Artykuły dotyczące tematu: poradnik

dodany: 12.02.2013 | tagi: , ,

Zaawansowany SQL Injection

0

W artykule Bezpieczeństwo aplikacji webowych – SQL Injection przedstawione zostały podstawowe zasady przeprowadzania ataków typu SQL Injection. Niniejszy artykuł przedstawia bardziej zaawansowany wariant tego ataku – Blind SQL Injection oraz zagrożenia płynące z utrzymywania aplikacji, które są podatne na wstrzyknięcie i wykonanie obcego kodu SQL. W kolejnym artykule przedstawione zostaną techniki przeciwdziałania tego typu atakom, które można zaimplementować w co najmniej dwóch warstwach systemu webowego.

W podstawowym wariancie ataku typu SQL Injection, agresor bez trudności może zobaczyć wyniki działania wstrzykniętego zapytania, zaraz po wykonaniu zapytania. Zazwyczaj wyniki te są widoczne na ekranie w postaci komunikatu o zalogowaniu na uprzywilejowane konto, uzyskaniu wysokiego wyniku w grze, niestandardowej zawartości wirtualnego koszyka zakupowego lub wyjątkowo okazyjnej cenie produktu albo jeszcze innej anomalii. Takie bezpośrednie sprzężenie zwrotne zdecydowanie ułatwia i przyspiesza opracowanie groźnego zapytania.

Istnieją sytuacje, gdy agresor nie może odczytać wyników zapytania, gdyż badana przez niego funkcjonalność systemu nie przewiduje możliwości wyświetlenia wyniku działania zapytania. Taką sytuację można wyobrazić sobie np. w przypadku wypełniania anonimowej ankiety internetowej. Po wciśnięciu przycisku ‚Wyślij’ agresor otrzymuje wyłącznie informacje o przyjęciu komunikatu przez serwer. Innymi słowy, agresor nie widzi efektu działania zapytania, co pozornie czyni go ślepym na takie efekty. W takiej sytuacji zdecydowanie trudniej jest stwierdzić, że zamierzony atak odniósł skutek. ‚Zdecydowanie trudniej’ oznacza, że być może jest to możliwe, gdyż przy odpowiedniej obserwacji reakcji serwera jesteśmy w stanie wydedukować, jaki był wynik zapytania.

W przypadku Blind SQL Injection, atak sprowadza się do uzyskania informacji binarnej – 0 lub 1, NIE lub TAK, które świadczą o powodzeniu (lub niepowodzeniu) zapytania. Posiadając informację o wyniku, skrupulatny i konsekwentny agresor jest w stanie przygotować serię zapytań, które w ostateczności doprowadzą go do uzyskania pożądanej informacji lub dokonania zmiany w nowo poznanej strukturze danych.

‚No dobrze, co może być takim semaforem?’ zapytać powinien każdy adept sztuki tworzenia zapytań. Odpowiedzi może być wiele – od zauważalnego opóźnienia w uzyskaniu odpowiedzi, przez zwrócenie komunikatu błędu typu HTTP 500 (sam komunikat nie niesie szczególnych informacji) przez serwer aplikacji, aż do odebrania pozornie nieistotnego komunikatu sieciowego przez serwer będący pod kontrolą agresora.

Generalnie zapytania SQL mają postać:

(Na potrzeby zwiększenia czytelności przykładów, fragmenty wymagane do powodzenia wykonania SQL Injection będą pomijane).

Po otrzymaniu takiego zapytania, serwer rozpoczyna przeszukiwanie tabeli B na okoliczność spełnienia warunku C. Jeśli warunek zostanie spełniony, serwer wykonuje i zwraca wartość A. W przypadku, gdy warunek C nie zachodzi, serwer nie przetwarza ciągu określonego przez A. Dzięki temu zachowaniu, można skonstruować takie formuły A, których wykonanie będzie wpływało na działanie serwera, co da agresorowi wiedzę o powodzeniu zapytania.

Przykład:

Powyższe zapytanie spowoduje wystąpienie błędu dzielenia przez zero dla serwera bazy danych Oracle w przypadku, gdy w tabeli users istnieje użytkownik o nazwie ‚zygzak’. Jeśli aplikacja nie przewiduje otrzymania tego typu odpowiedzi, najczęściej użytkownik ujrzy komunikat HTTP 500.

Dla innych baz danych ten sam przykład miałby postać:

Jak widać, tworzenie zapytań w wariancie Blind SQL jest trudniejsze niż w podstawowym wariancie, ale należy pamiętać, że hacker dysponuje ogromną wiedzą informatyczną i nawet obserwacja wyników powyższych zapytań, może dać mu przesłanki co do typu wykorzystywanej bazy danych. Znajomość zasad przetwarzania zapytań przez hakera, pozwala mu przygotować zmodyfikowaną postać powyższego zapytania w przypadku, gdyby aplikacja miała zaimplementowaną funkcjonalność unieszkodliwiania pierwszej części zapytania (A) lub:

Logika działania serwerów baz danych jest tworzona tak, aby aplikacja otrzymywała wyniki w jak najkrótszym czasie. W tym przypadku, jeśli warunek C nie zachodzi, to serwer nie analizuje zapisu 1/0=1, co w rezultacie nie prowadzi do uzyskania błędu.

Załóżmy, że aplikacja jest przygotowana na wystąpienie błędu i maskuje wystąpienie takich sytuacji. W takim przypadku, należy zmienić formułę A i użyć testu czasowego.
Schemat jest identyczny, jak powyższy:

– i w przypadku, gdy zachodzi warunek C, przetworzenie A zajmuje serwerowi odczuwalnie dużo czasu i na podstawie tej obserwacji, agresor może wydedukować wynik zapytania.

Przykłady:

W przypadku serwera Oracle trudno znaleźć metodę, która mogłaby wprost posłużyć do wygenerowania opóźnienia. Sprytny agresor nie załamie rąk i być może uda mu się skorzystać z pakietów z rodziny UTL zainstalowanych na atakowanym serwerze. Przy ich pomocy można próbować odwołać się do adresu, o którym agresor coś wie (np. to, że nie jest obecnie wykorzystywany lub jest pod jego kontrolą) i na tej podstawie wydedukować wynik 1 lub 0.

Ten sam pakiet może posłużyć do… wykonania wstępnego rekonesansu w sieci, w której funkcjonuje serwer Oracle. Test penetracyjny przez serwer bazy danych? Brzmi abstrakcyjnie, ale w przypadku, gdy ktoś niefrasobliwie nadał szerokie uprawnienia użytkownikowi bazy danych, takie zapytanie może się powieść. Na szczęście, firma Oracle wprowadziła dla serwerów Oracle Database 11g dość rygorystyczne podejście do wykonywania połączeń przy wykorzystaniu pakietu UTL i takie ataki skazane są praktycznie na porażkę.

Mamy już wiedzę, która pozwoli przeprowadzić atak, polegający na odczytaniu zawartości dowolnej znanej kolumny. Atak polega na iterowaniu kolejnych znaków zapisanych w polu bazy danych. Poniższy zapis, okrojony z oczywistych powodów, testuje wartość najmłodszego bitu w pierwszym bajcie słowa Admin. Automatyzując atak, wykonując osiem analogicznie zbudowanych zapytań (zmieniany jest wyłącznie wykładnik), jesteśmy w stanie ustalić wartość pierwszego bajtu. Kontynuując, po 128 zapytaniach, jesteśmy w stanie podać wartość 7-literowego hasła (lub jego skrótu).

Budując w podobny sposób zapytania, atakujący jest w stanie stworzyć zestaw zapytań, które pozwolą mu poznać nazwy kolumn, nazwy tabel i wiele innych informacji dotyczących bazy danych w dość krótkim czasie. Z wiadomych powodów, takie receptury nie zostaną tu przedstawione.

Wniosek:
Umieszczenie w aplikacji miejsca (pole formularza, formuła w importowanym dokumencie), które umożliwi wstrzyknięcie i wykonanie kodu SQL stanowi bardzo duże zagrożenie dla wykorzystywanej bazy danych. Ryzyko powodzenia ataku SQL Injection, nawet w przypadku, gdy użytkownik nie widzi wyników działania SQL, należy bezwzględnie minimalizować przez stosowanie mechanizmów na co najmniej dwóch warstwach systemu. O kilku przykładowych technikach, napiszę na portalu Websecurity za 2 tygodnie.

dodany: 07.01.2013 | tagi: , , ,

Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 7. Edukacja i plan reakcji

0

Krok 6: Wdrażanie polityki ochrony oraz edukacja

Poprzedni rozdział traktuje o realizacji ochrony przed zagrożeniami fizycznymi. Kolejny etap koncentruje się na realizacji polityki bezpieczeństwa oraz edukacji. Procedury oraz zasady operacyjne komputerów, serwerów i sieci stanowią zasadnicze warstwy obrony przed malware. W ramach rozwiązania „Obrony w głąb” zalecamy opracowanie następujących zasad oraz procedur:

Procedury skanowania antywirusowego. Najlepiej, gdy aplikacja AV działa automatycznie lub skanuje w czasie rzeczywistym. W innym przypadku zaleca się ustalenie wytycznych oraz wskazówek dla pracowników organizacji, dzięki którym będą oni wiedzieć jak i kiedy uruchomić pełne skanowanie systemu.

Aktualizacja sygnatur wirusów. Większość nowoczesnych aplikacji antymalware automatycznie aktualizuje sygnatury wirusów. Proces ten powinien być wykonywany na bieżąco. Jednak jeśli przed całkowitym wdrożeniem organizacja pragnie najpierw przetestować taką metodę aktualizacji, na ogół taki sposób nie jest możliwy. W tym przypadku należy wyznaczyć personel pomocniczy, który zajmie się identyfikacją, pobieraniem, testowaniem oraz aktualizacją sygnatur wirusów tak szybko, jak to możliwe.

Zasady udostępniania aplikacji i usług. Należy jasno zakomunikować używanie których aplikacji oraz usług mających dostęp do zasobów jest dozwolone na komputerach w organizacji. Przykładem oprogramowania mogącego powodować problemy (i narażać na atak malware) są aplikacje P2P inne programy, przez które użytkownicy mogą pobrać zainfekowany plik bezpośrednio z witryn www. Jako minimum, zalecane jest wdrożenie tych zasad w ramach obrony wszystkich wyznaczonych wcześniej warstw sieci.

Kontrola zmian. Kluczowym procesem, w ramach zwiększania bezpieczeństwa urządzeń sieciowych, jest kontrolowanie zmian wywołanych oddziaływaniem na nie. Najlepiej, jeśli wszelkie proponowane zmiany zostaną najpierw przetestowane i wdrażane w sposób kontrolowany oraz udokumentowany. Spontaniczne zmiany w urządzeniach sieci obwodowej mogą wprowadzić błędy konfiguracji lub wady, które mogą narazić na atak.

Monitoring sieci. Chociaż poprawna konfiguracja urządzeń sieciowych organizacji powinna pozwolić na zoptymalizowanie bezpieczeństwa, nie oznacza to, że inne procedury obrony przed malware mogą być zaniedbane. Stałe monitorowanie wszystkich urządzeń w sieci jest niezbędnym elementem wykrywania szkodliwych ataków. Monitoring jest procesem złożonym, wymagającym zbierania informacji z wielu źródeł (takich jak firewalle, routery i switche). Daje to możliwość stworzenia swego rodzaju bazy czy zestawienia zachowań „normalnych”, pozwalających później na określenie wszelkich zaburzeń i odstępstw.

Proces wykrywania ataków. Jeśli podejrzane zachowanie zostanie wykryte, organizacja powinna posiadać zestaw jasno określonych i udokumentowanych wytycznych, pozwalających na potwierdzenie ataku, kontrolowanie oraz naprawę jego skutków przy minimalnym zakłóceniu pracy użytkowników.

Zasady dostępu do sieci w domu. Należy ustanowić minimalny zestaw wymogów, stanowiący zasady podłączania przez pracownika swojego służbowego komputera w domu lub łącznia się z siecią firmową za pośrednictwem wirtualnej sieci prywatnej (VPN).

Zasady dostępu do sieci dla gości. Goście, zanim połączą się z siecią organizacji, powinni stosować się do ustalonych wcześniej, minimalnych wymogów konfiguracji. Do tychże wymagań powinny stosować się zarówno urządzenia bezprzewodowe, jak i przewodowe.

Zasady dostępu dla urządzeń bezprzewodowych. Wszystkie urządzenia bezprzewodowe, podłączane do sieci wewnętrznej, powinny spełniać minimalne wymagania dotyczące konfiguracji zabezpieczeń. Należy wcześniej ustalić takie wymagania.

Istnieje wiele innych zasad i procedur, które można wdrożyć w celu poprawy bezpieczeństwa urządzeń sieciowych. Powyższa lista może być dobrym punktem wyjścia. Jednakże, z powodu dodatkowych wymagań konfiguracyjnych, a nie specyficznych zabezpieczeń antymalware, wykraczają one poza zakres niniejszego poradnika.

Krok 6 obejmuje zatem następujące zadania:

1. Opracowanie zasad aktualizacji zabezpieczeń.

2. Tworzenie polityki obrony opartej o ocenę ryzyka.

3. Automatyczny monitoring i sprawozdania.

4. Wspieranie użytkowników oraz szkolenie zespołu technicznego.

 

Zadanie 1: Opracowanie zasad aktualizacji zabezpieczeń

Oprogramowanie zabezpieczające na komputerach, serwerach i w sieci powinno być zawsze, w jakiś sposób, aktualizowane. Możemy zapewnić taki system aktualizacji w ramach części szerszego planu obrony. Więcej informacji na temat zarządzania aktualizacjami zabezpieczeń można znaleźć na stronie Update Management. Systemy operacyjne komputerów i urządzeń powinny być sprawdzane na bieżąco pod kątem aktualizacji odproducenckich.

Polityka aktualizacji zabezpieczeń powinna zostać również tak ustalona, żeby obejmowała update systemów operacyjnych. Proces ten powinien składać się z następujących etapów:

1. Sprawdzanie dostępności aktualizacji. Należy zastosować jakiś rodzaj automatycznego powiadamiania o dostępnych aktualizacjach bądź o odmowie wykonania update’u.

2. Pobieranie aktualizacji. System powinien być w stanie pobrać aktualizacje przy minimalnym wpływie na użytkowników oraz sieć.

3. Aktualizacje testowe. Jeśli aktualizujmy komputery „krytyczne”, nim wdrożymy nowe oprogramowanie, należy wykonać test na odrębnym, nie mającym znaczenia dla pracy sieci systemie.

4. Wdrażanie aktualizacji. Po przetestowaniu oraz zweryfikowaniu aktualizacji, należy wdrożyć je na komputerach docelowych. W tym celu dobrze opracować jakiś prosty system rozpowszechniania aktualizacji.

Jeśli aktualizacje systemów nie wymagają wcześniejszego przetestowania, można rozważyć automatyzację całego procesu. Opcja Aktualizacje automatyczne na stronie internetowej Microsoft Windows Update umożliwia automatyczne powiadamianie i aktualizowanie bez interwencji użytkownika. Wybranie takiej opcji gwarantuje najnowsze aktualizacje w najszybszym czasie od ich pojawienia się. Jednak przy takim podejściu nie mamy możliwości sprawdzenia aktualizacji przed jej zainstalowaniem. Jeżeli dana organizacja wymaga wcześniejszych testów update’u, taki sposób aktualizacji nie jest zalecany.

Sprawdzanie, czy nasze systemy operacyjne są zaopatrzone w najnowsze aktualizacje, powinno być rutynowym elementem procesu zarządzania.

 

Zadanie 2: Tworzenie polityki obrony opartej o ocenę ryzyka

Przy tak wielu komputerach, serwerach i urządzeniach sieciowych połączonych do obwodu naszej sieci oraz jej wewnętrznych warstw, ustalenie jednej, skutecznej polityki „Obrony w głąb”, zgodnej ze wszystkimi wymogami konfiguracyjnymi, może być trudne. Jednym z rozwiązań może być pogrupowanie hostów naszej infrastruktury na kategorie w zależności od ich rodzaju i ekspozycji na ryzyko.

Warto więc rozważyć następujące „kategorie konfiguracyjne”, ustalone ze względu na stopień ryzyka ataku:

Konfiguracja standardowa. Kategoria ta odnosi się zwykle do stacjonarnych komputerów, które fizycznie pozostają na miejscu w biurze w budynku. Są one stale chronione przez zewnętrzne i wewnętrzne zapory oraz zabezpiecza je sam budynek organizacji.

Konfiguracja klientów wysokiego ryzyka. Kategoria ta została ustalona dla konfiguracji komputerów użytkowników mobilnych oraz urządzeń przenośnych, takich jak palmtopy czy telefony komórkowe. Urządzenia te zostają często wyniesione poza chronioną sieć i dlatego obejmuje je wyższy poziom ryzyka.

Konfiguracja dla gości. Kategoria ta jest przeznaczona dla komputerów nienależących do organizacji. Zarządzanie oraz konfiguracja takich urządzeń może nie być możliwa. Jednak można ustalić zasady dla takich urządzań, ograniczające możliwość łączenia się z nasza siecią. Komputery gościnne zawierają się przeważanie w jednym z następujących typów:

• Domowe komputery pracowników.

• Komputery partnerów lub sprzedawców.

• Komputery gości.

 

Zaleca się również ustalenie kategorii ryzyka dla roli serwera, a sama ocena ryzyka jest zalecana zarówno dla serwerów, jak i komputerów roboczych. Jako punkt wyjścia do ustalenia polityki ochrony serwera, należy rozważyć następujące kategorie konfiguracji:

Standardowa konfiguracja serwera. Kategoria ta jest niejako wspólnym mianownikiem dla konfiguracji większości serwerów w naszym otoczeniu. Zapewnia minimalny poziom bezpieczeństwa, ale nie ogranicza się jedynie do powszechnie używanych usług. Później możemy zmodyfikować nasze opcje konfiguracyjne wedle potrzeb, np. w zależności od wysokości ryzyka, na jakie narażony jest serwer czy pełnionej przez niego roli.

Konfiguracja serwerów wysokiego ryzyka. W tej kategorii znajdą się serwery, które bezpośrednio narażone są na połączenia z zewnętrzną siecią i na pliki z zewnętrz, np.: Serwery Brzegowe (WWW), Serwery Firewalli czy Messaging Servers. Serwerem podwyższonego ryzyka mogą być również inne urządzenia, niezależnie od ich lokalizacji w sieci, np. te, które przechowują poufne dane, takie jak personalia pracowników firmy.

Konfiguracja w zależności od roli. W celu lepszego dostosowania wymagań konfiguracyjnych aplikacji serwerowych można dopasować je w zależności od roli jaką pełni serwer. Można wybrać wiec specyficzną konfigurację dla np.: Messaging Servers, Serwerów Baz Danych czy Serwerów Firawalli. Podejście to może służyć jako dodatkowe zabezpieczenie zarówno wraz z ustawieniami standardowymi, jak i dla serwerów wysokiego ryzyka.

Zastosowanie zasad obrony opartych na ocenie ryzyka wymaga wyboru wyspecjalizowanego zespołu, który zaplanuje odpowiedni sposób konfiguracji. Ostatecznie, celem zespołu powinno być zminimalizowanie (czy uproszczenie) konfiguracji jakimi trzeba będzie zarządzać. Uzyskanie bezpiecznej konfiguracji jest bardziej prawdopodobne przy użyciu metody standardowej niż dostosowując każdy host osobno. Kompleksowy sposób zarządzania w środowiskach heterogenicznych oferuje np. Microsoft Forefront Identity Manager 2010.

 

Zadanie 3: Automatyczny monitoring i sprawozdania

Jeśli firma korzysta z automatycznego systemu monitoringu lub aplikacji AV, które mogą zgłaszać do administratora podejrzane infekcje złośliwym oprogramowaniem, można zastanowić się nad zautomatyzowaniem procesu powiadamiania wszystkich użytkowników sieci. Zautomatyzowany system powiadamiania pozwala zminimalizować czas pomiędzy alarmem o ataku a dotarciem do świadomości użytkownika. Wadą takiego podejścia może być spora liczba fałszywych alarmów. Jeśli nikt nie będzie w stanie w jakiś sposób „przesiać” takich alertów, np. przeglądając raporty nietypowej aktywności, możliwe jest, że program będzie zupełnie niepotrzebnie ostrzegał przed atakiem, którego w rzeczywistości nie było. Taka sytuacja może uśpić czujność użytkowników, ponieważ przestaną oni reagować na zbyt często generowane alarmy.

Zaleca się więc wyznaczenie konkretnych członków zespołu czy administratorów sieci, którzy będą odpowiedzialni za odbiór oraz monitorowanie wszystkich automatycznych alertów o szkodliwym działaniu oprogramowania. Wyznaczony zespół może odfiltrować wszystkie, fałszywe powiadomienia, przed wysłaniem alertów do użytkowników. Aby taka strategia była skuteczna, zespół musi monitorować alerty 24 godziny na dobę, 7 dni w tygodniu po to, by wszystkie powiadomienia zostały sprawdzone i, jeśli to konieczne, przesłane do użytkowników sieci.

 

Zadanie 4: Wspieranie użytkowników oraz szkolenie zespołu technicznego

W wielu przypadkach ludzie są ostatnią linią obrony przed malware. Dlatego ważne jest, aby kształcić pracowników w taki sposób, by mogli zapoznać się z zagrożeniami i świadomie im przeciwdziałać –  w ramach rutynowych praktyk w swojej codziennej pracy.

 

Świadomość użytkowników

Edukacja użytkowników często zostaje ujęta dopiero na końcu rozważań nad projektem obrony przed malware. Pomoc użytkownikom w zrozumieniu niektórych zagrożeń związanych z atakami złośliwego oprogramowania jest ważną częścią przeciwdziałania temu ryzyku. Należy uświadomić pracowników, że cały personel organizacji wykorzystujący zasoby IT odgrywa jednakową rolę w procesie bezpieczeństwa sieci. Z tego powodu ważne jest, żeby uświadomić użytkowników w jaki sposób oni sami mogą zapobiegać najczęstszym typom ataków. Pracownicy powinni wiedzieć, że pod żadnym pozorem nie wolno im:

Otwierać załączników podejrzanych e-maili.

Używać słabych haseł.

Używać  w różnych miejscach tych samych haseł.

Pobierać aplikacji i sterowników ActiveX z niezaufanych witryn.

Uruchamiać aplikacji z nieautoryzowanych nośników wymiennych.

Umożliwiać dostępu do danych i sieci organizacji.

Użytkownicy, którzy są odpowiedzialni za urządzenia mobilne, mogą wymagać dodatkowych szkoleń w celu zrozumienia ryzyka związanego z korzystaniem ze sprzętu poza fizyczną i sieciową ochroną.

 

Alarmy Wewnętrzne

Kluczowym zadaniem jest znalezienie efektywnego mechanizmu, który w terminie będzie powiadamiał wszystkich użytkowników o możliwości szkodliwego ataku. Dostępne systemy komunikacji mogą znacznie się różnić w zależności od infrastruktury organizacji. Poniższa lista zawiera przykłady sposobów powiadamiania:

Tablica ogłoszeń. Nie należy zapominać o nietechnicznych możliwościach informowania, takich jak ogłoszenia w formie papierowej, np.: na tablicach informacyjnych lub w punktach oczywistych dla pracowników. Choć z takim sposobem wiążą się pewne trudności w utrzymaniu, zyskuje on jednak znaczną przewagę w komunikowaniu ważnych informacji na przykład, gdy obszary sieci są niedostępne z powodu ataku.

Systemy poczty głosowej. Jeśli organizacja używa takiego systemu komunikowania, można go wykorzystać do ogłoszenia o możliwości ataku malware wszystkim pracowniom na raz.

Komunikaty logowania. System operacyjny Windows może być skonfigurowany do dostarczania wiadomości bezpośrednio na ekrany użytkowników podczas procesu logowania. Mechanizm ten jest dobrym sposobem na zwrócenie uwagi użytkownika na alerty.

Portale internetowe. W celu zapewnienia, że alert dotrze do wszystkich użytkowników można ustawić wspólną dla wszystkich stronę główną, która będzie naszym portalem ostrzegającym. Żeby taki mechanizm był skuteczny, należy wymusić na użytkownikach odwiedzenie tego portalu przed uzyskaniem dostępu np. do skrzynki e-mail.

Systemy e-mail. W celu przesyłania użytkownikom alertów można również wykorzystać możliwość ustanawiania priorytetowych wiadomości w skrzynkach pocztowych. Z tego powodu należy doradzić użytkownikom, by najpierw przeglądali wiadomości oznaczone jako „ważne”.

 

Szkolenie zespołu technicznego

Świadomość i szkolenia zespołu powinny być głównym celem dla administracji. Szkolenie dla kluczowych specjalistów IT jest podstawowym wymogiem we wszystkich obszarach ochrony przed złośliwym oprogramowaniem. Jest to szczególnie ważne, ponieważ charakter ataków szkodliwego oprogramowania, a tym samym obrony przed nim, zmienia się na bieżąco. Nowy atak malware może zagrozić systemowi obrony z dnia na dzień. Jeśli personel techniczny nie został odpowiednio przeszkolony jak rozpoznawać i reagować na nowe zagrożenia malware, poważne naruszenie w naszym systemie obrony może być tylko kwestią czasu. Administratorzy, którzy odpowiedzialni są za urządzenia łączące się z siecią obwodową organizacji powinni przejść konkretne szkolenie, które pomoże im poznać oraz zrozumieć zakres działania malware.

 

Uzyskiwanie opinii użytkowników

Użytkownicy, którzy są świadomi malware, mogą stanowić doskonałą część systemu wczesnego ostrzegania, chociażby przez proste i szybkie zgłaszanie nietypowych zachowań systemu. Taki mechanizm może przybrać formę „gorącej linii” telefonicznej, aliasu e-mail z którego będziemy wysyłać alerty czy szybkiego informowania Biura Pomocy.

 

Proaktywna komunikacja wewnętrzna

Jeśli to możliwe, członkowie działu IT powinni wyznaczyć aktywny zespół szybkiego reagowania, który będzie odpowiedzialny za monitorowanie zewnętrznych witryn, traktujących o najnowszych atakach malware. Microsoft oferuje w temacie monitoringu wiadomości następujące narzędzia:

• Encyklopedia Microsoft Malware Protection Center (w skr. MMPC) jest obszernym zbiorem analiz i informacji technicznych, dotyczących zagrożeń. Na swoim blogu, badacze z MMPC, na bieżąco publikują aktualne wiadomości i pogłębione analizy dotyczące szczególnych zagrożeń.

• MMPC prowadzi również listę największych zagrożeń dla użytkowników komputerów na całym świecie.

• Warto zajrzeć również do Biuletynów zabezpieczeń (z ang. Microsoft Security Bulletins) i Microsoft Security Advisories, gdzie znaleźć można ważne informacje o lukach i aktualizacjach oprogramowania Microsoftu.

• Microsoft Security Response Center (w skr. MSRC), to Microsoftowska organizacja, zajmująca się identyfikacją, monitoringiem, rozwiazywaniem oraz reagowaniem na słabości oprogramowania zabezpieczającego. Informacje o swoich spostrzeżeniach również publikuje na blogu.

Regularne sprawdzanie podobnych witryn może pomóc personelowi technicznemu w przeciwdziałaniu zagrożeniom jeszcze zanim te przenikną do sieci organizacji. Microsoft Technical Security Notifications mogą również pomóc administratorom w stałym dostępie do informacji za pośrednictwem e-maili, kanałów RSS i Windows Live Alerts.

 

Pytania końcowe

Aby upewnić się, że odpowiednio zidentyfikowaliśmy zasady polityki bezpieczeństwa i edukacji, należy odpowiedzieć na następujące pytanie:

Czy podczas ustalania zasad ochrony przed złośliwym oprogramowaniem oraz strategii edukacji personelu wzięliśmy pod uwagę wszelkie możliwe scenariusze dostępu użytkowników do naszej sieci? Przy opracowywaniu w/w procedur łatwo przeoczyć niektóre segmenty struktury sieci. Nie wolno zapominać o takich czynnikach, jak zdalny dostęp, dostęp do Internetu, wsparcie dla danych oddziałów oraz użytkowników mobilnych, pracujących np. za granicą.

 

Krok 7: Opracowywanie planu reakcji na atak

 

Poprzedni rozdział traktował o realizacji polityki bezpieczeństwa oraz edukacji. Ostatni krok, to opracowanie oraz wdrożenie planu reagowania na zdarzenia. Plan reakcji powinien zawierać wytyczne wskazujące jakie kroki należy podjąć, gdy zajdzie pojrzenie ataku malware. Ustanowienie takich zasad jest bardzo ważnym krokiem w procesie przygotowań obrony przed złośliwym oprogramowaniem.

Plan reakcji ma wskazać pracownikom kierunek działań w przypadku ataku malware. Powinien on zawierać wskazówki pokazujące, jak minimalizować wpływ szkodliwej działalności oraz udokumentowane procedury reagowania. Na przykład, dobrze zaprojektowany plan powinien zawierć całe sekwencje wskazówek do działania w przypadku typowych zdarzeń:

1. Pracownicy powinni zawiadomić personel techniczny, gdy zauważą, że coś dziwnego pojawiło się na ekranie ich komputerów.

2. Obsługa techniczna sprawdza komputer i daje niezbędne wsparcie.

3. Technik odpowiada za krótki test diagnostyczny, a następnie „leczy” bądź odbudowuje system – w zależności od wagi problemu.

Cały proces obrony, do kompletnego zakończenia, może trwać wiele godzin. Warto ustanowić plan pośredni czy poboczny, który pozwoli minimalizować szkodliwe skutki działania także w trakcie „walki” oraz pozwoli zapobiec dalszemu rozprzestrzenianiu się malware. Na przykład, jeśli ustalimy, że pracownik, po zauważeniu ataku, ma czekać na wsparcie od personelu technicznego, może on chociażby we własnym zakresie odłączyć kabel sieciowy od podejrzanego komputera. Taka początkowa reakcja może pomóc w wyeliminowaniu ryzyka zakażenia innych komputerów.

Tworząc plan reakcji na zdarzenie ataku, warto przede wszystkim wziąć pod uwagę dwa typowe scenariusze:

Infekcja indywidualna. Scenariusz do działania, kiedy malware zainfekuje jeden komputer.

Masowa epidemia. Masowy atak może spowodować poważne zakłócenia w racy organizacji. O masowym ataku możemy powiedzieć, gdy personel zgłasza większą liczbę infekcji zdradzających podobne objawy. W ostatnich latach duże wybuchy wydają się być zdalnie sterowane przez roboty znane jako boty. Takie rodziny botów nazywane są botnetami. Cyberprzestępcy wykorzystują je do rozsyłania spamu, często o charakterze phishingowym, w celu kradzieży danych osobowych (w skr. PII) i do prowadzenia Denial-of-service (w skr. DoS).

Plan reagowania na większy wybuch może obejmować również powyższe scenariusze, ponieważ proces reakcji na szerszą skalę jest niejako rozszerzeniem działań w przypadku poszczególnych, mniejszych infekcji. Zazwyczaj, w ramach pierwszej reakcji, należy tymczasowo samodzielnie użyć wszelkich możliwych i znanych środków, by powstrzymać dalsze rozprzestrzenianie się malware. W niektórych przypadkach, przed ponownym podłączeniem komputera do sieci, może być konieczne poinformowanie administratora lub osoby odpowiedzialnej za ustawienia routera lub firewalla o konieczności zmian ustawień sprzętowych. Na przykład, jeśli malware infekuje system przez określony port sieciowy, zablokowanie go może zapobiec ponownemu zakażeniu, nie zakłócając przy tym transferu innych komunikatów.

 

Pytania końcowe

Czy plan reagowania na atak obejmuje zasady i procedury postepowania w przypadku poszczególnych infekcji złośliwym oprogramowaniem na serwery lub stacje robocze? Jest to scenariusz dla najpopularniejszych ataków malware.

Czy plan reakcji obejmuje zasady i procedury postępowania w wypadku epidemii masowej? Reakcja na masowy atak wymaga zwykle wstępnych działań użytkownika oraz czasu dla personelu technicznego, który zajmie się oczyszczaniem systemów.

Czy organizacja posiada zapasowe zasoby sprzętowe? W wypadku ataku mogą one okazać się niezbędne dla działań załogi technicznej lub do kontynuowania pracy organizacji.

Czy w ramach wsparcia technicznego wyznaczymy wyspecjalizowany team, odpowiedzialny z pomoc wszystkim użytkownikom w naszej organizacji? Większe oddziały mają tendencję do zatrudniania pracowników dedykowanych, natomiast mniejsze rzadziej uciekają się do takich rozwiązań.

 

Wszystkie części poradnika:

Cz. 1. Jak chronić się przed malware – poradnik dla użytkowników systemów Windows

Cz. 2. Identyfikacja potencjalnych zagrożeń

Cz. 3. Ochrona sieci

Cz .4. Ochrona komputerów klienckich

Cz .5. Ochrona serwerów

Cz .6. Zagrożenia fizyczne

Cz .7. Edukacja i plan reakcji

dodany: 03.01.2013 | tagi: , ,

Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 6. Zagrożenia fizyczne

0

Krok 5: Implementacja ochrony przed zagrożeniami fizycznymi

 

W poprzednim rozdziale opisaliśmy zagadnienie wdrażania obrony przeciw malware w warstwie serwerów. Kolejny rozdział traktuje o realizacji ochrony przed zagrożeniami fizycznymi. Chociaż bezpieczeństwo fizyczne jest zagadnieniem dotyczącym raczej kwestii bezpieczeństwa w ogóle niż konkretnym problemem obrony przed szkodliwym oprogramowaniem, to ochrona przed malware nie będzie pełna bez skutecznego planu obrony przed zagrożeniami fizycznymi. Powinna ona objąć wszystkie komputery, serwery oraz urządzenia sieciowe wchodzące w skład infrastruktury naszej organizacji. Tak, jak w przypadku poprzednich kroków, i tym razem należy znaleźć kompromis pomiędzy wymaganiami i możliwościami biznesowymi danej organizacji, a akceptowalnym poziomem ryzyka. Poniżej kilka istotnych elementów planu skutecznej obrony fizycznej:

Budowanie bezpieczeństwa.

Bezpieczeństwo personelu.

Punkty dostępu do sieci.

Serwery.

Stacje robocze/komputery klienckie.

Komputery i urządzenia przenośne.

Przy ocenie ryzyka utraty bezpieczeństwa w organizacji nie można zapomnieć o żadnym z wymienionych elementów. Jeśli atakującemu uda się przedrzeć przez zabezpieczenia któregoś z powyższych, wzrasta poziom ryzyka, że złośliwe oprogramowanie zainfekuje naszą sieć omijając jej zewnętrzne i wewnętrzne zabezpieczania.

Ochrona dostępu do urządzeń i systemów informatycznych organizacji jest podstawowym elementem ogólnej strategii bezpieczeństwa.

 

Niniejszy rozdział obejmuje następujące zadania:

1. Ograniczenie fizycznego dostępu do wrażliwych danych.

2. Wymaganie od użytkowników blokowania pulpitu swojego komputera, gdy nie jest on używany.

3. Ochrona wszystkich punktów sieci przed nieautoryzowanym fizycznym dostępem.

 

Zadanie 1: Ograniczenie fizycznego dostępu do wrażliwych danych

Serwery przechowujące wrażliwe dane należy umieścić w pomieszczeniach o ograniczonym dostępie – tylko dla autoryzowanych pracowników oraz ograniczyć fizyczny dostęp do samych serwerów – jedynie dla zaufanych administratorów. Inne, warte rozważenia formy fizycznego bezpieczeństwa:

Zamieszczenie fizycznych blokad na procesorach komputerów stacjonarnych. Większość komputerów stacjonarnych jest wyposażona w specjalne uchwyty, przeznaczone do fizycznego blokowania. Pozwala to na ograniczenie dostępu dla ewentualnych intruzów.

Zapewnienie pracownikom kabla z blokadą, np. typu Kensington-Lock (inne nazwy to K-Slot lub Kensington Security Slot). K-Slot, jest to to gniazdo pozwalające na umocowanie linki zwanej MicroSaver, zabezpieczającej cenny sprzęt przed kradzieżą. Jest to standard przemysłowy, stosowany w 99% laptopów, najnowszych komputerów stacjonarnych, monitorów LCD oraz większości cennego sprzętu biurowego, np. w projektorach.

Rozważenie zamontowania alarmów oraz czujników ruchu w miejscach objętych ograniczeniem dostępu, w których znajdują się komputery przechowujące wrażliwe dane.

 

Zadanie 2: Wymaganie od użytkowników blokowania pulpitu swojego komputera, gdy nie jest on używany

Należy wymagać od pracowników blokowania pulpitu, kiedy zostawiają swój komputer bez opieki. Można zasugerować na przykład ustawienie silnego hasła użytkownika i wylogowywanie się przy każdym opuszczeniu stanowiska pracy.

 

Zadanie 3: Ochrona wszystkich punktów sieci przed nieautoryzowanym dostępem fizycznym

Okablowanie sieciowe, koncentratory, a nawet zewnętrzny interfejs sieciowy są niezwykle wrażliwymi punktami sieci. Jeśli atakujący ma możliwość połącznia się z naszą siecią, może ukraść dane w trakcie ich transferu lub zaatakować komputery znajdujące się w sieci. Z tych względów zaleca się trzymanie koncentratorów (z ang. hub) i przełączników (z ang. switch) za zamkniętymi drzwiami lub w szafach oraz prowadzenie okablowania przez ściany i stropy, co utrudni dostęp do nich.

 

Pytania końcowe

 

Czy lokalizacja serwerów jest zgodna z prawem oraz spełnia wymogi bezpieczeństwa naszej organizacji? Niektóre dane i aplikacje mogą wymagać przechowywania w miejscach o ograniczonym dostępie.

Czy lokalizacja serwerów pozostanie bezpieczna w przypadku ewentualnej ekspansji gospodarczej? Jeśli planujemy rozszerzyć działania firmy o nowe miejsca, przy ich wyborze należy wziąć pod uwagę bezpieczne lokowanie serwera.

Czy wymagania dla fizycznego bezpieczeństwa infrastruktury sieciowej są zgodne z pozostałymi normami? Organizacje muszą się upewnić, że po spełnieniu wszelkich norm łączność oraz dane pozostaną bezpieczne.

Czy organizacja posiada awaryjny plan działania? Plan odzyskiwania danych po awarii obejmuje zazwyczaj wytyczne dotyczące stałego dostępu do danych oraz zasobów obliczeniowych. Należy upewnić się, że plan awaryjny jest adekwatny do fizycznych zagrożeń, zidentyfikowanych w tym rozdziale.

 

Wszystkie części poradnika:

Cz. 1. Jak chronić się przed malware – poradnik dla użytkowników systemów Windows

Cz. 2. Identyfikacja potencjalnych zagrożeń

Cz. 3. Ochrona sieci

Cz .4. Ochrona komputerów klienckich

Cz .5. Ochrona serwerów

Cz .6. Zagrożenia fizyczne

Cz .7. Edukacja i plan reakcji

dodany: 01.01.2013 | tagi: , , ,

Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 5. Ochrona serwerów

1

Krok 4: Ochrona serwerów

 

W poprzednim rozdziale opisaliśmy zagadnienia obrony warstwy komputera klienckiego. Kolejny etap, to ochrona serwera. Strategia umocnień dla serwerów w organizacji ma wiele wspólnego z obroną zwykłych komputerów. Podstawową różnicą jest znacznie wyższy poziom oczekiwań jaki musi spełnić zarówno sam serwer, jak i jego obrona w zakresie niezawodności oraz wydajności.

Dodatkowo, serwery mogą odgrywać wyspecjalizowane role w infrastrukturze organizacji, co prowadzi często do szczególnych rozwiązań obronnych.

Informacje zawarte w tym rozdziale koncentrują się na podstawowych różnicach między obroną serwera, a omawianej wcześniej strategii ochrony komputerów klienckich. Etap ten obejmuje następujące zadania:

1. Utwardzanie serwerów.

2. Instalacja oprogramowania antymalware dla serwerów.

3. Realizacja konkretnych konfiguracji w zależności od specyfiki wykorzystywanych w firmie aplikacji albo roli pełnionej przez serwer.

 

Zadanie 1: Utwardzanie serwerów

Proces minimalizacji możliwości ataku na serwer jest często określany mianem utwardzania (z ang. hardening). Można w tym celu wykorzystać narzędzie Compliance Manager Microsoft Security, zapewniające możliwość scentralizowanego zarządzania oraz dostosowania systemu operacyjnego serwera do pełnionych przez niego ról.

Cztery podstawowe kroki ku obronie serwerów przed malware są identyczne jak w przypadku komputerów klienckich:

1. Ograniczenie możliwości ataku. W celu zminimalizowania możliwości ataku należy usunąć z serwera wszelkie niepotrzebne usługi i aplikacje.

2. Aktualizacja zabezpieczeń. Zapewnienie na wszystkich serwerach możliwości systematycznych, bieżących aktualizacji oprogramowania. Należy wykonać testy sprawdzające czy aktualizacje nie będą miały negatywnego wpływu na działanie krytycznych serwerów.

3. Ustawienie firewalla. Windows Server 2008 zawiera firewall, który może być stosowany również dla obrony serwerów organizacji.

4. Testowanie podatności na ataki. Można skorzystać z Microsoft Baseline Security Analyzer (w skr. MBSA) w systemie Windows Server 2003, który pomaga w identyfikacji potencjalnych luk w konfiguracji serwera. Aby zapewnić jak najsolidniejszą konfigurację, najlepiej użyć kilku różnych, specjalistycznych skanerów.

 

Zadanie 2: Instalacja oprogramowania AV dla serwerów

Podstawową różnicą między aplikacjami przeznaczonymi dla komputerów klienckich oraz tych dla serwerów jest poziom integracji między skanerem opartym o serwer a wszelkimi usługami serwerowymi, takimi jak powiadamianie czy obsługiwanie bazy danych. Inne, znaczące zalety oprogramowania antymalware dla serwerów obejmują specjalistyczną ochronę poszczególnych ról lub usług, solidniejsze zabezpieczenia, mogące sprostać zapotrzebowaniu na jednoczesną obsługę wielu siników skanujących oraz scentralizowaną administrację. Wiele serwerowych programów AV pozwala na zdalne zarządzanie, co wpływa na zminimalizowanie potrzeby fizycznej konsoli serwera.

Inne ważne kwestie, które należy wziąć pod uwagę przy ocenie przydatności specjalnego, serwerowego oprogramowania antymalware, to:

Moc procesora (w skr. CPU) serwera, który będzie odpowiedzialny za skanowanie. Przepustowość procesora jest krytycznym elementem zdolności serwera do wykonywania jego podstawowej roli w organizacji.

Niezawodność aplikacji. Awaria systemu na serwerze ważnym dla centrum danych ma znacznie większe skutki niż awaria jednej stacji roboczej. Dlatego, by upewnić się o niezawodności systemu, ważne jest dokładne przetestowanie wszystkich serwerów, na których działa oprogramowanie antymalware.

Zarządzanie ogólne. Umiejętne stosowanie oprogramowania AV może pomóc w redukcji administracyjnych kosztów zarządzania serwerami w organizacji.

Współdziałanie aplikacji. Należy przetestować działanie aplikacji AV oraz usług serwera, by wyeliminować ewentualne problemy interoperacyjne.

Narzędziem pomocnym do konfiguracji oprogramowania serwerowego może być Microsoft Forefront. Zawiera ono zestaw rozwiązań, dostosowanych do konkretnych produktów Microsoftu, w tym Exchange Server, Microsoft Lync i SharePoint. Na przykład, Forefront Protection 2010 for Exchange Server przeznaczony jest do ochrony informacji przekazywanych przez pocztę elektroniczną, a Forefront Endpoint Protection 2010 chroni systemy operacyjne hostów.

 

Zadanie 3: Realizacja konkretnych konfiguracji w zależności od specyfiki wykorzystywanych w firmie aplikacji albo roli pełnionej przez serwer

Istnieje szereg możliwych konfiguracji, narzędzi i aplikacji, które można dostosować do określonych ról pełnionych przez serwer. Przykładowe role serwera, do których dopasować można wyspecjalizowane oprogramowanie AV:

Active Directory Domain Services (w skr. AD DS) – usługa katalogowa (hierarchiczna baza danych) dla systemów Windows.

Protokół Dynamicznego Konfigurowania Węzłów (z ang. Dynamic Host Configuration Protocol, w skr. DHCP Services) – protokół komunikacyjny umożliwiający komputerom uzyskanie od serwera danych konfiguracyjnych, np. adresu IP hosta, adresu IP bramy sieciowej, adresu serwera DNS, maski podsieci.

System Nazw Domenowych (z ang. Domain Name System, w skr. DNS Services) – protokół komunikacyjny oraz usługa zapewniająca zamianę adresów znanych użytkownikom Internetu na adresy zrozumiałe dla urządzeń tworzących sieć komputerową.

Obsługa plików.

Obsługa drukarek.

Active Directory Certificate Services (w skr. AD CS) – technologia bezpiecznego zrządzania certyfikatami kluczy publicznych.

Obsługa sieci (z ang. Network Policy and Access Services, w skr. NPAS) – kontrola uprawnień dostępu etc.

Remote Desktop Services – protokół pozwalający na komunikację z usługą Terminala Graficznego w Microsoft Windows (z ang. Terminal Services).

Obsługa sieci.

Hipernadzorca (z ang. hypervisior) narzędzie niezbędne w procesie wirtualizacji – kontroli działania systemu. W systemie Windows Server 2008 R2 już jako wbudowane narzędzie Hyper-V.

Istnieje także wiele specjalistycznych rozwiązań dla różnorodnych aplikacji serwerowych, np.:

Messaging Servers – w Windowsie jako Microsoft Exchange 2010 i Microsoft Lync – aplikacje umożliwiające komunikację pomiędzy programami.

Serwery Baz Danych – umożliwia Microsoft SQL Server 2008 R2.

Serwery Pracy Grupowej – umożliwia Microsoft SharePoint 2010.

Specjalistyczne rozwiązania zapewniają lepsza ochronę przed malware oraz większą wydajność. Poniżej bardziej szczegółowe omówienie ról serwerów wraz z odpowiednimi zaleceniami konfiguracyjnymi, narzędziami czy aplikacjami.

 

Serwery WWW

We wszystkich typach organizacji serwery WWW od dawna stanowią cel ataków. Czy są to ataki malware, czy hakerskie próby podmiany witryny, ważne jest, żeby możliwie maksymalnie kompleksowo skonfigurować wszelkie zabezpieczenia.

Istnieje kilka darmowych narzędzi, które można wykorzystać do szeregu konfiguracji zabezpieczeń na Internet Information Services (w skr. IIS), takich jak IIS Lockdown. Narzędzie to służy do konfiguracji serwera WWW tak, aby zapewnić mu ochronę tych usług, które przypisane są jego roli.

UrlScan jest kolejnym narzędziem bezpieczeństwa, ograniczającym typy żądań HTTP używanych przez usługi IIS. UrlScan pomaga serwerowi uniknąć potencjalnie szkodliwych żądań poprzez blokowanie określonych żądań HTTP.

 

Messaging Servers

Przy projektowaniu skutecznej obrony przed malware dla serwerów poczty elektronicznej i komunikatorów należy pamiętać o dwóch, podstawowych celach. Pierwszym celem jest ochrona samych serwerów. Drugim celem jest uniemożliwienie złośliwemu oprogramowaniu przebicia się do skrzynek pocztowych pracowników organizacji przez e-maile lub komunikatory internetowe (z ang. Instant Messenger, w skr. IM). Ważne jest, aby nasze rozwiązanie spełniło te oba cele.

Ogólnie, standardowe skanowanie plików w celu wychwycenia malware nie jest w stanie zapobiec przychodzeniu złośliwego oprogramowania na serwer w postaci załącznika wiadomości. Wszystkie aplikacje, z wyjątkiem najbardziej prostych klientów poczty elektronicznej, przechowują pliki w bazie danych (zwanej magazynem wiadomości). Typowy skaner antymalware nie może uzyskać dostępu do zawartości takiej bazy danych.

Ważne jest więc dopasowanie oprogramowania AV do naszego rozwiązania serwerowego. Wielu producentów takiego oprogramowania zapewnia dedykowane wersje dla określonych serwerów pocztowych, przeznaczone do skanowania poczty e-mail.

Dostępne są trzy podstawowe typy rozwiązań antymalware dla serwerów poczty elektronicznej:

Rozwiązanie hostowe. Rozwiązanie to jest częścią pakietu, który oferuje także, m.in., usługi antyspamowe i antyphishingowe. Ochrona odbywa się za pomocą hosta pośredniczącego. Przysłane do nas wiadomości docierają najpierw na host dostawcy usługi, tam zostają „przebadane”, a następnie trafiają w miejsce przeznaczenia, czyli do nas. Tym samym szkodliwe oprogramowanie zostaje wyeliminowane jeszcze zanim dotrze do naszego systemu. Takim narzędziem jest np. Forefront Online Protection for Exchange, które zapewnia również szereg innych usług możliwych do dostosowania do własnych potrzeb. W Internecie znaleźć można wiele podobnych usług.

Bramowe skanery SMTP (ang. Simple Mail Transfer Protocol, w skr. SMTP) – rozwiązania oparte na skanowaniu poczty, określane są zazwyczaj jako „brama”. Mają one tę zaletę, że działają z wszystkimi usługami poczty SMTP, a nie są związane z konkretnym serwerem e-mail. Jednak rozwiązania te ograniczone są w niektórych bardziej zaawansowanych funkcjach, ze względu na ich uzależnienie od protokołu SMTP.

Zintegrowane skanery serwera. To wyspecjalizowane aplikacje, pracujące bezpośrednio z konkretnymi produktami serwerów e-mail. Aplikacje te dają wiele korzyści. Na przykład, można je zintegrować bezpośrednio z zaawansowanymi funkcjami serwera i są przeznaczone do stosowania na tym samym sprzęcie, co serwer pocztowy. Np. Forefront Protection 2010 for Exchange Server jest z założenia zintegrowanym rozwiązaniem, które zapewnia skanowanie poczty elektronicznej.

Microsoft Exchange posiada specjalny antywirusowy interfejs programowania aplikacji (w skr. API) o nazwie Virus API (w skr. VAPI), który jest również określany jako Antivirus API (w skr. AVAPI) czy Virus Scanning API (w skr. VSAPI). Interfejs ten używany jest przez wyspecjalizowane aplikacje Exchange Server w celu zapewnienia pełnej, bezpiecznej oraz niezawodnej ochrony wiadomości na serwerach Exchange e-mail.

Istnieje również wiele zintegrowanych rozwiązań dla serwerów czatu. Np. Forefront Security for Office Communications Server zapewnia skanowanie w czasie rzeczywistym zawartości IM oraz transferowanych plików zanim dotrą one do odbiorcy. Używa do tego wielu silników skanowania od różnych dostawców.

 

Serwery Baz Danych

Dla Serwerów Baz Danych wyznaczyć można cztery główne elementy ochrony przed szkodliwym oprogramowaniem:

Host. Serwer lub serwery z systemem baz danych.

Usługi bazodanowe. Poszczególne aplikacje uruchomione na hoście, dostarczające usług bazy danych przez sieć.

Przechowywanie danych. Dane przechowywane w bazie danych.

Dane komunikacji. Połączenia i protokoły, które wykorzystywane są w komunikacji między hostem bazy danych a innymi hostami w sieci.

Ponieważ dane przechowywane wewnątrz bazy nie są bezpośrednio wykonywalne, uważa się, że bazy nie wymagają skanowania. Obecnie nie istnieją aplikacje przeznaczone specjalnie dla baz danych. Jednak przy konfiguracji oprogramowania AV nie można zapominać ani o bazach, ani o danych komunikacji.

Zagrożenia atakiem malware należy uwzględnić także podczas lokowania i konfiguracji hosta. Zgodnie z ogólną zasadą nie zaleca się umieszczania serwerów baz danych w sieci obwodowej organizacji zwłaszcza, jeśli na serwerach przechowywane są dane poufne. Jednakże, jeżeli serwer bazy danych musi znajdować się w sieci obwodowej, należy upewnić się, że jest on skonfigurowany tak, aby ryzyko infekcji złośliwym oprogramowaniem zostało zminimalizowane. Na stornie Microsoftu można znaleźć wytyczne na temat konfiguracji systemu dla SQL Server.

 

Serwery Pracy Grupowej

Już sama natura serwerów pracy grupowej, takich jak SharePoint 2010, czyni je podatnymi na malware. Gdy użytkownik kopiuje pliki z oraz na serwer, może wystawić serwery innych użytkowników na atak złośliwego oprogramowania. Zaleca się ochronę współpracujących w środowisku organizacji serwerów za pomocą aplikacji skanujących wszystkie pliki przychodzące i wychodzące z naszej bazy. Aby uzyskać więcej informacji, zobacz Forefront Protection 2010 dla Microsoft SharePoint.

 

Pytania końcowe

Aby upewnić się, że odpowiednio zidentyfikowaliśmy opisane w powyższym rozdziale potencjalne zagrożenia dla serwerów, należy odpowiedzieć na następujące pytania:

Jakie produkty ochrony serwerów przed malware polecają istotni dostawcy takiego oprogramowania? Niektóre programy serwerowe przeznaczone są do pracy na zwykłym serwerze, podczas gdy inne wymagają specjalnych rozwiązań.

Czy rozmieszczenie serwera i bazy danych jest zgodne z prawami i wymogami bezpieczeństwa? Organizacje mogą mieć potrzebę przechowywania niektórych typów danych i aplikacji w firmowej bazie danych.

Czy zostały uwzględnione wszystkie geopolityczne problemy? Na przykład, jeśli firma posiada odrębne działy IT może zajść konieczność odrębnego zorganizowania ich pracy.

Czy nie należy odizolować serwerów pełniących różne role? Korporacyjne zasady lub regulacje rządowe mogą wymagać wyodrębnienia osobnych serwerów do przechowywania niektórych rodzajów danych lub dla niektórych części organizacji.

Czy pracownicy organizacji posiadają odpowiednią wiedzę, niezbędną do obsługi oprogramowania AV? Większe oddziały mają tendencję do zatrudniania wyspecjalizowanych pracowników, natomiast w mniejszych środowiskach często takich osób brakuje.

Czy posiadany sprzęt spełni warunki wymagane do instalacji oprogramowania AV?

Czy sprzęt serwera, po uruchomieniu oprogramowania AV, zapewni odpowiednią ochronę bez utraty wydajności? Niektóre oprogramowanie antymalware może mieć różne wymagania co do systemu operacyjnego dla serwerów lub do podjęcia współpracy z innym oprogramowaniem AV.

Jaki harmonogram aktualizacji da najlepszą ochronę serwerów? Harmonogram należy dopasować do oczekiwań i możliwości biznesowych organizacji.

 

Wszystkie części poradnika:

Cz. 1. Jak chronić się przed malware – poradnik dla użytkowników systemów Windows

Cz. 2. Identyfikacja potencjalnych zagrożeń

Cz. 3. Ochrona sieci

Cz .4. Ochrona komputerów klienckich

Cz .5. Ochrona serwerów

Cz .6. Zagrożenia fizyczne

Cz .7. Edukacja i plan reakcji

dodany: 31.12.2012 | tagi: , , ,

Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 4. Ochrona komputerów klienckich

2

Krok 3: Ochrona komputerów klienckich

 

Poprzedni rozdział koncentruje się na poradach dotyczących wdrażania ochrony sieci. Na tym etapie przybliżymy zagadnienia obrony warstwy komputera klienckiego. Istnieje cały szereg metod oraz technologii, które mogą zostać wykorzystane w celu obrony przed atakami wirusowymi. Należy jednak znaleźć rozwiązanie kompromisowe, czyli takie, które pozwoli osiągnąć równowagę między wymaganiami biznesowymi organizacji, a akceptowalnym poziomem ryzyka. Etap ten dzieli się na kilka mniejszych zadań, które należy rozważyć każde z osobna:

 

1. Ograniczenie możliwości ataku.

2. Aktualizacja zabezpieczeń.

3. Ustawienie osobistego firewalla.

4. Instalacja oprogramowania antymalware.

5. Testowanie podatności na ataki.

6. Ograniczenie przywilejów.

7. Ograniczenie dostępu dla nieautoryzowanych aplikacji.

8. Ochrona aplikacji klienckich.

 

Zadanie 1: Ograniczenie możliwości ataku

Pierwsza krokiem ku obronie w warstwie aplikacji jest ograniczenie możliwości ataku na komputer. By zminimalizować możliwości czy liczbę sposobów dających się wykorzystać do ataku na system, należy wyłączyć bądź usunąć wszystkie zbędne aplikacje i/lub usługi. Funkcję scentralizowanego zarządzania komputerami działającymi na systemach operacyjnych Windows wraz z Windows Internet Explorer oraz aplikacjami Microsoft Office) zapewnia Compliance Manager Microsoft Security (w skr. SCM). Głównym zadaniem skanera jest wykrywanie i zapobieganie atakowi, a następnie powiadomienie o zajściu użytkownika i administratora.

 

Zadanie 2: Aktualizacja zabezpieczeń

Sama liczba oraz różnorodność komputerów klienckich podłączonych do sieci firmowej może utrudnić znalezienie przepisu na szybki i niezawodny sposób zarządzania aktualizacjami zabezpieczeń. Microsoft oraz inne firmy opracowały szereg narzędzi, które mogą być pomocne w rozwiązaniu tego problemu. Aby uzyskać więcej informacji dotyczących sposobu zarządzania aktualizacjami w systemach korporacyjnych, zobacz stronę TechCenter.

Ważne: Dodatki do przeglądarek internetowych, takie jak Flash i Adobe Reader to obecnie jedne z najbardziej popularnych celów złośliwych ataków. Z tego powodu ważne jest, aby pamiętać, że użycie samej usługi Microsoft Update i Windows Update nie ochroni komputerów przed złośliwym wykorzystaniem podatnych luk znajdujących się w innym oprogramowaniu.

 

Aktualizacja oprogramowania Microsoftu

Dla małych organizacji lub osób prywatnych, Microsoft oferuje dwa rodzaje update’u, zintegrowanego z funkcją automatycznej aktualizacji w systemie Windows:

Windows Update. Usługa ta umożliwia aktualizację składników systemu Windows oraz sterowników dla urządzeń dostarczanych zarówno przez Microsoft, jak i innych producentów oprogramowania. Windows Update uaktualnia także sygnatury dla antywirusowych produktów Microsoftu oraz swojego Malicious Software Removal Tool (w skr. MSRT). Usługa jest domyślnie włączona w Windowsie.

Microsoft Update. Usługa ta jest poszerzeniem poprzedniej. Zapewnia wszystkie aktualizacje oferowane przez Windows Update oraz update innych programów Microsoftu, takich jak Microsoft Office System, Microsoft SQL Server i Microsoft Exchange Server. Użytkownicy mogą wybrać tę opcję podczas instalacji oprogramowania lub za pośrednictwem witryny Microsoft Update.

Microsoft oferuje również rozwiązania dla opartych o serwer infrastruktur każdej wielkości. Opcje zawierają te same aktualizacje, które dostępne są za pośrednictwem usługi Windows Update i Microsoft Update, ale dają również dodatkowe możliwości kontroli.

Windows Server Update Services (w skr. WSUS). Usługa ta przeznaczona jest dla przedsiębiorstw. WSUS pozwala administratorom IT na wdrażanie najnowszych aktualizacji produktów Microsoftu na komputerach z systemem operacyjnym Windows. Za pomocą usług WSUS, administratorzy mogą w pełni zarządzać aktualizacjami wydawanymi przez Microsoft Update na komputerach będących w sieci.

System Center Configuration Manager. System Center Configuration Manager 2007 R2 wspiera Windows 7 i Windows Server 2008 R2 oraz zapewnia aktualizację systemu operacyjnego, umożliwiając rozwój Configuration Manager. Pozostałe funkcje zawarte w oprogramowaniu obejmują raportowanie stanu klienta, raportowanie SQL i sprawozdania z Forefront Client.

Każde z tych narzędzi aktualizacji zabezpieczeń od Microsoftu charakteryzują określone zalety i cele. Najlepszym rozwiązaniem jest używanie chociaż jednego lub wielu z nich.

Aktualizacja innego oprogramowania

Chociaż Microsoft Update i inne wymienione wcześniej usługi zapewniają aktualizacje dla produktów firmy Microsoft, ważne jest, aby zadbać o strategię aktualizacji całego oprogramowania, a szczególnie tego, które narażone jest na ataki internetowe. Kiedy systemy operacyjne i przeglądarki internetowe stały się bardziej bezpieczne, napastnicy zaczęli zwracać uwagę na wykorzystanie luk w dodatkach do tychże przeglądarek, takich jak np. ActiveX (pozwalający użytkownikom na odtwarzanie popularnych typów formatów multimedialnych bezpośrednio w środowisku przeglądarki). Wiele z tych rozszerzeń nie ma możliwości aktualizacji automatycznej, więc nawet gdy twórcy oprogramowania opublikują poprawkę łatającą luki, użytkownik może w ogóle nie wiedzieć ani że jest ona dostępna, ani w jaki sposób można ją zdobyć i tym samym pozostaje stale podatny na ataki.

Wiele firm oferuje rozwiązania zarządzania poprawkami, łączące aktualizacje zabezpieczeń od różnych dostawców oprogramowania. W celu uproszczenia procesu aktualizacji oprogramowania wszystkich komputerów w sieci firmowej warto zastanowić się nad realizacją jednego z powyższych rozwiązań.

 

Zadanie 3: Ustawienie firewalla

Osobisty firewall (oparty na hoście) stanowi ważną część obrony klienta. Powinien być włączony na wszystkich komputerach klienckich w organizacji, a w szczególności na laptopach, które mogą być używane poza organizacją. Zapora filtruje wszystkie dane wchodzące oraz wychodzące z danego komputera.

 

Zadanie 4: Instalacja oprogramowania antymalware

Wiele programów AV zostało stworzonych tak, by ich obsługa i praca sprawiały użytkownikowi jak najmniej kłopotów, wymagały jak najmniejszej interakcji. Większość z tych programów jest bardzo skuteczna, ale wszystkie wymagają częstych, bieżących aktualizacji bazy wirusów. Każdy program antymalware powinien zapewniać jak najszybszą i bezproblemową możliwość aktualizacji sygnatur, zawierających niezbędne informacje do wykrywania i unieszkodliwiania najnowszych wirusów oraz ich odmian.

Rozwiązania antymalware dla dużych organizacji, pozwalają na scentralizowane monitorowanie i kontrolę oprogramowania na wszystkich komputerach klienckich w firmie. Niektóre programy AV działają w oparciu o proaktywne mechanizmy, takie jak heurystyka, piaskownica (z ang. sandbox) czy metoda skanowania behawioralnego. Sandbox jest mechanizmem bezpieczeństwa, służącym do oddzielania uruchomionych programów, gdy któryś wzbudzi podejrzenia. Często używa się go do testowania niesprawdzonych kodów, podejrzanych programów, witryn czy użytkowników.

Mimo tak nowoczesnych technik, oprogramowanie antywirusowe nadal uważane jest za narzędzie bierne. Jednym z najważniejszych atrybutów stosowania oprogramowania AV jest jego zdolność do szybkiego reagowania i „sprzątanie” sieci po katastrofie wywołanej złośliwym atakiem. Ostatnio niektórzy producenci oprogramowania antymalware umożliwili korzystanie ze swoich produktów w chmurze, przez co programy obsługiwane są przez interfejs WWW. Takie rozwiązanie może ułatwić mniejszym organizacjom korzystanie z oprogramowania AV, ponieważ wyklucza ono fizyczną potrzebę posiadania np. osobnego serwera, a co za tym idzie ponoszenia kosztów zakupu itd.

 

Zadanie 5: Testowanie podatności na ataki

Po konfiguracji systemu, należy upewnić się czy nie istnieją jeszcze jakieś słabość w zabezpieczeniach. Istnieje cały szereg programów umożliwiających skanowanie w celu sprawdzenia wytrzymałości systemu na ataki malware oraz wyszukujących luki, które mogą być wykorzystane do włamania. Najlepiej skonfigurować swoje oprogramowanie tak, by dokonywało rutynowych kontroli bezpieczeństwa systemu.

 

Zadanie 6: Ograniczenie przywilejów

Innym obszarem obrony, którego nie można przeoczyć, jest przypisywanie przywilejów użytkownikom sieci. Zalecane jest przyjęcie takiej polityki, która zapewni użytkownikowi możliwie najmniejszą ilość uprawnień. Takie restrykcje mogą korzystnie wpłynąć na zminimalizowanie skutków szkodliwego oprogramowania, wykorzystującego często uprawnienia użytkowników podczas wykonywania ich pracy.

 

Zadanie 7: Ograniczenie dostępu dla nieautoryzowanych aplikacji

Jeśli jakaś aplikacja świadczy usługi w sieci lub w Internecie, jak IM, naraża ona nasz system na atak. By zminimalizować możliwość ryzyka, warto stworzyć listę aplikacji autoryzowanych.

Aby ograniczyć użytkownikom możliwość uruchomienia nieautoryzowanego programu, można zastosować zasadę „polityki grupowej”. Jest to możliwe już z poziomu systemu Windows XP czy Windows Vista. Narzędzie Zasady Ograniczeń Oprogramowania (z ang. Software Restriction Policies, w skr. SRP) pozwala administratorom na ograniczenie dostępu do aplikacji w oparciu o różne wyznaczniki: w tym hasz pliku (z ang. hash rule), ścieżka (z ang. path rule), przynależność użytkownika do „grupy zaufania” etc. Poniżej przykłady kilku reguł, jakich utworzenie umożliwia SRP.

Hash rule, to reguła bazująca na danych z kryptograficznego „odcisku palca” (czyli skrótu) aplikacji. Zaletą jej zastosowania jest jej stałość. Reguła obowiązuje niezależnie od zmiany nazwy czy lokalizacji programu. Niestety obowiązuje ona tylko dla jednej wersji aplikacji, co oznacza, że po aktualizacji danej aplikacji należy również zadbać o aktualizację reguły o nowe odciski.

Path rule, to reguła opierająca się o lokalizację. Pozwala na zezwalanie lub blokowanie dostępu do tych aplikacji, które znajdują się w konkretnym folderze/dysku. Istnieje możliwość odwołania się do rejestru systemowego.

Certificate rule, to reguła bazująca na certyfikacie. Umożliwia zdefiniowanie klucza, wg którego narzędzie zezwoli na uruchomienie lub zablokuje aplikację podpisaną certyfikatem.

Szczegóły dotyczące reguł SRP oraz ich konfiguracji można znaleźć na stronie wsparcia Microsoftu.

 

Narzędzie SRP spotkało się z zarzutami o trudny sposób konfiguracji. Windows 7 zawiera już zaktualizowaną i ulepszoną wersję SRP, nazywającą się AppLocker. Funkcja ta jest łatwiejsza w obsłudze i zapewnia nowe możliwości i rozszerzenia, zmniejszając tym samym obciążenie administratora. Pomaga ona w kontroli dostępu i sposobu korzystania użytkowników z plików, takich jak pliki wykonywalne, skrypty, pliki Instalatora Windows i Dynamic-Link Library (w skr. DLL). AppLocker nie zastępuje SRP, a działa obok. Należy jednak dokładnie przetestować obie technologie przed ich wdrażaniem, ponieważ jeśli skonfigurujemy je nieprawidłowo, użytkownicy mogą nie być w stanie uruchomić np. niezbędnych, legalnych aplikacji biznesowych.

 

Zadanie 8: Ochrona aplikacji klienckich

Poniżej wyszczególniono sposoby konfiguracji specyficznych aplikacji, które najbardziej narażone są na ataki malware.

 

Przeglądarki internetowe

Użytkownicy powinni pobierać pliki z Internetu lub wykonywać kody jedynie wtedy, jeżeli pochodzą one ze znanego, wiarygodnego źródła. W żadnym wypadku nie należy polegać tylko na wyglądzie witryny lub adresie strony, ponieważ zarówno strona, jak i jej adres mogą być ukryte. Ponadto należy pamiętać o bieżących aktualizacjach dodatków albo całkowicie je odinstalować.

Opracowano wiele różnych technik i technologii mogących pomóc w ocenie wiarygodności przeglądanej witryny. Na przykład Microsoft Internet Explorer używa technologii Microsoft Authenticode, sprawdzającej autentyczność pobranego kodu. Technologia ta sprawdza czy kod ma ważny certyfikat oraz czy tożsamość wydawcy oprogramowania pasuje do certyfikatu. Jeśli witryna przechodzi wszystkie testy pozytywnie, szanse atakującego na przekazanie do systemu złośliwego kodu maleją. Większość najpopularniejszych przeglądarek internetowych pozwala na ograniczenie dostępu dla kodu wykonywanego przez serwer WWW. IE tworzy strefy bezpieczeństwa w zależności od zawartości witryn, które blokują możliwość wykonania szkodliwego kodu.

Na przykład, jeśli jesteśmy przekonani, że coś, co chcemy pobrać w obrębie wewnętrznej sieci jest bezpieczne, możemy wtedy ustawić niski poziom zabezpieczenia. Jednak jeśli źródło pobieranego pliku znajduje się w Internecie lub w grupie witryn z „czarnej listy”, ustawienia bezpieczeństwa można określić na poziomie średnim lub wysokim. Dzięki tym ustawieniom, przeglądarka sprawdzi treści albo wyświetli powiadomienie, np. o podejrzeniu fałszywego certyfikatu, jeszcze zanim użytkownik pobierze plik.

Internet Explorer używa także SmartScreen Filter, który jest podstawową technologią pomagającą w ochronie użytkowników sieci. Cechą SmartScreen jest sprawdzanie reputacji URL, co oznacza, że narzędzie ocenia serwery hostingowe w celu określenia czy nie zawierają one niebezpiecznych treści. Jeśli użytkownik odwiedzi witrynę, która znana jest z dystrybucji złośliwego oprogramowania, Internet Explorer wyświetli wtedy ostrzeżenie oraz zablokuje dostęp do strony.

 

Poczta elektroniczna

Jeśli kiedykolwiek w przeszłości złośliwemu oprogramowaniu udało się przedrzeć do systemu poprzez pocztę elektroniczną, oznacza to, że być może jeszcze nie wszystkie ustawienia zostały odpowiednio skonfigurowane.

Włamywacze bardzo często wykorzystują e-mail do rozprzestrzeniania szkodliwego oprogramowania. W przeszłości kilka poważnych „epidemii” rozprzestrzeniało się przez robaki lub trojany rozsyłane masowo jako załączniki wiadomości. Malware jeszcze czasem rozprzestrzenia się w ten sposób, ale dziś wielu napastników przestawiło się na rozsyłanie wiadomości zawierających bezpośrednie linki do zainfekowanych plików albo do stron pobierania. Można więc rozważyć możliwość ograniczenia zdolności klientów poczty elektronicznej do otrzymywania niektórych typów plików (np. *.exe) lub uniemożliwienia klikania w hiperłącza. Tu również administratorzy mogą zastosować zasadę „polityki grupowej”, chociażby do skonfigurowania programu Microsoft Outlook tak, by przestrzegał pewnych ograniczeń. Na przykład:

• Korzystanie ze stref bezpieczeństwa Internet Explorera, w celu wyłączenia aktywnej zawartości wiadomości e-mail.

• Wyświetlanie wszystkich wiadomości e-mail w formacie zwykłego tekstu.

• Zapobieganie wysłaniu wiadomości bez specjalnego zezwolenia użytkownika.

• Blokowanie w e-mailach niebezpiecznych załączników.

Powyższe środki zaradcze mogą mieć dodatkowo pozytywny wpływ na wydajność systemu. Ponieważ niektóre dynamiczne treści zawarte w wiadomości zostaną wyłączone, zmniejszy się obciążenie łącza. Jednak i tu należy rozważyć możliwość ograniczenia uprawnień względem niezbędnych funkcji czy potrzeb dla funkcjonowania danej organizacji. Na przykład, niektóre aplikacje biznesowe, wykorzystujące e-mail do wykonywania procesów biznesowych, mogą zostać automatycznie zablokowane lub stale wymagać od użytkowników potwierdzenia dostępu do programu Outlook, gdy aplikacja spróbuje wysłać wiadomość.

 

Aplikacje biurowe

Od kiedy aplikacje biurowe stały się bardziej wydajne, zaczęły tym samym być bardziej podatne na ataki malware. Na przykład makrowirusy używają plików makr, utworzonych przez edytory tekstu (szczególnie Microsoft Office), arkusze kalkulacyjne lub inne aplikacje działające w oparciu o replikowanie danych.

Należy więc upewnić się, że wszelkie, najbardziej odpowiednie ustawienia zabezpieczeń zostały włączone we wszystkich aplikacjach operujących takimi plikami.

 

Komunikatory

Możliwość wysłania błyskawicznych wiadomości wpłynęła na usprawnienie komunikacji między użytkownikami na całym świcie. Niestety, zjawisko to zagwarantowało złośliwym programistom nowe możliwości wdarcia się do systemów swoich ofiar. Chociaż wiadomości tekstowe nie są bezpośrednio zagrożone atakiem, większość komunikatorów, w celu usprawnienia komunikacji, umożliwia dodatkowo transfer plików. Proces przesyłania plików uruchamia bezpośredni dostęp do sieci firmowej.

Aby zablokować transfer plików, można włączyć w Zaporze sieciowej proste filtrowanie portów używanych przez komunikator. Na przykład, Windows Live Messenger do przesyłania plików korzysta z wielu portów TCP pomiędzy 6891 i 6900, więc jeśli zapora zablokuje obwody tych portów, transfer plików za pomocą tego programu nie będzie mógł się odbywać. Jednak komputery mobilne będą chronione tylko wtedy, kiedy znajdują się w sieci organizacji. Z tego powodu, należy dodatkowo rozważyć skonfigurowanie firewalla na każdym komputerze.

Może tak się zdarzyć, że nie będziemy mieć możliwości zablokowania danych portów, bo na przykład specyfika pracy organizacji wymaga używania takiego właśnie sposobu komunikacji i przesyłu danych. Wszystkie pliki należy wtedy, przed przeniesieniem dalej, przeskanować programem AV. Jeżeli stacje robocze nie używają oprogramowania AV w czasie rzeczywistym, tzn. nie skanują plików na bieżąco, można skonfigurować komunikator tak, by automatycznie przekazywał przychodzące pliki do skanowania przez wyspecjalizowane oprogramowanie. Można skonfigurować w ten sposób np. Windows Live Messenger.

Poniższej pokazujemy jak włączyć funkcję skanowania przesyłanych plików w Windows Live Messenger 2009.

1. W głównym oknie programu Windows Live Messenger, kliknij przycisk Pokaż menu, kliknij Menu narzędzia, a następnie kliknij polecenie Opcje.

2. W oknie nawigacji kliknij ikonę Transfer plików.

3. W polu wyboru wybierz Skanuj w poszukiwaniu wirusów.

4. Teraz można wykonać jedną z następujących czynności:

• Kliknij przycisk Przeglądaj, wybierz oprogramowanie AV, z którego korzystasz, a następnie kliknij przycisk OK.

Uwaga: Poprawne działanie procesu może wymagać dodatkowych ustawień w programie AV. Należy więc sprawdzić w instrukcji wymagania naszego oprogramowania.

• Kliknij przycisk Zainstaluj, aby pobrać i zainstalować Windows Live OneCare – skaner plików przesłanych przez Microsoft Windows Live Messenger.

Po wykonaniu czynności oprogramowanie antymalware będzie automatycznie skanować wszystkie pliki odebrane przez Windows Live Messenger.

Zaleca się, na ile to możliwe, ograniczenie liczby komputerów, uprawnionych do korzystania z klientów sieci peer-to-peer (w skr. P2P). Aplikacje ograniczające oprogramowanie, takie jak AppLocker, mogą być pomocne w zablokowaniu użytkownikom możliwości uruchamiania aplikacji P2P. Jeżeli wyeliminowanie takiego oprogramowania nie jest możliwe należy pamiętać, że jego działanie zwiększa ryzyko ataków złośliwego oprogramowania.

 

Pytania końcowe

 

Czy istnieją jakieś prawne obawy ze względu na geograficzną lokalizacje używanych aplikacji? Niektóre wymogi prawne i międzynarodowe regulacje mogą zakazywać używania wybranych aplikacji w określonych regionach geograficznych.

Czy używane przez organizację komputery spełniają wymogi do uruchomienia mieszanki oprogramowania antymalware bez uszczerbku dla wydajności ich działania?

Czy poszczególne komputery klienckie zostały odpowiednio skonfigurowane do skutecznego zarządzania bezpieczeństwem? Niektóre technologie omówione w powyższym kroku, jak AppLocker, są kompatybilne tylko z niektórymi wersjami systemu Windows. Należy więc upewnić się, że posiadane komputery są w stanie spełnić wszystkie, niezbędne elementy planu ochrony.

Czy organizacja posiada odpowiednie narzędzia do centralnego zarządzania zabezpieczeniami oraz do egzekwowania przyjętej polityki? „Polityka grupowa”, System Center Configuration Manager oraz inne narzędzia i rozwiązania mogą znacznie ułatwić wdrażanie i egzekwowanie aktualizacji oraz wpłynąć na proces zmian w działaniu całej organizacji.

Czy w przyszłości organizacja planuje jakieś inwestycje w aplikacje, które będą wymagały ochrony? Czy któreś z poniższych, ewentualnych zmian, należy uwzględnić w palnie obrony przed malware:

– Nabycia lub sprzedaże.

– Aplikacje, z których trzeba będzie zrezygnować bądź wymienić je na nowe.

– Rozrost lub spadek rozmiaru plików.

– Wprowadzenie nowych aplikacji, wymagających ochrony.

Jaki harmonogram aktualizacji da najlepszą ochronę komputerów? Harmonogram należy dopasować do oczekiwań i możliwości biznesowych organizacji.

Czy strategia obrony zapewni również odpowiednią ochronę użytkownikom mobilnym, korzystającym z zasobów organizacji? Podczas projektowania strategii obrony komputerów przed malware, łatwo przeoczyć niektóre segmenty infrastruktury. Należy uwzględnić takie czynniki, jak zdalny dostęp, dostęp do Internetu, a także wsparcie dla innych oddziałów.

 

Wszystkie części poradnika:

Cz. 1. Jak chronić się przed malware – poradnik dla użytkowników systemów Windows

Cz. 2. Identyfikacja potencjalnych zagrożeń

Cz. 3. Ochrona sieci

Cz .4. Ochrona komputerów klienckich

Cz .5. Ochrona serwerów

Cz .6. Zagrożenia fizyczne

Cz .7. Edukacja i plan reakcji

dodany: 26.12.2012 | tagi: , , ,

Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 3. Ochrona sieci

3

Krok 2: Ochrona sieci

 

Poprzedni rozdział dotyczył procesu identyfikacji i oceny potencjalnych zagrożeń w przypadku ataku złośliwego oprogramowania. Drugi etap koncentruje się na ochronie warstwy sieciowej. Ataki odbywające się przez sieć stanowią największą liczbę zarejestrowanych przypadków działania złośliwego oprogramowania. Malware wykorzystuje zazwyczaj słabości w obronie sieci obwodowej, w celu uzyskania dostępu do wewnętrznych urządzeń hostujących naszej infrastruktury IT. Urządzeniami podatnymi na ataki mogą być komputery, serwery, routery czy nawet firewalle. P, Jednym z najtrudniejszych do rozwiązania problemem jest pogodzenie wymogów działania systemu informatycznego ze skuteczną jego obroną. Na przykład Win32/Taterf, to rodzina robaków, które rozprzestrzeniają się za pośrednictwem wirtualnych dysków sieciowych (mapowanie). Z punktu widzenia działania infrastruktury danej organizacji, rezygnacja z mapowania dysków, w większości przypadków, może być niemożliwa. Należy więc osiągnąć możliwy kompromis pomiędzy biznesowymi wymaganiami organizacji, a akceptowalnym poziomem ryzyka.

Wiele organizacji przyjęło wielowarstwowy projekt swojej sieci, który obejmuje zarówno wewnętrzne, jak i zewnętrzne struktury. Takie podejście bezpośrednio zgadza się z modelem „Obrony w głąb”, ponieważ daje możliwość osobnego kontrolowania każdej warstwy sieci.

Zauważyć można również pewien trend w ograniczaniu dostępu dla użytkowników sieci wewnętrznej. Pozwala to na zmniejszenie ogólnej ekspozycji na ataki, celem których jest uzyskanie dostępu do sieci wewnętrznej. My opiszemy tylko jeden model obrony sieci. W celu obrony różnych modeli sieci z powodzeniem zastosować można niniejsze wytyczne.

 

Pierwszym krokiem obrony sieci jest ochrona sieci obwodowej. Mechanizmy obronne mają na celu zapobieganie rozprzestrzenianiu się złośliwego oprogramowania. Typowy atak malware odbywa się przez kopiowanie plików na komputer docelowym. W związku z powyższym, organizacja obrony antymalware powinna objąć ograniczenie dostępu do danych organizacji dla upoważnionych pracowników, np. za pośrednictwem szyfrowanej, wirtualnej sieci prywatnej (z ang. Virtual Private Network , w skr. VPN). Należy pamiętać o zabezpieczeniu sieci bezprzewodowych, jeśli takich używamy.

Założeniem tego etapu jest dostarczenie informacji do zapewnienia bezpieczeństwa sieci na wymaganym poziomie identyfikacji, autoryzacji, szyfrowania oraz ochrony przed bezpośrednim wtargnięciem nieautoryzowanego napastnika. Jednak w tym momencie obrona antymalware nie jest kompletna. Kolejnym zadaniem jest skonfigurowanie obrony sieciowej tak, by wykrywała i filtrowała ataki malware, wykorzystujące narzędzia komunikacji, takie jak e-mail, przeglądarki czy komunikatory.

 

Zadanie 1: Implementacja ochrony sieci

 

Kilku producentów oferuje kompleksowe rozwiązania ochrony sieci, łączące usługi antymalware z zabezpieczeniami przed innymi rodzajami zagrożeń. Jednym z takich produktów jest Forefront Threat Management Gateway 2010 (w skr. TMG), następca Microsoft ISA Server. Forefront TMG zapewnia stale aktualizowane, zintegrowane, łatwe do zarządzania (co zmniejsza koszty obsługi) oraz wielowarstwowe zabezpieczenie. Aby uzyskać więcej informacji o Forefront, kliknij stronę produktu.

Chociaż produkty, takie jak Forefront TMG, pełnią wiele ważnych funkcji, aplikacja ta skupia się wyłącznie na obszarach, które mają bezpośredni związek z ochroną przed złośliwym oprogramowaniem.

 

„Obrona w głąb”

Korzystanie z oprogramowania antymalware kilku różnych dostawców jest kluczowym elementem skutecznej strategii „Obrony w głąb”. Silniki skanowania i metody wykrywania sygnatur różnią się w zależności od dostawców. Każdy sposób może mieć swoje zalety i wady. Często silniki skanowania i wykrywania sygnatur, zamiast skanować każdy bajt w każdym pliku, wspólnie identyfikują nie tylko charakterystyczne cechy kodu wirusów, ale dokładnie określają miejsca w pliku, w których może ukrywać się wirus. Zagrożenie, któremu uda się przedrzeć przez jeden silnik skanowania może zostać wykryte przez drugi lub trzeci silnik. Symultaniczne używanie oprogramowania różnych producentów zwiększa więc szansę na wykrycie i zablokowanie zagrożenia. Niestety zwiększa to koszty oraz komplikuje proces czy specyfikę ochrony.

Wiele programów AV, w tym Microsoft Forefront Protection 2010 dla Exchange Server, można skonfigurować do korzystania z wielu silników skanowania. Zapewnia to lepszą ochronę przed zagrożeniami wchodzącymi do sieci. Korzystanie z takich rozwiązań może również zapewnić ochronę wielu wyodrębnionych wcześniej warstw.

 

System wykrywania włamań

Ponieważ sieć obwodowa jest częścią wrażliwą na ataki, bardzo ważne jest, żeby systemy zarządzania mogły jak najszybciej wykrywać i zgłaszać próby włamania. Rolą systemu wykrywania włamań (z ang. Network Intrusion Detection System, w skr. NID) jest właśnie zapewnienie szybkiego wykrywania i raportowania zewnętrznych ataków. Chociaż system NID jest częścią ogólnej koncepcji bezpieczeństwa systemu, a nie konkretnego narzędzia antymalware, wiele z pierwszych objawów zewnętrznego ataku pokrywa się ze specyfiką działania malware. Na przykład, niektóre złośliwce wykorzystują skanowanie IP w celu znalezienia systemów podatnych na zakażenie. Z tego powodu powinniśmy skonfigurować swój system NID tak, by ostrzegał personel odpowiedzialny za bezpieczeństwo o każdym nietypowym zachowaniu sieci. W tym celu wykorzystać można na przykład narzędzia czy zapory NID, zintegrowane z innymi usługami sieciowymi.

 

Blokowanie złośliwego ruchu

Blokowanie złośliwego ruchu uważane jest nie tylko za użyteczne, ale za niezbędne. W procesie korzystania z nowoczesnych technologii internetowych, monitorowanie i filtrowanie komunikacji sieciowej pozwala na wykrycie podejrzanych zachowań, podobnych do działania malware. Tradycyjnie filtrowanie wykonywano przy użyciu firewalli. Niestety, pozwalało ono jedynie na filtrowanie ruchu sieciowego na podstawie źródła i docelowego adresu IP, konkretnego TCP lub portu UDP. Nowsze programy zostały zaopatrzone w „inteligentną” funkcję filtrowania, która rozpoznaje pewne cechy złośliwego ruchu. Na przykład „System kontroli sieci” (z ang. Network Inspection System, w skr. NIS), będący funkcją Forefront TMG, opiera się o znane luki w zabezpieczeniach oprogramowania Microsoftu.

Inną techniką, wykorzystywaną do wykrywania i blokowania złośliwego ruchu, jest „Filtrowanie warstwy aplikacji” (z ang. Application layer filtering, w skr. ALF). ALF działa w warstwie modelu sieci OSI (z ang. Open System Interconnection), co pozwala na zbadanie i filtrowanie przepływających treści. Zastosowanie ALF, wraz ze standardowym pakietem filtrowania, znacznie zwiększa bezpieczeństwo. Na przykład, można ustawić filtrowanie ruchu w porcie 80 używając standardowego firewalla.Rozwiązanie to nie zapewnia jednak wystarczającej ochrony. Dodatkowe zastosowanie ALF pozwoliłoby organizacji na sprawdzanie wszystkich danych przechodzących przez port 80 z serwerów WWW oraz na zapewnienie, że nie zawierają one żadnego podejrzanego kodu.

Forefront TMG może filtrować aplikacje przechodzące przez firewall. Przeglądane witryny i e-maile mogą być skanowane w celu wykrycia podejrzanych danych, np. spamu lub malware. Narzędzie ALF w Forefront TMG umożliwia głębokie analizy zawartości, w tym charakteryzuje się zdolnością do wykrywania i sprawdzania poprawności ruchu za pomocą dowolnego portu i protokołu.

 

Zabezpieczenie urządzeń oraz połączeń

Wiele organizacji umożliwia swoim pracownikom połączenia czy komunikację między urządzeniami, takimi jak komputery stacjonarne, laptopy, tablety, smartfony, urządzenia dedykowane etc. Postęp w technologii mobilnych urządzeń i rosnąca akceptacja dla pracy zdalnej wymuszają dołożenie większych starań w zapewnieniu pracownikom działów IT możliwości bezpiecznego łączenia się z siecią z dowolnego miejsca w dowolnym czasie. Z badania przeprowadzonego w lipcu 2012r. przez B2B International dla Kaspersky Lab wynika, że aż 33% firm zezwala swoim pracownikom na nieograniczony (a co za tym idzie – niezabezpieczony) dostęp do zasobów firmowych z poziomu smartfonów.

Network Access Protection (w skr. NAP), funkcja systemu Windows Server 2008 i Windows Server 2008 R2, umożliwia administratorom ustawienie minimalnych wymagań dla urządzeń łączących się z siecią i egzekwowanie ograniczenia dostępu dla urządzeń, które nie spełniają minimalnych wymagań. NAP może być używany na komputerach klienckich pracujących na systemie Windows XP z dodatkiem Service Pack 3 (w skr. SP3), Windows Vista i Windows 7, a także Mac OS X i Linux.

Aby ułatwić firmom zapoznanie się ze współczesnymi zagrożeniami oraz metodami walki z nimi, również eksperci z Kaspersky Lab przygotowali specjalną stronę o nazwie „Be ready”. Witryna zawiera wiele porad, które mogą pomóc w stworzeniu skutecznej polityki bezpieczeństwa, uwzględniającej prywatne smartfony, tablety i laptopy pracowników, a także szczegółowe informacje na temat rozwiązań Kaspersky Lab dla firm.

 

Zabezpieczanie kanałów komunikacji

Od lat poczta elektroniczna czy aplikacje umożliwiające szybką komunikację (z ang. Instant message, w skr. IM) jak Microsoft Lync, to w wielu organizacjach rutynowe narzędzie pracy. Kompleksowa obrona przed malware powinna zapewnić również ochronę przed zagrożeniami, przekazywanymi przez e-maile i komunikatory. Dwa produkty z linii Forefront zapewniają usługę lokalnego skanowania oraz blokowanie niebezpiecznych typów plików i hiperłączy. Są to: Forefront Protection 2010 for Exchange Server i Forefront Security for Office Communications Server. Istnieje również możliwość ochrony poczty elektronicznej w chmurze – Forefront Online Protection for Exchange.

 

 

Bezpieczne korzystanie z Internetu

Złośliwe oprogramowanie rozprzestrzenia się dziś głównie przez Internet. Włamywacze mogą używać wyszukanej socjotechniki oraz wykorzystywać luki w przeglądarkach i popularnych dodatkach do zainstalowania swojego oprogramowania. Skuteczna strategia „Obrony w głąb” obejmuje monitorowanie pod kątem wykrywania szkodliwego ruchu w sieci i warstwie hosta.

Rozwiązania, które chronią ruch internetowy, zwykle pracują w każdym poziomie „Domenowego systemu nazw” (z ang. Domain Name System, w skr. DNS) lub poziomie bramy serwera. Podejście ogólne polega na filtrowaniu wychodzących żądań HTTP na jeden z dwóch sposobów:

Lista zablokowanych. Przed umożliwieniem połączenia zapora sprawdza czy adres nie znajduje się na czarnej liście połączeń. Użytkownicy mogą łączyć się tylko z tymi witrynami, które się tam nie znajdują.

Lista adresów dozwolonych. Zapora pozwala na komunikację tylko tym adresom, które zostały wpisane na zatwierdzoną przez organizację listę witryn dozwolonych.

Pierwsze podejście polega na aktywnym procesie identyfikacji tych stron internetowych, które mogą być problemem i dodaniu ich do listy. Ze względu na bezmiar i zmienną naturę Internetu, podejście to wymaga albo rozwiązań zautomatyzowanych, albo ograniczenia się do blokowania tylko niewielkiej liczby adresów, co nie daje kompleksowego zabezpieczenia. Drugie podejście zapewnia lepszą ochronę, ponieważ jego restrykcyjny charakter umożliwia kontrolę wszystkich stron udostępnianych użytkownikom systemu. Jednak drugie podejście niesie pewne niebezpieczeństwo. W wyniku badań nad zaufaniem strony, niezbędne użytkownikom adresy mogą wypaść jako podejrzane. Dla wielu organizacji, ze względu na charakter pracy, takie podejście może okazać się zbyt restrykcyjne.

Skuteczne filtrowanie adresów ULR opiera się o wykorzystanie informacji z różnych źródeł. Na przykład, program Web Protection dla Forefront TMG opiera się o Microsoft Reputation Services (W skr. MRS), czyli na globalnym systemie, ściągającym dane z różnorodnych źródeł, pochodzących zarówno od Microsoftu, jak i innych dostawców. Jego celem jest ustalenie bezpieczeństwa miliardów stron internetowych, w ponad 80 kategoriach, w tym w kontekście zawartości złośliwego oprogramowania.

Dopuszczanie i blokowanie list pozwala na ochronę jedynie wtedy, gdy użytkownik korzysta z chronionego komputera wewnątrz organizacji. Takie rozwiązanie nie daje ochrony, gdy użytkownik łączy się bezpośrednio z Internetem podczas nieobecności w biurze, narażając się tym samym na atak. Jeśli potrzebujemy filtru ULR dla użytkowników mobilnych, należy rozważyć możliwości jego wprowadzenia. Jednak takie rozwiązanie może prowadzić do poważnych utrudnień w zarządzaniu, szczególnie w organizacjach charakteryzujących się dużą liczbą użytkowników/pracowników zdalnych.

 

Pytania końcowe

Aby upewnić się, czy odpowiednio zidentyfikowaliśmy założenia opisane w powyższym rozdziale, należy odpowiedzieć na następujące pytania:

Czy sprzęt sieciowy, jaki posiada organizacja, spełni wymagania do uruchomienia zestawu oprogramowania AV, nie pogarszając tym samym wydajności pracy komputerów? Uwzględnianie w planach wydatków firmy ewentualnej wymiany sprzętu jest niezbędnym krokiem w projektowaniu infrastruktury sieciowej.

Jak będzie wyglądał najodpowiedniejszy dla naszej organizacji harmonogram aktualizacji oprogramowania? Harmonogram update’ów należy dostosować do oczekiwań i możliwości organizacji.

Czy organizacja musi zapewnić swoim pracownikom opcje zdalnego dostępu do zasobów firmowych? Należy upewnić się, że do chronionych danych i aplikacji dostęp będą mieli wyłącznie upoważnieni użytkownicy.

Czy projekt sieci umożliwia administratorowi odpowiedni dostęp tak, by z każdego miejsca mógł zidentyfikować i odeprzeć atak złośliwego oprogramowania? Podczas ustalania dostępu do sieci łatwo przeoczyć niektóre jej segmenty. Należy uwzględnić takie czynniki, jak zdalny dostęp, dostęp do Internetu, a także wsparcie dla innych oddziałów.

 

Wszystkie części poradnika:

Cz. 1. Jak chronić się przed malware – poradnik dla użytkowników systemów Windows

Cz. 2. Identyfikacja potencjalnych zagrożeń

Cz. 3. Ochrona sieci

Cz .4. Ochrona komputerów klienckich

Cz .5. Ochrona serwerów

Cz .6. Zagrożenia fizyczne

Cz .7. Edukacja i plan reakcji

dodany: 25.12.2012 | tagi: , ,

Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 2. Identyfikacja potencjalnych zagrożeń

5

Krok 1: Identyfikacja potencjalnych zagrożeń

 

Przed przystąpieniem do zorganizowania skutecznej obrony przed złośliwym oprogramowaniem ważne jest, aby zrozumieć jak w ogóle funkcjonuje nasza infrastruktura. Należy stwierdzić w jakiś sposób narażone są jej poszczególne części. Aby zaprojektować najlepsze rozwiązanie ochrony, należy w pełni ocenić ryzyko niebezpieczeństwa. Malware wykorzystuje kilka typowych sposobów infekcji i te, podczas oceny potencjalnego ryzyka, warto rozważyć jako pierwsze. Najbardziej popularne to:

Skanowanie, a później wykorzystanie otwartych portów. Scanning dostarcza wielu zyskownych informacji dla potencjalnego włamywacza, np. o liczbie komputerów czy usług uruchamianych w sieci.

Wnikanie przez pocztę elektroniczną.

Rozprzestrzenianie się z nośników wymiennych, jak np. dyski USB.

 

Model podejścia „Obrony w głąb”

 

Następnym krokiem, po wskazaniu i dokumentowaniu ryzyka zachwiania bezpieczeństwa w naszej organizacji, jest zorganizowanie ochrony przed złośliwym oprogramowaniem. Doskonałym punktem wyjścia dla tego procesu jest model podejścia „Obrony w głąb”. Pozwala on na ochronę wielopłaszczyznową. Poniższy rysunek przedstawia kolejne warstwy, składające się na model „Obrony w głąb”:

Rys. 2. Szczegółowe warstwy modelu „Obrony w głąb”.

 

Rysunek przedstawia każdy obszar infrastruktury, jaki należy rozważyć przy projektowaniu obrony przed malware. Warto wrócić do tego schematu, po przeczytaniu całego poradnika.

Poszczególne obszary mogą być dowolnie modyfikowane, w zależności od naszych indywidualnych wymagań czy możliwości. Na potrzeby tego artykułu wyszczególniliśmy następujące „warstwy”:

Dane. Zagrożenia w warstwie danych wynikają z luk, które potencjalny atakujący może wykorzystać w celu uzyskania dostępu do danych konfiguracyjnych, danych organizacji lub unikalnych danych używanego urządzenia. Podstawowe założenia ochrony na poziomie tej warstwy, to kwestie odpowiedzialności prawnej, wynikającej np. z utraty lub kradzieży. Mogą to być wrażliwe na publikację, poufne dane biznesowe, dane użytkowników czy prywatne magazyny informacji o klientach.

Aplikacje. Zagrożenia w tej warstwie wynikają z luk umożliwiających dostęp do uruchomionych aplikacji. Każdy wykradziony kod wykonywalny może być potem wykorzystany do ataku na system. Podstawowe kwestie, dotyczące organizacji obrony w tej warstwie, to uniemożliwienie dostępu do plików binarnych, wykorzystywanych przez aplikacje, ograniczenie dostępu do hosta poprzez luki w zabezpieczeniach usług nasłuchujących aplikacji oraz kontrola właściwego gromadzenia specyficznych danych tak, by nie dostały się w posiadanie niepowołanych osób.

Host. Zabezpieczeniem tej warstwy zajmuje się zazwyczaj producent, który zapewnia Service Packi i poprawki do oprogramowania antymalware. Zagrożeniem w tej warstwie mogą być ataki poprzez wykorzystanie luk w oprogramowaniu. Atakujący mogą eksploatować je w różny sposób. Przykładem może być celowe przeciążanie buforu pamięci. W warstwie tej ważne są prewencyjne działania, uniemożliwiające dostęp do plików binarnych, które zawierają informacje o systemie operacyjnym, jak również ograniczenie dostępu do hosta za pośrednictwem luk w zabezpieczeniach systemu operacyjnego.

Sieć wewnętrzna. Zagrożenia dla sieci wewnętrznej organizacji w dużej mierze dotyczą poufnych danych przesyłanych za pośrednictwem tejże sieci. Wymagania w zakresie łączności pomiędzy stacjami roboczych znajdującymi się w sieci wewnętrznej mogą nieść wiele zagrożeń.

Sieć obwodowa (Jeden lub więcej komputerów, które mają połączenie z Internetem przez zewnętrzny router i połączenie z  siecią wewnętrzną). Podstawowe zagrożenia w tej warstwie, to dostęp do portów wykorzystywanych przez protokoły komunikacyjne przesyłające dane pomiędzy maszynami, np.: Transmission Control Protocol (w skr. TCP) oraz Protokół Pakietów Użytkownika ( z ang. User Datagram Protocol, w skr. UDP).

Fizyczne zagrożenia. W tej warstwie zagrożenia wynikają z możliwości fizycznego dostępu ewentualnego atakującego do zasobów chronionych. Warstwa ta obejmuje wszystkie poprzednie poziomy, ponieważ fizyczny dostęp do danych umożliwia tym samym dostęp do wszystkich innych warstw. Podstawowym problemem jest tu bezpośrednia możliwość zainfekowania komputerów z pominięciem zabezpieczeń sieci obwodowej i wewnętrznej. Haker może próbować zaatakować przy użyciu wymiennych nośników, takich jak pendrive, kopiując po prostu zainfekowany plik bezpośrednio do hosta.

Zasady, procedury oraz świadomość. Dla każdej z warstw modelu bezpieczeństwa „Obrony w głąb” istnieją niezbędne do spełnienia zasady, procedury czy wymagania. Ważne jest, aby promować w naszej organizacji świadomość zagrożeń. W wielu przypadkach nieznajomość ryzyka może prowadzić do naruszenia bezpieczeństwa. Z tego powodu, ciągłe dokształcanie się w praktykach zabezpieczających, świadomość najnowszych taktyk socjotechniki oraz cech złośliwego oprogramowania, ma zasadnicze znaczenie dla ochrony naszej organizacji przed malware. Niestety, napastnik może przezwyciężyć wszystkie zabezpieczenia, dlatego permanentne kształcenie powinno być integralną częścią każdego modelu bezpieczeństwa i obrony przed malware.

Organizacja może położyć nacisk na tę warstwę, na obronie której szczególnie jej zależy. Najważniejsze, by wyeliminować słabe bądź w ogóle pominięte punkty struktury obronnej.

Wydaje się, że strategie obronne warstw Danych, Aplikacji oraz Hosta można połączyć. Mimo, że mechanizmy obronne w obrębie tych warstw mają szereg wspólnych strategii, to różnice w realizacji obrony zwykłego komputera i serwera są na tyle wystarczające, aby uzasadnić unikalne podejście do każdej z nich.

Strategie obrony warstw Sieci wewnętrznej i Sieci obwodowej również mogą być wspólne, ponieważ technologie z nimi związane są takie same. Różnice mogą polegać na fizycznym położeniu urządzeń czy używanej technologii.

 

Pytania końcowe

 

Na koniec każdego rozdziału warto zadać sobie pytania, dzięki którym możemy sprawdzić czy zrozumieliśmy założenia oraz cele danego etapu. Po przeczytaniu opisu pierwszego kroku powinniśmy upewnić się, że prawidłowo zidentyfikowaliśmy potencjalne ryzyko ataku malware. Oto pytania pomocnicze:

Czy organizacja działa zgodnie z przyjętymi zasadami, normami i praktykami? Czy wymogi prawne wymuszają na naszej organizacji procedury służące ochronie danych lub usług oraz zgłaszanie utraty takich danych lub przerw w świadczeniu usługi w wyniku ataku złośliwego oprogramowania? Nad naszą firmą może ciążyć litera prawa, np.: Ustawa Sarbanesa-Oxley (nazywana też SOX lub SarOx), mająca na celu odbudowanie zaufania inwestorów poprzez poprawę jakości i wiarygodności sprawozdawczości finansowej. Możemy także podlegać szeregowi wymogów w zakresie certyfikatów, np.: ISO/IEC 27001 – międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji czy PCI DSS (z ang. Payment Card Industry Data Security Standard) – światowy standard ustalony przez organizacje finansowe w celu ochrony danych osobowych posiadaczy kart oraz informacji związanych z ochroną danych osobowych. Oczywiście, kontrola nad wspominanymi normami może być utrzymywana w ramach standardowego procesu biznesowego oraz dostarczanych przez nas usług IT.

Czy zaproponowane rozwiązania są zgodne z obowiązującymi wymogami?

Czy istnieją jakieś przepisy, wymagające zgłoszenia zainteresowanych stron w przypadku, jeśli organizacja straci kontrolę nad danymi osobowymi (ustawa o ochronie danych)?

Czy istnieją jakieś prawne obawy ze względu na geograficzną lokalizację używanych serwerów, komputerów czy aplikacji oraz znajdujących się na nich danych? Niektóre wymogi prawne oraz regulacje międzynarodowe mogą zakazywać używania wybranych aplikacji lub przetrzymywania niektórych danych w określonych regionach geograficznych.

Czy organizacja posiada kopie zapasowe systemów serwerów, komputerów, aplikacji oraz danych? Backup może okazać się niezbędnym elementem neutralizacji szkodliwych skutków złośliwego ataku.

Jaki powinien wyglądać odpowiedni dla naszej organizacji harmonogram aktualizacji oprogramowania serwerów oraz komputerów?

Czy nasi pracownicy zostali odpowiednio uświadomieni oraz przeszkoleni tak, aby potrafili szybko zareagować na próbę ataku? Edukacja pracowników jest podstawowym wymogiem kompleksowej obrony przed złośliwym oprogramowaniem. Szkolenie jest integralną częścią każdego modelu bezpieczeństwa i obrony przed malware.

Czy jakieś wewnętrzne zobowiązania naszej firmy nie wymagają odpowiednich działań oraz reakcji w przypadku ataku złośliwego oprogramowania? Wiele organizacji korzysta z umów o poziomie usług, np. SLA (z ang. Service level agreement) – opisująca zakres i porządek oferowanego wsparcia technicznego czy umów o usługach między działami, np. OLA (z ang. Operational-level agreement). Należy wziąć pod uwagę wszelkie zobowiązania dotyczące ewentualnego ataku złośliwego oprogramowania, ustalone w podobnych umowach.

 

Wszystkie części poradnika:

Cz. 1. Jak chronić się przed malware – poradnik dla użytkowników systemów Windows

Cz. 2. Identyfikacja potencjalnych zagrożeń

Cz. 3. Ochrona sieci

Cz .4. Ochrona komputerów klienckich

Cz .5. Ochrona serwerów

Cz .6. Zagrożenia fizyczne

Cz .7. Edukacja i plan reakcji

dodany: 21.12.2012 | tagi: , ,

Pierwsze kroki z własnym serwerem – część 3.

5

W poprzedniej części poradnika skupiliśmy się na bezpieczeństwie przez ukrywanie. Trzeba być jednak świadomym, że ataki mogą nastąpić pomimo ukrywania pewnych informacji. Przede wszystkim dlatego, że istnieją sposoby i techniki wydobywania tych informacji mimo ich ukrycia (a raczej próby ukrycia). Najtragiczniejszym w skutkach, udanym atakiem, jest przejęcie serwera. Najczęściej następuje ono przez nienależycie zabezpieczony dostęp po serwera po protokole SSH. Oczywiście konfigurowaliśmy w pierwszej części poradnika serwer w taki sposób, aby zalogowanie się do niego po SSH było możliwe jedynie z kluczem RSA, ale istnieje możliwość, że ktoś przechwyci ten klucz (np. jeśli załapiemy jakiegoś wirusa, który odnajdzie klucz na naszym dysku i wyśle go do twórcy złośliwego oprogramowania). Klucz może też być wykorzystany przez osobę, która ma bezpośredni dostęp do naszego komputera.
Przez nienależycie skonfigurowany dostęp do jakiejkolwiek usługi (w tym SSH), mamy na myśli słabe hasło oraz brak zabezpieczenia przed wielokrotnym wpisywaniem nieprawidłowego hasła. Krótko mówiąc: należy zabezpieczyć się przed atakami typu BruteForce.

Musimy zatem zapewnić sobie system, który będzie monitorował próby uzyskania dostępu do serwera i przy określonej liczbie nieudanych prób z tego samego źródła, zablokuje je na określony przedział czasu. Dlaczego blokować tylko na określony czas, a nie na zawsze? Dlatego, że kiedyś to my sami możemy mieć problem z logowaniem (np. uszkodzona klawiatura) i nie możemy pozwolić na to, żeby odciąć się od własnego serwera. Załóżmy zatem, że chcemy za pomocą firewalla odciąć te adresy IP, z których następują 3 nieudane próby logowania. Blokować chcemy na 5 minut.

Jest na szczęście narzędzie, które pozwala na realizację tych założeń. Narzędziem tym jest Fail2Ban – otwarty projekt rozwijany nieprzerwanie od 2004r. Fail2Ban znajduje się w repozytoriach większości popularnych dystrybucji systemu Linux. W tym w Ubuntu 12.04 LTS oraz Debian Squeeze i Wheezy. Instalacja i konfiguracja Fail2Ban jest szybka i prosta.

  1. Odświeżamy listę pakietów
  2. Instalujemy Fail2Ban z repozytorium
  3. Domyślna konfiguracja Fail2Ban znajduje się w pliku /etc/fail2ban/jail.conf, jednakże nie powinniśmy wprowadzać zmian konfiguracyjnych w tym pliku. Zamiast tego, tworzymy plik z konfiguracją lokalną:
  4. W nowo utworzonym pliku można już wprowadzać zmiany konfiguracyjne. Dokonujemy tego przy użyciu dowolnego edytora (np. vim):
  5. Pierwsza część konfiguracji zawiera podstawowe ustawienia, którymi Fail2Ban będzie się kierował. Jeśli chcecie bardziej rozbudować ochronę przed nieudanymi próbami dostępu do różnych usług, to musicie dostosować opcje w poszczególnych sekcjach. Strona projektu Fail2Ban zawiera czytelną dokumentację, która nie powinna sprawić Wam problemu.

    Linia ignoreip = 127.0.0.1/8 wymienia adresy IP, które są wyłączone z monitorowania. Do parametru można dodawać własne adresy IP (oddzielone spacjami). Jest to biała lista adresów, które nie będą oceniane przez mechanizm.

    Linia bantime  = 600 określa czas w sekundach, przez który będzie blokowany atakujący adres IP.

    Linia maxretry = 3 określa maksymalną ilość niepoprawnych podejść do uwierzytelnienia.

    Linia destemail = root@localhost określa adres odbiorcy powiadomień, które Fail2Ban będzie wysyłał.

    Druga część konfiguracji zawiera definicje akcji, które będą podejmowane w przypadku wykrycia prób uwierzytelnienia:

    Linia Banaction określa krok, który będzie podjęty dla okreslonego, atakującego IP. Domyślna akcja, czyli „iptables-multiport”, znajduje się pod adresem etc/fail2ban/action.d/iptables-multiport.conf.

    Linia MTA odnosi się do rodzaju silnika e-mail, który zostanie użyty do powiadomienia o próbach ataku.

    Można także zmieniać protokół z tcp na udp, jeśli rodzaj chronionej usługi tego wymaga.

    Ostatnim krokiem w konfiguracji Fail2Ban, jest możliwość zmiany w konfiguracji sekcji SSH. Opcje te opisują sposób działania „strażnika” usługi SSH:

    Linia filter odnosi się do pliku konfiguracyjnego z zasadami śledzenia zdarzeń w usłudze SSH. Plik ten mozna znaleźć pod adresem /etc/fail2ban/filter.d/sshd.conf.

    Linia log path określa lokalizację pliku dziennika dla usługi, która jest monitorowana. To właśnie analiza dziennika pozwala na wykrycie prób ataków. Domyślna lokalizaja pliku dziennika dla SSH w systemie Ubuntu Linux Server 12.04 LTS to /var/log/auth.log.;

Pozostaje nam tylko zrestartować usługę Fail2Ban i powierzyć jej czuwanie nad dostępem do naszego serwera:

dodany: 20.12.2012 | tagi: , ,

Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 1.

0

Jesteś administratorem firmowej sieci i przeraża Cię perspektywa utraty służbowych danych? Nie czujesz się bezpiecznie korzystając z Internetu w swoim domu? To dobrze trafiłeś. Rozpoczynamy cykl publikacji poradnika obrony przed malware. W kilku kolejnych odsłonach postaramy się przybliżyć jak stworzyć kompleksową strategię obrony przed złośliwym oprogramowaniem, nie pomijając przy tym żadnych elementów infrastruktury. Po przejściu 7 kroków „Obrony w głąb” będziesz mieć pewność, że zrobiłeś wszystko dla bezpieczeństwa swoich danych.

 

Po co i dla kogo jest ten poradnik?

 

Niniejszy poradnik ma na celu dostarczenie najnowszych informacji, pomocnych w zaplanowaniu najlepszej i najbardziej opłacalnej strategii obrony przed złośliwym oprogramowaniem, zwanym malware (z ang. malicious software). W naszych poradach podpieramy się autorytatywnymi wytycznymi od ekspertów z firmy Microsoft. Przewodnik ten traktuje temat ogólnie, dlatego przeznaczony jest zarówno dla specjalistów IT oraz architektów zabezpieczeń sieciowych w większych organizacjach, jak i dla zwykłych, domowych użytkowników. Dodatkowo podajemy odnośniki do szczegółowych informacji na temat danego zagadnienia. Zasady oraz wskazówki tu przytoczone, mogą być pomocne w planowaniu nowej infrastruktury albo podczas rozbudowywania już istniejącej. Nasz poradnik ma za zadanie przede wszystkim:

• Pomóc poznać i zrozumieć zagrożenia.

• Wskazać zalecenia i instrukcje do obrony.

• Pokazać ewentualne konsekwencje poszczególnych rozwiązań.

• Dostarczyć wskazówek dla organizacji i przedsiębiorstw do zaplanowania skutecznej obrony przed malware.

Poradnik obejmuje 7 głównych kroków, zawierających zadania ogólne oraz porady dotyczące zagadnień konkretnych. Każdy rozdział został opatrzony pytaniami końcowymi, pomocnymi w sprawdzeniu czy dobrze zrozumieliśmy jego treść.

 

Wprowadzenie do ochrony przed malware

 

Mimo, że wiele małych i średnich organizacji wykorzystuje oprogramowanie AV, nowe wirusy, robaki i inne formy złośliwego oprogramowania wciąż infekują znaczna liczbę komputerów. Malware rozprzestrzenia się dziś z zastraszającą prędkością oraz na tak wiele różnych sposobów, że stało się szczególnie powszechne. Trudno wytłumaczyć, dlaczego pomimo instalacji oprogramowania antywirusowego, twórcom malware wciąż udaje się odnosić sukcesy w swojej działalności. Można jednak wskazać kilka niezmiennie typowych sytuacji, sprzyjających rozwojowi i rozprzestrzenianiu się złośliwców:

• Klikanie w załączniki podejrzanych e-maili.

• Nierozpoznawanie przez programy AV najnowszych wirusów.

• Beztroska oraz zbytnia ufność użytkowników w możliwości firewalla.

• Brak aktualnych poprawek do oprogramowania serwerów.

Sukcesy przestępców, wykorzystujących cyberprzestrzeń pokazują, że standardowe podejście do oprogramowania antymalware może już nie być wystarczające dla każdego komputera w organizacji. Infekcje rozprzestrzeniają się z przerażającą prędkością. Twórcy malware działają szybciej niż przemysł oprogramowania AV jest w stanie wykryć, zidentyfikować i dostarczyć skutecznych narzędzi antywirusowych. Złośliwi programiści używają coraz bardziej zaawansowanych technik i form, co znacznie uniemożliwia wykrycie szkodliwego oprogramowania. Wśród takich technik warto wyszczególnić kilka najważniejszych:

 

Socjotechnika. Atakujący przesyła wiadomość naśladującą oficjalne komunikaty lub informacje pochodzące od administratora systemu. Taka strategia wpływa na wiarygodność wiadomości i zwiększa prawdopodobieństwo, że użytkownicy wykonają pożądane zadanie i zainfekują swój system.

Botnety. Są to całe sieci tzw. komputerów-zombie, zainfekowanych złośliwym oprogramowaniem. Mogą być zdalnie sterowane przez atakującego. Są odpowiedzialne za większość wysyłanego dziś spamu.

Kradzież adresów e-mail. Twórcy wykradają z zainfekowanych systemów adresy e-mail, dzięki którym mogą docierać do nowych ofiar.

Spamowy czarny rynek. Skradzione adresy e-mail mogą być wymieniane przez cyberprzestępców na nowe warianty złośliwego oprogramowania, narzędzia czy kody źródłowe wirusów. Mogą być także sprzedawane innym, zainteresowanym wykorzystaniem takich adresów, np. do produkcji i dystrybucji spamu.

Zagnieżdżenie w silnikach poczty. Wiele form złośliwego oprogramowania wykorzystuje dziś silniki poczty elektronicznej. Wpływa to na niezwykłą szybkość i skalę ekspansji malware.

Wykorzystywanie dodatków do przeglądarek. Twórcy malware coraz częściej wykorzystują luki w dodatkach do przeglądarek.

Wykorzystanie nowych technologii internetowych. Kiedy jakieś narzędzie internetowe zyskuje popularność, twórcy złośliwego oprogramowania szybko badają w jaki sposób mogą wykorzystać je dla swoich korzyści. Stosując przeróżne techniki, takie jak web scraping (dosł. ‚zeskrobywanie’ – polegjące na wydobywaniu danych z używanego przez nas programu), mogą wyciągać z popularnych witryn personalia użytkowników. Często sami użytkownicy ułatwiają pracę phisherów (‚wyłudzaczy’), przez używanie tych samych loginów i haseł na różnych witrynach. Haker może łatwo wykorzystać dane zdobyte na jednym portalu do ataku na innym, np. skorzystać z naszego konta w serwisie banku czy na portalu aukcyjnym.

 

Planowanie ochrony przed złośliwym oprogramowaniem

 

Wszystkie organizacje powinny wdrażać rozwiązania antywirusowe w swoich strukturach sieciowych. Rozwiązania te powinny zapewniać jak najwyższy poziom ochrony. Jednak wiele firm, nawet po zainstalowaniu oprogramowania, nadal zostaje zarażona. W naszym poradniku proponujemy inne podejście do problemu złośliwego oprogramowania. Przyjrzymy się rodzajowi strategii, nazywanemu „Obrona w głąb” (z ang. defense-in-depth). Pojęcie to obejmuje trzy poziomy bezpieczeństwa:

prewencję (czyli zapobieganie),

nadzór (w tym wykrywanie i przewidywanie zagrożeń),

minimalizację negatywnych skutków.

 

Kolejne części poradnika:

Cz. 2. Identyfikacja potencjalnych zagrożeń

Cz. 3. Ochrona sieci

Cz .4. Ochrona komputerów klienckich

Cz .5. Ochrona serwerów

Cz .6. Zagrożenia fizyczne

Cz .7. Edukacja i plan reakcji

dodany: 27.11.2012 | tagi: , ,

Pierwsze kroki z własnym serwerem – część 1

5

W życiu młodego adepta sztuki administracyjnej przychodzi taki czas, kiedy postanawia on wziąć na swe barki pełną odpowiedzialność za maszynę fizyczną lub wirtualną. Do jego obowiązków należy nie tylko instalacja i konfiguracja systemu i usług, ale także zabezpieczenie całości przed zagrożeniami wszelkiego rodzaju.

Żadna książka, żaden tutorial wideo nie zastąpią pracy na żywym organizmie. Oczywiście nie musi to być środowisko produkcyjne (a nawet nie powinno)… Cudowna niemalże technologia, jaką jest wirtualizacja, pozwala nam na uruchomienie świeżego systemu operacyjnego wewnątrz drugiego, już działającego. Rozwiązań wirtualizacyjnych jest wiele i jako że nie są one przedmiotem tego artykułu, to nie uzasadnimy polecenia konkretnego rozwiązania. Do najpopularniejszych rozwiązań zaliczamy VirtualBox, Hyper-V oraz XEN. Na początek polecamy korzystanie z VirtualBox (w wersji otwartoźródłowej lub dostarczanej przez firmę Oracle). Oprogramowanie pozwalające na wirtualizację systemów nazywamy hypervisorem, maszynę na której uruchomiony jest hypervisor nazwiemy sobie hostem, zaś maszyny wirtualne nazwiemy gośćmi. Hypervisor VirtualBox jest prosty w instalacji i obsłudze.

W pierwszej części niniejszego przewodnika* system operacyjny hosta oraz rodzaj hypervisora nie grają dla nas roli. Poruszymy podstawy zabezpieczania świeżo zainstalowanego systemu operacyjnego naszego serwera. Na system operacyjny dla naszego wirtualnego serwera wybraliśmy jedną z najpopularniejszych dystrybucji systemu Linux, używanej na serwerach na całym świecie: Debian GNU/Linux w 6 wersji stabilnej („Squeeze”). Jest to wersja już nieco leciwa i prawdopodobnie na początku lutego, podczas konferencji FOSDEM 2013, będzie miała miejsce premiera nowej, 7 stabilnej wersji o nazwie kodowej „Wheezy”. Świeżość jądra systemu i pakietów, które tworzą dystrybucję nie ma jednak dla nas również znaczenia – podstawy, które będziemy omawiać, dotyczą niemalże każdej dystrybucji i każdej wersji.

Zakładamy zatem, że system Debian GNU/Linux 6 jest już zainstalowany i uruchomiony. Zalecamy instalację czystego systemu, bez żadnych (poza serwerem SSH) dodatkowych usług, takich jak serwer www, serwer wydruku czy serwer plików. Z racji tego, że system-gość został zainstalowany na maszynie do której mamy osobisty dostęp (fizyczny, RDP lub przez konsolę), widzimy prawdopodobnie ekran zachęty do zalogowania:

W zależności od użytego hypervisora i nazwy serwera, na ekranie zachęty logowania mogą występować drobne różnice. Przede wszystkim różna będzie nazwa serwera (w naszym przypadku jest to s1).

Aby wykonywać czynności administracyjne, konieczne jest zalogowanie się na konto superużytkownika (administratora), czyli root. Podajemy zatem login root, zatwierdzamy i podajemy hasło ustalone podczas instalacji.

Po zalogowaniu konsola użytkownika root jest gotowa do użytku:

Zanim zabierzemy się do hakowania plików konfiguracyjnych, należy zastanowić się, co będziemy zabezpieczać oraz przed czym i przed kim chcemy się chronić. Dopiero kolejnym krokiem będzie odpowiedzieć na pytanie – „jak?”.

Idąc od zagrożeń najbardziej ogólnych do najbardziej szczegółowych, musimy sobie stworzyć pewną listę, która pomoże nam się zabezpieczyć na początkowym etapie konfiguracji serwera.

  1. Dostęp do portów – firewall.
  2. Dostęp do SSH – zapobieganie nieautoryzowanemu dostępowi, zapobieganie atakom, ograniczenie dostępu.
  3. Wykrywanie rootkitów – zapobieganie instalacji i uruchamiania niebezpiecznego kodu.

Firewall

Polecanym dla systemów z rodziny Linux firewallem jest na ogół IPTables. Dla początkujących potrafi on być jednak trudny w zrozumieniu i konfiguracji. Na szczęście dystrybucja Debian i jej pochodne, mają w swoich repozytoriach dostępną aplikację, która w prosty i intuicyjny sposób pozwala konfigurować IPTables. UFW – bo o nim mowa – to skrót od angielskiego Uncomplicated Firewall. Za pomocą prostych komend możemy określać reguły zapory i tryb jej działania.

Najpierw instalujemy UFW:

Po instalacji UFW jest nieaktywny. Zasada działania UFW jest bardzo prosta.  Domyślnie zapora blokuje cały ruch przychodzący (poza pewnymi wyjątkami, które mają ułatwiać życie początkującym administratorom i domowym użytkownikom).

Zanim uruchomimy zaporę, musimy zadbać o to, żeby port na którym działać ma usługa SSH, był dostępny po uruchomieniu zapory. Gdybyśmy tego nie zrobili, a łączylibyśmy się z serwerem zdalnie za pomocą SSH, okazałoby się, że straciliśmy dostęp do własnej maszyny…

Domyślny port SSH, to 22. Jednakże zaleca się, aby port domyślny zmienić na inny (ale nie taki, który koliduje z popularnymi usługami). Doświadczeni administratorzy mogą powiedzieć, że nie jest to specjalnie mocne zabezpieczenie, gdyż zdalny serwer można zeskanować w poszukiwaniu portów otwartych dla poszczególnych usług, ale zawsze jest to pewne zabezpieczenie przed mniej doświadczonymi atakującymi. W kolejnym punkcie będziemy rekonfigurować usługę SSH i określimy port, na jakim ma ona działać. Ja wybiorę port 22000.

Musimy zatem przygotować regułę zapory, która otworzy port 22000. Zasada tworzenia reguł w UFW jest następująca:

– jeśli chcemy otworzyć określony port

– jeżeli chcemy zamknąć port

– jeżeli chcemy usunąć regułę

– poza możliwością otwierania i zamykania samego portu, mamy także możliwość określenia protokołu; jeśli chcemy otworzyć port 22000 na protokole TCP

Ja otwieram port 22000 zarówno dla połączeń TCP, jak i UDP, tak więc wybieram pierwszą opcję.

Dodatkowo, trzymając się zasady „Security by obscurity” (bezpieczeństwo przez ukrywanie), chciałbym wyłączyć możliwość sprawdzania dostępności serwera przez ICMP (ping). W tym celu należy edytować plik /etc/ufw/before.rules (np. przy pomocy edytora vi).

– w pliku tym zmieniamy:

na (zamieniamy ACCEPT na DROP)

– na razie nie uruchamiamy zapory. Musimy bowiem zająć się konfiguracją SSH.

Secure Shell (SSH)

Pierwsza zasada bezpieczeństwa SSH mówi: nigdy nie loguj się jako root (chyba, że wiesz, jakie to może mieć konsekwencje i podejmujesz to ryzyko na własną odpowiedzialność).

My nie podejmujemy ryzyka. Będziemy logować się przez SSH jako użytkownik z ograniczonymi uprawnieniami. Tylko najpierw trzeba go stworzyć…

Użyjemy do tego adduser. W poniższym przykładzie websec to nazwa użytkownika, którego tworzymy. Nazwa ta jest oczywiście dowolna.

Podajemy istotne informacje (w tym hasło użytkownika) i nowy użytkownik systemu gotowy:

Zasada numer dwa bezpieczeństwa SSH mówi: hasło to za mało!

Uwierzytelnianie za pomocą hasła, to słaba metoda zabezpieczania się przed nieautoryzowanym dostępem do serwera. Na szczęście mamy możliwość skorzystania z  kluczy dostępu. Oznacza to, że zamiast podawać przy logowaniu hasło, będziemy musieli posiadać klucz prywatny dostępu do serwera. Na serwerze umieszczony zostanie klucz publiczny, który posłuży do uwierzytelnienia nas przy próbie dostępu do serwera. Dzięki temu dostęp do serwera będą miały tylko osoby posiadające klucze uwierzytelniające, których klucze publiczne dodane zostaną do kont użytkowników na serwerze. Dodatkowo klucz wzmocnić można hasłem, co sprawi, że otrzymamy uwierzytelnianie dwuetapowe.

Jeśli korzystacie z systemów z rodziny Windows, to niestety nie uświadczycie narzędzia zdolnego do generowania kluczy SSH wbudowanego w system operacyjny. Nie ma się jednak czym martwić. Z pomocą przychodzi chyba najpopularniejszy klient SSH dla użytkowników systemów Windows: PuTTY. Na stronie projektu znajdziemy generator kluczy: PuTTYgen. Program po prostu pobieramy i uruchamiamy.

Opcje zaznaczone domyślnie w pełni nas satysfakcjonują. Generujemy zatem parę kluczy:

W celu dodatkowego zabezpieczenia dostępu do SSH, podajemy frazę zabezpieczającą klucz (Key passphrase). Ewentualnie możemy także napisać komentarz do klucza (Key comment) – pozwoli to w łatwiejszy sposób identyfikować klucz.

Następnie zapisujemy parę kluczy (Save public key oraz Save private key) w bezpiecznym miejscu.

Do konfiguracji dostępu do naszego serwera potrzebna nam będzie zawartość pola wyświetlającego klucz publiczny w formacie przeznaczonym dla OpenSSH. W naszym przykładzie jest to:

Kopiujemy klucz wraz z komentarzem na jego końcu.

W terminalu logujemy się na konto utworzonego wcześniej użytkownika. Przy przelogowaniu administrator nie musi podawać hasła dla konta użytkownika (w poniższej komendzie zastępujemy websec swoją nazwą użytkownika):

Następnie przechodzimy do katalogu domowego użytkownika:

Kolejnym krokiem jest utworzenie ukrytego katalogu, który zawierać będzie pliki związane z użytkowaniem i konfiguracją usługi SSH dla tego użytkownika. Nazwa katalogu musi być identyczna z poniższym przykładem. Kolejne kroki to zmiana uprawnień innych użytkowników do katalogu, wejście do nowoutworzonego katalogu, stworzenie pliku z kluczami, które autoryzujemy do dostępu i wreszcie zmiana uprawnień innych użytkowników do tego pliku.

Ostatnim krokiem w konfiguracji dwuetapowego, bezpiecznego uwierzytelniania naszego użytkownika, jest wklejenie klucza publicznego do pliku ~/.ssh/authorized_keys. Możemy zrobić to przy pomocy dowolnego edytora. Pamiętajmy, by zapisać zmiany w pliku.

Przechodzimy do konfiguracji serwera SSH. Jedyny plik konfiguracyjny, który będziemy zmieniać w celu zabezpieczenia usługi SSH, to /etc/ssh/sshd_config. Otwieramy ten plik w ulubionym edytorze i wyszukujemy następujące parametry:

Port 22

Zmieniamy na:

Port 22000

Upewniamy się, czy poniższe parametry mają wartość yes. Jeśli jest inna (no), wtedy zmieniamy:

RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
StrictModes yes

Następnie upewniamy się, czy poniższe parametry mają wartość no. Jeśli jest inna (yes), wtedy zmieniamy:

PermitRootLogin no
PermitEmptyPasswords no

Jeżeli którykolwiek z powyższych parametrów rozpoczyna się od # (czyli jest zakomentowany), to usuwamy znak # z początku wiersza.

Zapisujemy zmiany w pliku i zamykamy edytor, a następnie restartujemy serwer SSH następującą komendą:

Teraz należy sprawdzić, czy nasze uwierzytelnianie działa. Użyjemy klienta SSH PuTTY:

Uzupełniamy dane sesji logowania według konfiguracji swojego serwera, a następnie w kategorii SSH/Auth podajemy klucz prywatny do logowania i nawiązujemy połączenie:

Podczas logowania zostaniemy poproszeni o frazę do klucza SSH. Uwierzytelnienie następuje na podstawie sprawdzenia frazy odblokowującej klucz i samego klucza. Powinniśmy zalogować się na naszym serwerze za pomocą SSH jako użytkownik, którego tworzyliśmy wcześniej. Aby zalogować się na konto administratora (root), wydajemy komendę:

i podajemy hasło administratora.

Firewall – uruchomienie

Komenda uruchamiającą firewall, to (jako root):

Ochrona przed rootkitami, backdoorami i exploitami lokalnymi

Oprogramowanie, czy skrypty, których używamy na serwerze, nie zawsze pochodzą z oficjalnych repozytoriów. To, co nie zostało sprawdzone przez osoby odpowiedzialne za repozytoria i przez społeczność zgromadzoną wokół nich, jest potencjalnym zagrożeniem. Musimy zatem uzbroić nasz serwer w narzędzie, które pomoże nam sprawdzić, czy nasz system nie jest zainfekowany przez jakiś rootkit czy backdoor oraz czy nie jest podatny na ataki za sprawą jakiejś luki w lokalnie zainstalowanych usługach. Narzędzie, które nam to wszystko umożliwi, dostępne jest w repozytoriach systemu Debian GNU/Linux i nazywa się rkhunter (rootkit hunter). Instalujemy:

Skanowanie systemu przez rkhuntera wywołujemy komendą:

Wynik skanowania systemu powinien być podobny do tego raportu. W raporcie mogą wystąpić jakieś ostrzeżenia (warning), ale należy spokojnie przeanalizować ostrzeżenie i nie wpadać w panikę. Ostrzeżenie nie musi oznaczać problemu.

* Jest to pierwsza część poradnika, który ma na celu wskazać dobre praktyki przy konfiguracji własnego serwera. W kolejnych częściach zajmiemy się innymi usługami i budowaniem polityki bezpieczeństwa.