Как обычно, мы пытаемся еще больше усилить безопасность в нашей организации. В настоящее время я обращаю внимание на возможность скомпрометированного клиента XP использовать поиск DNS в качестве канала управления / управления (Google "канал управления командами вредоносных программ DNS").
Конечно, это предполагает, что в первую очередь клиент может быть скомпрометирован; то, что мы считаем очень маловероятным. Тем не менее ...
В настоящее время мы являемся магазином AD для Windows Server 2003, все зоны DNS хранятся в AD. DNS-серверам разрешено перенаправлять на DNS-серверы нашего интернет-провайдера - то, что требуется для ряда серверов, то есть: нам нужно разрешить внешние адреса для материалов B2B.
Клиенты XP и серверы Windows находятся в одном домене и, следовательно, используют одни и те же DNS-серверы. Таким образом, клиенты могут выполнять поиск внешних адресов.
Если клиент должен быть скомпрометирован, это может произойти до поиска whatsmynextmove.hacker.com, и SOA для этого домена может вернуть сформированный ответ, содержащий инструкцию управления.
Итак, вопрос в том, может ли кто-нибудь придумать способ запретить клиентам XP выполнять поиск DNS для доменов, отличных от локального домена DNS (для леса AD).
Мои мысли на данный момент:
1) Получите какой-нибудь прокси-сервер DNS, который используют клиенты XP. Прокси-фильтр ищет домены, отличные от внутреннего.
2) Определите все внешние домены, которые нам нужны для разрешения и настройки серверов условной пересылки для каждого из них, например: microsoft.com, verisign.com, redhat.com и т. Д. И т. Д. Я не уверен, сколько может быть серверов условной пересылки. настроен.
Есть мысли .... кто-нибудь?
Я использовал свой брандмауэр, чтобы заблокировать весь трафик из LAN в WAN порт 53 (DNS). Затем я настраиваю DHCP брандмауэра, чтобы вытолкнуть DNS-сервер с его IP-адресом (потому что он имеет встроенный кэширующий DNS-прокси). Затем я изменил записи DNS, чтобы заблокировать некоторые рекламные и маркетинговые / отслеживающие компании. В последнюю очередь я настроил брандмауэр для пересылки запросов в OpenDNS, подписался на фильтрацию и блокировку контента по группам и добавил исключения.
На самом деле, когда я сказал, что заблокировал порт 53, то, что я сделал, чтобы немного усложнить работу бота, - это ограничить проходящий трафик по портам (например, 80, 443, ...) только тем, что мне нужно. Когда я получаю прибитый IP-адрес для электронной почты (потому что они, кажется, время от времени меняются), я ограничиваю их портом и IP-адресом, чтобы никакая другая электронная почта не была разрешена вход / выход.
Настройка ваших DNS-запросов до IP-адреса и порта прокси и блокировка всех остальных, вероятно, поможет некоторым.
Конечно, не забывайте просматривать журналы, чтобы знать, проникло ли что-то в машину или вы блокируете то, что нужно разблокировать.
Надеюсь это поможет.
Вы когда-нибудь слышали фразу «Нарушено замыслом»?
Министерство энергетики должно проснуться и понять, что если вы используете Windows в сети с любым внешним доступом - независимо от того, сколько уровней защиты вы добавляете - вы уже взломаны. Microsoft потратила целое состояние на то, чтобы их программное обеспечение могло звонить домой, и эти методы разработаны, чтобы обойти любую защиту, которую вы можете создать.
Каждый канал утечки - от обновлений безопасности до 9 999 999 пакетов программного обеспечения с автоматическим обновлением, безумной способности IE переписывать вашу ОС на лету, до удивительного количества секретных обратных каналов связи (таких как DNS и их собственная маленькая обратная связь). на сервере времени Windows) и так далее, пока вы не поймете, насколько все это бесполезно ... Что ж, каждый канал является потенциальной точкой входа в вашу сеть.
Эта проблема, которая становится проблемой национальной безопасности (теперь, когда лисы бродят по курятнику, как им нравится, с тех пор, как мальчики Балмера пытались интегрировать Internet Explorer в ОС), является то, что использование Windows - а теперь точка Net - стало «лучшей практикой». Проблема в том, что его просто невозможно защитить без использования воздушного зазора, то есть сети, которая не подключена к какому-либо WAN или интернет-источнику. Но даже самые блестящие умы в различных подразделениях TLA довольны тем, что притворяются, что с их сетью этого никогда не случится.
Печально то, что именно такое мышление сделало антивирусный бизнес многомиллиардной индустрией. Если бы руководство в MS не решило, что попытка запустить / выполнить / оценить каждый встреченный байт данных была хорошей идеей, когда появилась DOS 3, мы бы не страдали от головной боли AVG / McAffee / Norton / Windows Defender / и т.п. Если бы у вас был двухлетний ребенок, вы бы научили его класть в рот все, что он нашел на тротуаре? Microsoft не изобрела троян / вирус, но они сделали для их распространения больше, чем кто-либо мог мечтать. Но я отвлекся.
Несмотря на это, исправить это несложно. Почти. Вставьте unix-поле linux или BSD. Отключите все службы, кроме DNS, и скажите DNS-серверу, что он может разрешить только то, что вы указали в конфигурации, и, возможно, посмотрите вверх в поле AD для адресов локального или локального домена - используя linux box, чтобы отфильтровать все остальное. Затем жестко запрограммируйте поле DNS как сервер для всего, что вы хотите заблокировать.
Вы с честью пройдете аудит DOE. Плохая новость заключается в том, что аудиты Министерства энергетики примерно такие же сложные и всесторонние, как и другие аудиторские постановки с запоминающимися названиями вроде SAS-70. Как и большинство программ безопасности, они больше похожи на защитные одеяла, чем на вооруженную охрану. Если вы используете сеть Windows, и у вас есть пользователи, использующие Internet Explorer, или Windows Search, или Chrome, или Google Desktop, или что-то еще, что им удалось установить, ваша безопасность полностью мнимая. Windows ЯВЛЯЕТСЯ основным вектором - не потому, что она распространена, а потому, что она нарушена конструкцией.
Тот факт, что эта страница теперь отображается второй в Google по предложенной вами поисковой фразе, предполагает, что это не значительный вектор атаки.
До сих пор наиболее значительным использованием DNS как такового был червь Conficker в качестве псевдоканала C&C. Однако в этом случае часто меняющиеся доменные имена использовались только для разрешения скачать обновлений червя и не контролировать его напрямую. Следовательно, блокировки веб-доступа к клиентам было достаточно, чтобы помешать этому вектору.
если ты действительно должен сделать это, вы можете найти то, что вам нужно в local-zone особенности Несвязанный рекурсивный преобразователь для перенаправления вашего локального домена на сервер AD и отклонения всего остального. Вам потребуется настроить клиенты XP для использования этого сервера вместо существующего сервера AD.
Вам нужно реализовать что-то вроде раздельного DNS. Для вашей установки вы можете начать получать идеи Вот.
joeqwerty - не совсем. Мы - американская компания, недавно прошедшая аудит «Управлением по ядерной энергии Министерства энергетики США». Этот вектор атаки (вектор управления и контроля) является одной из записей аудита, которые необходимо исправить. Но спасибо за ответ.