На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера
№ 2 март–апрель 2010 г.
Тема номера:
СОЗДАНИЕ КОРПОРАТИВНОЙ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Пять способов взломать (и защитить) сети «by Microsoft»

В. Тигров


Предыдущая статьяСледующая статья

Существует множество инструкций и рекомендаций по защите сетей. Но зачастую им недостает одной малости: привязки к реальным угрозам. В этой статье я постарался скомпилировать наиболее распространенные угрозы безопасности сетей, построенных на основе решений Microsoft, и описать методы защиты от связанных атак.
 

Кто пасется на лугу?

Сетевой периметр — основа безопасной информационной системы, так как фильтрация трафика является базовым защитным механизмом. Несмотря на то что эта технология развивается с 1988 года, основная проблема, связанная с фильтрацией трафика, была и остается неизменной со времен пакетных фильтров DEC.

Давайте попробуем угадать, в чем она заключается. Сложности с обработкой IP-фрагментации? Сбор и контроль TCP-сессий? Обработка протоколов прикладного уровня? Сложности работы с зашифрованным трафиком?.. Нет, нет и еще раз нет!

Главная проблема межсетевых экранов заключается в неадекватной реализации политики фильтрации трафика. Зачастую на периметре сети можно встретить сетевые службы, о которых не подозревают ИТ- и ИБ-специалисты.

Что это у нас там торчит на порту 23523? Служба Remote Desktop или Radmin, «прокинутая» администратором для «подкрутки» контролера домена в случае «падения» VPN? «Забытый» разработчиком SQL-сервер с пустым паролем SA? «Недозакрытый» 1026/445/UDP, через который в сеть проползет «специально обученный» вариант Kido?.

Кажется нереальным? Удел «школоты»? Ошибаетесь! Эти примеры взяты из реальной жизни и были обнаружены автором в 2009 году в больших и серьезных корпоративных сетях.

Защитой от подобных проблем является постоянный мониторинг правил межсетевого экранирования. Можно, конечно, пытаться вручную анализировать сотни правил в ACL, но гораздо более адекватную картину можно получить с помощью сетевых сканеров.

Сетевые сканеры позволяют быстро определить реально доступные из Интернета сетевые службы, их версии, а иногда и уязвимости. Более того, большинство современных программ подобного класса поддерживает функцию дифференциальных отчетов, то есть может формировать картину изменений в сети. Например, вновь открытые сетевые службы, изменения в версиях и конфигурациях и т. д. Причем эта информация может просто приходить по электронной почте в ситуациях, когда что-либо меняется.

< ... >
 


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2017 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100