Bezpieczeństwo IT - podstawowy system zabezpieczeń

Bezpieczny komputer to system różnego rodzaju elementów bezpieczeństwa, które w całości tworzą trudny do złamania bastion.

Aby nie dać się hakerom, wirusom, i innym zagrożeniom w sieci należy stosować te elementy oraz techniki.

Najważniejsze elementy bezpiecznego środowiska IT:

1. Menadżer haseł
2. Bezpieczny DNS
3. Kopia zapasowa
4. Antywirus
5. Aktualizacje systemu i oprogramowania

 
W kolejnych wpisach spróbujemy przyjrzeć się bliżej tym składowym.

DoS w sieci wewnętrznej

Jakiś miesiąc temu zdarzył się w firmie której pracuję ciekawy przypadek.

Miałem zainstalować nowy system operacyjny Windows 7 Pro x64 wraz z całym środowiskiem programowym dla użytkownika.
Komputer został dodany do domeny oraz sztywno przypisany w serwerze DHCP jako swoją dzierżawę adresu IP po adresie MAC karty LAN.
Mimo przypisania adresu komputer nie potrafił dostać swojego adresu IP, cały czas go starał się uzyskać od serwera DHCP.

Wykonałem testy sprzętowe całego komputera wliczając w to oczywiście kartę sieciową. Komputer już na początku dziwnie się zachowywał skanowanie dysku, naprawianie Windowsa domyślnie zainstalowanego. Myślałem więc że to wadliwy komputer np. coś nie tak z płytą główną. Ale po przeinstalowaniu Windows-a problemy z dyskiem się uspokoiły.
Jednocześnie od kolegów usłyszałem że jest problem z czytnikami kart identyfikacyjnych, które są podłączone do naszej sieci LAN.

Okazało się, że ten nowy komputer wysyłał ciągle bardzo dużo broadcastów prosząc o adres IP i zapychało to sieć tak iż czytniki kart nie mogły się przebić zostały zDoS-owane pośrednio.
Po odłączeniu komputera czytniki wróciły do działania.
Dziwne że broadcastów nie zatrzymały same switche Cisco, które mają ochronę przed takimi problemami włączoną.

Ale dlaczego komputer nie mógł otrzymać tego adresu. MAC adres karty LAN był poprawny. Okazało się, że ten sam adres IP, który miał zostać przypisany nowemu komputerowi już sobie ktoś własnoręcznie przypisał do swojego komputera.
 Po zmianie adresu IP tego zduplikowanego z odkrytego komputera, problem został całkowicie rozwiązany i komputer po dziś dzień działa prawidłowo.

Zastanawiającej jest jednak to że mechanizm informowania o zduplikowanym adresie IP już istniejącym nie zadziałał poprawnie a komputer wysyłał ciągle w kółko w bardzo krótkich odstępach czasu broadcasty o adres IP.

W tym przypadku praktyka bardzo daleko rozmija się z teorią!!!

Coś też w tym temacie:
http://osdir.com/ml/network.dhcp.isc.dhcp-client/2006-11/msg00206.html

Czarny ekran i kursor po uruchomieniu komputera z Windows 7 i nic więcej

Ostatnio spotkałem się w swojej pracy z problemem nie uruchamiania się komputera z Windows 7.

A mianowicie po bootowaniu systemu zamiast okienka zapraszamy miałem tylko czarny ekran i kursor na ekranie. Długie oczekiwanie na może zbyt wolne ładowanie systemu np. 20 minut lub nawet godzinę nie dawało rezultatu ciągle to samo na ekranie.

Próba standardowych napraw za pomocą narzędzia naprawy systemu z bootowalnego pendriva z Windows 7 nie dawały rezultatu. Także skanowanie samego dysku i jego logicznej struktury za pomocą chkdsk nie pomagało. Polecenia ostatniej dobrej znanej konfiguracji po F8 też było bezcelowe. Dodatkowo komputer nie podawał także żadnych punktów przywracania systemu do poprzedniego stanu.

Wobec tego zacząłem szperać po internecie i zorientowałem się że często problem ten jest związany z uszkodzonym rejestrem bądź nieprawidłowymi wpisami w nim.

Dlatego też spróbowałem rady przywracania rejestru do poprzedniego jego stanu.

Aby tego dokonać należy np. za pomocą konsoli cmd (którą np. znajdziemy na bootowalnym pendrive z systemem) i opcji naprawy systemu. Wykonać za pomocą polecenia copy kopiowanie plików rejestru które znajdują się w lokalizacji: \Windows\system32\config\Regback do lokalizacji \Windows\system32\config nadpisując oryginalne pliki. Oczywiście przed nadpisywaniem tych plików warto sobie zrobić ich kopię gdzieś na dysku tworząc katalog na nie (polecenie mkdir) i je kopiując (copy). Pliki które się tam znajdują to np. DEFAULT, SAM, SECURITY, SOFTWARE itp. Niestety są tam pliki tylko z jednego dnia w przeszłości co niekiedy może nie wystarczyć ale zawsze warto spróbować.

Po ponownym uruchomieniu komputera wszystko wróciło do normy tzn. można się było zalogować i pracować na komputerze.

Obrona przed podmianą adresów DNS w routerach

Niestety wiele routerów ADSL padło ofiarą podmiany adresów serwerów DNS. Jeżeli już się o tym dowiedzieliśmy i zmieniliśmy adresy DNS na poprawne to pytanie jest następujące:
Co zrobić aby ta sytuacja się nie powtórzyła?

Otóż atak nastąpił od strony internetu, więc należałoby zablokować dostęp administracyjny do routera od strony internetu czyli WAN-u.
Niektóre routery mają od razu w swej konfiguracji opcję pozwalająca na blokadę administracyjnego dostępu od strony WAN.
Niestety większość routerów nie posiada takiego ustawienia, a na producentów sprzętu i aktualizację do niego oprogramowania nie można zbyt szybko liczyć (jeśli w ogóle można :/ ). Musimy sobie zatem poradzić sami.

Na szczęście routery mają wbudowany firewall z jego gałęzią ACL (Access Control List - lista kontroli dostępu do administracji). Dzięki niej potrafimy powiedzieć routerowi jakie pakiety (jakich usług, z których adresów i jakiego interfejsu) ma przepuszczać a jakie odrzucać. W listach ACL trzeba uważać, żeby przez przypadek nie odmówić sobie samemu dostępu do routera ;) . Wtedy przychodzą z pomocą ustawienia fabryczne i cała konfiguracja na nowo :/
Przykładowa konfiguracja takiej listy na routerze Edimax,  która pozwala na dostęp do routera dla wszystkich adresów IP tylko z interfejsu LAN jest przedstawiona na obrazku poniżej.

Blokada dostępu administracyjnego od strony WAN.

Dla interfejsu WAN domyślnie jest blokada całego ruchu administracyjnego do zarządzania routerem (to działa wtedy jeśli jest tam jakaś reguła i jest ona włączona i jest załączony ACL). Za przekazywanie pakietów, dla jasności, jest odpowiedzialny moduł Filter i w nim ograniczamy dostęp do usług lub stron dla konkretnych komputerów w naszej sieci.

Bezpiecznego surfowania po Internecie!

Podmienione DNS-y

Od pewnego czasu wiadomo o dziurach w kilkunastu routerach typu klasy domowej i przeznaczonych dla małych firm, które pozwalają na dostanie się do ich konfiguracji i jej zmianę. Niestety nie zauważyłem żeby producenci tych modeli routerów się tym przejęli i poprawili oprogramowanie tych urządzeń.

Największym zagrożeniem jak do tej pory wydają się podmiany adresów IP serwerów DNS.

Pisał o tym także serwis niebezpiecznik.

Otóż co tak naprawdę to powoduje.
Wszystkie zapytania, które wpisujemy do przeglądarki internetowej są zamienianie na adresy IP poprzez serwery DNS. Teraz wyobraźmy sobie sytuację, że ktoś podmienił nam te adresy serwerów DNS, które zawsze odpytujemy. Tzn. hacker może skierować te nasze zapytania o adresy na swój serwer DNS, który będzie zawierał fałszywe adresy IP danych serwisów, których poszukujemy. I kierował nas np. na fałszywe strony banków (phising), których używamy czy poczty i jeszcze inne strony związane np. z wykradaniem haseł.



Zauważyłem także, że w takiej sieci z podmienionymi adresami DNS próbują się zainstalować programy podające się za dodatki aktualizujące np. Adobe Flash Player a tak naprawdę instalujące złośliwe oprogramowanie.
Przed takimi zagrożeniami chronią niektóre bardziej zaawansowane programy antywirusowe, które potrafią zablokować ruch z serwerów o adresach IP, które znajdują się na ich czarnej liście. Np. dobrze tutaj zachowuje się Eset Antivirus.

Rozpoznanie takiego typu zagrożenia jest bardzo trudne najlepszym sposobem jest używanie dobrego antywirusa połączonego najlepiej jeszcze z modułem firewalla (zapory sieciowej).
Sami możemy też sprawdzić z jakich serwerów DNS korzystamy wprowadzając w linii poleceń (Start -> Uruchom -> cmd) nslookup (np. nslookup onet.pl). Powinien wyświetlić się nam adres IP serwera DNS, którego używamy jeśli tak nie jest mogliśmy paść ofiarą podmiany DNS-ów. Podmiana jest wykonywana przez automatyczne roboty przeszukujące sieć na podatne routery i zmieniające adresy.
Możemy się przed tym zabezpieczyć wyłączając dostęp do konfiguracji routera (od strony zewnętrznej - WAN-u) z całego internetu na firewallu tego routera.

Uważajmy bo oszuści internetowi są coraz sprytniejsi. Znajmy metody jakimi się posługują a będziemy sprytniejsi od nich :)

Śmieci w przeglądarkach internetowych

Ostatnio zauważyłem dodawanie do różnych instalatorów programów innych dodatków programowych najczęściej nieużywanych, a zajmujący dodatkowe zasoby systemu. Niestety domyślnie zaznaczone przy instalacji często są domyślnie instalowane. Wtedy system zaczyna nam zwalniać i okazywać się coraz słabszy wydajnościowo.
Programy te dodają się do systemu wyświetlając reklamy lub inne treści, bardzo często są także formą dodatków do przeglądarek. Niestety także niektóre z nich są formą zagrożeń dla naszych systemów.



Na szczęście programy antywirusowe potrafią zidentyfikować niektóre takie programy i je usunąć. Np. Avast ma sprytne narzędzie do czyszczenia przeglądarki. Ja bardzo często skanuje systemy antywirusem online wystarczy wpisać eset online w Google i pobrać plik i uruchomić go następnie przechodzimy przez prosty kreator i już system jest skanowany na obecność różnych zagrożeń. Niektóre też możemy usunąć przez Odinstaluj program w Panelu sterowania, oczywiście musimy znać jego nazwę albo szukać po dacie instalacji. Innym sposobem jest też wejście w ustawienia dodatków danej przeglądarki i ich usunięcie.Jeszcze inne trudne do usunięcia programy tego typu możemy zlikwidować za pomocą narzędzia ComboFix ale uważajmy bo jest to program, który wprowadza wiele modyfikacji w systemie jednak ja zawsze byłem z niego zadowolony po jego użyciu.

Myślmy także i czytajmy więc co instalujemy i zgadzajmy się tylko na ten nasz główny program, który tak naprawdę instalujemy.

Przydatne programy po instalacji systemu Windows.

Lista niezbędnych aplikacji i dodatków po nowej instalacji systemu Windows:

1. Antywirus: Avast Free
2. Poprawki systemowe - Windows Update
3. Adobe Reader
4. Adobe Flash Player
5. Silverlight
6. OpenOffice
7. Kodeki ffdshow
8. VLC Player
9. Java
10. Google Chrome, Mozilla Firefox
11. 7-zip

Trochę tego jest ale najdłuższy czas pobierania i instalacji zajmują poprawki systemowe.