Forside   Profil    IT sikkerhed    Søgemaskineoptimering    Reference    Ressourcer

Midlertidige links: vidensbank

Bufferzone

Formindsk din silhuet

Enhver soldat ved at overlevelse bl.a. handler om at præsenterer så lille et mål for fjenden som muligt. Små mål er svære at ramme og svære at opdage og de er lettere at skjule og sløre. Når vi taler systemer som kampvogne (af almindelige mennesker kaldet tanks), skibe og fly så betegnes målets størrelse som dets silhuet og i disse så tekniske tider taler men endog om målenes radar silhuet.

Din silhuet ud mod nettet.

Også for IT systemer har det mening at tale om silhuet, her kaldes det bl.a. for systemernes attack surface  eller for systemernes visibility og ligesom for soldaterne en en lille attack surface svære at ramme end en stor. For IT systemer er der oven i købet yderligere en parameter der skal med, nemlig at IT systemer også kan være aktive. Attack surface er altså ikke blot et udtryk for hvor stort målet er når det er opdaget, men også hvor aktivt systemet er og dermed i hvor stor grad systemet påkalder sig opmærksomhed. Målets størrelse er når vi taler IT systemer et udtryk for hvor mange muligheder en evt. hacker har for at komme ind og vi kan altså godt have et system hvor der er ganske få muligheder, men hvor systemets aktivitet på nettet alligevel gør at der samlet set er tale om et system med en stor attack surface.

Silhuettens natur.

Jo mere kode der er på et system, jo flere huller er der og jo større er silhuetten. Jo mere funktionalitet der er installeret, jo flere muligheder har hackeren, jo større er silhuetten. Når du arbejder med din silhuet handler det derfor om at formindske antallet af kodelinier og mængden af funktionalitet og dermed om bevidst at overveje hvad du installerer på dit system og om hvad du enabler.

Microsoft silhuet

Microsoft systemer har, nærmest pr. tradition, en silhuet som New York før 9/11, kæmpe stor og meget let genkendelig. En standard installation af en NT server (og også Windows 2000 og Windows 2003 hvis jeg ikke husker forkert) resulterer bl.a. i en server hvorpå der er installeret spil, lommeregner og et stort antal screen saver's. Faktisk medtager en standard installation screen saver's der er så ressourcekrævende at de kan bringe en middelbestykket server i knæ blot fordi screen saveren går i gang.

Når silhuetten på et Microsoft system skal formindskes handler det altså i første omgang om oprydning af installationen og om fjernelse/af-installation af alle de elementer og programmer der ikke er nødvendige. Overvej hvert enkelt element/program, og er der elementer som du enten har brug for i en opstarts fase eller i en kortere periode, eller som du kun har brug for en sjælden gang, så kan disse enten bibeholdes nu og fjernes når systemet er sat op, eller undlades at installerer for så at blive installeret når der er brug for dem og med efterfølgende af-installation.

Næste fase handler om hvad vi installerer yderligere af applikationer oven på serverens styresystem. Igen betyder hver applikation en forøgelse af attack surface eller silhuetten. Overvej hvad der skal installeres og om man evt. med fordel kunne installerer noget af det nødvendige på andre servere for derved at give mulighed for finere filtrering og segmentering af de muligheder den givne silhuet giver. Billedligt taler vi om at et stort mål, der er skåret op i mindre stykker er lettere at skjule, mere modstandsdygtigt, hurtigere at reetablerer og lettere at fejlfinde på.

Sidste fase handler om konfiguration, opsætning og ændring af defauld settings. Start med at kikke på dine services hvoraf nogle kan fjernes helt og andre kan standses. Husk også at ændre deres konfiguration således at dem du standser ikke automatisk startes op ved reboot. Overvej for de services du trods alt har brug for om nogle af dem ikke kan være standset til dagligt for kun at blive startet når du skal bruge dem. Igen er reglen at jo færre services der køre, jo mindre er silhuetten. Lige som services bør også protokoller, brugere, grupper, rettigheder og filer have et gennemsyn ud fra den grundregel at det du ikke brugerskal heller ikke findes på maskinen. Et godt eksempel på hvor man f.eks. kan stramme op er cmd.exe der er Windows kommandoprompt. Hvis du kikker på denne fil, vil du se at system og administrator har rettigheder til at køre dette program. Hvis du nu tænker dig om, så er eg sikker på at du kan se at systemet ikke har brug for at kunne starte en kommandoprompt, hvorfor rettigheden til systemet bør fjernes. Du vil så opleve at rettigheden til systemer vil være reetableret efter første reboot fordi cmd.exe findes to steder på systemet og rettighederne skal rettes begge steder før du er sikker på at de bliver som du har sat dem. Prøv at foretage en fil søgning efter cmd.exe så finder du begge.

Silhuet og genkendelighed.

Silhuet handler ikke kun og målets størrelse og dermed om hvor let det er at ramme, men også om målets genkendelighed og dermed om hvor let der er for "fjenden" at finde de gode mål. Mange systemer annoncerer deres identitet som en del af protokollen. Hvis du f.eks. laver banner grapping til en web server, vil denne fortælle dig meget om sig selv. Du kan f.eks. få at vide at der er tale om en Microsoft IIS version 5.0 eller en apache 2.0, hvilket en hacker så kan anvende til at slå mulige huller, sårbarheder og exploits op på nettet. Disse banner settings kan ændres så web serveren opgiver en falsk identitet og dermed gør det svære for hackeren at finde muligheder.

Firewall regler.

En firewall foran en server kan betragtes som en skærm der, hvis den anvendes rigtigt, kan gøre silhuetten meget lille og i nogle tilfælde skjule den helt. Det handler meget om vigtigheden af udgående filtrering ig i artiklen "IT sikkerhed - Firewall regler" kan du læse meget mere end dette. Et par gode eksempler på hvad der menes og hvilke overvejelser det handler om kunne f.eks. være følgende.

Mange virksomheder har åbnet for port 80 ud af i deres firewall, fordi alle i virksomheden jo skal kunne browse på Internettet. Det du så skal spørge dig selv om er om dette nu også er helt rigtigt. Er der f.eks. nogen der skal kunne browse fra web serveren, mail serveren, domæne kontrolleren, print serveren fra printerne eller fra switchene. Hvis blot en af de nævnte enheder ikke har brug for at browse, bør den heller ikke kunne gå ud på port 80 og hvis den forsøger det alligevel, så er det normalt fordi der er noget galt. Du kan lave den samme gymnastik for port 53 der jo er DNS porten. Her er der kun grund til at man kan gå ud til to faste IP adresser, nemlig den primære og den sekundære DNS server og hvis nogen forsøger at gå ud til andre IP adresser via port 53, så er det normalt et tegn på at noget ikke er som det bør og skal være.

Fremtiden for vores silhuet.

At spå om fremtiden er altid svær og det er da også kun muligt her fordi jeg faktisk har set noget af fremtiden. Med Windows server 2008 har Microsoft set lidt af lyset og gjort tiltag der markant formindsker systemernes silhuet.

Windows Core server er således et serverprodukt næsten uden GUI og kan derfor på dette punkt sammenlignes med en Linux hvor man ikke har installeret X Windows. De fleste servere administreres i dag via remote desktop eller anden form for remote administration og der er således ikke brug for at have et grafisk interface installeret på selve serveren. Windws 2008 kan også installeres med rollen Read Only Domain Controller, hvilket betyder at den ikke har AD liggende på maskinen. Denne server rolle har sin styrke på steder hvor man risikerer at den fysiske server bliver stjålet og er igen et udtryk for en formindskelse af silhuetten.

Principper for IT sikkerhed

IT sikkerhed handler ofte om almindelig sund fornuft. Det der er problemet er at "common sense seldom is common practice". Hvad angår silhuet og aktiv formindskelse af denne er det blot et lag i den samlede portefølje der gerne samlet set skulle give et acceptabelt niveau for sikkerheden. Overvejelser om systemernes silhuet, ligesom overvejelser om sikkerhed i dybden og om fornuftige firewall regler og mange flere områder er dybest set gratis, for de handler om at tænke sig om og om at give præcist de muligheder der er brug for og ikke mere. Det er klart at det i første omgang er lettest at give brugerne tilladelse til alt, adgang til alt og mulighed for alt, men en sådan politik vil på lang sigt give meget mere arbejde hvis man er heldig og kunne nøjes med det.

Læs mere om IT sikkerhed her:

IT sikkerhed - Sådan sikre du din PC
IT sikkerhed - Sikkerhed i dybden
IT sikkerhed - Eksempel på Instruks for anvendelse af Internettet. Sikkerhedspolitik
IT sikkerhed - Baselining forudsætningen for meget
IT sikkerhed - Gode råd om valg af passwords
IT sikkerhed - Fysisk Sikkerhed
IT sikkerhed - IT sikkerhedscertificeringer
IT sikkerhed - IT sikkerhedsuddannelse
IT sikkerhed - Firewall regler
IT sikkerhed - Firewall typer
IT sikkerhed - Sårbarhedsanalyse
IT sikkerhed med VMWare
IT sikkerhed - Netværksudstyr forklaret
IT sikkerhed - Pressehåndtering
IT sikkerhed - Formindsk din silhuet

Læs mere om Trådløs IT sikkerhed her:

IT sikkerhed - Trådløs sikkerhed
IT sikkerhed - Brug Trådløse Hotspots sikkert

Læs mere om Computer Forensics her

Computer Forensics - Den Grundlæggende del

Læs mere om Windows Registreringsdatabase her

Grundlæggende Windows Registreringsdatabase
Arbejd med Windows Registreringsdatabase
Hacking af Windows Registreringsdatabase

Læs også disse serier

Søgemaskineoptimering
Søgemaskinepositionering
Søgemaskinemarkedsføring
Webpromotion
IT sikkerhed
Hacking
Google
SEO Blackhat Techniques

Copyright 2006 BufferZone.dk. All Rights Reserved.
Legal Stuff, BufferZone dedication, Testimonials, Privacy Policy.