Менеджер локальной сети

Менеджер локальной сети
Разработчик	Майкрософт , 3Com
Семейство ОС	ОС/2
Рабочее состояние	Снято с производства
Исходная модель	Закрытый исходный код
Первоначальный выпуск	1987 год ; 37 лет назад
Финальный выпуск	2.2а/1994 ; 30 лет назад
Маркетинговая цель	Локальная сеть
Обновить метод	Переустановка
Менеджер пакетов	Никто
Платформы	х86
Лицензия	Собственный
Предшественник	MS-Net , Xenix-NET, 3+Поделиться
Преемник	Microsoft Windows NT 3.1

LAN Manager — это снятая с производства сетевая операционная система (NOS), доступная от нескольких поставщиков и разработанная Microsoft в сотрудничестве с корпорацией 3Com . Он был разработан как замена 3+Share программному обеспечению сетевого сервера от 3Com , которое работало на базе сильно модифицированной версии MS-DOS .

История

Операционная система LAN Manager OS/2 была разработана совместно IBM и Microsoft с использованием протокола Server Message Block (SMB). Первоначально он использовал SMB поверх протокола NetBIOS Frames (NBF) или специализированной версии протокола Xerox Network Systems (XNS). Эти устаревшие протоколы были унаследованы от предыдущих продуктов, таких как MS-Net для MS-DOS , Xenix-NET для MS-Xenix и вышеупомянутого 3+Share. Также была доступна версия LAN Manager для систем на базе Unix под названием LAN Manager/X . LAN Manager/X лег в основу Digital Equipment Corporation компании продукта Pathworks для OpenVMS , Ultrix и Tru64 . ^{[ 1 ]}

В 1990 году Microsoft анонсировала LAN Manager 2.0 с множеством улучшений, включая поддержку TCP/IP в качестве транспортного протокола для SMB с использованием NetBIOS поверх TCP/IP (NBT). Последняя версия LAN Manager, 2.2, которая включала базовую операционную систему MS-OS/2 1.31, оставалась стратегической серверной системой Microsoft до выпуска Windows NT Advanced Server в 1993 году. ^{[ 2 ]}

Версии

1987 – MS LAN Manager 1.0 (базовый/расширенный)
1989 – MS LAN Manager 1.1.
1991 – MS LAN Manager 2.0.
1992 – MS LAN Manager 2.1.
1992 – MS LAN Manager 2.1a.
1993 – MS LAN Manager 2.2.
1994 – MS LAN Manager 2.2a

Многие поставщики поставляли лицензионные версии, в том числе:

Алгоритм хеширования пароля

Хэш LM вычисляется следующим образом: ^{[ 3 ]}^{[ 4 ]}

Пароль пользователя ограничен максимум четырнадцатью символами. ^{[ Примечания 1 ]}
Пароль пользователя преобразуется в верхний регистр .
Пароль пользователя закодирован в кодовой странице OEM-системы . ^{[ 5 ]}
Этот пароль дополнен NULL и имеет длину 14 байт. ^{[ 6 ]}
Пароль «фиксированной длины» разделен на две половины по 7 байт.
Эти значения используются для создания двух ключей DES , по одному из каждой 7-байтовой половины, путем преобразования семи байтов в поток битов, в котором сначала наиболее значимый бит, и вставки бита четности после каждых семи битов (так что 1010100 становится 10101000). Это генерирует 64 бита, необходимые для ключа DES. (Ключ DES якобы состоит из 64 битов; однако на самом деле алгоритмом используются только 56 из них. Биты четности, добавленные на этом этапе, позже отбрасываются.)
Каждый из двух ключей используется для DES-шифрования постоянной строки ASCII . KGS!@#$%”, ^{[ Примечания 2 ]} в результате получаются два 8-байтовых значения зашифрованного текста. Для DES CipherMode должно быть установлено значение ECB, а для PaddingMode должно быть установлено значение NONE.
Эти два значения зашифрованного текста объединяются, образуя 16-байтовое значение, которое является LM-хешем.

Слабые стороны безопасности

Аутентификация LAN Manager использует особенно слабый метод хеширования пользователя пароля , известный как LM-алгоритм хэширования, появившийся в середине 1980-х годов, когда основной проблемой были вирусы, передаваемые с дискет. ^{[ 7 ]} Хотя он основан на DES , хорошо изученном блочном шифре , LM-хэш имеет несколько слабых мест в своей конструкции. ^{[ 8 ]} Это позволяет взломать такие хэши за считанные секунды с использованием радужных таблиц или за несколько минут с помощью грубой силы . Начиная с Windows NT , он был заменен NTLM , который по-прежнему уязвим для радужных таблиц и атак методом перебора, если не используются длинные непредсказуемые пароли, см. взлом паролей . NTLM используется для входа в систему с локальными учетными записями, за исключением контроллеров домена, поскольку Windows Vista и более поздние версии больше не поддерживают хэш LM по умолчанию. ^{[ 7 ]} Kerberos используется в средах Active Directory.

Основные недостатки протокола аутентификации LAN Manager: ^{[ 9 ]}

Длина пароля ограничена максимум 14 символами, выбранными из 95 печатных символов ASCII .
Пароли не чувствительны к регистру. Все пароли преобразуются в верхний регистр перед созданием хеш-значения. Следовательно, LM-хэш обрабатывает PassWord, пароль, PaSsWoRd, PASSword и другие подобные комбинации так же, как PASSWORD. хеш-ключа LM Эта практика эффективно уменьшает пространство до 69 символов.
Пароль из 14 символов разбивается на 7+7 символов и хэш рассчитывается для каждой половины отдельно. Такой способ расчета хэша значительно упрощает взлом, поскольку злоумышленнику нужно дважды перебрать только 7 символов вместо полных 14 символов. Таким образом, эффективная надежность 14-значного пароля равна всего лишь $2\times 69^{7}\approx 2^{44}$ или вдвое больше, чем 7-значный пароль, который в 3,7 триллиона раз менее сложен, чем $69^{14}\approx 2^{86}$ теоретическая надежность 14-значного однорегистрового пароля. По состоянию на 2020 год компьютер, оснащенный высокопроизводительным графическим процессором (GPU), может вычислять 40 миллиардов LM-хэшей в секунду. ^{[ 10 ]} При такой скорости все 7-значные пароли из 95-значного набора можно проверить и взломать за полчаса; все 7-значные буквенно-цифровые пароли можно проверить и взломать за 2 секунды.
Если пароль состоит из 7 символов или меньше, вторая половина хеша всегда будет давать одно и то же постоянное значение (0xAAD3B435B51404EE). Таким образом, пароль длиной менее 7 символов можно идентифицировать визуально без использования инструментов (хотя при высокоскоростных атаках с использованием графического процессора это имеет меньшее значение).
Хэш-значение отправляется на сетевые серверы без добавления соли , что делает его уязвимым для атак «человек посередине», таких как повторное воспроизведение хеша . Без соли с компромиссом между временем и памятью заранее рассчитанные словарные атаки , такие как радужная таблица возможны . В 2003 году был опубликован Ophcrack — реализация техники радужных таблиц. Он специально нацелен на устранение слабых мест шифрования LM и включает предварительно вычисленные данные, достаточные для взлома практически всех буквенно-цифровых хешей LM за несколько секунд. Многие инструменты взлома, такие как RainbowCrack , Hashcat , L0phtCrack и Cain , теперь включают в себя аналогичные атаки и делают взлом хешей LM быстрым и тривиальным.

Обходные пути

Чтобы устранить недостатки безопасности, присущие схемам шифрования и аутентификации LM, Microsoft представила протокол NTLMv1 в 1993 году с Windows NT 3.1 . Для хеширования NTLM использует Unicode , заменяя поддержку LMhash=DESeach(DOSCHARSET(UPPERCASE(password)), "KGS!@#$%") к NThash=MD4(UTF-16-LE(password)), который не требует каких-либо дополнений или усечения, которые могли бы упростить ключ. С другой стороны, для последующих шагов аутентификации использовался тот же алгоритм DES только с 56-битным шифрованием , и подсолки по-прежнему нет. Более того, машины Windows в течение многих лет были настроены по умолчанию на отправку и прием ответов, полученных как из хеша LM, так и из хеша NTLM, поэтому использование хеша NTLM не обеспечивало дополнительной безопасности, пока более слабый хеш все еще присутствовал. Также потребовалось время, чтобы снять искусственные ограничения на длину пароля в таких инструментах управления, как User Manager.

Хотя LAN Manager считается устаревшим, а текущие операционные системы Windows используют более надежные методы аутентификации NTLMv2 или Kerberos , в системах Windows до Windows Vista / Windows Server 2008 хэш LAN Manager по умолчанию включен для обратной совместимости с устаревшими LAN Manager и клиентами Windows ME или более ранними версиями. или устаревшие приложения с поддержкой NetBIOS . В течение многих лет хорошей практикой безопасности считалось отключение скомпрометированных протоколов аутентификации LM и NTLMv1 там, где они не нужны. ^{[ 11 ]} Начиная с Windows Vista и Windows Server 2008, Microsoft по умолчанию отключила хэш LM; Эту функцию можно включить для локальных учетных записей с помощью параметра политики безопасности, а также для учетных записей Active Directory, применив тот же параметр с помощью групповой политики домена . Тот же метод можно использовать для отключения этой функции в Windows 2000, Windows XP и NT. ^{[ 11 ]} Пользователи также могут запретить создание LM-хеша для своего пароля, используя пароль длиной не менее пятнадцати символов. ^{[ 6 ]}—Хеши NTLM, в свою очередь, в последние годы стали уязвимы для различных атак, которые фактически делают их сегодня такими же слабыми, какими были хэши LanMan в 1998 году. ^{[ нужна ссылка ]}

Причины продолжения использования LM-хеша

Многим устаревшим сторонним реализациям SMB потребовалось значительное время для добавления поддержки более надежных протоколов, которые Microsoft создала для замены LM-хеширования, поскольку сообществам с открытым исходным кодом , поддерживающим эти библиотеки, сначала пришлось перепроектировать новые протоколы — Samba потребовалось 5 лет, чтобы добавить NTLMv2. поддержку , а на JCIFS ушло 10 лет.

Доступность протоколов NTLM для замены аутентификации LM.
Продукт	Поддержка NTLMv1	Поддержка NTLMv2
Windows НТ 3.1	РТМ (1993)	Не поддерживается
Windows НТ 3.5	РТМ (1994)	Не поддерживается
Windows НТ 3.51	РТМ (1995)	Не поддерживается
Windows НТ4	РТМ (1996)	Пакет обновления 4 ^{[ 12 ]} (25 октября 1998 г.)
Windows 95	Не поддерживается	Клиент службы каталогов (выпущен вместе с Windows 2000 Server 17 февраля 2000 г.)
Windows 98	РТМ	Клиент службы каталогов (выпущен вместе с Windows 2000 Server 17 февраля 2000 г.)
Windows 2000	РТМ (17 февраля 2000 г.)	РТМ (17 февраля 2000 г.)
Windows Me	РТМ (14 сентября 2000 г.)	Клиент службы каталогов (выпущен вместе с Windows 2000 Server 17 февраля 2000 г.)
Самба	?	Версия 3.0 ^{[ 13 ]} (24 сентября 2003 г.)
JCIFS	Не поддерживается	Версия 1.3.0 (25 октября 2008 г.) ^{[ 14 ]}
IBM AIX (SMBFS)	5.3 (2004) ^{[ 15 ]}	Не поддерживается начиная с версии 7.1. ^{[ 16 ]}

Плохие режимы исправлений после выпуска программного обеспечения, поддерживающего эту функцию, стали доступными, что способствовало тому, что некоторые организации продолжают использовать LM-хэширование в своих средах, даже несмотря на то, что этот протокол легко отключить в самой Active Directory .

Наконец, до выпуска Windows Vista многие процессы автоматической сборки по-прежнему использовали загрузочный диск DOS (вместо Windows PE ) для запуска установки Windows с помощью WINNT.EXE, что требует включения LM-хэширования для устаревшего LAN Manager. сетевой стек для работы.

См. также

Примечания

^ Если длина пароля превышает четырнадцать символов, LM-хеш не может быть вычислен.
^ Строка «KGS!@#$%» может означать Глена «Ключ и Стива » , а затем комбинацию Shift + 12345 . Глен Зорн и Стив Кобб — авторы RFC 2433 ( расширения Microsoft PPP CHAP ).

Ссылки

^ Энди Гольдштейн (2005). «Самба и OpenVMS» (PDF) . de.openvms.org . Архивировано из оригинала (PDF) 7 февраля 2021 г. Проверено 1 января 2021 г.
^ «Производительность клиента DOS SMB | Музей OS/2» . Проверено 28 августа 2023 г.
^ «Глава 3 – Установка операционной системы» . Документы Майкрософт . 24 марта 2009. LMHash . Проверено 16 октября 2023 г.
^ Гласс, Эрик (2006). «Протокол аутентификации NTLM и поставщик поддержки безопасности: ответ LM» . Проверено 12 мая 2015 г.
^ «Список локализованных операционных систем MS» . Сеть разработчиков Microsoft . Архивировано из оригинала 18 мая 2015 г. Проверено 12 мая 2015 г.
^ Перейти обратно: ^а ^б «Пароль учетной записи службы кластеров должен содержать 15 или более символов, если включена политика NoLMHash» . Майкрософт . 2006-10-30. Архивировано из оригинала 10 сентября 2014 г. Проверено 12 мая 2015 г.
^ Перейти обратно: ^а ^б Йеспер Йоханссон (31 августа 2016 г.). «Самая непонятая настройка безопасности Windows всех времен» . Документы Майкрософт . Майкрософт . Проверено 16 октября 2023 г. Хотя Windows Vista еще не вышла, стоит отметить некоторые изменения в этой операционной системе, связанные с этими протоколами. Наиболее важным изменением является то, что протокол LM больше нельзя использовать для входящей аутентификации, где Windows Vista выступает в качестве сервера аутентификации.
^ Йоханссон, Джаспер М. (29 июня 2004 г.). «Пароли Windows: все, что вам нужно знать» . Майкрософт . Проверено 12 мая 2015 г.
^ Рахул Кокча
^ Тест Hashcat v6.1.1 на RTX 2070S (SUPER) , режим 3000 LM, по состоянию на 29 ноября 2020 г.
^ Перейти обратно: ^а ^б «Как запретить Windows хранить хэш вашего пароля диспетчера локальной сети в Active Directory и локальных базах данных SAM» . Документы Майкрософт . 03.12.2007 . Проверено 16 октября 2023 г.
^ «Файл Readme.txt для Windows NT 4.0 с пакетом обновления 4 (40-разрядная версия)» . Майкрософт . 25 октября 1998 г. Архивировано из оригинала 19 мая 2015 г. Проверено 12 мая 2015 г.
^ «Команда Samba объявляет о первом официальном выпуске Samba 3.0» . САМБА . 24 сентября 2003 г. Проверено 12 мая 2015 г.
^ «Клиентская библиотека Java CIFS» . Проверено 12 мая 2015 г.
^ «AIX 5.3 Управление сетями и связью: файловая система блоков сообщений сервера» . ИБМ . 15 марта 2010 г. п. 441 . Проверено 12 мая 2015 г.
^ «AIX 7.1 Управление сетями и связью: файловая система блоков сообщений сервера» . ИБМ . 05.12.2011 . Проверено 12 мая 2015 г.

Внешние ссылки

1.3.8.1.1 Microsoft LAN Manager на Wayback Machine (архивировано 12 февраля 2017 г.)

[5] Если длина пароля превышает четырнадцать символов, LM-хеш не может быть вычислен.

[8] Строка «KGS!@#$%» может означать Глена «Ключ и Стива » , а затем комбинацию Shift + 12345 . Глен Зорн и Стив Кобб — авторы RFC 2433 ( расширения Microsoft PPP CHAP ).

[samba-1] Энди Гольдштейн (2005). «Самба и OpenVMS» (PDF) . de.openvms.org . Архивировано из оригинала (PDF) 7 февраля 2021 г. Проверено 1 января 2021 г.

[2] «Производительность клиента DOS SMB | Музей OS/2» . Проверено 28 августа 2023 г.

[3] «Глава 3 – Установка операционной системы» . Документы Майкрософт . 24 марта 2009. LMHash . Проверено 16 октября 2023 г.

[davenport-4] Гласс, Эрик (2006). «Протокол аутентификации NTLM и поставщик поддержки безопасности: ответ LM» . Проверено 12 мая 2015 г.

[6] «Список локализованных операционных систем MS» . Сеть разработчиков Microsoft . Архивировано из оригинала 18 мая 2015 г. Проверено 12 мая 2015 г.

[KB828861-7] Перейти обратно: ^а ^б «Пароль учетной записи службы кластеров должен содержать 15 или более символов, если включена политика NoLMHash» . Майкрософт . 2006-10-30. Архивировано из оригинала 10 сентября 2014 г. Проверено 12 мая 2015 г.

[SecurityWatch-9] Перейти обратно: ^а ^б Йеспер Йоханссон (31 августа 2016 г.). «Самая непонятая настройка безопасности Windows всех времен» . Документы Майкрософт . Майкрософт . Проверено 16 октября 2023 г. Хотя Windows Vista еще не вышла, стоит отметить некоторые изменения в этой операционной системе, связанные с этими протоколами. Наиболее важным изменением является то, что протокол LM больше нельзя использовать для входящей аутентификации, где Windows Vista выступает в качестве сервера аутентификации.

[10] Йоханссон, Джаспер М. (29 июня 2004 г.). «Пароли Windows: все, что вам нужно знать» . Майкрософт . Проверено 12 мая 2015 г.

[11] Рахул Кокча

[12] Тест Hashcat v6.1.1 на RTX 2070S (SUPER) , режим 3000 LM, по состоянию на 29 ноября 2020 г.

[KB299656-13] Перейти обратно: ^а ^б «Как запретить Windows хранить хэш вашего пароля диспетчера локальной сети в Active Directory и локальных базах данных SAM» . Документы Майкрософт . 03.12.2007 . Проверено 16 октября 2023 г.

[14] «Файл Readme.txt для Windows NT 4.0 с пакетом обновления 4 (40-разрядная версия)» . Майкрософт . 25 октября 1998 г. Архивировано из оригинала 19 мая 2015 г. Проверено 12 мая 2015 г.

[15] «Команда Samba объявляет о первом официальном выпуске Samba 3.0» . САМБА . 24 сентября 2003 г. Проверено 12 мая 2015 г.

[16] «Клиентская библиотека Java CIFS» . Проверено 12 мая 2015 г.

[17] «AIX 5.3 Управление сетями и связью: файловая система блоков сообщений сервера» . ИБМ . 15 марта 2010 г. п. 441 . Проверено 12 мая 2015 г.

[18] «AIX 7.1 Управление сетями и связью: файловая система блоков сообщений сервера» . ИБМ . 05.12.2011 . Проверено 12 мая 2015 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ Примечания 1 ]

[ 5 ]

[ 6 ]

[ Примечания 2 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

v т и Аутентификация
Authentication APIs	BSD Authentication (BSD Auth) eAuthentication (eAuth) Generic Security Services API (GSSAPI) Java Authentication and Authorization Service (JAAS) Pluggable Authentication Modules (PAM) Simple Authentication and Security Layer (SASL) Security Support Provider Interface (SSPI) XCert Universal Database API (XUDA)
Authentication protocols	ACF2 Authentication and Key Agreement (AKA) CAVE-based authentication Challenge-Handshake Authentication Protocol (CHAP) MS-CHAP Central Authentication Service (CAS) CRAM-MD5 Diameter Extensible Authentication Protocol (EAP) Host Identity Protocol (HIP) IndieAuth Kerberos LAN Manager NT LAN Manager (NTLM) OAuth OpenID OpenID Connect (OIDC) Password-authenticated key agreement protocols Password Authentication Protocol (PAP) Protected Extensible Authentication Protocol (PEAP) Remote Access Dial In User Service (RADIUS) Resource Access Control Facility (RACF) Secure Remote Password protocol (SRP) TACACS Woo–Lam
Category Commons

v т и Сетевые операционные системы (NOS)
Current	AlliedWare Plus Cisco IOS Cisco NX-OS Dell Networking Operating System ExtremeXOS Junos OS OpenWrt pfSense ScreenOS SONiC VyOS ZyNOS
Historic	3+Share Banyan VINES Cumulus Linux LAN Manager MS-Net NetWare Novell S-Net
Category

v т и Операционные системы Microsoft
Desktop / Server	Microsoft Windows 1.0x 2.0x 2.1x 3.0 3.1x 9x NT MS-DOS MSX-DOS Multitasking MS-DOS 4.0/4.1 MS-DOS 7 DOS/V Z-DOS OS/2 Xenix
Mobile	Nokia Asha platform Nokia X platform KIN OS Windows Mobile Windows Phone Zune Windows 10 Mobile
Embedded / IoT	Azure RTOS ThreadX Azure Sphere Modular Windows Windows Embedded Automotive Windows Embedded Compact Windows Embedded Industry Windows IoT
Network	MS-Net LAN Manager SONiC
Others	Azure Linux Barrelfish Cairo HomeOS Midori Singularity Venus Verve Xbox system software
List Category