Soru Önceki BT çalışanından arka kapıları nasıl ararsınız?


Hepimiz olduğunu biliyoruz. Acı eski bir IT adamı arka kapı Yeni adamlarla eğlenmek ve şirkete onsuz ne kadar kötü şeyler olduğunu göstermek için sisteme ve ağa.

Bunu asla şahsen yaşamadım. En çok yaşadığım şey, ayrılmadan hemen önce bir şeyleri kırıp çalan biri. Bunun olmasına rağmen eminim.

Bu yüzden, oldukça güvenilir bir ağı ele geçirirken, her şeyin güvenli ve emniyetli olmasını sağlamak için ne gibi adımlar atılmalıdır?


355
2017-08-18 15:04


Menşei


+1, bu soruyu beğeniyorum. Yeni bir müşteriyle uğraşırken en sevdiğim şey, özellikle de son kişi kötü şartlarda kaldıysa. - DanBig
Gittiğim yerlerin çoğu, "Bunu yapma" diyerek orada olmamak, ağı getirmek için yeterli. Kapıları geri bırakmam gerekmiyor. - Paul Tomblin
@Paul, bu doğru bir şekilde belgelemenizi öneriyor. Umarım yeni kişi (ler) işlerinin doğru bir kısmını yapar. - John Gardeniers
@John, kullanıcılarınız ve iş arkadaşlarınız belgeleri okuyor mu? Bunlardan bazılarını nereden alabilirim? - Paul Tomblin
@Paul, kullanıcılar - hayır, neden yapmalılar? Ortak çalışanlar (BT insanlarını kastettiğinizi varsayarsak) - evet. Dokümanların okunması yeni bir işe başlamanın ilk adımı olmalıdır. - John Gardeniers


Cevaplar:


Gerçekten, gerçekten çok zor. Çok kapsamlı bir denetim gerektirir. Eski insanın arkasında bir şey bıraktığından eminseniz ya da patlamayı başarabilecek tek kişi oldukları için yeniden işe alınmalarını isterlerse, o zaman bir kökene sahip olduğunuzu varsaymanın zamanıdır. düşman parti. Bir grup korsanın gelip çaldığı şeyler gibi davran, ve onların dağılmasından sonra temizlemek zorundasın. Çünkü bu böyle.

  • Belirli bir varlık ile ilişkili olduğundan emin olmak için her sistemde her hesabı denetleyin.
    • Sistemlerle ilişkili görünen ancak hiç kimsenin hesap veremediği hesaplar güvenilmez.
    • Hiçbir şeyle ilişkilendirilmemiş hesapların temizlenmesi gerekir (bu işlemin yapılması gerekir, ancak bu durumda özellikle önemlidir)
  • Anlaşılabilir olabilecekleri tüm şifreleri değiştirin.
    • Bu, hesaplar için şifrelenme eğiliminde olduğundan, bu hesaplar için gerçek bir sorun olabilir.
    • Son kullanıcı çağrılarına yanıt veren bir yardım masası tipi olsaydı, destekledikleri birinin şifresini aldıklarını varsayın.
    • Active Directory'ye Enterprise Admin veya Domain Admin sahip olsaydı, parola karmalarının bir kopyasını ayrılmadan önce aldıklarını varsayın. Bu kadar hızlı bir şekilde çatlayabilirler, çünkü şirket çapında bir şifre değişikliğinin gün içinde zorlanması gerekecektir.
    • Herhangi bir * nix kutusuna root erişimi olsaydı, şifre karmaları ile yürüdüklerini varsayarlar.
    • Anahtarlarının temizlendiğinden emin olmak için, tüm genel anahtar SSH anahtar kullanımını gözden geçirin ve özel anahtarların açıkta kalmasını sağlayın.
    • Herhangi bir telekomünikasyon cihazına erişimleri varsa, herhangi bir yönlendirici / anahtar / ağ geçidi / PBX şifresini değiştirin. Bu ciddi bir kesinti içerebileceğinden, gerçekten bir kraliyet acısı olabilir.
  • Çevre güvenlik düzenlemelerinizi tamamen denetleyin.
    • Tüm güvenlik duvarı deliklerinin bilinen yetkili aygıtlara ve bağlantı noktalarına kadar izlenmesini sağlayın.
    • Tüm uzaktan erişim yöntemlerinin (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail, neyse) hiçbir ek kimlik doğrulaması yapılmadığından emin olun ve yetkisiz erişim yöntemleri için onları tamamen temizleyin.
    • Uzak WAN bağlantılarının tam olarak çalışan kişilere ulaştığından emin olun ve doğrulayın. Özellikle kablosuz bağlantılar. Onları cep telefonu modem veya akıllı telefonla ödenen bir şirkette gezdirmek istemiyorsunuz. Doğru cihazlara sahip olduklarından emin olmak için tüm bu kullanıcılarla iletişim kurun.
  • Dahili ayrıcalıklı erişim düzenlemelerini tam olarak denetleyin. Bunlar genel kullanıcıların sahip olmadığı sunuculara SSH / VNC / RDP / DRAC / iLO / IMPI erişimi veya bordro gibi hassas sistemlere erişim gibi şeylerdir.
  • Kişilerin doğru olduğundan emin olmak için tüm harici satıcılarla ve servis sağlayıcılarla çalışın.
    • Tüm iletişim ve servis listelerinden kaldırıldığından emin olun. Bu, herhangi bir kalkıştan sonra yapılmalı, ama şimdi çok önemli.
    • Tüm kişilerin doğru olduğunu doğrulayın ve doğru iletişim bilgilerine sahip olun, bu, taklit edilebilecek hayaletleri bulmaktır.
  • Mantık bombaları için avlanmaya başlayın.
    • Kötülük belirtileri için tüm otomasyonları (görev zamanlayıcıları, cron işleri, UPS çağrı listeleri veya bir programla çalışan veya olay tetiklemeli bir şey) kontrol edin. "Tümü" ile demek istediğim, hepsi. Her bir crontab'ı kontrol et. Probların kendileri de dahil olmak üzere, izleme sisteminizde her bir otomatik eylemi kontrol edin. Her bir Windows Görev Zamanlayıcısı'nı kontrol edin; iş istasyonları bile. Hükümete son derece hassas bir alanda çalışmadığınız sürece, "tümünü" karşılayamayacaksınız, yapabileceğiniz kadar yapın.
    • Olması gereken şey olduklarından emin olmak için her sunucudaki anahtar sistemi ikili dosyalarını doğrulayın. Bu özellikle Windows üzerinde zor ve tek seferlik sistemlerde geriye dönük olarak yapmak neredeyse imkansız.
    • Kök setleri için avlanmaya başlayın. Tanım olarak bulmak zor, ama bunun için tarayıcılar var.

En azından kolay değil, uzaktan bile yakın değil. Tüm bunların masrafını haklı çıkarmak, şu andaki yönetimin aslında kötülük olduğunu kesin bir kanıt olmaksızın gerçekten zor olabilir. Yukarıdakilerin tamamı, bu işlerin bir kısmını yapmak için güvenlik danışmanlarının işe alınmasını gerektiren şirket varlıklarıyla bile uyumlu değildir.

Eğer gerçek kötülük tespit edilirse, özellikle kötülük bir çeşit yazılımda ise, eğitilmiş güvenlik uzmanları sorunun genişliğini belirlemek için en iyisidir. Bu aynı zamanda bir ceza davasının inşa edilmeye başlayacağı noktadır. Gerçekten mi Bu analizi yapmak için kanıtlarla uğraşan kişilerden eğitim almasını isteyin.


Ama, gerçekten, ne kadar gitmek zorundasın? İşte burası risk yönetimi devreye giriyor. Basit bir şekilde, bu beklenen riskin kayıplara karşı dengelenmesi yöntemidir. Karar verdiğimizde Sysadmins bunu yapar hangi Yedekleme yapmak istediğimiz site dışı konum; banka kasası ve bölge dışı veri merkezi. Bu listenin ne kadarının ihtiyaç duyduğunu anlamak risk yönetiminde bir alıştırmadır.

Bu durumda değerlendirme birkaç şeyle başlayacaktır:

  • Ayrılmış olan beklenen yetenek seviyesi
  • Kalkışa erişim
  • Kötülüğün yapıldığı beklentisi
  • Herhangi bir kötülüğün potansiyel zararı
  • İşlenen kötülüğün rapor edilmesi için düzenleyici gereklilikler, önceleri kötülükle karşılaştı. Genel olarak, eskiyi rapor etmelisiniz, ancak daha sonra değil.

Yukarıdaki tavşan deliğinin ne kadar düştüğüne dair karar, bu soruların cevaplarına bağlı olacaktır. Kötülük beklentisinin çok az olduğu rutin idari kalkışlar için tam sirk gerekli değildir; Yönetici düzeyinde parolaları değiştirmek ve harici bir SSH ana bilgisayarını yeniden anahtarlamak muhtemelen yeterlidir. Yine, kurumsal risk yönetimi güvenlik duruşu bunu belirler.

Nedeni sona erdirilen yöneticiler ya da normal olarak ayrıldıklarında kötülükler kesilen yöneticiler için sirke daha fazla ihtiyaç duyulur. En kötü durum senaryosunun, pozisyonlarının 2 hafta içinde gereksiz hale getirileceğinin bildirildiği, paranoyak bir BOFH tipi olduğu ve bu sayede hazırlanmak için yeterli zamanın verildiği; bu gibi durumlarda Kyle'ın cömert bir kıdem tazminatı paketi Her türlü problemi hafifletebilir. Paranoyaklar bile 4 aylık maaşı olan bir çekle sonra birçok günahı bağışlayabilirler. Bu kontrol muhtemelen kötülüklerini ortaya çıkarmak için ihtiyaç duyulan güvenlik danışmanlarının maliyetinden daha ucuza mal olacaktır.

Ama sonuçta, kötülüğün gerçekte yapılmakta olan herhangi bir kötülüğün potansiyel maliyetine karşı yapılıp yapılmadığının belirlenmesinin maliyeti düşüyor.


329
2017-08-18 15:40



+1 - Denetim sistemi ikililerine göre sanatın durumu bugün oldukça kötüydü. Bilgisayar adli araçlar, ikili dosyalardaki imzaları doğrulamanıza yardımcı olabilir, ancak farklı ikili sürümlerin çoğalmasıyla (özellikle Windows'ta, her ay yapılan güncellemeler),% 100'e yaklaşabileceğiniz ikna edici bir senaryo bulmak oldukça zordur. ikili doğrulama. (Yapabilseydim +10 yapardım, çünkü tüm problemi oldukça iyi özetledin. Özellikle bölümlendirme ve iş görevlerinin ayrılması olmasaydı zor bir problem.) - Evan Anderson
+++ Re: hizmet hesabı şifrelerini değiştirme. Bu zaten ayrıntılı bir şekilde belgelenmelidir, bu yüzden işinizi yapması beklenecekse, bu süreç iki kat daha önemlidir. - Kara Marfia
@Joe H .: Söz konusu yedeklemenin içeriğini üretim altyapısından bağımsız olarak doğrulamayı unutma. Yedekleme yazılımı trojanize edilebilir. (Müşterilerimden biri, yedeklerini geri yüklemek, uygulamayı uygulamaya yüklemek için sözleşmeli olan ve yedeklemeden oluşturulan mali tabloların üretim sistemi tarafından oluşturulanlarla eşleştiğini doğrulayan, LOb uygulamalarının bağımsız bir yüklemesi olan bir üçüncü tarafa sahipti. vahşi ...) - Evan Anderson
Mükemmel cevap. Ayrıca, ayrılan çalışanı servis sağlayıcılar ve satıcılar için yetkili bir irtibat noktası olarak kaldırmayı unutmayın. Alan adı kayıt şirketleri. İnternet servis sağlayıcıları. Telekomünikasyon şirketleri. Tüm bu harici tarafların, çalışanın artık herhangi bir değişiklik yapmaya veya şirketin hesaplarını tartışmaya yetkili olmadığı haberini aldığından emin olun. - Mox
"Yukarıdakilerin tamamı, şirket işleriyle yapılamayabilir, bu da bu işlerin bir kısmını yapmak için güvenlik danışmanlarının işe alınmasını gerektirecektir." - Tabii ki olabilir bu pozlama, uzlaşmaya yol açar. Bu denetim düzeyi, son derece düşük seviye sistem erişimi gerektirir - ve bilmek şeyler nasıl saklanır. - MightyE


Ödeme yapmak istediğiniz paraya ne kadar endişe ettiğinizi gösteren bir denge olduğunu söyleyebilirim.

Çok endişe:
Çok endişeli iseniz, dışarıdan ve içten bakış açısından her şeyin tam bir taramasını yapmak için bir dış güvenlik danışmanı işe almak isteyebilirsiniz. Bu kişi özellikle akıllı olsaydı, başın belaya girebilirdi, bir süre dinlenebilecek bir şeyleri olabilir. Diğer seçenek sadece her şeyi yeniden inşa etmektir. Bu çok aşırı gelebilir ancak çevreyi iyi öğrenecek ve bir felaket kurtarma projesi de yapacaksınız.

Hafif derecede ilgili:
Sadece hafif bir endişe duyuyorsanız, sadece yapmak isteyebilirsiniz:

  • Dışarıdan bir port taraması.
  • Virüs / Casus Yazılım Taraması. Linux Makineleri için Rootkit Tarama.
  • Anlamadığınız bir şey için güvenlik duvarı yapılandırmasına bakın.
  • Tüm şifreleri değiştirin ve bilinmeyen hesapları arayın (Artık şirkette olmayan bir kişiyi aktif hale getirmediğinden emin olun, böylece bunları kullanabilirler).
  • Bu ayrıca bir İzinsiz Giriş Tespit Sisteminin (IDS) kurulması için iyi bir zaman olabilir.
  • Günlükleri normalden daha yakından izleyin.

Gelecek için:
Bir yönetici ayrıldığında ona iyi bir parti verdiğinde ve sonra sarhoş olduğunda onu eve götürmeyi teklif edince - sonra onu en yakın nehir, bataklık veya gölde bertaraf et. Daha ciddi olarak, bu yöneticilere cömert kıdem tazminatı vermek için iyi sebeplerden biridir. Onları olabildiğince bırakarak iyi hissetmelerini istiyorsun. İyi hissetmese de kimin umurunda olursa olsun, emer ve onları mutlu eder. Senin suçunmuş gibi davran, onların değil. İşsizlik sigortası ve kıdem tazminatı paketinin maliyetlerindeki artış, yapabilecekleri zararla karşılaştırılamaz. Bu, en az direnç yolunun ve mümkün olduğunca az dram yaratmanın yoludur.


98
2017-08-18 15:18



Cinayeti içermeyen cevaplar muhtemelen tercih edilir :-) - Jason Berg
BOFH önerisi için +1. - jscott
@Kyle: Bu bizim küçük sırrımız olmalıydı ... - GregD
Ölü adam anahtarları Kyle. Bir süreliğine gitmemiz durumunda onları oraya koyarız :) "Biz" derken, demek istediğim, onlar? - Bill Weiss
+1 - Pratik bir cevaptır ve tartışmayı bir risk / maliyet analizine dayandırıyorum (çünkü işte bu). Sysadmin1138'in cevabı biraz daha kapsamlı: "lastik yolun karşısına geçiyor", ancak mutlaka risk / maliyet analizine girmiyor ve çoğu zaman, "varsayımlar" da bir kenara atmak zorunda kalıyorsunuz. uzak". (Bu yanlış bir karar olabilir, ancak hiç kimsenin sonsuz zamana / paraya sahip değildir.) - Evan Anderson


Teamviewer, LogmeIn vb. Gibi şeyleri unutma. Biliyorum ki bu daha önce de belirtilmişti, ancak her sunucu / iş istasyonunun bir yazılım denetimi (pek çok uygulama) zarar görmeyecek, alt ağ (lar) ın nmap ile taramaları da dahil. NSE komut dosyaları.


19
2017-08-24 22:40





Öncelikle ilk önce - site dışı depolamadaki her şeyin bir yedeğini alın (ör., Aygıta bağladığınız ve sakladığınız teyp veya HDD). Bu şekilde, kötü amaçlı bir şey olursa, biraz iyileşebilirsiniz.

Ardından, güvenlik duvarı kurallarınızı gözden geçirin. Herhangi bir şüpheli açık bağlantı noktası kapatılmalıdır. Eğer bir arka kapı varsa, ona erişimi engellemek iyi bir şey olurdu.

Kullanıcı hesapları - hoşnutsuz kullanıcınızı arayın ve erişiminin mümkün olan en kısa zamanda kaldırıldığından emin olun. SSH anahtarları veya / etc / passwd dosyaları veya LDAP girişleri varsa, .htaccess dosyaları bile, hepsi taranmalıdır.

Önemli sunucularınızda uygulamalar ve aktif dinleme bağlantı noktaları arayın. Onlara bağlı çalışan süreçlerin mantıklı görünmesini sağlayın.

Sonuçta kararlı bir hoşnutsuz çalışan herhangi bir şey yapabilir - sonuçta, tüm iç sistemler hakkında bilgi sahibi olurlar. Birileri olumsuz eylemde bulunmamaları için dürüstlüğe sahip olmalarını umuyor.


18
2017-08-18 15:25



bir şey olduğunda yedekler de önemli olabilir ve savcılık yoluna gitmeye karar verirsiniz, bu yüzden kanıtların ele alınması için kuralların ne olduğunu öğrenmek isteyebilirsiniz ve bunları takip ettiğinizden emin olun. - Joe H.
Ancak, yedeklemiş olduğunuz şeyin köklü uygulamalar / config / data vb. İçerebilir. - Shannon Nelson
Köklü bir sistemin yedekleri varsa, kanıtınız vardır. - XTL


İyi çalışan bir altyapı, bunu büyük ölçüde önlemek için araçlara, izleme ve kontrollere sahip olacaktır. Bunlar şunları içerir:

Bu araçlar düzgün bir şekilde yerine getirilirse, bir denetim izine sahip olursunuz. Aksi halde, tam bir performans göstermeniz gerekecek. penetrasyon testi.

İlk adım, tüm erişimi denetlemek ve tüm şifreleri değiştirmek olacaktır. Dış erişim ve potansiyel giriş noktalarına odaklanın - bu, zamanınızın en iyi şekilde harcanacağı yerdir. Dış ayak izi haklı değilse, onu ortadan kaldırın veya daraltın. Bu, zaman içinde daha fazla ayrıntıya odaklanmanıza izin verecektir. Programatik çözümlerin kısıtlı verileri harici olarak aktaracağından, tüm giden trafiğin farkında olun.

Nihayetinde, bir sistem ve ağ yöneticisi olmak, her şeye rağmen olmasa da, tam erişimi mümkün kılacaktır. Bununla, yüksek bir sorumluluk derecesi geliyor. Bu sorumluluk düzeyi ile işe alım, hafifçe alınmamalıdır ve riskleri en aza indirmek için adımlar atılmalıdır. Eğer bir profesyonel işe alınırsa, kötü şartlarda bile olsa, profesyonel olmayan ya da yasadışı olacak eylemlerde bulunmazlar.

Sunucu Arızası'nda, güvenlik için uygun sistem denetimini ve birisinin sona erdirilmesi durumunda ne yapılacağını kapsayan çok sayıda ayrıntılı yayın vardır. Bu durum bunlardan eşsiz değil.


17
2017-08-18 15:31





Akıllı bir BOFH aşağıdakilerden herhangi birini yapabilir:

  1. Komutları almak için iyi bilinen bir portta netcat giden bağlantıyı başlatan periyodik program. Örneğin. Bağlantı noktası 80. Eğer iyi yapılmışsa, ileri ve geri trafik bu liman için trafik görünümüne sahip olacaktır. Yani 80 numaralı bağlantı noktasında, HTTP üstbilgileri olurdu ve yük, görüntülerde gömülü parçalar olurdu.

  2. Yürütülecek dosyalar için belirli yerlere bakan Aperiodic komutu. Yerler kullanıcılar bilgisayarlarda, ağ bilgisayarlarında, veritabanlarındaki ek tablolarda, geçici biriktirme dosyası dizinlerinde olabilir.

  3. Diğer arka planların bir ya da daha fazlasının hala yerinde olup olmadığını kontrol eden programlar. Değilse, üzerinde bir varyant yüklenir ve ayrıntılar BOFH'ye gönderilir.

  4. Yedekleme yolunda çok fazla disk artık yapıldığı için, kök kümelerinizin en azından bir kısmını içerecek şekilde yedeklemeleri değiştirin.

Kendinizi bu tür şeylerden korumanın yolları:

  1. Bir BOFH sınıfı çalışanı ayrıldığında, DMZ'ye yeni bir kutu takın. Güvenlik duvarını geçen tüm trafiğin bir kopyasını alır. Bu trafikte anormallikler arayın. İkincisi, özellikle BOFH normal trafik paternlerini taklit etmede iyi ise, önemsizdir.

  2. Sunucularınızı, kritik ikili dosyaların salt okunur ortamlarda saklanmasını sağlayacak şekilde yeniden yapın. Yani, eğer / bin / ps'yi değiştirmek isterseniz, makineye gitmelisiniz, RO'den RW'ye bir anahtar taşımalı, tek bir kullanıcıyı yeniden başlatmalı, bu bölümü yeniden yazmalı, ps'nin yeni kopyasını kurmalı, senkronizasyonunu yeniden başlatmalı, geçiş anahtarı. Bu şekilde yapılan bir sistem, daha fazla iş için en azından bazı güvenilir programlara ve güvenilir bir çekirdeğe sahiptir.

Tabii ki, eğer pencereler kullanıyorsan, gözetleniyorsun.

  1. Altyapınızı kompartmanize edin. Küçük ve orta ölçekli firmalarla makul değil.

Bu tür şeyleri önlemenin yolları.

  1. Veteriner adaylarını dikkatlice.

  2. Bu insanların hoşnutsuz olup olmadığını öğrenin ve personel sorunlarını zamanında düzeltin.

  3. Bir yöneticiyi bu tür güçlerle kapattığınızda pastayı tatlandırın:

    a. Maaşı veya maaşının bir kısmı, BT personeli tarafından açıklanamayan sistem davranışında önemli bir değişiklik olana kadar bir süre devam eder. Bu üstel bir bozulma olabilir. Örneğin. 6 ay boyunca tam ücret alır, bunun yüzde 80'i 6 ay boyunca, yüzde 80'i o gelecek 6 ay için.

    b. Ödemesinin bir kısmı, ayrıldıktan sonra bir ila beş yıl boyunca yürürlüğe girmeyen hisse senedi seçenekleri biçimindedir. Bu seçenekler ayrıldığında kaldırılmaz. Şirketin 5 yıl içinde iyi çalışacağından emin olmak için bir teşviki var.


16
2017-08-25 15:37



WTF bir BOFH mı ?? - Chloe
Chloe, BOFH cehennemden Bastard Operator'u temsil ediyor, ikonik paranoyak-delusional meglomaniacal sosyopat rogue sysadmin, birisinin faresini bir yere götüren çok fazla zaman harcayan BT insanı oluyor. Başlangıçta alt.sysadmin.recovery adresine bir dizi öykü var bofh.ntk.net/Bastard.html  en.wikipedia.org/wiki/Bastard_Operator_From_Hell - Stephanie
ServerFault puanınız ne kadar yüksekse BOFH :-) olma şansınız o kadar yüksek olur - dunxd
"Tabii ki, eğer pencereler kullanıyorsan, sen kazandın." Bunu duvarımda istiyorum. - programmer5000


Bu, yöneticinin ayrılmasından önce bile sorunun var olduğunu vurguluyor. Sadece o zaman problemi daha çok fark eder.

-> Her değişimin denetlenmesi için bir sürece ihtiyaç vardır ve bu sürecin bir kısmı, değişikliklerin sadece onun tarafından uygulanmasıdır.


13
2017-08-24 22:55



Bu tür bir süreci nasıl uyguladığınızı merak ediyorum. - Mr. Shiny and New 安宇
Bu küçük bir şirkette yapmak için oldukça zor (yani 1-2 Sys Admin tipi millet) - Beep beep
Zorlanması gereken bir acıdır, ancak uygulanabilirdir. Büyük temel kurallardan biri, hiç kimsenin bir kutuya giriş yapmaması ve bunu sudo yoluyla bile yönetmemesidir. Değişiklikler bir yapılandırma yönetim aracından geçmeli veya firecall tipi bir olay bağlamında gerçekleştirilmelidir. Sistemlere yapılan her bir rutin değişiklik kukla, cfengine, şef veya benzer bir araçtan geçmeli ve sistem yöneticileriniz için tüm iş akışları, bu komut dosyalarının sürüm kontrollü bir deposu olarak mevcut olmalıdır. - Stephanie