Искусство вторжения
Шрифт:
Имеет смысл организовать и управление доступом к VPN на основе IP-адреса пользователя. Это применимо там, где лишь ограниченное число пользователей может соединяться с корпоративной сетью через VPN. В дополнение к этому можно ввести более безопасную форму VPN-авторизации, такую, как смарт-карты или специальные сертификаты вместо каких-то локальных секретов.
ЛИЧНЫЕ МЕЖСЕТЕВЫЕ ЭКРАНЫ
Эрик проник в компьютер СЕО и обнаружил, что там работает персональный межсетевой экран. Его это не остановило, поскольку он использовал сервис, который был разрешен межсетевым экраном. Он смог посылать
Урок ясен: необходимо очень тщательно определить правила работы межсетевого экрана, чтобы не только фильтровать, как входящий, так и исходящий трафики для услуг, которые не являются необходимыми для ведения бизнеса, но и периодически проверять соблюдение этих правил и записей о работе экрана, чтобы обнаружить неавторизованные изменения или попытки взлома системы безопасности.
После того, как хакер проник в систему, он, скорее всего, отыщет «спящую» или неиспользуемую систему и проникнет в них, чтобы иметь возможность вернуться сюда в недалеком будущем. Другая тактика состоит в том, чтобы добавить групповые привилегии существующим аккаунтам, которые уже были взломаны, Периодические проверки всех директорий пользователей, групп и разрешений доступа к файлам — это единственный способ выявить возможное вторжение или неавторизованную активность собственных сотрудников. Есть целый ряд коммерческих и общедоступных средств для контроля безопасности, которые автоматизируют этот процесс. Поскольку хакеры прекрасно осведомлены о них, очень важно периодически проверять целостность и этих средств, текстов и любых данных, которые используются вместе с ними.
Многие вторжения являются прямым результатом неправильной конфигурации системы, например, лишних открытых портов, слабой системы защиты доступа к файлам и неправильно сконфигурированным Интернет-серверам. После того, как хакер проник в систему на уровне пользователя, его следующим шагом становится повышение своих привилегий через использование неизвестных или незакрытых лазеек и плохо сконфигурированных разрешений. Не забывайте, что многие атакующие совершают целый ряд осторожных шагов на пути к полному проникновению в систему.
Администратор базы данных, которая поддерживает Microsoft SQL-сервер, должен рассматривать возможность отключения определенных команд (таких как xpcmdshell, xpmakewebtask и xpregread), которые могут быть использованы для получения дальнейшего доступа к системе.
СКАНИРОВАНИЕ ПОРТОВ
В то время, как вы читаете эти строки, вполне возможно, что ваш соединенный с Интернетом компьютер сканируется другим компьютером в поисках «низко висящего яблока». Подобное сканирование портов вполне законно в США (и большинстве других стран), неприязнь к хакерам имеет свои ограничения. Самое важное — отличить серьезную атаку от тысяч любительских попыток «пробить» список адресов вашей компании.
Есть несколько продуктов, включая межсетевые экраны и системы обнаружения вторжения, которые определяют заранее
ЗНАЙТЕ СВОЮ СИСТЕМУ
Есть целый ряд правил по управлению системой, которые вы должны выполнять: • проверять список процессов на наличие необычных и неизвестных процессов;
• проверять список программ на неавторизованные добавления или изменения;
• проверять всю файловую систему в поисках новых или модифицированных файлов, текстов или приложений;
• обращать внимание на необычное уменьшение свободного пространства на диске;
• постоянно убеждаться в том, что все системы и пользователи работают и убирать «спящие» или неизвестные директории;
• проверять, что все специальные аккаунты сконфигурированы так, чтобы не допускать интерактивного входа в них со стороны сети;
• проверять, что все директории системы и файлы имеют соответствующие разрешения на допуск к файлам;
• проверять все записи об активности системы на предмет наличия в них необычной активности (например, удаленного доступа неизвестного происхождения или в необычное время, то есть, в нерабочие часы или в выходные дни);
• проверять все записи об активности Интернет-сервера, чтобы идентифицировать все запросы неавторизованного доступа к файлам; атакующие, как продемонстрировано в этой главе, будут копировать файлы в директорию Интернет-сервера, и перегружать файлы через Интернет (HTTP);
• постоянно убеждаться в том, что на Интернет-сервере, FrontPage или WebDav установлены соответствующие разрешения для предотвращения неавторизованного проникновения с файлов доступа.
РЕАКЦИЯ НА ВТОРЖЕНИЕ ИЛИ ПОДАЧА СИГНАЛА ТРЕВОГИ
Своевременное осознание того, что произошел прорыв в систему, может помочь предотвратить существенные потери. Надо осуществлять постоянный аудит операционной системы, чтобы идентифицировать возможные прорехи в системе безопасности. Выработайте способ подачи автоматического сигнала тревоги сетевому администратору, когда происходит какое-то необычное событие. При этом имейте в виду, что если атакующий уже получил высокие привилегии и осведомлен о контроле, он может отключить эту систему подачи сигнала тревоги.
ВЫЯВЛЕНИЕ НЕАВТОРИЗОВАННЫХ ИЗМЕНЕНИЙ В ПРИЛОЖЕНИЯХ
Роберт мог заменить приложение helpdesk.exe, используя неправильную конфигурацию FrontPage. После того, как он достиг своей цели, и получил коды главного продукта компании, он оставил «взломанную» версию приложения helpdesk, чтобы иметь возможность вернуться сюда через какое-то время. Загруженный сетевой администратор может так никогда и не понять, что хакер скрытно изменил существующую программу, особенно, если он не делает никаких проверок на целостность системы. В качестве альтернативы ручным проверкам можно посоветовать лицензированную программу tripware, которая автоматизирует процесс выявления неавторизованных изменений.