10 советов о том, как осложнить жизнь атакующему вашу сеть

Я провожу множество тестовых проникновений в сети и системы клиентов. Очень часто этот процесс является достаточно прямолинейным, так как администратор сети не фильтрует ICMP трафик, и мои попытки сканирования не блокируются в упреждающем порядке. Мне нравится такое тестирование, так как его можно произвести быстро и легко.
Но мне не по душе, когда здравомыслящие (в вопросах безопасности) администраторы создают множество барьеров на пути к системе-цели. Тогда тест, который обычно занимает пару дней, затягивается на недели! Установив эти барьеры, вы сможете заставить атакующих (и консультантов по безопасности) потратить гораздо больше усилий на составление карты сети, идентификацию сервисов и приложений, а также последующую их эффективную атаку и компрометацию.
Эта статья – анализ моих основных десяти советов всем администраторам сетей для защиты их от простых (в т. ч. массовых автоматизированных) атак и осложнения быстрого проникновения упорных атакующих.

1. фильтруйте входящие ICMP ping-сообщения

Когда я занимаюсь работой по тестированию защищенности интернет-сетей и систем клиентов, я всегда начинаю с разведки ICMP (пингом) для определения очевидных, слабо защищенных серверов, которые буду исследовать впоследствии. В подсети /24 с 254 потенциальными адресами серверов ну очень приятно быстро сузить этот диапазон до небольшого количества доступных машин.
Если вы фильтруете каждый ICMP echo-запрос (тип 8, код 0) в трафике через ваши пограничные маршрутизаторы/файрволлы, то потенциальным атакующим придется сканировать порты всех IP-адресов вашей подсети, что заметно увеличит количество времени, затраченное на исследование сети. Ну а самых незадачливых взломщиков эта простая мера и вовсе отпугнет.

2. настройте файрволлы на использование защиты от SYN-флуда

Nmap и похожие на него инструменты для сканирования при стандартных настройках работают следующим образом: отправляют тысячи подразумевающих ответ TCP SYN-пакетов на различные порты и затем по ответам определяют доступные сетевые сервисы. Второй, очень эффективный барьер, хорошо работающий вместе с фильтрацией входящих ICMP ping-сообщений, заключается в конфигурировании файрволлов на защиту от SYN-флуда (поддерживается в WatchGuard, Check Point, NetScreen и многих других).
Этот механизм (защита от SYN-флуда, SYN Flood Protection) не принимает SYN-пакеты от источников, приславших слишком много оных, напоминающих, тем самым, традиционные источники DoS-атаки (Denial-of-service, отказ в обслуживании). Однако, поскольку и сканирующие инструменты быстро отправляют тысячи SYN-пакетов, они отбрасываются механизмами защиты от SYN-флуда.
Атакующие все равно cмогут сканировать порты и составлять карту вашей сети, а также ее сервисов, но для этого им потребуется перенастроить инструменты типа nmap и SuperScan) для увеличения задержки между посылкой SYN-пакетов.

3. фильтруйте исходящие ICMP сообщения типа 3

Сообщения ICMP типа 3 («недостижимо», unreachable) используются при сканировании UDP-портов для вычисления открытых портов (с открытых портов сообщения ICMP «destination port unreachable» не приходят). Эти сообщения также используются различными инструментами сетевой безопасности, включая firewalk для оценки политик и наборов правил граничных маршрутизаторов и файрволлов.
Фильтрация исходящих сообщений ICMP типа 3 сильно осложнит сканирование UDP-портов, а также станет помехой для «тестового проникновения».
/* Многие отмечают, что все же следует пропускать ICMP-сообщения типа 3 с кодом 4, а не банально фильтровать все ICMP сообщения типа 3. При полной же фильтрации механизм исследования MTU маршрута (path MTU discovery) не будет работать – прим. переводчика. */

4. поместите все публично доступные интернет-серверы в ДМЗ


Я в курсе, это очевидный практический прием, но меня все равно удивляет, когда при тестировании сети я сталкиваюсь с определенными общедоступными серверами, не помещенными в ДМЗ /* ДМЗ (ДеМилитаризованнаяЗона) – «нейтральная» пограничная подсеть, отделенная сетевыми экранами от внешних и внутренних сетей. – прим. переводчика */
Повторю правило: любой общедоступный Интернет-сервер (почтовый, FTP или веб-сервер) должен быть размещен в ДМЗ для того, чтобы защитить как ДМЗ от Интернета, так и внутренние сетевые системы от ДМЗ.

5. поставьте Microsoft URLScan на IIS веб-серверы

URLScan (http://www.microsoft.com/windows2000/downloads/recommended/urlscan/default.asp) – отличный бесплатный фильтрующий инструмент от Microsoft. Он предотвращает все общеизвестные атаки на веб-серверы под управлением IIS, фильтруя доступ к необязательным возможностям и расширениям ISAPI. Даже если ваш веб-сервер и уязвим для неоткрытых уязвимостей, то фильтрация, обеспечиваемая URLScan, защитит вас и даст вам время на установку патча в случае, если уязвимость серьезна.

6. разрешайте удаленный доступ к пользовательским сервисам только через проверенные VPN-соединения

Общий доступ к Microsoft Outlook Web Access, электронной почте через POP3 и другим пользовательским сервисам создает проблемы на трех главных фронтах:
– уязвимости (переполнения, ошибки авторизации), обнаруживаемые в сервисах;
– незащищенность от сниффинга, что подвергает опасности авторизационные данные;
– слабые возможности аудита и блокировки при использовании этих сервисов приводят к возможности использования методов «грубой силы».
В сетевом окружении, где важна безопасность, доступ к пользовательским сервисам должен организовываться только через авторизованные VPN-соединения.

7. проверьте вашу сеть на факт наличия открытых прокси или почтовых серверов с открытым релеем

«Обратные» прокси (по сути дела обычные прокси-сервисы, но поддерживающие обратное, «нетрадиционное» направление транслирования трафика – от Интернета к хостам внутренней сети ), активно использующиеся в корпоративном веб-окружении, веб-, почтовые- и прокси-серверы часто бывают неверно настроены, из-за чего почтовый, веб или другой трафик может быть направлен на произвольные внутренние либо интернетовские сервисы.
Полезные инструменты для поиска открытых прокси: pxytest (http://www.unicom.com/sw/pxytest/), proxycheck (http://www.corpit.ru/mjt/proxycheck.html).

8. убедитесь, что удаленные пользователи бдительны

Целеустремленные атакующие любят находить и использовать любое слабое звено в цепочке. В крупных сетях у домашних пользователей обычно есть доступ (по VPN или при помощи других соединений) к важным внутренним данным и системам. Важно, чтобы был настроен персональный файрволл и работал самый свежий антивирус, но еще важнее, чтобы удаленные пользователи были бдительны и не запускали подозрительных почтовых вложений, которые могут содержать специально спроектированный троянский код.

9. используйте мощные авторизационные механизмы для администраторов

Эффективным способом защиты от кражи атакующими администраторских паролей (с последующим применением их для полного контроля над внутренним Windows-доменом или Active Directory), является проверка на деле двухфакторных авторизационных систем для администраторов, типа RSA SecurID или Secure Computing SafeWord. Использованием двухфакторных авторизационных систем сводится на нет угрозу как атак методом «грубой силы», так и сниффинг- и релей-атак (SMBRelay (http://www.xfocus.net/articles/200305/smbrelay.html) и др.).

10. заходите на сайты по информационной безопасности каждые несколько дней

Находится в постоянной «боеготовности», знать о последних угрозах и инструментах – обязательно. Лично я проверяю большинство основных сайтов по безопасности каждые несколько дней, читая списки рассылок, форумы и статьи. Рекомендую обратить внимание на следующие ресурсы: SecurityFocus (http://www.securityfocus.com), Packet Storm (http://www.packetstormsecurity.org), Secunia (http://www.secunia.com).

Крис МакНаб, автор книги «Network Security Assessment», технический директор независимой фирмы Matta, занимающейся консалтингом по вопросам безопасности. Перевод Николая "Nickky" Щетько,me@nickky.com.