КОНТРМЕРЫ
Хотя мы рассказали о различных атаках, вы должны были понять. как много одинаковых лазеек открывают хакерам путь к успеху, а значит, и для противодействия им есть общие контрмеры.
Вот главные выводы из рассказанных историй.
КОРПОРАТИВНЫЕ МЕЖСЕТЕВЫЕ ЭКРАНЫ
Межетевые экраны должны быть сконфигурированы так, чтобы разрешать доступ только к необходимым услугам, как того требует бизнес. Надо провести тщательную проверку, чтобы убедиться, что ни к каким услугам нет доступа, кроме как по бизнес-необходимости. Вдобавок стоит использовать «межсетевой экран с проверкой состояния». (Этот тип межсетевого экрана обеспечивает более высокий уровень безопасности, отслеживая перемещение всех пакетов за определенный период времени. Входящие пакеты пропускаются только в ответ на исходящее соединение. Другими словами, межсетевой экран открывает свои ворота только для определенных портов на основе исходящего трафика). Кроме того, имеет смысл установить набор правил для управления исходящими сетевыми соединениями. Системный администратор должен периодически проверять конфигурацию межсетевого экрана и все записи о его активности, чтобы убедиться, что никто не сделал в нем неавторизованных изменений. Если хакер взламывает межсетевой экран, то он, скорее всего, сделает в нем незначительные перемены для своей выгоды.
Имеет смысл организовать и управление доступом к VPN на основе IP-адреса пользователя. Это применимо там, где лишь ограниченное число пользователей может соединяться с корпоративной сетью через VPN. В дополнение к этому можно ввести более безопасную форму VPN-авторизации, такую, как смарт-карты или специальные сертификаты вместо каких-то локальных секретов.
ЛИЧНЫЕ МЕЖСЕТЕВЫЕ ЭКРАНЫ
Эрик проник в компьютер СЕО и обнаружил, что там работает персональный межсетевой экран. Его это не остановило, поскольку он использовал сервис, который был разрешен межсетевым экраном. Он смог посылать нужные ему команды через процедуру, работающую по умолчанию в Microsoft SQL-сервере. Это еще один пример использования сервиса, от которого межсетевой экран не защищает. Жертва в таком случае никогда и не подумает проверять огромные записи (logs) об активности межсетевого экрана, которые содержат более 500 Кбайт. И это не исключение. Многие организации внедряют специальные технологии для обнаружения и предотвращения вторжения, после чего думают, что технологии будут сами собой управлять. Как было показано, такое неразумное поведение позволяет атаке продолжаться без помех.
Урок ясен: необходимо очень тщательно определить правила работы межсетевого экрана, чтобы не только фильтровать, как входящий, так и исходящий трафики для услуг, которые не являются необходимыми для ведения бизнеса, но и периодически проверять соблюдение этих правил и записей о работе экрана, чтобы обнаружить неавторизованные изменения или попытки взлома системы безопасности.
После того, как хакер проник в систему, он, скорее всего, отыщет «спящую» или неиспользуемую систему и проникнет в них, чтобы иметь возможность вернуться сюда в недалеком будущем. Другая тактика состоит в том, чтобы добавить групповые привилегии существующим аккаунтам, которые уже были взломаны, Периодические проверки всех директорий пользователей, групп и разрешений доступа к файлам — это единственный способ выявить возможное вторжение или неавторизованную активность собственных сотрудников. Есть целый ряд коммерческих и общедоступных средств для контроля безопасности, которые автоматизируют этот процесс. Поскольку хакеры прекрасно осведомлены о них, очень важно периодически проверять целостность и этих средств, текстов и любых данных, которые используются вместе с ними.
Многие вторжения являются прямым результатом неправильной конфигурации системы, например, лишних открытых портов, слабой системы защиты доступа к файлам и неправильно сконфигурированным Интернет-серверам. После того, как хакер проник в систему на уровне пользователя, его следующим шагом становится повышение своих привилегий через использование неизвестных или незакрытых лазеек и плохо сконфигурированных разрешений. Не забывайте, что многие атакующие совершают целый ряд осторожных шагов на пути к полному проникновению в систему.
Администратор базы данных, которая поддерживает Microsoft SQL-сервер, должен рассматривать возможность отключения определенных команд (таких как xpcmdshell, xpmakewebtask и xpregread), которые могут быть использованы для получения дальнейшего доступа к системе.
СКАНИРОВАНИЕ ПОРТОВ
В то время, как вы читаете эти строки, вполне возможно, что ваш соединенный с Интернетом компьютер сканируется другим компьютером в поисках «низко висящего яблока». Подобное сканирование портов вполне законно в США (и большинстве других стран), неприязнь к хакерам имеет свои ограничения. Самое важное — отличить серьезную атаку от тысяч любительских попыток «пробить» список адресов вашей компании.
Есть несколько продуктов, включая межсетевые экраны и системы обнаружения вторжения, которые определяют заранее оговоренные типы сканирования портов и могут сигнализировать нужным людям о неавторизованной активности. Вы можете настроить большинство межсетевых экранов так, чтобы выявлять сканирование портов и душить подобные соединения. В некоторых коммерческих межсетевых экранах есть возможность предотвратить быстрое сканирование портов. Есть и средства с открытым кодом, которые могут выявлять сканирование портов и отбрасывать пакеты в течение определенного периода времени.
ЗНАЙТЕ СВОЮ СИСТЕМУ
Есть целый ряд правил по управлению системой, которые вы должны выполнять: • проверять список процессов на наличие необычных и неизвестных процессов;
• проверять список программ на неавторизованные добавления или изменения;
• проверять всю файловую систему в поисках новых или модифицированных файлов, текстов или приложений;
• обращать внимание на необычное уменьшение свободного пространства на диске;
• постоянно убеждаться в том, что все системы и пользователи работают и убирать «спящие» или неизвестные директории;
• проверять, что все специальные аккаунты сконфигурированы так, чтобы не допускать интерактивного входа в них со стороны сети;
• проверять, что все директории системы и файлы имеют соответствующие разрешения на допуск к файлам;
• проверять все записи об активности системы на предмет наличия в них необычной активности (например, удаленного доступа неизвестного происхождения или в необычное время, то есть, в нерабочие часы или в выходные дни);
• проверять все записи об активности Интернет-сервера, чтобы идентифицировать все запросы неавторизованного доступа к файлам; атакующие, как продемонстрировано в этой главе, будут копировать файлы в директорию Интернет-сервера, и перегружать файлы через Интернет (HTTP);
• постоянно убеждаться в том, что на Интернет-сервере, FrontPage или WebDav установлены соответствующие разрешения для предотвращения неавторизованного проникновения с файлов доступа.
РЕАКЦИЯ НА ВТОРЖЕНИЕ ИЛИ ПОДАЧА СИГНАЛА ТРЕВОГИ
Своевременное осознание того, что произошел прорыв в систему, может помочь предотвратить существенные потери. Надо осуществлять постоянный аудит операционной системы, чтобы идентифицировать возможные прорехи в системе безопасности. Выработайте способ подачи автоматического сигнала тревоги сетевому администратору, когда происходит какое-то необычное событие. При этом имейте в виду, что если атакующий уже получил высокие привилегии и осведомлен о контроле, он может отключить эту систему подачи сигнала тревоги.
ВЫЯВЛЕНИЕ НЕАВТОРИЗОВАННЫХ ИЗМЕНЕНИЙ В ПРИЛОЖЕНИЯХ