二重ルータのホスト


  Share  
|


デュアルルータを導入するホストをネットワークに重要なセキュリティホールのアーキテクチャを与えることができて以来の権利やアクセス権を持つユーザーの権限を1つのネットワークまたはドメインの権利および特権おそらく彼らが意図していませんし、別のドメインにあります。 この脆弱性として表示され、通常は、企業のデスクトップマシンに接続して、組織の内部lanと同時にモデム接続を介して、地元の行をispにします。 このような設定では、誰にも可能性があり、インターネット上でアクセスできるようにして企業のネットワークを通じて、ダイヤルアップ接続します。 しかし、他の設定でこの脆弱性が発生することができます。

たとえば、特定の関与をするには、クライアントは、 ispに提供しても何千ものウェブホスティングサービス会社です。 ホスティング施設の内訳は、多数(数百人)のunixベースのホストで、同じ設定では、ネットスケープのウェブサーバーを実行しています。

プロバイダーのモデルでは、完全な管理を提供する代わりに、マシンを維持することだったが、クライアントを管理できるように、ウェブサーバーにした。

ウェブホスティングパッケージに含まれたスクリプト言語tclで、これは、ウェブサーバーのリモート管理できます。 たぶん何だった未知のプロバイダーを介して、 tclでは、スクリプト言語、精通しても、クライアントとユーザーのウェブサイトをホストするだろう以上の基本的な管理を行うことができます。 ウェブを利用できるようにしたサーバーであり、これが実行され、 root権限で、ルートアクセスを得るには、マシンのurl文字列を介してさまざまな特別に細工します。 これは、入力してウェブサーバーに攻撃を検証します。

これにより、妥協のホストマシンは、ほぼ同じように狂ったmicrosoft iisサーバーにつながることができ、ホストマシンに妥協します。 しかし、このませんでしたということが分かる、ネットワーク上の最悪の事態を暴露します。

一度、マシンのネットワークは、ウェブ上でホスティング侵害(たとえば、ルートのアクセス権限を達成した)は、ハッカーツールキットに入る可能性があるロードそのマシンで、パスワードをクラックするツールを含めています。 一度に1つのマシンのルートのアクセス権限を得たことは、私たちはないことを確認し、ネットワークに接続された2つ目のネットワークをサポートするさまざまなビジネスユニットを使用するユーザーの所在地をします。 さらに、ユーザーにしましたところ、いくつかのネットワークで、ウェブ上でホスティングされたアカウントの2番目のネットワークにも及び、同じパスワードを使用しています。

この時点で、この2つ目のネットワークにアクセスできるようにするだけでの存在を達成したアカウントと同じユーザー名とパスワードの両方でネットワークでは、可能性と、ハッカーツールキットをコピーして、再度インストールします。

私たちはないことを確認し、この2つ目のマシンがネットワーク上にも3つ目のルータのネットワークです。 このサードは、企業のネットワークは、内部ネットワークに使用される機能をサポートすると会計や給与を維持するようなクライアントのデータベースおよびその他の貴重な財産です。 このネットワークれることを意図した自己に立って、内部ネットワークにします。 1つのマシンは誤って左側の二重ルータです。

このマシンは2004年に発見されたことを識別する2つのnicカードにアドレスの2つの個別のアドレス範囲に属しています。 したがって、ユーザーアカウント( rootアカウント)をこの箱の中には著作権の両方のネットワークです。 が期待できないとして、 rootアカウントのパスワードは、同じネットワーク上のすべてのホストは、第2 、それゆえに、私たちのルートのアクセスを獲得し、組織のコアは、内部ネットワークにします。

要約すると、ルートアクセスを得ることが可能になり、ウェブ上で、マシンをホスティングネットワーク上の既存のソフトウェアを使用して、ウェブサーバーにして、 2つ目のネットワークを介して移動するユーザーアカウントと同じユーザー名/パスワードのペアを、そして最後に、後に発見デュアルルータボックスで、内部に不正アクセスを社内ネットワークにします。 実際には、有効なアクセス権を与えられていました達成して、これにアクセスする権限あるという意味でのアクセス制御メカニズムをやめてくれませんでしたかを特定することが不要である。

後の会社の経営者に気づいていて、うっかりして、マシン内部の左側には、プライベートネットワークのデュアルネットワーク上のルータに接続した外の世界との整合性と機密性が被害を受けた企業の重要なデータ資産とクライアントの情報については、かれらはショックを受け、当然のことながら恥ずかしく思います。

教訓

いくつかのケースを見ていた団体のどこに気付いていないマシンが存在してデュアルルータまたは組織に使用されたデュアルホストルータとして簡単な解決策が、問題を修正し、特定のアプリケーションの通信を介しファイアウォールです。 その物語は、道徳的に細心の注意する必要があり、組織のネットワークアーキテクチャを払っています。 後に設計を確保するアーキテクチャを実装すると、ホストの両方を含む全体の構成およびネットワークトポロジは、すべての変更を介して変更しなければならない制御機構を防ぐためのセキュリティ撮りのような二重ルータ環境へのシナリオからひそかにします。

これは、記事を追加したアブラハムハンフリー

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions