Рассмотрим обычную ситуацию: вы работаете в крупной российской компании в
удобно расположенном центральном офисе с системой центрального кондиционирования
и другими благами цивилизации. В ваши обязанности входят все вопросы работы
компьютеров, серверов, в том числе, естественно, и вопросы компьютерной
безопасности. Коллектив попался хороший, зарплата достойная. Все бы хорошо, но
ваша компания имеет удаленный IIS Web сервер. Может быть, даже в другом городе,
на расстоянии этак километров в пятьсот от вашего любимого офиса. Сеть, в
принципе, устойчива, да и вопрос цены для вашего руководства является важным, но
не первостепенным.
Рассмотрим обычную ситуацию: вы работаете в крупной российской компании в
удобно расположенном центральном офисе с системой центрального кондиционирования
и другими благами цивилизации. В ваши обязанности входят все вопросы работы
компьютеров, серверов, в том числе, естественно, и вопросы компьютерной
безопасности. Коллектив попался хороший, зарплата достойная. Все бы хорошо, но
ваша компания имеет удаленный IIS Web сервер. Может быть, даже в другом городе,
на расстоянии этак километров в пятьсот от вашего любимого офиса. Сеть, в
принципе, устойчива, да и вопрос цены для вашего руководства является важным, но
не первостепенным.
Удаленное управление представляет несколько проблем, самая очевидная из которых
– то, что трафик между вами и сервером идет по общедоступному Интернет, может
быть перехвачен. Другая проблема состоит в том, что удаленное (да и любое
другое) администрирование обычно включает установку программного обеспечения и
открытие портов, а это – еще два фактора, увеличивающие возможность нападения на
ваш сервер. В случае, когда вы осознано выбираете удаленное администрирование,
необходимо во главу угла ставить проблемы безопасности. Вы должны
удостовериться, что вы (и только Вы) можете сделать свою работу, не подвергая
сервер дополнительному риску.
В частности, основными проблемами при управлении удаленным сервером являются:
Управление доступом гарантирует, что только вы можете удаленно управлять
сервером. Это означает, что удаленное программное обеспечение должно
воспринимать подключения только из небольшого диапазона IP адресов и должно требовать
имя пользователя и пароль. Контроль доступа может быть усовершенствован при
использовании smart карт и сертификатов клиента. Существуют и нетрадиционные
меры безопасности, призванные обеспечить дополнительный защитный слой в вашей
компьютерной защите – типа использования нестандартных TCP портов или методов
принудительного подавления баннеров.
Целостность гарантирует, что данные, полученные сервером – это те же самые
данные, которые вы послали. Вы должны убедиться, что пакет подлинный и не может
быть использован методами переигровки сессии в более позднее время.
Возможно самое большое беспокойство при удаленном администрировании вызывает то,
что конфиденциальные и даже секретные данные вынуждены пересылаться по общей
сети. Конфиденциальность должна гарантировать, что этот трафик не может быть
перехвачен и просмотрен другими. Конфиденциальность означает использование
сильных, зарекомендовавших себя алгоритмов шифрования с достаточно длинным
используемым ключом.
Аудит – способность регистрировать все контакты (и попытки контактов) с сервером
для более позднего анализа. Важно помнить, что любой сервер теоретически уязвим
(а удаленный сервер уязвим вдвойне). Важно, чтобы у вас имелись достаточные
данные о каждом подключении к серверу. Кроме того, логи должны храниться
отдельно, не на том самом удаленном сервере, чтобы гарантировать их
достоверность.
Хотя существует огромное количество разнообразных методов и программ для
удаленного управления сервером Win2K, далеко не все они обеспечивают
вышеупомянутые требования безопасности, а еще часть из них вряд ли оправдывают
свою стоимость. Но это не подразумевает, что мы не можем использовать их.
Комбинируя различные продукты, мы можем придумать очень безопасные решения,
которые учитывают все особенности удаленного управления.
На наш взгляд, не существует единственно правильного или идеального со всех
точек зрения продукта для этих целей, но комбинация различных программ приводит
к очень даже неплохим результатам. Ниже – некоторые примеры того, как все это
может быть осуществлено при использовании встроенных или общедоступных программ.
Терминальный сервис – встроенная служба в Windows 2000, которая обеспечивает
администрирование сервера с удаленной рабочей станции. Терминальный сервис –
самый очевидный путь удаленного управления сервером, потому как он встроен в
систему и не вызывает конфликтов с другими программами Windows, легок для
настройки, использует готовый встроенный Windows-механизм аутентификации, и
использует качественное шифрование. Но у него есть некоторые ограничения: нет
абсолютно никакого механизма ограничения доступа по определенным IP-адресам, не
понятно, как изменить используемые по умолчанию порты, и нет механизма ведения
логов. То есть, основываясь на требованиях к безопасности, которые мы ввели в
начале статьи, Терминальный сервис не удовлетворяет запросам, предъявляемым к
безопасности.
Но Терминальный сервис может быть сделан намного более безопасным при
туннелировании трафика через другой инструмент –
Zebedee . Zebedee –
исходно-открытая программа, которая позволяет переадресовывать TCP или UDP
трафик по зашифрованным, сжатым туннелям. Использование Zebedee очень тяжело
выявить методом «отпечатков пальцев», программа использует дополнительное
кодирование, аутентификацию, фильтрацию по IP- адресу, туннелирование, и ведение
всех записей. Zebedee прекрасно сочетается с Терминальным сервисом и дополняет
его всеми недостающими качествами, что должно сделать это сочетание очень
безопасным решением для удаленного администрирования.
Zebedee просматривает локальный порт, затем шифрует, сжимает трафик и посылает
его к другой копии Zebedee, запущенной на сервере. Результат – туннель, который
могут использовать многочисленные TCP или UDP соединения через единственный TCP
порт.
Для начала вы должны сконфигурировать Zebedee на прослушивание новых соединений
на нестандартном порту (обратите внимание, что ваша межсетевая защита не должна
при этом позволять внешние подключения к 3389 порту).
Это осуществляется следующей командой:
c: \> zebedee -s -o server.log
Далее, вы запускаете Zebedee на вашем клиенте и настраиваете его на
просматривание 3389 порта и переадресуете трафик к выбранному порту сервера.
C: \> zebedee 3389:serverhost:3389
Это заставляет Zebedee просматривать 3389 порт на локальной системе и отправлять
трафик к удаленной системе (в нашем примере, названной serverhost), которая
отправит трафик к локальному порту 3389, где готов к просмотру Терминальный
сервис (см. Рисунок 1). Обратите внимание, что по умолчанию связь между сервером
и клиентом осуществляется через TCP порт 11965, и это значение должно быть
заменено.
Рисунок 1: Терминальный Сервис на Zebedee
В этом месте вы можете открыть ваш Terminal Services клиент и войти в localhost
как сервер. Клиент соединится с местным Zebedee клиентом, который переправит его
Zebedee серверу, который, в свою очередь, отправит удаленному Terminal Services
порту. Терминальный сервис продолжает считать, что соединяется непосредственно,
но фактически весь трафик туннелируется через безопасный канал.
Zebedee имеет множество опций для конфигурирования методов аутентификации,
шифрования, фильтрации IP-адресов и ведения записей. Перед работой рекомендуем
изучить их и убедиться, что ваш вариант гарантирует безопасность.
Так как терминальный сервис не имеет никакой опции для передачи файлов, вы
должны будете использовать другие варианты. Один из возможных способов –
использовать FTP сервер. Хотя FTP справедливо считается небезопасным, вы можете
также туннелировать его через Zebedee. Выполнение этой связки является несколько
трудной для настройки, но в документах к Zebedee имеется детализированная
инструкция о том, как это сделать.
Есть также два других достаточно безопасных решения для транспортировки файлов
непосредственно по Terminal Services. Один из них – находящийся в свободном
доступе инструмент TSDropCopy от компании Analogx, а другой – также доступный
инструмент WTS-FTP от Ibexsoftware.com.
В целом, можно подытожить, что Терминальный сервис – удобный способ управления
сервером, но сам по себе он не достаточно безопасен при удаленном использовании.
Но в случае туннелирования через Zebedee или аналогичные качественные программы,
это может быть очень безопасное решение.
VNC – удаленный десктоп, очень похожий на Terminal Services, обеспечивающий
удаленный доступ серверу. Есть, однако, некоторые ключевые отличия, к примеру:
Концепция движения через SSH очень схожа использованию Zebedee. Вы
конфигурируете сервер, чтобы он просматривал единственный порт (по умолчанию TCP порт 22), затем соединяетесь с тем портом, используя клиента SSH. Клиент SSH
– по существу зашифрованный telnet клиент, который дает вам быстрый командный
доступ к серверу. Но SSH также позволяет вам использовать перенаправление порта,
чтобы позволить другим протоколам работать по той же самой зашифрованной связи.
Чтобы конфигурирования SSH клиента перенаправлять VNC порты на соединение,
используйте следующую команду:
C:> ssh? L 5901:serverhost:5900 serverhost
Это создаст VNC просмотр в локальной системе, перенаправляющий трафик к
serverhost. Для соединения, укажите его в localhost:1 следующим образом:
C: \> vncviewer:1
Figure 2: VNC on SSH
VNC будет считать, что соединена незашифрованной сессией в локальной системе, в
то время как, фактически, подключение зашифровано и туннелировано к удаленному
VNC слушателю. VNC на SSH являлось бы превосходным решением, если бы вы
управляли сервером с многочисленных клиент-платформ. И VNC и SSH поддерживаются
большинством самых распространенных операционных систем. Далее, оба приложения –
открытые источники, существующие достаточно долго, чтобы быть весьма устойчивыми
и безопасными.
Если все пользователи вашей сети используют системы Windows, вы можете просто
использовать встроенные административные инструменты для управления вашим
сервером. Например, вы можете желать нанести на карту путь к серверу, и
использовать все полученные многочисленные преимущества организации Windows
сетей, доступных в Windows 2000. Вы, конечно, можете достигнуть этого, открыв
445 порт в межсетевой защите сервера и позволяя подключение к серверу только
вашим IP-адресам. Однако, трафик между вами и сервером не будет шифрован и может
быть перехвачен сниффером злоумышленника. И снова, как и в предыдущих примерах,
мы должны туннелировать трафик, используя другие технологии. В данном случае
хороший выбор – L2TP туннелирование при использовании встроенного Windows VPN
сервера и клиента.
Чтобы сделать это, вы должны разрешить Routing и Remote Access, Server и Workstation сервисы. Затем, откройте Routing and Remote Access administrative
tool и сделайте правый клик на сервере. Выберите Configure и опцию Enable
Routing and Remote Access и далее следуйте инструкциям, чтобы создать новый
Virtual Private Network server.
Обратите внимание, что VPN сервер будет слушать на TCP порте 1723. Если вы не
желаете доступности для других этого открытого порта, важно ограничить доступ к
нему, ограничив диапазон IP-адресов на соединение.
Для клиента вы должны теперь создать новую связь в My Network Places в опции
Properties. Оттуда выберите Make New Connection, и Connect to a Private Network
through the Internet. Следуйте инструкциям для формирования связи для вашего
сервера. Когда закончите, у вас будет новая иконка для вашей VPN связи. Далее
создайте имя пользователя и пароль для соединения с сервером. После этого вы
будете иметь новое сетевое соединение с новым IP-адресом, которое соединяется
непосредственно с сервером так же, как если бы вы установили новый сетевой
адаптер и подсоединили бы кабель непосредственно к серверу. Единственное отличие
– связь осуществляется через шифрованный туннель сквозь Интернет.
Как и с любой сетевой связью, вы должны убедиться, что позволили только сетевые
протоколы, которые действительно необходимы, и также установили фильтрацию
пакетов. Всегда имейте в виду, что эта связь может позволить злоумышленнику
использовать ваш компьютер для получения доступа к вашему удаленному web-серверу
или использовать web-сервер для того, чтобы добраться к вашей внутренней сети. В
любом случае, вы должны предусмотреть все возможные риски.
После создания VPN соединения, вы можете нанести на его карту и управлять
сервером, как будто он находится в локальной сети. Действительно, это –
безусловно самое удобное решение, но и самое ответственное в плане безопасности.
Оно должно быть особенно надежно защищено на обоих концах.
В этой статье обсуждаются три возможности, но в действительности существуют
сотни других решений. Мы и не ставили перед собой цели указать лучшие или
наиболее правильные варианты, но стремились показывать то, что требуется, для
создания безопасного удаленного управления. Если вы уже используете или хотите
предложить другие инструменты для достижения этой цели, и они удовлетворяют
требованиям, введенным в начале этой статьи, вы можете смело их использовать
(можете при желании и написать о вашем решении этой проблемы на
www.securitylab.ru )
Стоит, наверное, отметить, что решения с использованием туннелирования не
являются единственными возможными, существуют, конечно, и другие способы и
сочетания. Но иногда все, что не хватает для создания безопасного соединения –
небольшой дополнительной помощи использования зашифрованного туннеля.
В статье мы расскажем о наиболее интересных стартапах в области кибербезопасности, на которые следует обратить внимание.
Хотите узнать, что происходит нового в сфере кибербезопасности, – обращайте внимание на стартапы, относящиеся к данной области. Стартапы начинаются с инновационной идеи и не ограничиваются стандартными решениями и основным подходом. Зачастую стартапы справляются с проблемами, которые больше никто не может решить.
Обратной стороной стартапов, конечно же, нехватка ресурсов и зрелости. Выбор продукта или платформы стартапа – это риск, требующий особых отношений между заказчиком и поставщиком . Однако, в случае успеха компания может получить конкурентное преимущество или снизить нагрузку на ресурсы безопасности.
Ниже приведены наиболее интересные стартапы (компании, основанные или вышедшие из «скрытого режима» за последние два года).
Компания Abnormal Security, основанная в 2019 году, предлагает облачную платформу безопасности электронной почты, которая использует анализ поведенческих данных для выявления и предотвращения атак на электронную почту. Платформа на базе искусственного интеллекта анализирует поведение пользовательских данных, организационную структуру, отношения и бизнес-процессы, чтобы выявить аномальную активность, которая может указывать на кибератаку. Платформа защиты электронной почты Abnormal может предотвратить компрометацию корпоративной электронной почты, атаки на цепочку поставок , мошенничество со счетами, фишинг учетных данных и компрометацию учетной записи электронной почты. Компания также предоставляет инструменты для автоматизации реагирования на инциденты, а платформа дает облачный API для интеграции с корпоративными платформами, такими как Microsoft Office 365, G Suite и Slack.
Копания Apiiro вышла из «скрытого режима» в 2020 году. Ее платформа devsecops переводит жизненный цикл безопасной разработки «от ручного и периодического подхода «разработчики в последнюю очередь» к автоматическому подходу, основанному на оценке риска, «разработчики в первую очередь», написал в блоге соучредитель и генеральный директор Идан Плотник . Платформа Apiiro работает, соединяя все локальные и облачные системы управления версиями и билетами через API. Платформа также предоставляет настраиваемые предопределенные правила управления кодом. Со временем платформа создает инвентарь, «изучая» все продукты, проекты и репозитории. Эти данные позволяют лучше идентифицировать рискованные изменения кода.
Axis Security Application Access Cloud – облачное решение для доступа к приложениям , построенное на принципе нулевого доверия. Он не полагается на наличие агентов, установленных на пользовательских устройствах. Поэтому организации могут подключать пользователей – локальных и удаленных – на любом устройстве к частным приложениям, не затрагивая сеть или сами приложения. Axis вышла из «скрытого режима» в 2020 году.
BreachQuest, вышедшая из «скрытого режима» 25 августа 2021 года, предлагает платформу реагирования на инциденты под названием Priori. Платформа обеспечивает большую наглядность за счет постоянного отслеживания вредоносной активности. Компания утверждает, что Priori может предоставить мгновенную информацию об атаке и о том, какие конечные точки скомпрометированы после обнаружения угрозы.
Cloudrise предоставляет услуги управляемой защиты данных и автоматизации безопасности в формате SaaS. Несмотря на свое название, Cloudrise защищает как облачные, так и локальные данные. Компания утверждает, что может интегрировать защиту данных в проекты цифровой трансформации. Cloudrise автоматизирует рабочие процессы с помощью решений для защиты данных и конфиденциальности. Компания Cloudrise была запущена в октябре 2019 года.
Cylentium утверждает, что ее технология кибер-невидимости может «скрыть» корпоративную или домашнюю сеть и любое подключенное к ней устройство от обнаружения злоумышленниками. Компания называет эту концепцию «нулевой идентичностью». Компания продает свою продукцию предприятиям, потребителям и государственному сектору. Cylentium была запущена в 2020 году.
Компания Deduce , основанная в 2019 году, предлагает два продукта для так называемого «интеллектуального анализа личности». Служба оповещений клиентов отправляет клиентам уведомления о потенциальной компрометации учетной записи, а оценка риска идентификации использует агрегированные данные для оценки риска компрометации учетной записи. Компания использует когнитивные алгоритмы для анализа конфиденциальных данных с более чем 150 000 сайтов и приложений для выявления возможного мошенничества. Deduce заявляет, что использование ее продуктов снижает ущерб от захвата аккаунта более чем на 90%.
Автоматизированная платформа безопасности и соответствия Drata ориентирована на готовность к аудиту по таким стандартам, как SOC 2 или ISO 27001. Drata отслеживает и собирает данные о мерах безопасности, чтобы предоставить доказательства их наличия и работы. Платформа также помогает оптимизировать рабочие процессы. Drata была основана в 2020 году.
FYEO – это платформа для мониторинга угроз и управления доступом для потребителей, предприятий и малого и среднего бизнеса. Компания утверждает, что ее решения для управления учетными данными снимают бремя управления цифровой идентификацией. FYEO Domain Intelligence («FYEO DI») предоставляет услуги мониторинга домена, учетных данных и угроз. FYEO Identity будет предоставлять услуги управления паролями и идентификацией, начиная с четвертого квартала 2021 года. FYEO вышла из «скрытого режима» в 2021 году.
Kronos – платформа прогнозирующей аналитики уязвимостей (PVA) от компании Hive Pro , основанная на четырех основных принципах: предотвращение, обнаружение, реагирование и прогнозирование. Hive Pro автоматизирует и координирует устранение уязвимостей с помощью единого представления. Продукт компании Artemis представляет собой платформу и услугу для тестирования на проникновение на основе данных. Компания Hive Pro была основана в 2019 году.
Израильская компания Infinipoint была основана в 2019 году. Свой основной облачный продукт она называет «идентификация устройства как услуга» или DIaaS , который представляет собой решение для идентификации и определения положения устройства. Продукт интегрируется с аутентификацией SSO и действует как единая точка принуждения для всех корпоративных сервисов. DIaaS использует анализ рисков для обеспечения соблюдения политик, предоставляет статус безопасности устройства как утверждается, устраняет уязвимости «одним щелчком».
Компания Kameleon , занимающаяся производством полупроводников, не имеет собственных фабрик и занимает особое место среди поставщиков средств кибербезопасности. Компания разработала «Блок обработки проактивной безопасности» (ProSPU). Он предназначен для защиты систем при загрузке и для использования в центрах обработки данных, управляемых компьютерах, серверах и системах облачных вычислений. Компания Kameleon была основана в 2019 году.
Облачная платформа безопасности данных Open Raven предназначена для обеспечения большей прозрачности облачных ресурсов. Платформа отображает все облачные хранилища данных, включая теневые облачные учетные записи, и идентифицирует данные, которые они хранят. Затем Open Raven в режиме реального времени отслеживает утечки данных и нарушения политик и предупреждает команды о необходимости исправлений. Open Raven также может отслеживать файлы журналов на предмет конфиденциальной информации, которую следует удалить. Компания вышла из «скрытого режима» в 2020 году.
Компания Satori, основанная в 2019 году, называет свой сервис доступа к данным “DataSecOps”. Целью сервиса является отделение элементов управления безопасностью и конфиденциальностью от архитектуры. Сервис отслеживает, классифицирует и контролирует доступ к конфиденциальным данным. Имеется возможность настроить политики на основе таких критериев, как группы, пользователи, типы данных или схема, чтобы предотвратить несанкционированный доступ, замаскировать конфиденциальные данные или запустить рабочий процесс. Сервис предлагает предварительно настроенные политики для общих правил, таких как GDPR , CCPA и HIPAA .
Компания Scope Security недавно вышла из «скрытого режима», будучи основана в 2019 году. Ее продукт Scope OmniSight нацелен на отрасль здравоохранения и обнаруживает атаки на ИТ-инфраструктуру, клинические системы и системы электронных медицинских записей . Компонент анализа угроз может собирать индикаторы угроз из множества внутренних и сторонних источников, представляя данные через единый портал.
Основным продуктом Strata является платформа Maverics Identity Orchestration Platform . Это распределенная мультиоблачная платформа управления идентификацией. Заявленная цель Strata – обеспечить согласованность в распределенных облачных средах для идентификации пользователей для приложений, развернутых в нескольких облаках и локально. Функции включают в себя решение безопасного гибридного доступа для расширения доступа с нулевым доверием к локальным приложениям для облачных пользователей, уровень абстракции идентификации для лучшего управления идентификацией в мультиоблачной среде и каталог коннекторов для интеграции систем идентификации из популярных облачных систем и систем управления идентификацией. Strata была основана в 2019 году.
SynSaber , запущенная 22 июля 2021 года, предлагает решение для мониторинга промышленных активов и сети. Компания обещает обеспечить «постоянное понимание и осведомленность о состоянии, уязвимостях и угрозах во всех точках промышленной экосистемы, включая IIoT, облако и локальную среду». SynSaber была основана бывшими лидерами Dragos и Crowdstrike.
Traceable называет свой основной продукт на основе искусственного интеллекта чем-то средним между брандмауэром веб-приложений и самозащитой приложений во время выполнения. Компания утверждает, что предлагает точное обнаружение и блокирование угроз путем мониторинга активности приложений и непрерывного обучения, чтобы отличать обычную активность от вредоносной. Продукт интегрируется со шлюзами API. Traceable была основана в июле 2020 года.
Компания Wiz, основанная командой облачной безопасности Microsoft, предлагает решение для обеспечения безопасности в нескольких облаках, рассчитанное на масштабную работу. Компания утверждает, что ее продукт может анализировать все уровни облачного стека для выявления векторов атак с высоким риском и обеспечивать понимание, позволяющее лучше расставлять приоритеты. Wiz использует безагентный подход и может сканировать все виртуальные машины и контейнеры. Wiz вышла из «скрытого режима» в 2020 году.
Работает на CMS “1С-Битрикс: Управление сайтом”
nonvbvcc piratescccc
Recent Posts
- Packet Fingerprinting with Wireshark and Detecting NMap Scans cvv sites, cvv store
- Кандидат в президенты США рассказал о своем хакерском прошлом cvvstore, valid cc shop
- Ransomware Attacks Targeting Unpatched EOL SonicWall SMA 100 VPN Appliances buy cvv, feshop cc
- European Banking Authority victim in Microsoft Exchange Server hack dump shop, buying cvv
- Starting an InfoSec Career – The Megamix – Chapter 6 cvv dump, credit card dumps
Recent Comments
No comments to show.