Deset bezpečnostních rizik

Slabá místa v síti Seznam Top-ten institutu SANS zahrnuje množství praktických návodů pro správce systémů a sítí...


Slabá místa v síti
Seznam Top-ten institutu SANS zahrnuje množství praktických návodů pro správce
systémů a sítí a několik "otřepaných moudrostí". Poté co se na začátku tohoto
roku prominentní internetové sítě Amazon.com, eBay nebo Yahoo staly obětmi
útoků hackera, můžeme ho přesto doporučit.
Obecně prospěšný institut SANS (Systém Administration, Networking and Security)
v Marylandu, USA ke členům SANS patří přes 96 000 systémových a síťových
administrátorů, jako i specialisté v oblasti bezpečnosti nedávno uveřejnil
seznam deseti největších mezer v bezpečnosti, které umožňují útoky na sítě.
Poté, co na začátku tohoto roku byly velké servery jako Amazon.com, eBay,
E*Trade, stejně jako jiné prominentní webové stránky (např. CNN a FBI) částečně
zcela ochromeny, je dobré se na tento seznam podívat.
1. Slabá místa BINDu
"BIND" Package (Berkeley Internet Name Domain), který je velice rozšířený
především v oblasti Domain Name Services (DNS), obsahuje řadu slabých míst,
která dovolují útočníkům získat práva uživatele root a příslušně tomu způsobit
velké škody. Postiženy jsou momentálně všechny release před verzí 8.2.2. pl5 na
různých UNIX a Linux systémech.
Možná náprava:
Na všech systémech, které neslouží výhradně jako server DNS, odpojit BIND name
daemon ("named"), eventuálně kompletně odstranit software DNS.
Nahrát na systémy DNS aktuální release BIND 8.2.2. pl5.
Nechat běžet BIND jako "non privileged user". Ostatně jen procesy root smějí
využívat porty pod 1024 (předpoklad pro DNS). BIND musí být proto konfigurován
tak, aby se po přidělení portu změnilo jeho user-ID.
Instalovat BIND na chroot() souborovou strukturu.
2. Programy CGI
Mnoho webových serverů vlastní rozhraní pro programy CGI (Common Gateway
Interface) k ulehčení zřízení interaktivních stránek. Často bývají instalovány
příkladové skripty CGI, které vykazují mezery v bezpečnosti. To samé platí pro
aplikační server Cold Fusion od Allaire, který bývá rovněž dodáván s
nebezpečným vzorovým skriptem. Ale také jiné programy CGI nebývají vždy
bezpečné. Tato skutečnost platí principiálně pro všechny webové servery
přpojené na Internet.
Možná náprava:
Nenechat běžet web-server pod uživatelem root.
Odstranit CGI-Interpreter z bin adresářů.
Smazat nedostatečně bezpečné skripty CGI.
Při vytváření vlastních programů CGI dbát na bezpečnost.
Na web-serverech, které nepotřebují podporu CGI, ji zrušit.
Web-server instalovat do chroot() prostředí.
3. Slabá místa RPC
Remote Procedure Calls, které bývají často používány pro zásah do určitých
síťových služeb, dovolují vyvolání programů na vzdálených počítačích. Chyba v
RPC umožňuje hackerům převzít celý systém. Postižené mohou být pak všechny
UNIXové klony.
Možná náprava:
Vždy, kde je to možné, by se měl RPC odstranit od systémů s přímým kontaktem na
internet. Když je RPC nepostradatelný, neustále instalovat nejaktuálnější
modifikace (prohlédejte databanky výrobců na klíčová slova "tooltalk patches").
4. Díra v bezpečnosti RDS
Chyby v Remote Data Services (RDS) od web-serveru Microsoftu, který je
nainstalován na mnohých serverech NT a Windows 2000 dovolují útočníkům provést
externí příkazy s privilegii administrátora. Postižené jsou systémy NT/Windows
2000 s nainstalovaným IIS.
Možná náprava:
Nainstalovat vlastní Handlers a odstranit odkaz "VbBusObj" v registrech (klíč
je HKEY_
LOCAL_MACHINE/Systém/
CurrentControl/Set/Services/W3SVC/Parameters/ADLaunch/VbBusObj.VbBusObjCls).
Dbát na uveřejněné informace od výrobce o tom, jak odpojit systém RDS nebo
odstranit bezpečnostní mezery.
5. Sendmail Buffer Overflow, Pipe Attacks a MIMEbo
Populární MTA (Mail Transfer Agent) Sendmail, vykazuje řadu mezer v
bezpečnosti. Například útočníkovi se může přes mail podařit získat data hesla
příslušného počítače, který je potom v klidu může na svém systému dešifrovat.
Postižené mohou být pak všech UNIXové klony.
Možná náprava:
Instalovat aktuální verzi sendmailu nebo příslušné modifikace. Počítače, které
nejsou mail-servery nebo relays Sendmail nenechat běžet v režimu daemon
(odpojit spínač "-bd").
Nainstalovat jiný bezpečnější program, např. Qmail.
6. Sadmind a Mountd
Sadmind dovoluje vzdálenou správu počítačů s OS Soalris prostřednictvím
grafického uživatelského rozhraní. Mountd pak slouží ke kontrole Network File
System (NFS) na UNIXových systémech. Útoky typu buffer overflows dovolují u
obou programů převzetí počítače s právy root. Postižené jsou četné
Unix-dialekty (u Sadmindu jen Sun Solaris).
Možná náprava:
Na počítačích s přímým přístupem na internet pokud možno odinstalovat programy.
Kde to není možné, měly by být v každém případě nahrány nejaktuálnější
modifikace příslušného výrobce.
7. Sdílení souborů v síti
Společný zásah do souboru dat přes síť umožňuje za určitých okolností nežádané
třetí osobě číst kritické systémové soubory dat a dosáhnout naprosté kontroly
nad systémem. Postižené jsou systémy Unix, Windows a Macintosh.
Možná náprava:
U sdílených disků uvolnit jen skutečně nutné adresáře.
Uvolnit sdílení jen pro dedikované IP-adresy (jména DNS se dají předstírat).
Na systémech Windows zajistit veškeré uvolněné služby silnými hesly.
Na NT-Hosts zabránit anonymnímu doplňování uživatelů, skupin, systémových
konfigurací nebo editace registrů pomocí "null-session" (zablokovat Net-BIOS
Session Service (TCP 139), eventuálně nainstalovat do registrů klíč
"RestrictAnonymous").
Na počítačích Macintosh zapínat File Sharing a WebSharing jen tehdy, když je to
bezpodmínečně nutné. V ostatních případech zajistit silnými hesly.
8. Poznání uživatele
Mnoho systémů je dodáváno s "Demo" nebo "Guest" uživateli bez hesla nebo s
obecně známým heslem. Kromě toho mají přetížení správci systémů sklon
nezajistit důležité vstupy buď žádným heslem nebo pojmem, který se dá lehce
odhadnout. Postižené jsou v zásadě všechny systémy.
Možná náprava:
Stanovit přísné směrnice pro zadávání hesel a četnost updatů, u všech počítačů
s přístupem na internet nahradit zadaná hesla.
Otestovat hesla příslušnými crack-programy (předtím obstarat písemné povolení
uživatele).
Nainstalovat nástroje, které testují vhodnost změněných hesel.
Vymoci si pravidelnou změnu hesel (datum platnosti).
Zřídit heslovou historii, aby uživatelé znovu nepoužívali již dříve užívaná
hesla.
9. IMAP a POP3
E-mailové protokoly IMAP a POP3 jsou nanejvýš populární. Protože musejí být
přirozeně přístupné, bývají často ve pravidlech firewallu vynechávány. Útoky
hackera (nejčastěji opět přes buffer overflow) umožňují za daných okolností
získat kompletní kontrolu příslušného systému. Postižené jsou různé opět různé
UNIXové klony.
Možná náprava:
Deaktivovat tyto služby na všech strojích, které nejsou mail-servery.
Nainstalovat aktuální modifikace a dbát na rady.
Za daných okolností zkontrolovat zásah do služeb přes zakódovaný TCP-Wrapper
jako SSH nebo SSL.
10. Znaky SNMP
Mnohými administrátory užívaný Simple Network Management Protocol (SNMP)
využívá jako jediný autentifikační mechanismus tzv. "Community String", který
jde nezakódovaně přes síť. To však nestačí: většinou zůstává i přednastavení
"public" nezměněno či je jen změněno v přesný opak. Útočníci pak mohou
jednoduše zmanipulovat konfiguraci nebo je i dálkově odpojit. Kromě toho
umožňuje sniffen (slídění) SNMP-Trafficu vyšpehování struktury sítě pro
plánování detailnějších útoků. Postižené jsou principiálně všechny systémové a
síťové přístroje.
Možná náprava:
Odpojit SNMP, když není naléhavě nutný.
V ostatních případech použít pro Community Names stejná přísná pravidla jako u
hesel pod bodem 8.
Přezkoušet Community Names se "snmpwalk".
MIBs (Management Information Bases) zajistit pokud možno jako "read only".
Poslední rady
"Kromě konkurence" odkazuje dokument SANS dále na mezery v bezpečnosti kvůli
scriptovacím problémům na počítačích Windows s Internet Explorer a Microsoft
Office, které se staly populární díky viru Iloveyou. Experti doporučují v této
souvislosti sledovat příslušné návody Microsoftu a jakmile je k dispozici
instalovat bezpečnostní update pro Outlook. Je to lepší řešení než mít v
nejnovějším stavu (doufejme instalovaný) antivirový software.
Všem zainteresovaným nebo potenciálně postiženým správcům systémů pak
doporučujeme nahrát si kompletní seznam, který obsahuje četné informace a další
návody na adrese www.sans.org/topten.htm.
0 2099 / als









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.