خلاصه:
در راستای بحث امنیت شبکه و در ادامه مطلب کنترل های حساس امنیتی به بررسی سومین کنترل می پردازیم.چه در شبکه داخلی و چه در اینترنت زمانی که یک مهاجم کنترل سیستمی را در دست می گیرد، شروع به بررسی شبکه برای پیدا کردن دستگاههایی می کند که با تنظیمات پیش فرض و اولیه در حال کار هستند و در این شکل از کاربرد در برابر انواع و اقسام حملات آسیب پذیر هستند.(به عنوان مثال روتری که برای جلوگیری از Brute-Force درست تنظیم نشده!) . این را باید بدانیم که تنظیمات اولیه نرم افزار ها و سخت افزار های مختلف و حتی سیستم عامل ها با توجه به اصل راحتی در پیاده سازی صورت گرفته و نه امنیت. پس رها کردن آنها با تنظیمات اولیه کار عاقلانه ای نیست. ساده تر بگم هاردنینگ جزیی از اصول هست.
داستان یک نفوذ:
- در سال ۲۰۱۲ اطلاعات مربوط به نام کاربری و Hash مربوط به کاربران LinkedIn & eHarmony دزدیده شد.
- هکری به نام dwdm این اطلاعات را منتشر کرد.
- گروهی روی کرک کردن این پسورد ها مشغول به کار شدند و اصل پسورد ها را روی اینترنت منتشر کردند.
- کرک پسورد ها بدلیل مکانیزم ضعیف بکار رفته برای محافظت از پسورد ها موفقیت آمیز بود.
- استفاده از الگوریتم های هش MD5 & sha1 به صورت ساده و بدون استفاده از salts این کار را ساده تر کرده بود.
مکانیزم های کنترلی و جلوگیری:
- به پیکربندی استاندارد و امن سیستم عامل و نرم افزار های بکار رفته توجه و هاردنینگ های مربوطه را انجام دهید. این تنظیمات در دوره های زمانی مشخص باید مورد بازبینی قرار بگیرند و حتی در زمان بوجود آمدن آسیب پذیری جدید و یا حمله ای جدید بروزرسانی گردند.
- از شیوه مدیریت پیکربندی سخت پیروی کرده و یک image امن شده از سیستم عامل هایی که قرار است در سازمان نصب گردد تهیه کنید. هر سیستمی که مورد بهره برداری توسط مهاجمین قرار میگیرد باید توسط این image تهیه شده re-image شود. آپدیت های منظم و استثناء های لازم باید در در فرآیند مدیریت تغییرات سازمان ثبت شوند. این ایمیج باید برای سرورها ، ایستگاه های کاری و بقیه سیستم های مورد استفاده در سازمان تهیه گردد.
- این image ها باید، در جایی مناسب مانند یک سیستم آفلاین ، یا air-gapped ذخیره شده و ابزار های بررسی یکپارچگی (integrity checking tools) برای اطمینان از عدم تغییر آنها پیاده سازی شود و برای انتقال آنها به سیستم های دیگر و استفاده در فرآیند نصب از مدیا های امن استفاده گردد.
- تمامی کارهایی که برای مدیریت سیستم ها از راه دور انجام میشود باید به صورت امن باشد. در صورتی که از پرتکل هایی مانند Telnet,RDP,VNC و … استفاده میکنید باید یک کانال دوم امن مانند IPSEC, TLS , SSl راه اندازی و از آنها روی این کانال امن استفاده نمایید. و یا در صورت عدم امکان از مکانیزم OOB برای مدیریت استفاده نمایید.
- استفاده از مکانیزم ها و ابزار های بررسی یکپارچگی باعث میشود ما از عدم تغییر فایل های مهم (مانند: فایل های اجرایی، کتابخانه ها ، فایل های پیکربندی) اطمینان حاصل کرده و از همه مهمتر در صورت تغییر از این اتفاق با خبر گردیم.
- مکانیزم خودکار بررسی و پایش تنظیمات از راه دور راه اندازی گردد تا در صورت تغییرات در پیکربندی سیستم از آن با خبر شویم. تغییراتی مانند:
- Port جدیدی که در سیستم باز می شود
- کاربر مدیریتی جدید روی سیستم
- تغییرات در group and local policy objects
- راه اندازی سرویس جدید روی سیستم
- ابزارهای مدیریت پیکربندی را در سازمان پیاده سازی کنید. مانند active directory در مایکروسافت و یا Puppet در لینوکس تا به صورت خودکار تنظیمات و پیکربندی ها را پیاده سازی کنید. این ابزار ها باید قابلیت باز-انتقال (redeployment) تنظیمات را داشته باشد.
ابزار های تجاری برای پیاده سازی این کنترل:
— Active Directory Group Policies (Microsoft)
— Center for Internet Security Templates
— Puppet Enterprise (Puppet Labs)
— Chef Server (Chef)
— Tripwire Enterprise
— Configuration Manager (LANDesk)
— Deep Freeze (Faronics)
ابزار های رایگان و یا متن باز:
— WMIC
— Get-WMIObject / Get-CIMInstance
— Microsoft Baseline Security Analyzer
— Lynis