Аудит безопасности предприятий. Часть 2.

Согласование плана сканирования

После получения списка IP-адресов для сканирования, необходимо согласовать план сканирования. Фактически, составить модель угроз и модель нарушителя. Так как локальная вычислительная сеть может быть построена на компонентах разной производительности (в зависимости от предприятия), необходимо согласовать:
1) время сканирования;
2) нагрузку на вычислительную сеть;
3) применяемые атаки;
4) IP-адреса, с которых будет происходить сканирование и атаки;
5) Сканируемые подсети.

Время сканирования

Из-за того, что вычислительная сеть может быть построена на устаревших компонентах, либо просто работать на пределе своих возможностей (на пределе пропускной способности), необходимо согласовать время сканирования как внутри ЛВС, так и граничных с сетью Интернет компонент.

Так как разные типы сканирования могут оказывать существенное воздействие на сеть и генерировать очень большой трафик в секунду, необходимо согласовать время сканирования, чтобы оно не оказывало существенного воздействия на текущую работу предприятия.

Также, некоторые типы не только атак, но и просто сканирований (в зависимости от настроек) могут перевести оборудование в специфические режимы работы, необходимо такие проверки проводить в то время, когда либо работа серверного и сетевого оборудования не скажется на текущей работе, либо будут присутствовать люди, способные оперативно устранить неполадки.

То есть, некоторые типы проверок, возможно, необходимо проводить в нерабочее время (ночь, обед и т.д.).

Нагрузка на вычислительную сеть

В зависимости от того, какое сканирование выполняется в данный момент (внешнее или внутреннее), генерируемый трафик может быть направлен как на отдельные компоненты ЛВС, так и на всю сеть одновременно.

Например, при сканировании веб-сервера, находящегося на границе локальной сети и сети Интернет, изначально весь трафик будет идти только на веб-сервер, но в случае успешных атак на него, трафик может переместиться внутрь сети.

Но при сканировании внутри сети (или уже реализации атаки) весь трафик сети может быть сконцентрирован на том или ином отдельном компоненте сети. Например, применение ARP-spoofing (подмена MAC адреса) – это атака типа man-in-the-middle, перенаправляет часть трафика или весь трафик на отдельный компьютер или сервер. Делаться это может с несколькими целями:
1) Злоумышленнику необходимо заблокировать работу сети или просто анализировать весь внутренний трафик. Он подменяет собой MAC адрес шлюза, через который все компоненты сети выходят в другую сеть, либо в сеть Интернет. Трафик, он может как анализировать, так и просто блокировать.
2) Такая же ситуация может получиться непреднамеренно, если оборудование, на которое перенаправляют трафик просто не справляется с таким объемом (слишком низкая пропускная способность).

Есть множество других сценариев, когда трафик на отдельных компонентах сети, или на всей сети в целом, может возрасти, что приведет к сбоям в работе, поэтому необходимо заранее согласовать нагрузку, которой будет водвергаться ЛВС и ее компоненты.

Применяемые атаки

По результатам сканирования необходимо составить и согласовать план дальнейших действий. Сканирование показывает наличие уязвимостей, но само наличие не означает возможность реализации атаки. Так как уязвимость может быть известна, детектируема, но в свободном доступе может отсутствовать эксплойт для ее применения. Или вообще уязвимость может быть реализована только теоретически, при этом она не перестает быть уязвмостью.

Иногда, может быть достаточно просто найти уязвимость и сразу ее устранить, но бывают ситуации, когда необходимо проверить к чему может привести уязвимость.
Например, производится сканирование только внешних IP-адресов предприятия. Некоторые из них используются только для выхода в сеть Интернет, а на одном работает веб-сервер. В зависимости от настроек, веб-сервер может быть как связан с внутренней сетью предприятия, так и не связан. На веб-сервере имеется уязвимость, позволяющая проникнуть каким-либо образом внутрь локальной сети (например, имеется уязвимость, позволяющая загружать на него свои скрипты, что можно использовать для загрузки скриптов с командной строкой, которая будет использована для прямой работы с командами и файлами на сервере).

Можно просто закрыть данную уязвимость, установив какие-либо обновления или используя другие методы. Но что если данная уязвимость ранее уже была использована злоумышленниками, они попали внутрь сети и орагнизовали уже другой параллельный канал связи из сети Интернет внутрь сети. Реализовав данную атаку, и посмотрев, какие возможные действия мог при этом производить нарушитель, можно минимизировать будущие угрозы от данной уязвимости.

Один из методов атаки (man-in-the-middle – человек посередине) был описан в пункте 2.2.2. Но их множество, например brute-force, или атака полным перебором.
Данный вид атаки применяется, как правило, в программном обеспечении, где используется ввод пароля для получения каких-либо привелегий (простая авторизация на сервере или сайте). Brute-force атака – это просто попытка подбора пароля в тех местах, где они используются. Если настройки программного обеспечения для безопасности произведены таким образом, что при множественном неправильном вводе пароля данная функция блокируется для отдельного пользователя, либо для всех разом, то данная атака может заблокировать работу оборудования или программного обеспечения, поэтому необходимо согласовать её применение.

Адреса для сканирования

В большинстве ЛВС существуют какие-либо ограничения, реализованные в виде списков доступа (access-list). Они могут быть как внешними, так и внутренними. Например, существуют VPN точки входа внутрь ЛВС. Они могут быть реализованы с разными целями (доступ к документам и базам данным) и с применением различных методов и протоколов (программные, программно-аппаратные). Соответственно, доступ может быть осуществлен, в зависимости от настроек, как из любой точки, так и только с определенных мест.

Соответственно, в зависимости от сценария сканирования, необходимо проработать несколько вариантов использования IP-адресов. Как с тех, которые внесены в список разрешенных, так и запрещенных.
Примерно такая же ситуация обстоит и при внутреннем сканировании. Доступ к некоторым серверам и сетевому оборудованию может разграничиваться по VLAN, IP-адресам и т.д. Для полноценного аудита с разными возможными нарушителями, необходимо использовать различные IP-адреса, порты сетевого оборудования и т.д.

Сканируемые подсети

ЛВС предприятия может быть разделена на подсети, которые могут быть между собой как связаны, так и нет. Разные подсети могут присваиваться разным отделам, выделяться под разные задачи и т.д. Делается это для более простого администрирования. Некоторые подсети могут быть полностью изолированы от других для безопасности или по другим причинам. Некоторые отделы могут осуществлять работу с конфиденциальными данными, например, бухгалтерия.

Поэтому, во избежание утечки, может быть принято решение не проводить сканирование внутри некоторых подсетей, при этом, возможность доступа в такие подсети из других всё равно должна быть проверена.

И, соответственно, нельзя просто прерывать работу некоторых подсетей сканированием, по причинам, перечисленным ранее (критичность работы, специфика оборудования и ПО).