Tajné cesty skrze firewally

Proti útokům na firewally, které probíhají za přispění vlastních zaměstnanců napadané firmy, se ještě nenašel l...


Proti útokům na firewally, které probíhají za přispění vlastních zaměstnanců
napadané firmy, se ještě nenašel lék. To je jedna z tezí Magnuse Harlandera,
ředitele firmy Genua, která se zabývá vývojem a výrobou firewallů. Tento
odborník má však po ruce také několik tipů, jak se můžeme bránit proti nezvaným
hostům ve skoro beznadějných situacích.
"Kolem firewallů zpravidla vede hodně postranních cestiček," tvrdí Harlander. V
okolí takových zařízení se nacházejí četné nepovšimnuté nebo nezabezpečené
systémy. Samotné webové a FTP servery v demilitarizované zóně (což je hraniční
síť mezi interní sítí, kterou je třeba chránit, a externí, nechráněnou sítí)
jsou většinou špatně zabezpečeny a skýtají zranitelná místa, jako jsou
chybějící záplaty (patche) nebo rozsáhlá přístupová práva směrem dovnitř
chráněné sítě. Další riziko vyplývá z nedbalosti a chyb při konfiguraci
firewallu i z aktivních prvků dat, jako jsou kódy v JavaScriptu, VB-Scriptu,
Active X nebo v Javě. Pomocí těchto technologií je cizí kód přenášen do firmy v
e-mailových přílohách či při stahování a instalaci freewaru na systémy
koncových uživatelů. Kód se provede, aniž by do tohoto procesu mohl uživatel
zasáhnout. Takové kódy mohou mj. způsobit různé škody a dají se zneužít i pro
špionážní účely. Magnus Harlander proto důrazně varuje před surfováním po
internetu s právy administrátora. Uvedené programy totiž normálně mají stejná
přístupová práva jako uživatel. Pokud je tedy "uživatel" přihlášen jako
správce, může být napácháno podstatně větší množství škod.

Sběr informací
Za zvláště nebezpečné pokládá Harlander útoky, které probíhají za přispění lidí
zevnitř firmy. Proti těm v podstatě není léku. Hackeři bez pomoci tichých
zasvěcenců ve firmě jsou odkázáni na to, aby si opatřili informace o cíli, na
který chtějí udeřit, z veřejných zdrojů. Tak například služba Whois dodá
informace o uživateli, adresový prostor se dá odhalit z DNS informací,
dosažitelné adresy se dají testovat pomocí pingu. Potenciálního útočníka však
zajímají odpovědi i na další otázky: V jaké verzi se nachází software
firewallu? Jaký operační systém je pod ním? Jaké systémové služby se používají?
Je zařízení správně nakonfigurováno? Na odpovědích záleží, zda má útočník šanci
proniknout do firemní sítě.

Slabá místa
Jako slabá místa uvádí Harlander DNS servery a používání určitých protokolů. Z
průzkumu, v jehož rámci bylo nedávno dotázáno 2 000 DNS serverů, jich celých 20
% ještě nebylo updatováno příslušnými záplatami, ačkoli zkoumané bezpečnostní
mezery jsou známé už velmi dlouho. Také protokoly jako Netmeeting pokládá
jmenovaný odborník za bezpečnostní riziko, protože vyžadují široké otevření
firewallu. Další záludnosti se skrývají v dálkové správě serverů. Podle
Harlandera nejsou mnohé modemy vybaveny funkcí call-back a nedisponují
automatizovanými funkcemi vytáčení (dial-in scripts). Hesla jsou často ukládána
do paměti. Také v případě ISDN routerů částečně chybějí seznamy ACL (Access
Control Lists) a nastavení úrovní přístupu, čímž je umožněn přístup z neznámých
sítí. Přitom za rozumný způsob vzdáleného přístupu s oprávněním správce systému
lze považovat situaci, kdy systém sám zavolá call-backem správci na jedno z
povolených čísel a dále je provedena minimálně standardní autentizace. Jen
touto v podstatě zdvojnásobenou ochranou lze zajistit rozumnou úroveň
zabezpečení systému.

Zdravá nedůvěra
V oblasti bezpečnosti je každá dobrá rada drahá. Harlander doporučuje věnovat
větší péči administraci systému a zodpovědným pracovníkům poskytnout dostatek
zdrojů. Přetížený administrátor nemůže věnovat bezpečnostním otázkám
dostatečnou pozornost. Vyplatí se zachovat si určitou nedůvěru.
"Buďte paranoidní," doporučuje Harlander. Tento odborník radí spíše vždy říci
nejdříve "ne", když někdo přijde s údajně skvělým, novým řešením. V případě
pochyb by si měl administrátor sítě nejprve vyžádat analýzu protokolu, jehož
povolení se po něm žádá. A až na základě získaných informací provést
kvalifikované rozhodnutí. Pomoci může také vytvoření zónového modelu a zřízení
prahů mezi bezpečnostními zónami. Například single sign-on takový přístup
definuje již předem.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.