Service — система управления одноразовыми паролями / Хабр

Примерно год назад, в статье «eToken жил, eToken жив, eToken будет жить». Данная статья вводная, но будут и другие, более технические и думаю даже с реальными бизнес кейсами.

ИТ-специалисты часто сталкиваются с вопросом об усилении безопасности того или иного сервиса. И вопрос идентификации пользователя с прохождением аутентификации так же играет ключевую роль в безопасности сервиса.

Что выбрать:

• Использовать связку Логин и пароль?
• Развернуть PKI инфраструктуру и раздать всем сертификаты?
• Усилить аутентификацию одноразовыми паролями?

Ведь использование принятого решения не должно усложнить к сервису, иначе это приведет к сопротивлению со стороны конечного пользователя. По статистике большинства случаев, компрометация пользователя происходит на этапе аутентификации. Прежде чем использовать методы разобраться, IT-менеджмент подвергают серьёзной оценке методы оценки.Особенное внимание уделяется, когда работают пользователи из так называемой «недоверенной среды».

Допустим, при работе пользователя из недоверенной среды вводит свои пользовательские данные для идентификации и пароля для прохождения аутентификации, находясь за чужим компьютером, скажем в интернет-кафе. Тем временем, злоумышленники могут перехватить либо сетевые пакеты, либо ввести данные с клавиатуры, что позволит им в дальнейшем использовать пользовательские данные. Так же всякая вводимая информация в недоверенной среде может локально кэшироваться на компьютере, которым он воспользовался.

Разумеется, использование отчуждаемых носителей в виде смарт-карт или USB-токенов значительно надёжнее, чем использование паролей. Но что делать, когда наступает частный случай, когда пользователю необходимо в данный момент использовать смарт-карту или USB-токеном вне офиса. Для каждого типа смарт-карт и USB-токенов необходимо наличие специализированного программного обеспечения (ПО) на компьютере. На что в публичной зоне, надеяться не приходится, мало удастся его установить.Так же нельзя исключить необходимость наличия свободного USB-порта, который может быть заблокирован для подключения USB-токенов или оборудования ПК со считывателем для работы смарт-карт. Уровень использования уязвимых лиц.

Куда легче в использовании одноразовые пароли — OTP — одноразовый пароль для однократной процедуры аутентификации пользователя. Такой пароль проще и удобней в использовании.Одноразовый пароль нет смысла перехватывать с помощью кейлогера или опасаться, что он будет закэширован на компьютере. Бесполезно подглядывать одноразовый пароль или думать, что его может перехватить в виде сетевых пакетов. На сегодняшний день это единственный вид токенов, которые не требуют ни подключения к персональному компьютеру, ни наличия на нём специализированного ПО, используемого в любой средеой в любой среде. А большой выбор модельного ряда в виде генераторов одноразовых паролей предприятиям позволит обеспечить усиленную безопасность в предоставлении доступа к корпоративным ресурсам, порталу (-ам) или личному кабинету пользователя, к которому со стороны бизнеса идет отдельное требование по безопасности.

Что делать, когда мы определились с помощью метода прохождения аутентификации? Кому передать роль ответственного за управление и поддержку сервисом? Как управлять жизненным циклом OTP-токенов, которые раздали пользователям? Как видят их статусы? Как повысить сервис поддержки пользователей? Эти, а также множество вопросов может перед ИТ-менеджерами.

Ключевую роль в решении данных вопросов занимает решение, которое будет справляться с управлением жизненным циклом OTP-токенов.Так как основная задача, после ввода токенов в эксплуатацию и передачу их в руки пользователям, — это максимально короткие сроки своевременного сервиса пользователям токенов. Конечно на рынке присутствует достаточное количество систем управления, но в первую очередь стоит обратить внимание на моно-вендорность решений. Никто лучше, как вендор свои токены не знает.

Нельзя пройти и мимо решения компании Gemalto-SafeNet — Служба аутентификации SafeNet, которая ежегодно номинируется на «Лучшее решение по мульти-факторной аутентификации» авторитетными изданиями и исследовательскими компаниями.

Выбор правильного решения для аутентификации большое значение в снижении рисков. Разумеется, лучшие решения имеют большой ряд поддерживаемых моделей токенов, и могут защитить как облачные, так и локальные приложения, и сервисы, а также любой сетевой доступ с любого устройства. Как легко вы сможете развернуть, управлять и масштабировать решение аутентификации.
Что из себя представляет SafeNet Authentication Service.

SafeNet Authentication Service — это полностью автоматизированный сервис многофакторной аутентификации, целью которого является обслуживание пользователей с токенами. SafeNet Authentication Service распространяется в 2-х самых редакций. Локальная версия, которую можно самостоятельно развернуть в собственной инфраструктуре предприятия. А также в виде облачной редакции — такой сервис уженут и не надо задаваться вопросом: «где найти ресурсы на его разворачивание?». Управление SafeNet Authentication Service осуществляется в браузерной консоли администратора.В оптимальные условия управления процессами: автоматическая подготовка пользователей и репозитария пользователей, скажем, если у вас за основу пользователей берётся LDAP-каталог или СУБД; настройка пользователей самообслуживания; широчайшие механизмы проверки подлинности и защиты для всех ваших самых ценных корпоративных ресурсов, как локальных, так и веб-ресурсов или ресурсов в «облаке».

SafeNet Authentication Service поддерживает следующие методы аутентификации и форм-факторы:

• Методы проверки подлинности:
  • Одноразовый пароль (OTP)
  • OOB с помощью уведомления, по SMS и / или на электронную почту
  • — Аутентификации на основе матрицы шаблонов (GrIDsure)
• Доступные Форм-факторы:
  • Аппаратные токены (OTP-токен)
  • Программные токены (OTP приложения)
  • — Телефон-как-токен

Программные токены для SafeNet Authentication Service — большое количество платформ, среди которых: ОС семейства MS Windows, Windows Mobile, MAC OS X, iOS, Android и BlackBerry.Служба аутентификации SafeNet поддерживает различные комбинации профилей пользователя, которые позволяют использовать различные методы прохождения аутентификации, с учётом требований политики безопасности предприятия.

Аппаратные OTP-токены используются для создания высокозащищенных одноразовых паролей. Большой выбор модельного ряда аппаратных токенов eToken PASS, eToken GOLD, KT-4, RB-1 позволяет пользователям подключаться к критически важным приложениям и данным.

SafeNet Authentication Service Enterprise использует стандарт RADIUS и SAML-протоколов, которые, по сути, означают, что сервис может быть интегрирован в любую сеть и приложение, в том числе в решения от всех ведущих вендоров.С SafeNet Authentication Service будет защищать любой доступ к любому приложению.

Служба аутентификации SafeNet из «коробки» поддерживает VPN с усиленной аутентификацией, как IPSec, так и SSL VPN, другими словами идёт совместимость на уровне вендоров таких производителей, как Cisco, Checkpoint, Juniper, F5, Palo Alto, SonicWall, Citrix и WatchGuard. Расширение усиленной аутентификации в инфраструктуре виртуализации (VDI) позволяет обеспечить надежность аутентификации «тонких клиентов», мобильных терминалов и устройств устройств (BYOD) в средах виртуализации Citrix, VMware и AWS (Amazon Web Services).

Не так давно, официальный дистрибьютор решений Gemalto-SafeNet в России TESSIS (Технологии, системы и решения для информационной безопасности) объявил о том, что был продлён сертификат соответствия ФСТЭК №3070 до 27 января 2020 года. Решение можно использовать в информационных системах и системах обработки данных для 3 и 4 класса защищенности с актуальной угрозой не декларированных возможностей 3 типа.

Кейсы, когда и где может использовать решение SAS?

Финансовые организации и дистанционное банковское обслуживание:

• Использование усиленной аутентификации при проверке авторизованного пользователя;
• Обеспечение целостности транзакций;
• Механизмы согласования безопасности в каждом случае использования для подтверждения пользовательских действий.

Телеком и операторы связи:

• Использование усиленной аутентификации при проверке авторизованного пользователя;
• Обеспечение необходимого уровня оперативности и доступности без ущерба безопасности;
• Контроль доступа авторизованных пользователей к биллинговой системе;
• Повышенная безопасность доступа для широкого предоставляемых сервисов для заказчиков;

Медицинские и фармацевтические организации:

• Использование усиленной аутентификации при проверке авторизованного пользователя;
• Обеспечение необходимого уровня безопасности при доступе к электронной картотеке пациентов / БД учета складских препаратов и т.д .;
• Интеграция с собственными программными средами;

Корпоративная безопасность:

• Обеспечение защиты, повышенной безопасности всей среды, охватывающей сервисы удаленного доступа, виртуальных частных сетей, веб-порталов, корпоративных сетей и облачных приложений;
• Политики централизованного управления аутентификаторами и авторизованными пользователями;

В заключении хотелось бы отметить, что выбор в сторону усиленной аутентификации и использования одноразовых паролей аутентификации пользователей.Одноразовые пароли удобны и просты в использовании для организации доступа к корпоративным ресурсам, к порталу и облачным сервисам. Пользователю не придётся запоминать пароли, так как одноразовый пароль ввёл и забыл. А также немаловажно, что в независимости от рабочего места, за которым работает пользователь, ему не требуется драйвер для токена. С помощью службы аутентификации SafeNet мы получаем законченное решение по организации доступа к сервисам и управлению жизненным циклом OTP-токенов.Концепция SafeNet Authentication Service — сделать мультифакторную аутентификацию общедоступной. А использование службы аутентификации SafeNet доказывает, что высокий уровень безопасности не означает высокую стоимость и дорогое обслуживание самого сервиса. .

Установщик Sentinel Protection что это за программа?

Для чего нужна программа Sentinel Protection Installer?

Изучая список программ на своем компьютере, некоторые пользователи сталкиваются с неким приложением под названием Sentinel protection installer. Далеко не всем что известно это за программа и для чего она нужна. Ответы на эти вопросы вы найдете в данной статье на основании их решения принять решение об удалении этой программы.

Основное назначение программы

Установщик охранной защиты представляет собой программный комплекс, основной задачей которого является защита программного обеспечения и другой интеллектуальной собственности по средствам аппаратных ключей.

Говоря простыми словами, если вы хоть раз сталкивались с программами, которые работают только со вставленной в USB порт компьютера флешкой (аппаратный ключ защиты), то установщик дозорной защиты это та программа, которая позволяет этой самой работать защите.

В данный программный комплекс входит:

• Parallel Driver — драйвер виртуализации;
• USB System Driver — драйвер, обеспечивающий обнаружение USB-ключей;
• Sentinel Protection Server — модуль сервера защиты;
• Sentinel Keys Server — сервер лицензионных ключей;
• Sentinel Security Runtime — модуль запуска защищенного приложения.

Откуда программа взялась на компьютере?

Чаще всего она устанавливается вместе с программой, которая работает только через защиту Sentinel. Обычно это какие — то банковские или налоговые приложения, типа клиент — банка и программ отправки налоговых деклараций.

Можно ли ее удалить?

Если у вас нет приложений, использующих защиту Sentinel, то установщик защиты Sentinel может быть удален. Этим шагом вы сделаете невозможным запуск программ, требующих наличия данной защиты.

Лучший способ отблагодарить автора статьи- сделать репост к себе на страничку
.

Аппаратные USB-ключи защиты программ Sentinel HL

.

Опрос сети на предмет поиска уязвимых версий службы управления ключами SafeNet Sentinel License Manager (HASP License Manager)

Администратор так или иначе приходилось в своей работе сталкиваться с ключами Alladin HASP / SafeNet Sentinel и приходилось устанавливать поставку в составе ПО поддержки этих ключей программный пакет HASP License Manager / Sentinel License Manager . Это приложение обеспечивает контроль лицензий всевозможного ПО, используемого во множестве самых разных приложений, начиная с бизнес-систем типа 1С , заканчивая разнообразными критичными для производственных процессов системы АСУ ТП .

Как правило, единожды установив это ПО, администратор не задумывается о необходимости его периодического обновления, так как не для всех очевидно то, что такое ПО может стать серьёзных проблем информационной безопасности, системы, на которой оно установлено, критически уязвимой и открывая новые Класс для атак атак.

В Январе на сайте команды Kaspersky Lab Industrial Control Systems Cyber ​​Emergency Response Team ( ICS CERT ) был опубликован интересный отчёт о проделанной работе по выявлению уязвимостей в программно-аппаратном комплексе SafeNet Sentinel компании Gemalto : Серебряная пуля для атакующего.Исследование безопасности лицензионных токенов.

Результатом работы, проделанной в 2016-2017 годах, стало обнаружение 14 серьёзных уязвимостей , информация по которому передана вендору. Однако, как следует из пояснения Kaspersky Lab ICS CERT, должной огласки эта проблема так и не получила, как вендор после исправления уязвимостей не сделал публичных объявлений о необходимости скорейшего обновления. Поэтому мы решили не включать в процесс продвижения этой информации.

Для лучшего понимания и серьёзности проблемы, мы наглядно представляем, как легко эксплуатируется одна из уязвимостей на не обновлённой версии ПО

SafeNet Sentinel License Manager ( LM ). Но для начала стоит сказать пару слов о том, как устроен этот Менеджер лицензий.

Общая информация о Sentinel License Manager

После установки пакета Sentinel LDK Run-time , в системный каталог Windows попадает приложение hasplms.exe , которое обеспечивает доступ локальных приложений к аппаратным лицензионным ключам (как правило, это USB-токены), подключенным к данному серверу, либо может выступать в качестве перенаправителя клиентских запросов на удаленные экземпляры License Manager.

Это приложение работает, как служба Windows, в контексте привилегий служебного пользователя СИСТЕМА (локальная система):

Нетрудно догадаться о том, что эксплуатация уязвимостей такой службы будет работать с высоким уровнем доступа к системе.

Служба hasplms открывает в системе TCP / UDP -прослушиватели, через которые и возможна, как локальная, так и удалённая, эксплуатация уязвимостей.

Занятно в этой ситуации, что при установке пакета Sentinel LDK Run-time в системе (без какого-либо явного оповещения администратора) автоматически создаётся разрешающее правило Windows Firewall для приложения hasplms.exe . Эти правила разрешены любой входящий трафик на любые порты , поэтому никаких проблем с доступностью из сети TCP – прослушивателя, открываемого службой на порту 1947 , не возникает.

На указанном порту служба hasplms фактически имеет веб-сервер, с которым можно общаться по протоколу HTTP . В частности, этот веб-сервер обеспечивает работу веб-сайта SafeNet Sentinel License Manager Admin Control Center ( ACC ), через который можно выполнять ряд административных действий по манипуляциям со службой управления ключами.

Сразу стоит отметить тот факт, что в конфигурации по умолчанию служба hasplms настроена таким образом, что удалённый доступ на порт 1947 запрещён, но зато на этот порт разрешены любые локальные подключения на localhost «не взирая на чины и звания «.А это уже может стать реальной проблемой на многопользовательских системах, например на сервере с ролью Службы удаленных рабочих столов . Фактически на таких системах зачастую оказывается ПО Sentinel, так как оно обеспечивает успешный запуск всевозможных бизнес-приложений, использующих аппаратные средства защиты. И получается, что на такой системе, любой непривилегированный пользователь может получить доступ к веб-серверу License Manager.

Эксплуатация уязвимости

После небольшого захода в Интернет-поисковик, оннилось, позволяющий работать с одной из уязвимостей: Exploit Database — Gemalto Sentinel License Manager 18.0.1.55505 — Обход каталогов. На базе этой информации рассмотрим наглядный пример эксплуатации уязвимости с некорректной обработкой программы alpremove в коде веб-страницы action.html веб-сервера Менеджер лицензий.

Итак, предположим, что мы от простого непривилегированного пользователя вошли на сервер удаленных рабочих столов с ОС Windows Server 2012 R2 с запущенным в конфигурации по умолчанию License Manager . В данной системе есть некоторый файл, который у нас нет доступа, но, который при этом, мы неистово желаем удалить.

Для примера я создал файл с именем «Important File.security» в корне системного диска C: \. Для чистоты эксперимента можно даже явным образом ограничить доступ к этому файлу так, чтобы он был доступен только Администраторам и локальной системе.

Имеющаяся в нашей не обновлённой версии ПО Sentinel уязвимость позволяет удалить этот файл практически двумя последовательными GET -запросами. Выполнить эти запросы можно разными способами (тут всё зависит от сноровки атакующего).Мы будем использовать доступную по умолчанию всем пользователям системы оболочку Powershell :

 Invoke-WebRequest -Uri "http://127.0.0.1:1947/_int_/action.html?alpremove=/../../../../../../../Важный файл. безопасность"
Invoke-WebRequest -Uri "http://127.0.0.1:1947/_int_/action.html?alpremove=/../../../../../../../Важная безопасность файла. «

Первый запрос переименует файл цели, добавив к имени файла расширения «bak», есть в нашем случае имя файла изменится на «Важный файл.security.bak »

Здесь хорошо видно, что веб-сервер LM успешно «проглотил» наш запрос и ещё в ответе рассказал нам о своей версии.

Вторым точно таким же GET -запросом ранее переименованный bak-файл будет удалён.

Напомню, что веб-сервер LM выполняется от имени SYSTEM , и поэтому у нас не возникает никаких проблем с доступом при удалении файла. При этом в системе от выполненного деструктивного действия фактически не остаётся никаких следов, которые бы могли помочь администратору при помощи случившегося случившегося.

Более сложный вид будет иметь возможность реализовать любую систему файла, реализуемая путём отсылки POST -запроса HTTP , пример которого рассмотрен здесь. Для того, чтобы принять решение о необходимости обновления License Manager до актуальной версии, можно использовать возможности несанкционированного действия более чем достаточно для того, чтобы принять решение о необходимости обновления.

В рассмотренном примере мы действовали на уровне локального доступа, но если диспетчер лицензий находится в конфигурации по умолчанию, то нам не нужно получить локальный доступ к веб-консоли Sentinel License Manager Admin Control Center ( ACC ), открыт в веб -браузере адрес:

 http: // 127.0.0.1: 1947/

В АСС мы можем перейти в раздел Конфигурация и легким движением руки включить выключенный по умолчанию удаленный доступ Разрешить удаленный доступ к ACC :

Начиная с этого момента эксплуатировать уязвимости LM, не имея локального доступа к данному серверу.

На тот случай, если нужно включить удалённый доступ, браузер пользователю недоступен, в функционале License Manager Admin API имеется параметр , который через функцию Set может быть установлен в 1 , что будет равнозначно опциям Разрешить удаленный доступ в ACC через браузер.

Итак, наличие проблемы на старых версиях LM очевидно. Теперь нужно определиться с тем, в каких системах в сети установлено данное ПО, чтобы настроить масштаб проблемы и запланировать объём необходимой работы по обновлению. Ведь не стоит забывать про то, что данное ПО может быть не только на серверных системах, но и в некоторых случаях на клиентских системах.

Обнаружение уязвимых хостов

Для обнаружения обнаружимых систем заговоры самые разные механизмы.Здесь всё зависит от нашей фантазии и текущих возможностей. Например, можно воспользоваться возможностями Microsoft System Center , если имеются имеющиеся в инфраструктуре продуктов, — пример проверка BaseLine в SCCM или самописный Management Pack в SCOM . Любой метод будет иметь свои преимущества и недостатки. Здесь я приведу пример нехитрого PowerShell -скрипта, наиболее доступного инструмента для любого администратора Windows.

В начальных строках скрипта задаём переменные:

• $ StartScanIP — Начальный IP-адрес диапазона сканирования сети;
• $ EndScanIP — Конечный IP диапазона;
• $ HTTPport — Номер порта на котором запущен HTTP-сервер на базе LM;
• $ ActualVersionMask — Интересующая нас маска имени веб-сервера, получаемого в HTTP-ответе;
• $ ActualVersionFull — Имя веб-сервера для актуальной на данный момент версии LM.

Для ускорения процесса сканирования скрипт работает множеством потоков, поэтому он будет запущен, может быть ощутимой.Обратите также внимание на указанную в $ WebRequest.Timeout. Это возможно, имеет смысл увеличить значение этого агента. Это нужно понимать к увеличению общего времени.

 [System.Net.IPAddress] $ StartScanIP = "10.1.0.1"
[System.Net.IPAddress] $ EndScanIP = "10.1.0.254"
[int] $ HTTPport = "1947"
[строка] $ ActualVersionMask = "HASP LM / *"
[строка] $ ActualVersionFull = "HASP LM / 20.05 "
#
$ Watch = [System.Diagnostics.Stopwatch] :: StartNew ()
$ Watch.Start ()
#
$ ScanIPRange = @ ()
если ($ EndScanIP -ne $ null)
{
  $ StartIP = $ StartScanIP -split '\.'
  [Массив] :: Обратный ($ StartIP)
  $ StartIP = ([System.Net.IPAddress] ($ StartIP -join '.')). Адрес
  #
  $ EndIP = $ EndScanIP -split '\.'
  [Массив] :: Обратный ($ EndIP)
  $ EndIP = ([System.Net.IPAddress] ($ EndIP -join '.')). Адрес
  #
  Для ($ x = $ StartIP; $ x -le $ EndIP; $ x ++) {
      $ IP = [System.Net.IP-адрес] $ x -split '\.'
      [Массив] :: Обратный ($ IP)
      $ ScanIPRange + = $ IP -join '.'.
  }
}
  еще
{
 $ ScanIPRange = $ StartScanIP
}

Рабочий процесс Network-Scan {
  param ($ ippool, $ порт)
  $ WFResult = @ ()
  foreach -parallel -throttlelimit 50 ($ ip в $ ippool)
  {
    $ ItemReturn = встроенный скрипт
    {
       [uri] $ Url = "http: //" + $ USING: ip + ":" + $ USING: порт
       $ WebRequest = [System.Net.WebRequest] :: Create ($ Url)
       $ WebRequest.Timeout = 1000 # По умолчанию 600000
       $ WebRequest.AuthenticationLevel = "Нет"
       $ WebRequest.Method = "HEAD"
       пытаться{
           $ WebResponse = $ WebRequest.GetResponse ()
       }
       catch [System.Net.WebException] {
             $ WebResponse = $ _. Exception.Response
       }
       Если ($ WebResponse.Server) {
          пытаться{
             $ hName = [System.Net.Dns] :: GetHostByAddress ($ USING: ip) .HostName
          }
          улов{
             $ hName = "-"
          }
          $ Item = New-Object System.Object
          $ Item | Add-Member -MemberType NoteProperty -Name "SrvIP" -Value $ USING: ip
          $ Item | Add-Member -MemberType NoteProperty -Name "SrvName" $ ​​hName
          $ Item | Add-Member -MemberType NoteProperty -Name "Версия" $ WebResponse.Сервер
          $ Item | Add-Member -MemberType NoteProperty -Name "Status" $ WebResponse.StatusCode
             вернуть $ Item
       }
     } #inlinescript
     $ РАБОЧИЙ ПОТОК: WFResult + = $ ItemReturn
   }
  return $ WORKFLOW: WFResult
}
$ Result = Сетевое сканирование $ ScanIPRange $ HTTPport
$ Результат | Версия объекта сортировки, SrvIP, статус | Формат-таблица -GroupBy Version -Autosize `
  @ {Name = "IP-адрес хоста"; Выражение = {$ _. SrvIP}; Alignment = "Center"},
  @ {Name = "Имя хоста из DNS"; Выражение = {$ _. SrvName}; Alignment = "Center"},
  @ {Name = "Версия HTTP-сервера"; Выражение = {$ _.Версия}; Alignment = "Center"},
  @ {Name = "Удаленный статус HTTP"; Expression = {$ _. Status}; Alignment = "Center"},
  @ {Name = "Требуется обновление"; Expression = {
     если (
     ($ _. Version - как $ ActualVersionMask) - и
     ($ _. Version-не как $ ActualVersionFull)) {"Да"}
     else {"Нет"}
  }; Alignment = "Center"}
  
Write-Host $ Result.Count "найдены хосты в диапазоне сети" $ StartScanIP "-" $ EndScanIP
$ Watch.Stop ()
Write-Host "Время сценария:" $ Watch.Elapsed 

В результате работы скрипта мы должны получить отсортированный по версии LM список хостов:

 Версия: HASP LM / 16.00

IP-адрес хоста Имя хоста из DNS Версия HTTP-сервера Удаленный статус HTTP Требуется обновление
--------------- ------------------ ----------------- - ------------------ ------------------
 10.1.0.93 kom-rds83.holding.com HASP LM / 16.00 Запрещено Да
 10.1.0.94 kom-rds84.holding.com HASP LM / 16.00 ОК Да
 10.1.0.95 kom-rds85.holding.com HASP LM / 16.00 Запрещено Да


   Версия: HASP LM / 20.05

IP-адрес хоста Имя хоста из DNS Версия HTTP-сервера Удаленный статус HTTP Требуется обновление
--------------- ------------------ ----------------- - ------------------ ------------------
 10.1.0.20 kom-lic56.holding.com HASP LM / 20.05 Запрещено Нет


4 хоста обнаружены в диапазоне сетей 10.1.0.1 - 10.1.0.254
Время сценария: 00:00: 09.1204247 

В выводе попадают только те хосты, с которых получен ответ на HTTP-запрос, выполненный на проверяемый порт 1947.В данном разделе мы представили 4 сервера с доступной из сети службой LM. На всех четырёх хостах получен HTTP-ответ от LM, причём на одном из хостов включен удалённый доступ к ACC — статус ОК , то есть получен HTTP-код 200 . На всех остальных хостах удалённый доступ выключен — статус Forbidden , то есть получен HTTP-код 403 . Три хоста имеют старые уязвимые версии LM и требуют обновления.

Обновляемся и усиливаем защиту Sentinel License Manager

После включения списка уязвимых систем, нам нужно выполнить обновление ПО Sentinel LDK Run-time по рекомендации Kaspersky Lab ICS CERT до версии не ниже 7.6 .

Последнюю актуальную версию ПО можно скачать с сайта Gemalto Sentinel Customer Community

На данный момент времени там фигурирует пакет Sentinel HASP LDK Windows GUI Run-time Installer версии 7.65 (файл HASPUserSetup.exe), который включает в себя License Manager версии 20.05

Обратите внимание на то, что по завершению установки инсталлятор, с подозрительно улыбающимися гражданами, как бы предложить нам подумать о том, что нужно бы открыть порт 1947

Однако комичность ситуации заключается в том, что, как и в старых версиях, инсталлятор сам создаёт нескромное разрешающее правило в Windows Firewall , не спрашивая об этом у администратора.Это как раз одна из странностей, на которую обращают внимание в своей статье специалисты Kaspersky Lab ICS CERT.

После завершения установки можно откорректировать созданное инсталлятором правило Windows Firewall, сузив до разумных пределов области разрешений (например, как минимум, разрешив подключение только с IP-подсетей, где есть клиенты, использующие ключи с данного LM)

Либо если удаленный доступ к службе управления ключами не требуется, служба используется только локально приложениями на сервере (когда лицензионные ключи установлены на самом сервере, либо когда ключи установлены на другом сервере, и данный LM работает в режиме проксирования запросов на сторонний LM) данное правило Брандмауэр Windows можно попросту отключить.

Обратите внимание на то, что после переустановки или установки новой версии (обновления) инсталлятор перепишет данное правило брандмауэра Windows, заново разрешив доступ к службе «везде и вся». Не забывайте про это при обновлениях.

После обновления ПО до актуальной версии, весьма желательно установить пароль для ограничения доступа к ACC, чтобы даже в случае локального доступа к ACC у непривилегированных пользователей не было возможности беспрепятственно менять настройку сервера LM (например, включенный удаленный доступ к нему).

Для этой в обновлённой версии АСС мы можем перейти в раздел Configuration , переключить Защита паролем в режиме защиты всех веб-страниц Все ACC Pages , а также кнопка Изменить пароль задать пароль для ограничения доступа к веб-серверу :

Кстати здесь же внизу страницы мы увидим имя конфигурационного файла, в котором LM и хранит всю заданную конфигурацию.

После проведенных мероприятий по обновлению и усилению защиты всех экземпляров Sentinel License Manager, можно повторно запустить скрипт развертывания сети.

Поделиться ссылкой на эту запись:

Похожее

.