خلاصه:
در راستای بحث امنیت شبکه و در ادامه مطلب کنترل های حساس امنیتی به بررسی پنجمین کنترل می پردازیم. دو روش معمول نفوذ نتیجه استفاده از دسترسی های مدیریتی به صورت کنترل نشده است. اولی این که کاربری با این سطح دسترسی فریب خورده و ایمیلی حاوی کد های مخرب را باز و اجرا کند و یا از وب سایت های آلوده بازدید و مثلا از آسیب پذیری مرورگر او استفاده شده و سیستم او مورد بهره برداری قرار گیرد.
و در روش دوم مهاجم سعی در کرک کردن کلمه عبور چنین کاربری میکند تا به سیستم او دسترسی و از مزایای کاربر در سطح مدیریت استفاده کند.
داستان یک نفوذ: Barracuda
- یک درب پشتی (backdoors) در محصولات این سازنده تا سال ۲۰۱۳ وجود داشت.
- این سازنده محصولات خود را با این درب پشتی که دسترسی root هم داشت بفروش می رساند.
- توسط این نام کاربری مستند نشده (Undocumented) و توسط ssh امکان اتصال به دستگاه وجود داشت.
- باراکودا به این نکته اشاره کرده است که این نام کاربری برای مقاصد پشتیبانی استفاده می شده و دسترسی بعه آن فقط از IP های خاص مجاز بوده است.
- برخی معتقدند این نام کاربری از سال ۲۰۰۳ در دستگاه های این شرکت وجود داشته است.
مکانیزم های کنترلی:
- دسترسی های مدیریتی را به حداقل رسانده و از کاربران مدیریتی فقط زمانی که لازم است استفاده کنید. همچنین کارهایی که با این اکانت ها انجام میشود را مورد پایش و پالایش همیشگی داشته باشید.
- یک لیست از کاربران با دسترسی مدیریتی که روی هر دستگاه مثل: سرورها،لپ تاپ ها ، استگاه های کاری و … وجود دارند تهیه کنید.
- قبل از قرار دادن هر دستگاهی در شبکه، کلمات عبور پیش فرض را تغییر دهید. مانند: نرم افزار ها ، روتر، فایروال ، نقاط دسترسی wireless و … تا با این کنترل سازگار شوند.
- سیستم را طوری تنظیم کنید تا اگر یک کاربر مدیر به آن اضافه یا حذف شد (می خواهد کاربر مدیریتی دامین باشد، یا لوکال) ، لاگ مربوطه را ایجاد و برای شما ارسال کند.
- سیستم ها را طوری تنظیم کنید که هر لاگین موفق یا ناموفق به یک سیستم را با کاربر با دسترسی مدیریتی لاگ کرده و لاگ را برای شما ارسال کنند.
- بهتر است برای کاربران مدیریتی از مکانیزم های multifactor authentication استفاده کنید مثل : smart card و یا OTP و…
- اگر جایی و یا روی سیستمی قادر به استفاده از مکانیزم های احراز هویت multifactor نیستید، سیستم ها باید طوری پیکربندی شوند تا کاربر با سطح دسترسی مدیریتی کلمات عبوری بلند استفاده کند.(بلند تر از ۱۴ حرف)
- بهتر است برای دسترسی به سیتم ها از نام کاربری با دسترسی های معمولی استفاده شده و سپس برای استفاده از قابلیت های مدیریتی از sudo در لینوکس و run as در ویندوز استفاده شود.
- مدیران شبکه برای انجام کارهای مدیریتی باید از یک سیستم مخصوص استفاده کرده، و این سیستم نباید برای کارهای دیگر مانند وب گردی یا خواندن ایمیل و … استفاده شود. به عبارت بهتر این سیستم نباید به اینترنت وصل شود و البته که باید جدا از ساختار شبکه اصلی سازمان باشد.(OOB)
ابزار های تجاری:
— Privileged Account Security Solution (CyberArk)
— Privilege Guard (Avecto)
— System Center & Active Directory (Microsoft)
— Access Auditor (SCC)
— Tripwire Enterprise
— Security Manager (Intellitactics)
— Security Blanket (Trusted Computer Solutions)
— PowerBroker (BeyondTrust)
ابزار های رایگان و یا متن باز:
— WMIC NET
— Get-WMIObject / Get-CIMInstance
— Sudo
— Cat / Diff