เริ่มต้นในกรณีศึกษา
ผู้เจาะจะอาศัยในช่วง ที่ผู้ดูแลระบบไม่รู้เกี่ยวกับความปลอดภัย และเข้าไปดึงข้อมูลเพื่อศึกษา และหาจุดอ่อนของระบบโดยตรวจสอบจากพอร์ตที่ใช้อยู่
1. การแกะรอย (FootPrinting)
เป็นสิ่งหนึ่งที่ใช้รวบรวมข้อมูล โดยจะตรวจสอบสิ่งต่างๆไม่ว่าจะเป็นเรื่องความปลอดภัย พฤติกรรมการใช้งาน โดยคำที่ใช้อธิบายในภาษาอังกฤษคือ Profile การตรวจสอบนี้จะแยกทั้งในเครือข่ายภายใน และเครือข่ายภายจนอก
การแกะรอย คืออะไร
เป็นวิธีที่ผู้เจาะระบบค้นหา และดึงข้อมูลมาใช้เพื่อหาช่องโหว่ และสิ่งที่ต้องการ เช่น ชื่อโดเมน, หมายเลขเครือข่าย, รูปแบบการติดต่อเครือข่าย
ข้อมูลที่ต้องการสำหรับการ แกะรอย
อินเตอร์เน็ต
เริ่มจาก ชื่อโดเมน -> กลุ่มเครือข่าย -> หมายเลข IP Address ที่ต่อกับเครือข่าย -> กลไกการควบคุมในการเข้าใช้ -> ระบบป้องกันผู้บุกรุก -> รายละเอียดของอุปกรณ์ และวิธีการบริหารงานเช่น Router, SNMP เป็นต้น
อิน ทราเน็ต
เริ่มจาก โปรโตคอลในเครือข่าย -> ชื่อโดเมนภายใน -> กลุ่มหมายเลขเครือข่าย -> บริการที่ทำงาน -> กลไกการควบคุมการเข้าใช้ทรัพยากร ->ระบบป้องกันผู้บุกรุก -> รายละเอียดของอุปกรณ์ และวิธีการบริหารงานเช่น Router, SNMP เป็นต้น
การ เชื่อมต่อทางไกล
เบอร์โทรศัพท์ และระบบที่ใช้ -> ประเภทของบริการ -> การตรวจสอบการเข้าใช้
การเชื่อมต่อเครือข่ายขนาดใหญ่
ดู การเชื่อมต่อต้นทาง ปลายทาง -> ประเภทการเชื่อมต่อ -> กลไกลในการเข้าใช้ทรัพยากร
1. การกำหนดขอบเขตของการตามรอย
ปัจจุบันเรามีอินเตอร์เน็ตใช้ทำให้ง่าย ต่อการรวบรวมข้อมูลต่างๆ ขององค์กรที่มีการเปิดเผยข้อมูลสู่สาธารณะชน
โดย การค้นหาสามารถที่จะตรวจสอบได้จากแหล่งข้อมูลที่เปิดเผย
เช่นเริ่ม จากเว็บไซต์ที่ประกาศ เพื่อดูข้อมูลต่างๆดังนี้
- ชื่อบริษัท
- ตำแหน่งที่ตั้ง
- ประเภทของกิจการ
- เบอร์โทรศัพท์
- ชื่อผู้ติดต่อ และอีเมล์ที่ใช้
- นโยบายเรื่องความปลอดภัย
- บริษัทที่เกี่ยวข้อง
ซึ่งเราพบว่าจะมีเครื่องมือในการดึง เว็บทั้งหมดจากปลายทางได้โดยใช้ Wget ใน Linux หรือ Teleport Pro หรือ FrontPage ในระบบปฏิบัติการ Windows เป็นต้น
การค้นหานอกจากค้นหาโดย เข้าไปดูในเว็บโดยตรงแล้วยังมีการค้นหาได้จาก Search Engine เช่น Yahoo, Google หรืออื่นๆ ซึ่ง FerretPro เป็นโปรแกรมรวมเว็บที่ค้นหาต่างๆ
นอก จากนี้ยังรวบรวมจากการพูดคุย หรือการ Chat, USENet, E-mail
EDGAR Search
เป็นองค์กรที่จัดการผลดำเนินการในรอบปี ซึ่งสามารถตรวจสอบข้อมูลที่เป็นประโยชน์ได้
ดังนั้นในการป้องกันระบบ ต้องตรวจสอบข้อมูลโดยเลือกเฟ้น และดูในเอกสาร RFC 2196 จาก www.rfc.net เพื่ออ่านในการสร้างความปลอดภัยในเว็บไซต์
2. การรวบรวมรายละเอียด
ในขั้นตอนแรกก็หาชื่อโดเมนโดยดูจากชื่อบริษัท ซึ่งจะมีการกำหนดให้สอดคล้องกัน ใช้บริการ Whois ในการค้นหา ซึ่งจะแบ่งการดูแลเป็นโซน
www.ripe.net ดูแลยุโรป
whois.apnic.net ดูแลเอเซีย
whois.nic.mil ดูแลการทหารในอเมริการ
โดยข้อมูลที่ตรวจสอบก็ดู
การจดชื่อโด เมน -> องค์กรเป้าหมาย -> ระบบเครือข่าย และหมายเลขที่ติดต่อ -> บุคคลที่รับผิดชอบ
โดยการตรวจสอบนั้นสามารถดูชื่อองค์กร และที่ตั้งได้
เมื่อเป็นที่แน่ใจแล้วจึงใช้เครื่องมือในการตรวจสอบ หมายเลขโทรศัพท์ และแอบส่ง E-mail ซึ่งหลอกจากสถานที่ที่ดูหน้าเชื่อถือ เช่นจากผู้จดทะเบียนเว็บ
เพื่อดึงข้อมูลเกี่ยวกับเครือข่ายเข้าไปที่ ARIN
American Registry for Internet Numbers (ARIN) ซึ่งผู้ตรวจสอบสามารถที่จะใช้ค้นหาข้อมูลของเครือข่ายที่ต้องการ
และ นำหมายเลขที่ได้จากการสอบถาม หมายเลขมากใช้ตรวจสอบ Whois โดยดูค้นที่ติดต่อด้วย
มาตรการป้องกัน
ข้อมูลที่สู่ สาธารณะบางครั้งอาจมีการจำทำขึ้นมาหลอก เพื่อใช้ตรวจสอบผู้บุกรุกที่ไปดูข้อมูลจากที่สาธารณะ และให้เราใช้มาตรฐานในการป้องกันได้เมื่อมีสัญญาณเตือน และในระบบเมล์ควรมีการเข้ารหัสเช่น Pretty Good Privacy (PGP)
3. การตรวจสอบข้อมูลจาก DNS
DNS เป็นฐานข้อมูลเกี่ยวกับเครื่องคอมพิวเตอร์ โดยเป็นการแม็บระหว่างชื่อกับหมายเลข IP Address ซึ่งถ้าผู้ดูแลปล่อยโดยไม่กำหนดค่าป้องกันใดๆ ผู้เข้ามาดูข้อมูลสามารถที่จะโอนถ่ายโซนได้ หรือเรคคอร์ดต่างๆในโดเมนของเรานั่นเอง
DNS เสมือนโครงสร้างชื่อโฮสต์ขององค์กรโดยเฉพาะในระบบปฏิบัติการ Unix ซึ่ง DNS ที่ใช้ภายใน และภายนอกองค์กรถ้าใช้ตัวเดียวกันจะมีโอกาสเสี่ยงที่เกิดขึ้นได้ ผู้ที่ ต้องการดึงข้อมูลสามารถกำหนดเครื่องให้เป็น Secondary DNS ถ้า DNS ไม่บล็อกโซนไว้ก็หวานคอแร้งเท่านั้น
การดึงนอกจากตั้ง Secondary DNS แล้วยังสามารถที่ใช้คำสั่ง Nslookup เพื่อดูเรคคอร์ดต่างๆได้อีกด้วย หรือใช้คำสั่ง Grep ในการตรวจสอบก็ได้ (เป็นเครื่องมือใน Linux หรือ Solaris)
การค้นหาสามารถเรียกดูเรคคอร์ด MX, NS, A หรืออื่นๆได้
มาตรการ ป้องกัน DNS
ในการป้องกันต้องพิจารณาเวอร์ชั่นต่างๆของ DNS ที่มาจาก BIND ซึ่งในเวอร์ชั่นใหม่สามารถที่บล็อกโซนได้ แต่ถ้าใช้ DNS ที่มากับ Windows NT 4.0 ไม่สามารถที่บล็อกได้
ซึ่งถ้าลูกข่าย DNS ใช้ UDP ในพอร์ตที่ 53 และทำ Zone Transfer ใช้ TCP ในพอร์ตที่ 53 เช่นกัน ดังนั้นผู้บริหารระบบสามารถตรวจสอบหรือดักจับผู้บุกรุกได้จากพอร์ตดังกล่าว
ควร หลีกเลี่ยงการใช้เรคคอร์ด HINFO เพราะมีเครื่องมือในการตรวจสอบเรคคอร์ดนี้อย่างมากมาย
4. การสำรวจเครือข่าย
คำสั่ง Traceroute หรือ Tracert (สำหรับ Microsoft Windows) เป็นเครื่องมือที่ใช้ดู หรือวิเคราะห์ปัญหา ซึ่งผู้ใช้สามารถใช้วิเคราะห์เส้นทางต่างๆที่การติดต่อวิ่งผ่าน การวิ่งข้ามหนึ่ง Router จะถือเป็นหนึ่ง Hop
การตรวจสอบ Traceroute ทำได้โดยการใช้ผ่านเว็บเช่น VisualRouter (http://www.visualroute.com) หรือ NeoTrace (http://www.neotrace.com)
มาตรการ ป้องกัน
มีอยู่หลายอย่างที่ทำได้โดยใช้การตรวจจับผู้บุกรุกบนเครือ ข่ายด้วย (Network intrusion detection system:NIDSec) ซึ่งนอกจากนี้ยังมี NIDS ชื่อ snort (http://www.snort.org) เป็นของฟรี และตอบโต้ได้ด้วย RotoRouter (http://packetstoem.securify.com/linux/trinux/src/rr-1.0.tgz)
วิธี การกำหนด Router ตัวริมที่จะต่อยังอินเตอร์เน็ต จำกัดไม่ให้ส่งแพ็ตเก็ต ICMP และ UDP เพื่อลดการตรวจสอบ หรือยังเชิงเข้ามา
ไม่มีความคิดเห็น:
แสดงความคิดเห็น