« poprzedni punkt  następny punkt »


2. Metody i techniki rekonesansu

Jak już powiedziano, pierwszym krokiem realizowanym przez ewentualnego napastnika jest zbieranie informacji o celu przyszłego ataku. Fazę tę można nazwać rekonesansem. Pozwala ona agresorom na utworzenie pełnego lub częściowego profilu jej zabezpieczeń. Jest to chyba najbardziej pracochłonny element badania zabezpieczeń. Co może zidentyfikować agresor?

Krok 1, to przeszukiwanie ogólnie dostępnych źródeł, takich jak:

Wiele informacji można czasami znaleźć w komentarzach w kodzie źródłowym strony www. Często można tam znaleźć:

Do identyfikacji nazw domen i sieci związanych z daną organizacją można wykorzystywać bazy danych whois. Większość informacji potrzebnych agresorom można uzyskać poprzez zapytania:

Niektóre bardziej znane serwisy whois, to:

Przeciwdziałanie polega przede wszystkim na usunięciu wszystkich informacji, które mogłyby pomóc w zdobyciu dostępu do naszej sieci. Warto zajrzeć do RFC 2196 - Site Security Handbook.

W kolejnym kroku powinna mieć miejsce Kontrola serwerów DNS. Jednym z najpoważniejszych błędów jakie może popełnić administrator systemu, jest umożliwienie nieautoryzowanym użytkownikom na dokonanie przesłania strefy serwera DNS. Takie przesłanie umożliwia serwerowi zapasowemu uaktualnienie swojej bazy i jest ono dla nich niezbędne. Niektóre serwery udostępniają kopię strefy każdemu, kto o nią poprosi. Poważny problem występuje wtedy, gdy organizacja nie używa DNS do segregowania informacji na wewnętrzne i zewnętrzne. Udostępnienie informacji o wewnętrznych adresach IP można porównać do udostępnienia pełnego planu sieci wewnętrznej. Można do tego wykorzystać program nslookup. W sieci można znaleźć również inne narzędzia umożliwiające przeprowadzenie takiego badania.

W rekordach HINFO możemy znaleźć opis platformy programowo sprzętowej. Niekiedy będzie tam również informacja, że są to systemy testowe (zwykle słabo zabezpieczone). Rekordy MX określają serwery pocztowe.

Przeciwdziałanie polega na umożliwieniu przesyłania informacji o strefie jedynie autoryzowanym serwerom. Informacje o tym można znaleźć w dokumentacji określonych serwerów. Dodatkowo należy rozdzielić serwery DNS na wewnętrzne i zewnętrzne.

Kolejny krok to tzw. badanie sieci. W tym kroku następuje próba określenia topologii sieci oraz potencjalnych ścieżek dostępu do nich. Można użyć programu traceroute (UNIX) lub tracert (Windows). Są również podobne programy udostępniające interfejs graficzny, np. Visual Route lub Neo Trace. Narzędzia te umożliwiają poznanie ścieżki pokonywanej przez pakiet w drodze do komputera docelowego.

Przeciwdziałanie polega na zastosowaniu odpowiedniego systemu wykrywania włamań, blokującego omówione żądania. Można skonfigurować graniczne routery tak aby ograniczały ruch pakietów ICMP i UDP do konkretnych komputerów.


« poprzedni punkt  następny punkt »