Kilka szalonych (ale skutecznych) sposobów na bezpieczeństwo sieci

Unikamy domyślnych portów

Kolejną techniką minimalizowania ryzyka bezpieczeństwa jest uruchamianie usług na niestandardowych portach. Podobnie jak zmiana nazw wbudowanych kont i tu uprawiamy dość kontrowersyjną (ale, jak przekonuje Grimes, działającą) strategię "security-by-obscurity". Automatyczne ataki na luki zero-day, przepełnienie bufora przeprowadzane przez robaki, wirusy itp. zawsze sięgają po domyślne porty.

Nie tak dawno temu pojawiły się problemy z atakami na pcAnywhere Symanteca czy usługę RDP Microsoftu. Gdy pojawiły się zmasowane ataki na te luki, administratorzy musieli podjąć wyścig z czasem, by załatać bądź zablokować podatne usługi. Warto podkreślić, że zmiana portu nie zastąpi innych technik i nie uczyni systemu bezpiecznym. Haker bez trudu znajdzie, na który port została przeniesiona usługa. Wystarczy do tego skaner portów jak np. nmap czy narzędzie do tzw. fingerprintingu (np. Nikto), pozwalające zidentyfikować aplikacje uruchomione na niestandardowym porcie. Zmiana portu nie zabezpiecza więc przed atakami, ale chroni przed zautomatyzowanymi atakami wykorzystującymi malware. Takie narzędzia znajdują wystarczająco dużo podatnych na atak usług na standardowych portach - nie są więc wyposażane w możliwość szukania ich na niestandardowych. Co ciekawe, zmiana portu uchroni też przed domorosłymi hakerami. Domyślnie skonfigurowany nmap nie skanuje bowiem niestandardowych portów.

Zobacz również:

  • Bezpieczeństwo w chmurze publicznej nadal priorytetowe

Polecamy pcAnywhere, RDP, VNC... Bezpieczny zdalny dostęp?

Instalujemy w niestandardowych folderach

Następną techniką security-by-obscurity, proponowaną przez eksperta, jest instalowanie aplikacji w ścieżkach innych niż proponowane domyślnie. Nie działa ona tak dobrze jak kiedyś, ponieważ większość obecnych ataków jest na poziomie plików, ale wciąż warto ją stosować. Podobnie jak w przypadku niestandardowych portów dla usług i tutaj celem jest wyprowadzenie w pole automatycznych ataków - złośliwe oprogramowanie najczęściej sięga tylko do standardowych ścieżek. Rober Grimes zapewnia, że skonfigurował wiele honeypotów instalując w nich system np. w C:\Win7 zamiast C;\Windows. Tworzył przy tym strukturę domyślnych folderów i, jeśli systemy te były atakowane, malware lądował w przygotowanym "na wabia" katalogu c:\windows\system32.

Polecamy Cztery kroki do dobrego backupu

Co prawda zmiana katalogów instalacji nie jest tak skuteczna jak inne techniki, ale skoro potrafi zmylić malware, warto rozważyć jej wdrożenie.

Roger A. Grimes jest publicystą magazynu Infoworld. Zajmuje się zawodowo bezpieczeństwem sieci od ponad 20 lat. W swojej karierze doradzał wielu firmom z Fortune 100 m.in. takim jak Microsoft, McAfee, Verisign czy IBM.

Opracował: Michał Witkowski


TOP 200