Искусство вторжения - Митник Кевин - Страница 65

ИСПОЛЬЗОВАНИЕ ВЫСОКИХ ПОРТОВ

Компания сконфигурировала маршрутизатор Cisco так, чтобы разрешить удаленные соединения на порту с большими номерами, предполагая, что эти порты достаточно неопределенные области и они не могут привлечь внимания атакующих — это еще один пример «безопасности через неясность».

Мы уже не один раз обсуждали эту тему на страницах книги, когда решения по обеспечению безопасности основываются на таком подходе. Истории в этой книге снова и снова демонстрируют, что если у вас есть хотя бы одна-единственная щель в системе безопасности, кто-то из атакующих рано или поздно отыщет ее. Самая лучшая стратегия при обеспечении безопасности — убедиться в том, что все точки доступа и устройства (прозрачные или нет) проходят фильтрацию, если доступ к ним происходит извне.

ПАРОЛИ

В тысячный раз повторяем: все изначально установленные пароли должны быть изменены перед тем, как допускать устройство или систему к эксплуатации. Даже если технический персонал знает об этой проблеме, и знает, как ее устранять. Не забывайте о том, что в Интернете есть такие сайты, как http://www.phenoelit.de/dpl/dpl.html например, где приведены все изначальные имена пользователей и пароли.

БЕЗОПАСНОСТЬ ЛИЧНЫХ НОУТБУКОВ

Ситуация, когда устройство, которое используют удаленные работники компании, соединяется с корпоративной сетью с недостаточным уровнем безопасности или же совсем без нее, очень распространена. У одного из пользователей стояло приложение PC Anywhere, позволяющее устанавливать удаленное соединение даже безо всякого пароля. Хотя компьютер и был соединен с Интернетом через dial-up, причем только на очень короткие периоды времени, каждое из таких соединений открывало окно для возможных проникновений. Атакующие смогли удаленным образом управлять компьютером, соединяясь с ноутбуком, на котором работало приложение PC Anywhere. И поскольку оно было сконфигурировано так, что даже не требовало пароля, атакующие могли проникнуть в компьютер пользователя, просто зная его IP-адрес.

ИТ-политики компании должны устанавливать такие требования к системам клиентов, чтобы у них был определенный уровень безопасности перед тем, как им будет позволено соединиться с корпоративной сетью. Есть специальные программы, которые устанавливаются на компьютеры клиентов и обеспечивают контроль их безопасности и их соответствие политике компании: в ином случае компьютеру клиента не разрешается доступ к корпоративным компьютерным ресурсам. «Плохие парни» обычно анализируют свою мишень, изучая ситуацию в целом. Они проверяют, соединен ли какой-нибудь пользователь удаленно, и если да, то где источник этого соединения. Атакующий знает, что если ему удастся проникнуть в один из таких «надежных» компьютеров, используемых для доступа в корпоративную сеть, очень вероятно, что ему удастся и дальше получать доступ к корпоративным информационным ресурсам.

Даже когда в компании о безопасности думают вполне серьезно, очень часто проблема защиты ноутбуков и домашних компьютеров, используемых сотрудниками для доступа к корпоративной сети, недооценивается, они остаются открытыми для атаки, и атакующие могут использовать этот недосмотр, как и произошло в этой истории. Ноутбуки и домашние компьютеры, которые соединяются с внутренней сетью, должны быть полностью безопасны — иначе компьютер сотрудника может стать слабым звеном, которое как раз и используют «плохие парни».

АВТОРИЗАЦИЯ

Атакующие в этом случае смогли извлечь информацию для авторизации из компьютера клиента, не будучи обнаруженными. Как уже не раз отмечалось в предыдущих главах, более продуманная система авторизации может остановить большинство атакующих, и компании должны использовать динамические пароли, смарт-карты, токены или цифровые сертификаты, как средства авторизации для удаленного доступа в VPN или другие важные системы.

ФИЛЬТРАЦИЯ НЕ ПЕРВОСТЕПЕННЫХ СЕРВИСОВ

ИТ-персонал компании обязан разработать определенный набор фильтров для управления и входящими и исходящими соединениями серверов и хостов с такой ненадежной сетью, как Интернет, так же, как и для сетей (DMZ) внутри компании.

УКРЕПЛЕНИЕ

Эта история содержит и напоминание для ИТ-персонала, что не заботиться об укреплении компьютерных систем, связанных с внутренней сетью или не вовремя использовать «заплатки» для систем безопасности — это очень большой риск. Именно такой стиль поведения дает «плохим парням» преимущество. После того, как атакующий найдет путь доступа хотя бы к одной недостаточно защищенной системе и сможет проникнуть в нее, открывается дверь для незаконного доступа в другие системы, которые доверяют атакованному компьютеру. Далее, просто полагаться на межсетевой экран периметра, чтобы не пускать хакеров в сеть, и не заботиться об укреплении систем, связанных с корпоративной сетью, аналогично тому, как если бы вы сложили все свои деньги на обеденный стол посредине квартиры и думали бы, что они в безопасности, поскольку входная дверь заперта.

ПОСЛЕСЛОВИЕ

Поскольку это последняя из историй, рассказывающих о технических атаках, уместно сказать несколько слов в заключение.

Если бы вас попросили назвать важные шаги для того, чтобы перекрыть большинство лазеек, которые позволяют атакующим получить доступ в систему, какие бы вы перечислили, прочитав эту книгу?

Подумайте об этом несколько минут, а потом — переходите к следующей странице.

Я не знаю, что лучше всего запомнилось вам из наиболее вероятных ошибок системных администраторов, описанных в этой книге. Но думаю, несложно выучить хотя бы часть этого списка:

• наладьте процесс управления заплатками в системе безопасности, чтобы они использовались вовремя;

• для удаленного доступа и доступа к важной информации или компьютерным ресурсам используйте более сильные методы авторизации, чем просто пароли;

• смените все изначально установленные пароли;

• используйте модель глубоко эшелонированной обороны, так, чтобы прорыв в одном месте не угрожал безопасности всей системы, и постоянно проверяйте все элементы обороны;

• выработайте корпоративную политику безопасности для фильтрации как входящего, так и исходящего трафика;

• укрепите все клиентские системы, которые имеют доступ к важной информации или вычислительным ресурсам. Не забывайте, что опытный хакер в качестве мишеней часто выбирает клиентские системы, чтобы проникнуть в их соединение или из проверенного компьютера связываться с корпоративной сетью;

• используйте устройства для выявления вторжения, чтобы идентифицировать подозрительный трафик или попытки использовать известные лазейки — такие системы могут с равным успехом выявить как недобросовестного сотрудника самой компании, так и атакующего, которому уже удалось проникнуть за внешний периметр безопасности; • постоянно проверяйте работу операционной системы и важнейших приложений, обеспечьте создание записей о работе хостов, где нет большого числа работающих приложений и минимальное число пользователей.

Глава 10.

Социальные инженеры: как они работают и как их остановить