22-10-2007 WatchGuard
Entender los procesos que lleva adelante un delincuente informático sirve para determinar si se revela demasiado sobre una organización. Este artículo explica como se recolecta la información con la que, posteriormente, se realizan los ataques específicos que tienen como objetivo una presa en particular, a la cual estudiaron profundamente y le determinaron sus debilidades, y como generar contramedidas para impedir que esto ocurra.
La
Estas pistas ayudan al atacante a trazar un mapa de su red, su ruteo de correo y posiblemente la infraestructura de
Los
Name Servers y Registrars
Los nombres de dominio y los números de IP usados en la Internet pública son administrados por registrars, quienes mantienen las master domain name databases. Las bases de datos identifican los nombres de dominio y números de red de IP asignados a las organizaciones, así como nombres de contactos administrativos, técnicos y de facturación. Usted puede pescar en estas bases de datos de Internet Registrars usando el protocolo WHOIS, disponible para la mayoría de los sistemas operativos. Muchos registrars (ARIN, RIPE, APNIC) tienen interfaces Web a la base de datos. Organizaciones multinacionales a menudo tienen múltiples bloques de IP asignados y administrados en la zona; los atacantes usan la red y obtienen información extraída de la base de datos WHOIS para focalizar sus esfuerzos de war dialing, así como sus exploraciones de red.
Las entradas de la base de datos WHOIS también enumeran a los Servidores de Nombre de Dominio públicos. El Servicio de Nombre de Dominio es usado principalmente para averiguar que nombre de anfitrión corresponde con la dirección de IP (y viceversa), y proporcionar la información del ruteo de correo electrónico. Los atacantes serios intentarán transferencias de zona - el equivalente a copiar base de datos de DNSs públicas. Por lo general, usted no debería permitir las transferencias la zona de su servidor de DNS pública, excepto a una lista de servidores confiables. Pero aún las consultas individuales de DNS pueden proveer a un atacante de información útil. Por ejemplo, los intercambios de mensajes de correo electrónico pueden revelar la dirección de IP de un firewall donde un servidor de correo o un Proxy son controlados.
El DNS puede y ha sido usado como una base de datos distribuida, y ciertos tipos de registro de DNS (HINFO) pueden ser usados para equipamiento e inventario de sistema operativo. Un atacante serio en realidad no necesita esta información, pero si usted la ha dejado en el dominio público, le ha ahorrado el tiempo que gastaría determinando su tipo de OS usando un programa como nmap. Y esto transforma a su red en un objetivo fácil para atacantes menos sofisticados.
Robo del Blueprint
Con la información recolectada usando los métodos descriptos, el atacante comenzará a sondar su red con utilidades ICMP - traceroute, firewalk, ping y nmap. Usando los resultados de estas utilidades, primero intentará determinar como es ruteado el tráfico a sus redes, y luego intentará crear un mapa de la topología de su red o redes. Los procesos de trazar un mapa de red, exploración de hosts y servicios, enumeración y descubrimiento son demasiado detallados para explicarlos aquí. El punto es que si usted no es proactivo, inconscientemente ayudará a hackers a trazar un mapa exacto de su red.
Los temas como la auditoría de seguridad y las pruebas de penetración, casi siempre se basan en ataques de conocimiento cero (zero-knowledge attacks). Las empresas que contratan a un tercero para revisar y probar su seguridad no deben concentrarse sólo en esta opción. Los atacantes serios no comienzan con conocimiento cero; comienzan con un motivo y un objetivo, y obtienen mucho conocimiento provechoso de fuentes públicas.
Contramedidas
Estropear la posibilidad de recolección de información por parte de un intruso puede parecer estar en desacuerdo con el empleo intencionado que su empresa hace de Internet. Pero sólo hay que revelar la información que ayude a quienes no lo conocen a tomar decisiones informadas sobre si su empresa es la adecuada para lo que están buscando. El descubrimiento frívolo de la descripción de detalles sobre como su empresa funciona (incluyendo como maneja sus redes) es innecesario y peligroso. Para clasificaciones de SEC obligatorias y bases de datos de Registro de Internet, incluya sólo la información requerida. Trate de mantener sus registros actualizados y sin valor como fuente de información interna. Los Auditores de Seguridad aconsejan proporcionar números gratuitos o números telefónicos únicos para cualquier bloque que su compañía use.
Si usted publica hosts internos a través de la DNS, considere correr un “split” DNS. Un “split” DNS controla a un servidor externo que mantiene sólo las entradas necesarias para proporcionar la resolución de nombre propio y trazar un mapa de dirección inverso para anfitriones públicamente accesibles, y nada más. Este DNS puede ser hosteado en su ISP, o puede hostearlo usted mismo, fuera del interfaz Opcional de su Firebox. Para su red interna, hostee el DNS completo (tanto registros externos como internos) detrás de su firewall, fuera de su interface de confianza.
No hay comentarios.:
Publicar un comentario