השבוע הוזמנתי לארגון מאוד גדול כאשר התעורר חשד כי מתבצעת ברשת Rogue Attack וזאת לאחר התנהגות אנומלית מצד רכיבי ה-Network Infrastructure וניטור של עומסים ברשת.
למעשה Rogue Attack הינה טכניקה אשר בה התוקף מגדיר רכיב לא מורשה ברשת (Rogue Server)ומנצל אותו על מנת להתערב בתעבורת הרשת.
הדוגמה השכחיה ביותר היא הצבת שרת DHCP אשר יחלק את הכתובות מתוך Pool שהגדיר התוקף יחד עם הגדרות נוספות(DNS,Default Gateway)כאשר ישנו סיכוי גדול כי ה-Rogue Server יענה ל-DHCP requests במידה ונדרשים פחות דילוגים(hops) על מנת להגיע אילו מה-DHCP המקורי.
דוגמה נוספת היא הצבת (Wireless Access Point (WAP במבנה החברה ואף מחוצה לו תוך מתן SSID ע"ש הארגון.
הרעיון הוא שברגע שהתוקף יצליח לנתב אילו משתמשים הוא יוכל להמשיך לבצע התקפות נוספות כדוגמת Sniifing ,DNS Pharming והתקפות Man in the Middle רבות כאות נפשו.
מתודת העבודה שלי התבססה על פי הסעיפים הבאים:
1.שרטוט תרשים טופולוגית הרשת.
2.איתור Rouge Server.
3.בחינת התשתית הקיימת אשר התבססה על בדיקת וניתוח קונפיגורציה לצד מבדקי חדירה.
4.הצגת מסמך מפורט הכולל את תאריך הבדיקה , ממצאים , רמת הסיכון והמלצות פרטניות ליישום לגבי כל חולשה( Vulnerability).
5.המלצות לפתרונות כוללים לסוגיה.
להלן מספר כלים לאיתור Rouge Server :
DHCP RogueChecker.1 - כלי GUI מעולה ונוח המיועד להרצה על פלטפורמות Windows הכולל את הפיצ'רים הבאים:
- The tool can be run one time or can be scheduled to run at specified interval
- Can be run on a specified interface by selecting one of the discovered interfaces
- Retrieves all the authorized DHCP servers in the forest and displays them.
- Ability to validate (not Authorize in AD) a DHCP server which is not rogue and persist this information
- Minimize the tool, which makes it invisible. A tray icon will be present which would display the status
2.Dhcploc-מדובר ב-Utility מבוסס CLI מבית מיקרוסופט הכלול בדיסק ה-Support Tools של Windows Server 2003/2008 .
את ה-Syntax לפקודה ניתן למצוא כאן.
3.Dhcp_Probe -פרי פיתוח מבית אוניברסיטת "Princeton" המיועד לפלטפורמות UNIX/Linux לאיתור שרתי DHCP ו-BootP.
4.OpUtils-כלי Monitoring מסחרי מעולה מבית ManageEngine .להלן פתרונות למניעת התקפות Rogue:
1.הטמעת פתרון SEIM/SOC-החל מפתרונות מבוססי Open Source,יובל מלאכי-אחד ממומחי אבטחת המידע הגדולים בארץ מציג מענה הולם לסוגיה ,כמובן שניתן להשתמש גם בפתרונות מסחריים.
2.הטמעת מערכת (Intrusion Prevention Systems (IPS -הכוללת הגנה על כלל רכיבי הרשת כולל Wi-FI .
החל מ-Juniper,Checkpoint,Cisco,Mcafee,Enterasys ועד ל-Forescout .
פתרון מענין ל-Wireless שמצאתי הוא מבית HP .
פתרון נוסף שהייתי ממליץ לבחון הוא מבית Airtight.
3.הטמעת פתרון (Network Access Control (NAC בתצורת Inline או (Out-Of-Band (OOB,כמובן שילוב של ה-2 אפשרי אך מסורבל.
לאנשים האוהבים פתרונות חינמים-מצאתי פתרון מעולה שעושה את העבודה הנקרא FreeNAC ודורש ציוד מבית Cisco , הממשק מאוד נוח לתפעול (תצורת WEB).
4.הקשחת רכיבי רשת הרשת(סווצ'ים,נתבים,נקודות גישה וכו') ברמה הפיזית והלוגית כאחת.
אז שלא יעבדו עליכם!
אין תגובות:
הוסף רשומת תגובה