Dual Homed Хосты

Share

|

Dual - homed хостов ввести значительные дыры в безопасности в сетевой архитектуры, поскольку они могут предоставлять пользователям доступ с правами и привилегиями на одном или домена сети прав и привилегий, которыми они, возможно, не иметь на отдельном домене. Эта уязвимость, как правило, выступает в качестве корпоративных настольных машин, связанные с организацией внутренней локальной сети и одновременно подключен через модем к линии местного ISP. В такой конфигурации, любой пользователь Интернета может получить доступ к корпоративной сети через подключение. Однако, существуют и другие конфигурации, в которой этой уязвимости может произойти.

Например, на одной участии, в частности, клиент является ISP, которые также Интернет - услуги хостинга для тысяч компаний. Проведение объект состоит из большого числа (в сотни) на базе UNIX хостов, с одинаковыми конфигурации запуска Netscape Web сервера.

В ISP модель, вместо предоставления полного управления, заключается в поддержании машин, но позволяют клиентам управлять Веб-серверы сами.

Включено в Web хостинг пакет был tcl скриптовый язык, который позволяет дистанционное управление серверами в Интернете. Что, возможно, было неизвестно МПР состоит в том, что через tcl скриптовый язык, осведомленных клиентов, и даже посетителей размещаемой сайты могли бы сделать больше, чем основные администрации. Вполне возможно, использовать веб-сервер, который работает с привилегиями суперпользователя, чтобы получить доступ на станках с помощью различных специально подготовленных URL строк. Это - материалы проверки нападение на веб-сервер.

Это привело к компромиссу в машине, во многом таким же образом неверно Microsoft IIS серверов могут привести к компрометации принимающей машины. Однако это не окажется наиболее воздействия на сеть.

Когда машина на Web хостинг сеть была скомпрометирована (например, доступ был достигнут), хакера инструментарий может быть загружена, что машина, в том числе инструменты для крэка паролей. Как только получив доступ на один компьютер, мы смогли определить, что в сети был подключен ко второму сети используются для поддержки различных бизнес подразделений МПР. Кроме того, мы обнаружили, что некоторые пользователи в Интернете - хостинг сети счетов по второй сети, а и использовать тот же пароли.

На данный момент доступ к этой второй сети был достигнут просто за счет наличия счетов с тем же именем пользователя и паролем на обеих сетях, и инструментарий хакера может снова быть скопированы и установлены.

Мы смогли установить, что машины по этой второй сети также homed на третьей сети. Этот третий сети корпоративного, внутренней сети используются для поддержки заработной платы и учета функциональность и сохранить клиента базы данных и другие подобные ценные активы. Эта сеть была задумана в качестве самостоятельной позиции, внутренние сети. Одна машина была ошибочно левой двойного homed.

Эта машина была обнаружена путем определения, что оно имеет два NIC карты с адресов, принадлежащих к двум отдельным адрес диапазонах. Поэтому учетные записи пользователей (и учетной записи суперпользователя) на этом поле был прав с обеих сетей. Как и следовало ожидать, коренные счета один и тот же пароль на все хосты во второй сети, и поэтому мы накопленный корневой доступ к основной организации, внутренние сети.

В целом, можно было получить доступ к машине в Интернете - хостинг сети с помощью программного обеспечения, имеющиеся на веб-серверы себя, чтобы перейти на второй сети через учетные записи пользователей с теми же имя пользователя и пароль пар, и, наконец, после обнаружение двойной - homed поле, получить несанкционированный доступ к внутренней корпоративной сети. Вообще-то, учитывая, что действительные права доступа были достигнуты, этот доступ разрешается в том смысле, что механизмы контроля доступа не остановить его или определить его как ненужные.

После руководители осознали, что они случайно оставили машину на их внутренние, частные сети двойного homed в сети, которые связаны с внешним миром, и тем самым наносит ущерб целостности и конфиденциальности компании критически важных данных активов и клиентской информации, они были потрясены и понятно, обуздывается.

Уроки

Мы были свидетелями нескольких случаев, когда организации не знают, что двойной - homed машины существуют или организация используют двойного homed принимающих как простое решение для устранения проблем с некоторыми заявок общения через брандмауэры. Мораль этой истории заключается в том, что пристальное внимание необходимо уделять организации сетевой архитектуры. После разработки и осуществления безопасной архитектуры, в том числе принимающей конфигурации и общей сетевой топологии, любые изменения должны пройти через изменения механизма контроля для предотвращения безопасности воздействия таких, как двойного homed сценарий из sneaking в окружающую среду.