КОНТРМЕРЫ

Подход, используемый атакующими, в том числе и Адрианом, заключается в запуске запроса «Кто это», что может помочь отыскать немало ценной информации, содержащейся в четырех NIC (Network Information Center — центр сетевой информации), покрывающих различные географические районы мира.

Большинство информации в этих базах данных является общедоступными сведениями, которые может узнать любой пользователь приложения «Кто это» или посещающий Интернет-сайт, предлагающий подобные услуги, или заходящий на сайт nytimes.com.

Предоставляемая информация может содержать имя, адрес электронной почты, физический адрес и телефонный номер административных и технических контактов для этого домена. Эта информация вполне может использоваться для атак с использованием методов социальной инженерии (см. Главу 10, «Социальные инженеры — как они работают и как их остановить»). Кроме того, это может навести на мысль о структуре адресов электронной почты и имен пользователей в компании. Например, если адрес электронной почты одного из сотрудников Times выглядит, как hilda@nytimes.com , естественно предположить, что и многие другие сотрудники Times используют свое имя для адресов электронной почты, а также и для подписи.

Как видно из истории атаки Адрианом газеты The New York Times, он так же получил ценную информацию об IP-адресах и сетевых блоках газеты, что легло в основу успеха его атаки.

Чтобы ограничить утечку информации, любой компании было бы полезно хранить список телефонов компании только на ее телефонной станции, а не делать его доступным всем желающим. Сотрудники в приемной компании, отвечающие на телефонные звонки, должны проходить специальную подготовку, чтобы они могли быстро распознавать атаки социальных инженеров. Кроме того, в качестве адреса электронной почты следует приводить адрес издательства, а не список личных адресов сотрудников.

Более того: сегодня компаниям позволено не обнародовать свою контактную информацию и имя домена — они не должны теперь предоставляться любому желающему по первому требованию. По специальному запросу список адресов вашей компании может быть засекречен, что затруднит проникновение атакующих.

Еще одна полезная мысль высказана в приведенной истории: следует использовать горизонтально разделенные DNS. Это означает, что нужно организовать внутренний DNS-сервер. который определяет имена пользователей во внутренней сети, в то время как внешний DNS-сервер будет содержать имена для использования внешними пользователями.

В качестве другого метода разведки хакер запрашивает DNS, чтобы выяснить, на каких операционных системах работают компьютеры компании, а также чтобы получить информацию о структуре всего домена. Эта информация очень полезна при координации усилий в ходе дальнейшей атаки. База данных DNS может содержать сведения обо всех узлах сети (HINFO — Host Information). Сетевой администратор должен всячески избегать появления HINFO-записей на любом публично доступном DNS-сервере.

Еще один из хакерских приемов основан на использовании операции под названием «перенос зоны» (zone transfer). (Адриан рассказывал, что использовал этот метод в своих атаках на сайты The New York Times и excite@home, но оба раза неудачно). Для защиты данных первичный DNS обычно конфигурируется так, чтобы позволить другим авторизованным серверам копировать DNS-записи из конкретных доменов; этот процесс копирования называется переносом зоны. Если первичный сервер сконфигурирован неправильно, атакующий может запустить процесс переноса зоны на любой указанный им компьютер, и таким образом получить подробную информацию обо всех именах узлов и связанных с ними IP-адресов домена.

Для защиты от такого типа атак необходимо разрешить перенос зоны только между определенными компьютерами, это необходимо для нормального ведения бизнеса. Более подробно: первичный DNS-сервер должен быть сконфигурирован так, чтобы позволять перенос только на проверенные вторичные DNS-сервера.

Вдобавок к этому по умолчанию необходим межсетевой экран, чтобы блокировать доступ к ТСР-порту 53 на любом корпоративном сервере. Еще одно правило межсетевого экрана должно разрешать проверенным вторичным серверам имен соединяться с ТСР-портом 53 и инициировать перенос зоны.

Компании должны максимально затруднить атакующим использование т е х н и к и обратного просмотра DNS. До тех пор, пока удобно использовать имена узлов, которые дают понять, какой из узлов для чего используется — такие имена, как database.CompanyX.com — очевидно, что это упрощает хакеру поиск нужно системы, достойной его атаки.

Другая техника сбора информации на основе обратного просмотра DNS содержит использование словаря и атаки грубой силы. Например, если вы собираетесь атаковать домен kevinmitnick.com, то словарная атака будет добавлять любое слово из него к имени домена в виде «слово».kevinmitnick.com, чтобы выявить другие узлы на этом домене.

Обратная DNS-атака грубой силы гораздо сложнее, здесь на месте слова из словаря стоит последовательность букв и цифр, которая с каждой новой попыткой меняется на единицу или на новую букву. Чтобы заблокировать этот метод корпоративный DNS-сервер должен быть так сконфигурирован, чтобы устранить возможность публикации любого внутреннего имени узла. Внешний DNS-сервер может использоваться вместе с внутренним таким образом, чтобы внутренние имена узлов не могли «утечь» в другую сеть. В дополнение к этому, использование раздельных внутреннего и внешнего серверов имен помогает справиться с проблемой, упомянутой выше, касающейся имен узлов: внутренний DNS-сервер. защищенный от внешнего взгляда с помощью межсетевого экрана, может использовать такие имена узлов как databas, research и backupс небольшим риском.

Адриан смог получить ценную информацию о сети The New York Times, изучая заголовки электронных писем, получаемых из газеты, которые дали ему внутренние IP-адреса. Хакеры сознательно инициируют получение электронных писем, чтобы получить информацию такого рода, или просматривают общедоступные ленты новостей с электронными письмами с той же целью. Информация, появляющаяся в заголовке письма может дать знающему человеку немало полезной информации, например то, как происходит образование имен внутри компании, внутренние IP-адреса и путь, по которому прошло электронное письмо. Чтобы оградить себя от подобной утечки информации, компаниям рекомендуется так сконфигурировать их SMTP-серверы, чтобы отфильтровывать любую внутреннюю информацию — IP-адреса или сведения об узлах — из исходящих электронных писем, чтобы помешать ее распространению.

Главным оружием Адриана был «подарок» в виде неправильно сконфигурированных прокси-серверов. Использование такого прокси-сервера позволяет пользователю с внутреннего компьютера компании получать доступ к внешним Интернет-ресурсам. Исследователь изнутри делает запрос о конкретной Интернет-странице; запрос идет на прокси-сервер, который переправляет запрос от имени пользователя и присылает ему ответ.

Чтобы помешать хакеру получить информацию тем способом, каким это удалось Адриану, прокси-серверы должны быть сконфигурированы так, чтобы «слушать» только внутренний интерфейс. Его можно сконфигурировать и так, чтобы он «слышал» только разрешенный список внешних IP-адресов. Таким образом, ни один неавторизованный пользователь извне не сможет соединиться с сервером. Общая ошибка в конфигурации прокси-серверов заключается в том, что они «слушают» все интерфейсы сети, включая и внешние интерфейсы, соединенные с Интернетом. Вместо этого прокси-сервер должен быть сконфигурирован так, чтобы позволять доступ только определенному набору IP-адресов, который должен определяться организацией I A N A (Internet Assigned Numbers Authority) для частных сетей. Есть три блока частных IP-адресов:

От 10.0.0.0 до 10.255.255.255

От 172.16.0.0 до 172.31.255.255

От 192.168.0.0 до 192.168. 255.255

Хорошая идея — ограничение по портам, чтобы ограничить набор услуг, которые предоставляет прокси-сервер, например, ограничить исходящие соединения с HTTP (Интернет) или HTTPS (безопасный Интернет-доступ). Для более тщательного контроля некоторые прокси-серверы, использующие SSL, могут быть сконфигурированы так, чтобы проверять входящий трафик, и иметь возможность убедиться, что неавторизованный протокол не проникает через авторизованный порт. Предпринятые шаги помешают атакующему неадекватно использовать прокси-сервер для соединения с неразрешенными ему сервисами.

После установки и конфигурации прокси-сервера его необходимо проверить на наличие лазеек. Никогда нельзя быть уверенным в собственной неуязвимости, пока не будет проведена тщательная проверка. Прокси-серверы могут быть бесплатно перегружены из Интернета.

Еще один момент: поскольку, устанавливая пакет того или иного программного обеспечения, пользователь может в какой-то момент неосознанно установить и ПО для прокси-сервера, компания должна взять себе за правило тщательно проверять все свои компьютеры на неавторизованную установку прокси-серверов, которые могут быть установлены неосознанно. С этой целью вы можете использовать любимое средство Адриана — Proxy Hunter — для проверки собственной сети. Запомните, что неправильно сконфигурированный прокси-сервер может быть лучшим другом хакера.

Подавляющее большинство хакерских атак может быть остановлено при помощи обычных мер безопасности и стандартных проверок. Опасность случайной установки открытого прокси-сервера слишком часто недооценивается и представляет собой главную уязвимость в большинстве организаций.

По-моему, сказано более, чем достаточно, не правда ли?

<< | >>
Источник: Кевин Митник, Вильям Саймон. Искусство вторжения. 2005

Еще по теме КОНТРМЕРЫ:

  1. Контрмеры по взысканию налоговым органом налогов и пени
  2. СМИ и пиарщики: кто кого?
  3. «Инициатива наказуема»
  4. Всех, кто был до меня, - прощаю!
  5. Вспомогательная аксиома № 15. Никогда не пытайтесь спасти плохие инвестиции за счет усреднения
  6. Спекулятивная стратегия
  7. Основная аксиома № 12
  8. О планировании
  9. Вспомогательная аксиома № 16. Избегайте долгосрочных инвестиций
  10. Спекулятивная стратегия