Tác giả:
Lê Đình Tiến Lâm
Lê Đình Tiến Lâm
VIII. BIỆN PHÁP PHÒNG NGỪA LIỆT KÊ SNMP
- Một cách đơn giản ngăn ngừa hoạt động là gỡ bỏ SNMP agent hoặc tắt dịch vụ SNMP.
- Nếu không được chọn tắt SNMP, hãy thay đổi tên mặc định “public” community.
- Thực thi bảo mật trong “Group Policy” thêm điều kiện ngăn ngừa kết nối người dùng nặc danh.
- Truy cập tới Null Session Pipes & Null Session chia sẻ, lọc IP cũng được ngăn ngừa.
Biện pháp phòng ngừa :
- Không cài đặt sự quản lý & sự kiểm tra các thành phần Windows nếu chúng không được sử dụng. Trong trường hợp nếu chúng được yêu cầu thì chỉ có những người được chứng nhận hợp pháp mới có quyền truy cập chúng, nó có thể quay trở lại với một backdoor xác định. Chỉnh sửa trong Registry cho phép chỉ truy cập tới tên SNMP community.- Thay đổi “community” để cấu hình đúng cách – tốt nhất với tên community riêng tư (không phải là “public”). Đồng thời ngăn ngừa truy cập đến SNMP agent. Để ngăn ngừa, chúng đồng nghĩa cho phép SNMP yêu cầu từ một địa chỉ cụ thể, hơn nữa những yêu cầu được hạn chế chỉ đọc ở những nơi thích hợp. Tất cả những cấu hình trên có thể thay đổi thuộc tính của dịch vụ SNMP.(Start Administrative Tools Services).
- Chứng nhận/mã hóa sử dụng IPSEC – SNMP (V1) có lẽ không thích hợp chứng nhận & xây dựng mã hóa một cách dễ dàng nhưng đó chính là nơi mà IPSec có thể cứu nguy. Luật IPSec có thể được định nghĩa trong hệ thống điều khiển & trạm quản lý vì thế tất cả tín hiệu SNMP phải được chứng nhận hoặc mã hóa.
- Nếu SNMP được kích hoạt, theo dõi Event Logs trong Windows 2000. Sự kiểm tra có hiệu quả có thể nâng cao mức bảo mật.
IX. WINDOWS 2000 DNS ZONE TRANSFER
- Dùng cho các máy trạm xác định dịch vụ Domain Win 2k như là Ad & Kerberos. Win 2k tin tưởng trên DNS Server Record.
- Chuyển giao vùng đơn giản, (nslookup, ls –d <tên miền>) có thể liệt kê được nhiều thông tin thú vị.
- Người tấn công sẽ chú ý vào những records sau :
• Global Catalog Service
• Domain Controller
• Kerberos Authentication
• Domain Controller
• Kerberos Authentication
Cảnh báo :
- Phần mềm Windows Server được cấu hình cho phép chuyển giao vùng đến một vài Server khác. Sự quan trọng của DNS là nó ánh xạ đến địa chỉ của một tổ chức đặc biệt mà nó có mặt trên Internet. Nó chứa đựng thông tin như tên máy, địa chỉ IP của những trang Web được đặt trên Internet. Windows DNS là một trong những dịch vụ cơ bản được sử dụng bởi tất cả hệ thống mạng Windows 2000 mà phù hợp với Domain hay một nhánh con trong Domain. Một vài nhiệm vụ của Domain bao gồm chuyển địa chỉ tên máy sang địa chỉ IP và ngược lại, chỉ dẫn cho “Mail Server” sẽ chấp nhận & xử lý mail cho một Domain đặc biệt, nhận ra tên Server cho một Domain đặc biệt v.v…Khái niệm :
- Chuyển giao vùng là câu trả lời tới những câu hỏi của DNS để liệt kê tất cả thông tin DNS (như tên Server, tên máy, MX records, CNAME records, glue records (ủy nhiệm của Domain con), Time to Live Records, v.v… Những câu hỏi có thể được tạo từ máy đơn để tìm kiếm thông tin cho toàn bộ Domain. Chúng có thể làm được bằng câu lệnh nslookup mà chúng ta đã thảo luận ở module trước.- Ngoài ra, tên Server được sử dụng chuyển giao vùng bên trong để cập nhật dữ liệu DNS. Những dữ liệu DNS nguyên trạng dễ bị tấn công trong suốt quá trình xử lý như người tấn công có thế lấy thuận lợi để cấu hình nó. Mặc định của chuyển giao vùng DNS là cho phép bất cứ máy nào yêu cầu và nhận đầy đủ chuyển giao vùng cho Domain đặc biệt. Sự quan trọng của chuyển giao vùng trong thực tế là dữ liệu DNS có thể được sử dụng bởi những người tấn công để giải mã những cấu trúc mạng đích. Những thông tin chứa đựng có thể được sử dụng cho người tấn công như là DNS poinsoning/spoofing.
Phương pháp tấn công :
- DNS poinsoning hay spoofing được nói đến như trường hợp khi một người nào đó (không có chứng nhận) thay đổi thông tin DNS để làm một việc khác. Nó có thể được hoàn thành thông qua nhiều phương pháp khác nhau như một người tấn công ở giữa (ngăn chặn sự giao tiếp giữa 2 vùng). Một phương pháp thực thi khác là thực hiện phương thức tấn công DOS trên Primary DNS Server tạo nghẽn mạng hoặc không thể trả lời nhiều câu hỏi DNS. Trong lúc đó, những máy khác nhận ra rằng sự giống nhau của Primary DNS Server và cung cấp những thông tin DNS đã được thay đổi tới Secondary DNS Server & giao tiếp trên Internet. Trong trường hợp đó Domain thực tế đã bị đánh cắp. Những thông tin DNS sai đó có thể được lan truyền trên Internet.
- Từ viễn cảnh đó, người tấn công có thể giới thiệu các Website được bắt chước vẻ bề ngoài của Website thực sự và thậm chí cấu hình bảo mật các trang Web đó như SSL để cung cấp cho một vài người dùng cảm thấy an toàn. Đó có thể là sự tương phản để thỏa hiệp bất kỳ những việc giao dịch trực tuyến và những thông tin riêng tư. Những thông tin dễ bị tấn công được đánh cắp, sự thỏa hiệp không được bảo mật từ máy đích nhưng nó vẫn còn được như tình trạng ban đầu. MX record có thể được thay đổi từ một vài máy Mail Server nào đó. Tất cả những thư điện tử chủ định gửi từ trước tới Domain có thể gửi lại thêm một lần nữa hoặc bị thất lạc do đã có sự thỏa hiệp từ máy Mail Server.
- FTP Server có thể gửi thêm một lần nữa đến một vài Server khác. Một số dữ liệu được tải lên có thể bị đánh cắp hoặc thất bại. Đó chính là điều then chốt nếu máy FTP Server là nơi chứa phần mềm khổng lồ, các driver, hay các bản vá lỗi. Xa hơn nữa, người tấn công có thể tạo những phần mềm mang nội dung xấu cho tải về từ những máy FTP đã bị giả mạo. Phụ thuộc vào quá trình bảo mật của Domain’s Internet Registra, người tấn công có thể yêu cầu Internet Registra để thay đổi sự ủy quyền cho Domain tới những DNS Server giả mạo. Nếu thư điện tử được dùng cho việc kiểm tra những thay đổi và địa chỉ thư điện tử được giả mạo trong Domain những quyền đó có thể bị thay đổi. Những DNS Server giả mạo trở thành những DNS Server chính thức được biết tới trên Internet và Domain được đánh cắp dễ dàng.
- Tối thiểu người tấn công có thể gửi một lần nữa một Website hay những thư điện tử của công ty tới đối thủ, không phải là người kinh doanh liên quan đến Website hoặc không gửi đến nơi nào. Kết quả vẫn độc hại.
KHÓA WIN 2K DNS SERVER ZONE
- Bạn có thể khóa chuyển giao vùng dễ dàng sử dụng bảng thuộc tính DNS như hình ở bên dưới :- Biết được sự điều khiển chuyển giao vùng như thế nào thì có ý nghĩa quan trọng trong sự bảo mật DNS Server trong môi trường Windows. Windows 2000 cho phép thay đổi những danh sách truy cập hợp pháp cho những vùng điều khiển riêng lẻ hay chuyển giao vùng. Chuyển giao vùng có trách nhiệm đối với những hoạt động của tất cả các records cho vùng đặc biệt từ Domain Server tới những cái khác.
Biện pháp phòng ngừa :
- Nó ghi chú rằng Forward Lookup Zone không được chuyển tới DNS Server để truyền những thông tin Windows 2000 Domain tới một vài Server nằm ở bên ngoài Domain đặc biệt. Việc đó có thể làm trong thuộc tính của thẻ (Tab) Zone Transfer của tên Domain đặc biệt trong DNS MMC. Cấu hình nó cực kỳ bảo mật, không cho bất cứ sự giả mạo nào hay đánh lửa chuyển giao vùng trong Server.- Một khi những câu hỏi của máy trạm được truyền trên cổng 53 UDP và cổng 53 TCP được sử dụng cho chuyển giao vùng, cổng 53 là tên cổng chuyển giao vùng được khóa lại tại Internal, External, Firewall và DMZ Router. Nếu nó được yêu cầu để biết nơi mà người sử dụng truy cập từ khi tạo những yêu cầu cần thiết trên DNS Server mà những DNS Server bên ngoài được kích hoạt đảo ngược DNS lookup Zone. Hệ thống được sử dụng kiểm tra người xâm phạm sẽ truy cập. Nếu DNS Server được cấu hình cho phép đảo ngược chuyển giao vùng giữa DNS bên trong và bên ngoài, bên trong Router, Firewall và DMZ Router cho phép kết nối trên cổng 53 TCP giửa DNS bên trong và bên ngoài.
- Hơn nữa, nó phải được chắc chắn rằng chỉ có System & Administrator mới có đủ quyền điều khiển thư mục %SystemRoot%\DNS & tất cả những DNS Server có bảo mật Registry. Nó có thể đạt được bởi việc chắc chắn HKEY_LOCAL_MACHINE\System\Current Control Set\Services\DNS thì chỉ định cho System & Administrator mới có đủ quyền.
(còn tiếp)