Rozdział 2. ¨ Mechanizmy ochrony przed włamaniami 163
Jasne jest, iż jeśli nasze systemy komputerowe mają działać zgodnie z firmowymi lub osobistymi zasadami bezpieczeństwa, to zawsze jakieś porty lub usługi będą do pewnego stopnia wrażliwe na ataki hakerów. Aby maksymalnie zredukować te słabości i zabezpieczyć się przed zdalną infiltracją, konieczne jest poznanie szczegółów pewnych procedur, które powinny stać się częścią każdej polityki zabezpieczeń. Tego właśnie dotyczy drugi rozdział tej książki. W pierwszym omówiliśmy konkretne techniki, których można użyć do uchronienia się przed atakami wykorzystującymi zarezerwowane i ukryte porty oraz usługi. W tym poznasz kroki wymagane przy wprowadzaniu środków zabezpieczających, znane jako mechanizmy ochrony przed włamaniami. Jednym zdaniem, są to techniki używane do zabezpieczenia systemu przed penetracją.
Ten rozdział może stanowić odpowiedź na pytania postawione w pierwszym tomie tej książki, Hack wars. Na tropie hakerów, który przedstawia szczegółowe informacje dotyczące różnego rodzaju prób penetracji systemu (włączając w to ataki polegające na: wykorzystaniu luk wykrytych w czasie zbierania informacji i skanowania lokalizacji, wywołaniu ogólnego chaosu, uzyskaniu dostępu na prawach administratora, włamaniu się i przejęciu kontroli nad komputerami, serwerami i urządzeniami sieciowymi, a także wykorzystaniu potencjalnych dziur w zabezpieczeniach zarówno zdalnych, jak i lokalnych). W tym rozdziale zademonstrujemy techniki pozwalające na zabezpieczenie się przed takimi atakami. Poznamy metody ochrony przed programami wykorzystującym tylne drzwi (backdoor), przepełnianiem (flooding), manipulacją dziennikami, bombardowaniem pocztą (mail bombing), spamowaniem, łamaniem haseł, podszywaniem się (spoofing), podsłuchiwaniem pakietów, wirusami oraz włamaniami na strony internetowe. Przyjrzymy się także komercyjnym programom do tworzenia barier ochronnych, ręcznym technikom zespołu Tiger Team, a także własnym sposobom zabezpieczania programów. Niektóre środki ochronne przed typowymi atakami hakerów zostaną omówione bardziej szczegółowo. Po przeczytaniu będziesz posiadał wystarczającą wiedzę w zakresie zabezpieczenia lokalnej i zdalnej komunikacji.
Rozdział rozpoczniemy od omówienia technik wykorzystujących do włamania tylne drzwi. Jak już stwierdziliśmy w pierwszym tomie tej książki, takie programy składają się z narzędzi używanych przez hakerów do uzyskania i utrzymania dostępu do systemu, a także do ukrycia swoich śladów dostępu. A ponieważ lekarstwo na takie próby włamania może również posłużyć do naprawienia wad różnych systemów operacyjnych, w tej części przedstawimy także bariery ochronne przeciwko programom wykorzystującym tylne drzwi. Odnoszą się one do aktualnie wykorzystywanej architektury zabezpieczeń bramy, co obejmuje na przykład firewalle, filtry oraz proxy zarówno proste, jak i zaawansowane.
Badanie naruszeń zabezpieczeń przez programy tego typu może być skomplikowanym przedsięwzięciem i dlatego musi być dokładnie zaplanowanie. W czasie fazy projektowania zabezpieczeń należy rozważyć trzy często występujące schematy implementacji narzędzi wykorzystujących tylne drzwi. Mowa tu o wirtualnej kontroli połączenia, wewnętrznych implantach oraz wewnętrznych i zewnętrznych słabościach.
Telnet, usługa współpracująca z zarezerwowanym portem 23, działa na szczycie protokołu TCP/IP jako emulator terminala dla sesji logowania. Ogólną zasadą jest, iż, jeśli to tylko możliwe, należy zablokować tę usługę przed zdalnym dostępem. Niestety, często jest ona niezbędna do zarządzania lokalnego.
W rozdziale 1. opisano sposób wyłączenia oraz zabezpieczenia tej usługi w systemach Windows i UNIX. W przypadku systemów sieciowych możesz dokonać kilku prostych modyfikacji konfiguracji w celu zdalnego zablokowania dostępu przez Telnet, pozwalając na lokalne uwierzytelnianie. Zajrzyj do podręcznika obsługi danego urządzenia, aby uzyskać informacje na temat procedury i aktualizacji. W tej części przyjrzymy się dokładniej dwóm podstawowym aplikacjom.
W scenariuszu przedstawionym na rysunku 2.1 dwie sieci są rozdzielone przy użyciu routerów filtrujących dostęp. Łącze WAN między nimi może symbolizować dowolne medium komunikacyjne, takie jak łącze dzierżawione, xDSL, ISDN, połączenie komutowane itp. (interfejs WAN oczywiście zmieni się odpowiednio; dla przykładu, jeśli używasz DSL, będzie to Ethernet 1, a jeśli korzystasz z ISDN, interfejs wskaże BRI 0). Można zmienić również zdalną sieć w celu przedstawienia Internetu, sieci klienta, sieci LAN dostawcy itp. Przyjrzyjmy się teraz konfiguracji sprzętowej, która musi spełnić następujące wymagania:
Rysunek 2.1.
Typowy scenariusz sieci WAN z routerami filtrującymi dostęp
t lokalni użytkownicy mogą uzyskać dostęp do wszystkich usług w zdalnej sieci;
t zdalni użytkownicy nie mogą korzystać z usług telnet i rtelnet w sieci lokalnej;
t stosowane jest szyfrowanie haseł.
Konfiguracja lokalna
service password-encryption
no service tcp-small-servers
no service udp-small-servers
!
hostname Local
enable password 7 password
ip source-route
no ip name-server
ip subnet-zero
no ip domain-lookup
ip routing
interface Ethernet 0
no shutdown
description connected to Ethernet LAN
ip address 172.29.41.1 255.255.255.0
ip access-group 100 in
keepalive 10
interface Serial 0
description connected to Remote network
ip address 172.29.42.1 255.255.255.252
encapsulation hdlc
! Lista kontroli dostępu 100
access-list 100 deny ip 172.29.42.0 0.0.0.3 any
access-list 100 deny ip 172.29.43.0 0.0.0.255 any
access-list 100 permit udp any eq rip any eq rip
access-list 100 permit tcp any any established
access-list 100 permit ip any 172.29.42.0 0.0.0.3
access-list 100 permit ip any 172.29.43.0 0.0.0.255
! Lista kontroli dostępu 101
access-list 100 deny ip 172.29.41.0 0.0.0.255 any
access-list 100 deny tcp 172.29.41.0 0.0.0.255 eq 23
access-list 100 deny tcp 172.29.41.0 0.0.0.255 eq 107
access-list 100 permit ip any 172.29.41.0 0.0.0.255
router rip
version 2
network 172.29.0.0
no auto-summary
ip classless
no ip http server
snmp-server community local RO
no snmp-server location
no snmp-server contact
line console 0
exec-timeout 0 0
password 7 123
login
line vty 0 4
password 7 password
Konfiguracja zdalna
hostname Remote
enable password password
ip address 172.29.43.1 255.255.255.0
description connected to Local network
ip address 172.29.42.2 255.255.255.252
password 123
password password
Do scenariusza przedstawionego na rysunku 2.1 w tym przykładzie dodamy firewall NetScreen między lokalnym routerem a siecią LAN. Głównym celem tego firewalla jest ochrona sieci lokalnej przed atakami hakerów, choć w tym przykładzie skoncentrujemy się na wyłączeniu Telnetu dla użytkowników z zewnątrz. Na szczęście, dzięki zdobywającemu nagrody interfejsowi konfiguracji NetScreen ta modyfikacja będzie bardzo prosta.
Będąc w głównym interfejsie, wybierz Configure z opcji menu System po lewej stronie. Teraz w zakładce Interface na górze głównej ramki odnajdź opcję Untrust Interface i anuluj zaznaczenie Telnet, tak jak pokazano to na rysunku 2.2.
Wewnętrzne implanty występują dość często i są wysoce niebezpieczne. Takie implanty są instalowane w wewnętrznej sieci przez zaufanego użytkownika, technika lub osobę, na którą podziałano przy użyciu inżynierii społecznej. Jest to zwykle ktoś, kto ma osobiste zastrzeżenia do firmy lub współpracownik hakera nie posiadającego dostępu do sieci wewnętrznej.
Nie trzeba być osobą ze zmysłem technicznym, aby zdać sobie sprawę, iż ten typ zagrożenia wymaga wprowadzenia polityki zabezpieczeń, która obejmuje blokowanie dostępu do centrów danych, kamery, a także dzienniki modyfikacji zawierające informacje o dostępie do systemu. Każdy serwer, router i firewall powinien mieć włączoną
Rysunek 2.2.
Wyłączanie funkcji Telnet w interfejsie użytkownika NetScreen
funkcję zapisywania regularnie archiwizowanych dzienników (obejmuje to również taśmy z kamer). Komercyjne programy, które zawierają standardowe mechanizmy tworzenia dzienników, powinny być używane nie tylko do badania działania funkcji, ale także do zbierania dowodów na aktywność zespołów hakerskich. Wszyscy goście, zewnętrzni konsultanci i dostawcy powinni wchodzić do biura tylko w towarzystwie autoryzowanych pracowników i przez cały czas nosić plakietki identyfikujące.
Jeśli sieć oferuje zdalne usługi ze strefy zdemilitaryzowanej lub za pomocą bezpiecznego połączenia przez firewall (do wewnętrznej sieci LAN) na zewnątrz sieci wewnętrznej, niektóre usługi mogą być podatne na implementację narzędzi wykorzystujących tylne drzwi. Jest to zwykle możliwe po skutecznej penetracji w czasie ataku wstępnego, takiego jak próba przepełnienia bufora czy portu.
Większość systemów zabezpieczeń jest uważana za nieadekwatne, co oznacza, iż haker może co najmniej spowodować przepełnienie bufora lub portu. Aby zabezpieczyć się przed takimi próbami wstępnego ataku, uprościłem szczegółowe techniki Tiger Team do postaci listy czynności do wykonania. Bardzo ważne jest wykonanie instrukcji przedstawionych w kolejnych sekcjach rozdziału i potraktowanie ich jako niezbędnej polityki zabezpieczającej przed zablokowaniem systemu. Prawdę mówiąc, każdy krok przedstawiony w poszczególnych rozdziałach tej książki powinien stać się częścią takiej niezbędnej procedury.
W czasie przeglądania Internetu, niezależnie od wykonywanych czynności i odwiedzanych stron, prawie każdy może śledzić Twoje ruchy, zbierając osobiste informacje o Tobie. Taki wyciek ważnych informacji jest możliwy dzięki cookies. Zgodnie z wcześniejszymi informacjami wiemy, że cookie to mały plik, który zawiera dane wukorzystywane przez przeglądarki internetowe. Dowiedzieliśmy się także, jak możemy wyłączyć cookies, modyfikując ustawienia zabezpieczeń przeglądarki. Taki drastyczny krok może jednak nie spotkać się z pozytywnym przyjęciem, ponieważ niektóre strony próbują dokonać personalizacji naszych wizyt, pamiętając nasze imiona, rekomendując produkty i śledząc nasze konta. Alternatywą w takiej sytuacji może być zastosowanie menedżera cookies.
Menedżerzy cookies to narzędzia, które monitorują i przechwytują niepożądaną komunikację cookies w tle. W czasie przeglądania Internetu, kiedy witryna próbuje użyć cookies do zebrania danych demograficznych, śledzić sposób wykorzystania strony lub zebrać dane osobiste, sprytny menedżer przechwyci takie cookies i zapyta nas o sposób postępowania. Dobry menedżer potrafi również wykryć programy lokalne, które próbują uzyskać dostęp do Internetu z naszego komputera.
Aby jeszcze bardziej zadbać o swoją prywatność, pamiętaj o zastosowaniu dobreg...
lolo0011