Phần 5: Enumeration Countermeasures

Các biện pháp đối phó liệt kê

Cho đến nay, chúng ta đã mô tả các kỹ thuật và công cụ liệt kê được sử
dụng để trích xuất thông tin có giá trị từ các mục tiêu. Tiếp theo, chúng tôi thảo
luận về các biện pháp đối phó có thể ngăn chặn kẻ tấn công liệt kê thông tin
nhạy cảm từ mạng hoặc máy chủ. Phần này tập trung vào các phương pháp tránh
rò rỉ thông tin thông qua liệt kê SNMP, DNS, SMTP, LDAP, SMB, NFS và FTP.
5.1 Các biện pháp đối phó liệt và SNMP
- Xóa tác nhân SNMP hoặc tất dịch vụ SNMP
- Nếu tắt SNMP không phải là một tùy chọn thì hãy thay đổi tên chuỗi
công đồng mặc định
- Nâng cấp lên SNMP3, mã hóa mật khẩu và tin nhắn.
- Triển khai tùy chọn bảo mật Chính sách nhóm có tên "Hạn chế bổ sung
cho các kết nan danh
- Đảm bảo rằng quyền truy cập vào ống dẫn phiên null, chia sẻ phiên null
và lọc IPsec bihan one
- Chận truy cập vào cống TCP/UDP 161.
- Không cài đặt thành phần Windows quản lý và giám sát trừ khi được yêu
cầu.
- Mã hóa hoặc xác thực bằng (Psec
- Không định cấu hình sai dịch vụ SNMP với ủy quyền đọc ghi
- Định cấu hình danh sách kiểm soát truy cập (ACL) cho tất cả các kết nối
SNMP để chỉ cho phép người đừng hợp pháp truy cập thiết bị SNMP.
- Thường xuyên kiểm tra lưu lượng mạng
- Mã hóa thông tin xác thực bằng chế độ "AuthNoPriv", sử dụng MD5 và
SHA để bảo vệ bổ sung
- Sửa đổi số đăng ký để chỉ cho phép quyền truy cập bị hạn chế hoặc được
phép vào tên cộng cộng SNMP
- Thay đổi mật khẩu mặc định và định kỳ thay đổi mật khẩu hiện tại.
 - Xác định tất cả các thiết bị SNMP có quyền đọc/ghi và cung cấp quyền
chỉ đọc cho các thiết bị cụ thể không yêu cầu quyền đọc/ghi
- Tránh sử dụng chế độ "No Auth No Priv vì nó không mã hóa thông tin
liên lạc.
5.2 Các biện pháp đối phó liệt kê LDAP
- Theo mặc định, lưu lượng LDAP được truyền không bảo mật; do đó, hãy
sử dụng công nghệ Lớp cổng bảo mật (SSL) hoặc STARTTLS để mã hóa lưu
lượng.
- Chọn tên người dùng khác với địa chỉ email và kích hoạt khóa tài khoản.
- Hạn chế quyền truy cập vào Active Directory (AD) bằng cách sử dụng
phần mềm như Citrix.
- Sử dụng NT LAN Manager (NTLM), Kerberos hoặc bất kỳ cơ chế xác
thực cơ bản nào để hạn chế quyền truy cập của người dùng hợp pháp.
- Đăng nhập quyền truy cập vào các dịch vụ Active Directory (AD).
- Chặn người dùng truy cập vào một số thực thể AD nhất định bằng cách
thay đổi quyền trên các đối tượng/thuộc tính đó.
- Triển khai các tài khoản canary giống với tài khoản thật để đánh lừa
những kẻ tấn công.
- Tạo các nhóm mồi nhử có từ "Quản trị viên" trong tên để đánh lừa
những kẻ tấn công. Những kẻ tấn công thường tìm kiếm tài khoản quản trị viên
LDAP,
5.3 Các biện pháp đối phó liệt kê NFS
- Triển khai các quyền thích hợp (đọc/ghi phải được giới hạn ở những
người dùng cụ thể) trong hệ thống tệp được xuất.
- Triển khai các quy tắc tường lửa để chặn cổng NFS 2049.
- Đảm bảo cấu hình đúng các tệp như /etc/smb.conf, /etc/exports và etc/
hosts.allow để bảo vệ dữ liệu được lưu trữ trong máy chủ.
- Ghi lại các yêu cầu truy cập các tệp hệ thống trên máy chủ NFS.
- Giữ tùy chọn root_squash trong tệp /etc/exports được BẬT để không có
yêu cầu nào được thực hiện với quyền root trên máy khách được tin cậy.
 - Triển khai đường hầm NFS thông qua SSH để mã hóa lưu lượng NFS
qua mạng.
- Thực hiện nguyên tắc đặc quyền tối thiểu để giảm thiểu các mối đe dọa
như sửa đổi dữ liệu, bổ sung dữ liệu và sửa đồi tệp cấu hình của người dùng
thông thường.
- Đảm bảo rằng người dùng không chạy suid và sgid trên hệ thống tệp đã
xuất.
- Đảm bảo rằng nhóm mạng NIS có tên máy chủ được xác định đầy đủ để
ngăn chặn việc cấp quyền truy cập cao hơn cho các máy chủ khác.
5.4 Các biện pháp đối phó liệt kê SMTP,
Máy chủ SMTP phải được cấu hình theo cách sau:
- Bỏ qua các email gửi đến người nhận không xác định.
- Loại trừ thông tin nhạy cảm trên máy chủ thư và máy chủ cục bộ trong
phản hồi thư.
- Vô hiệu hóa tính năng chuyển tiếp mở.
- Giới hạn số lượng kết nối được chấp nhận từ một nguồn để ngăn chặn
các cuộc tấn công vũ phu.
- Vô hiệu hóa các lệnh EXPN, VRFY và RCPT TO hoặc hạn chế chúng
đối với người dùng xác thực.
- Bỏ qua email đến những người nhận không xác định bằng cách định cấu
hình máy chủ SMTP.
- Xác định những người gửi thư rác thông qua các giải pháp máy học
(ML).
- Không chia sẻ thông tin IP/máy chủ nội bộ hoặc thông tin hệ thống
chuyển tiếp thư.
5.5 Các biện pháp đối phó liệt kê SMB
Các dịch vụ chia sẻ thông thường hoặc các dịch vụ không được sử dụng
khác có thể cung cấp điểm truy cập cho kẻ tấn công để trốn tránh an ninh mạng.
Mạng chạy SMB có nguy cơ bị liệt kê cao. Vì máy chủ web và DNS không yêu
cầu giao thức này nên bạn nên tắt nó trên chúng. Giao thức SMB có thể bị vô
hiệu hóa bằng cách vô hiệu hóa các thuộc tính Máy khách cho Mạng Microsoft
và Chia sẻ tệp và máy in cho Mạng Microsoft trong Kết nối mạng và quay số.
Trên các máy chủ có thể truy cập từ Internet, còn được gọi là máy chủ pháo đài,
SMB có thể bị vô hiệu hóa bằng cách vô hiệu hóa hai thuộc tính giống nhau của
hộp thoại thuộc tính TCP/IP. Một phương pháp khác để vô hiệu hóa
Giao thức SMB trên máy chủ pháo đài mà không vô hiệu hóa nó một cách
rõ ràng sẽ chặn các cổng được dịch vụ SMB sử dụng. Đây là các cổng TCP 139
và 445.
Vì việc vô hiệu hóa dịch vụ SMB không phải lúc nào cũng là một lựa
chọn khả thi nên có thể cần phải có các biện pháp đối phó khác chống lại việc
liệt kê SMB. Windows Sổ đăng ký có thể được cấu hình để hạn chế quyền truy
cập ẩn danh từ Internet vào một tập hợp tệp được chỉ định. Các tệp và thư mục
này được chỉ định trong cài đặt Truy cập mạng: Các đường ống được đặt tên có
thể được truy cập ẩn danh và Truy cập mạng: Các chia sẻ có thể được truy cập
ẩn danh. Cấu hình này liên quan đến việc thêm tham số RestNullSessAccess vào
khoá đăng ký như sau:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
LanmanServer\Parameters
Tham số RestNullSessAccess nhận các giá trị nhị phân, trong đó 1 biểu
thị được bật và 0 biểu thị bị tắt. Đặt tham số này thành 1 hoặc bật sẽ hạn chế
quyền truy cập của người dùng ẩn danh vào các tệp được chỉ định trong cài đặt
Truy cập mạng.
Sau đây là các biện pháp đối phó bổ sung để bảo vệ chống lại việc liệt kê
SMB.
- Đảm bảo rằng Tường lửa Windows hoặc các hệ thống bảo vệ điểm cuối
tương tự được bật trên hệ thống.
- Cài đặt các bản vá bảo mật mới nhất cho Windows và phần mềm của
bên thứ ba.
- Thực hiện cơ chế xác thực phù hợp với chính sách mật khẩu mạnh.
- Triển khai các quyền mạnh mẽ để giữ an toàn cho thông tin được lưu
trữ.
- Thực hiện kiểm tra thường xuyên nhật ký hệ thống.
 - Thực hiện giảm sát hệ thống đang hoạt động để giảm sát hệ thống xem
có bất kỳ sự cố độc hại nào không.
- Triển khai VPN an toàn để bảo mật dữ liệu tổ chức trong quá trình truy
cập từ xa.
- Sử dụng các hệ thống phân tích hành vi tệp như tường lửa thế hệ tiếp
theo (NGFW) để quan sát các mẫu lưu lượng truy cập và nhận báo cáo phân tích
kịp thời về tài nguyên SMB.
- Sử dụng các hệ thống giám sát an toàn và mạnh mẽ như cảm biến mối
đe dọa toàn cầu đối với dữ liệu có độ nhạy cảm cao và tuyệt mật.
- Triển khai truyền và liên lạc dữ liệu được ký điện tử để truy cập tài
nguyên SMB
- Chặn/vô hiệu hóa các cống TCP 88, 139 và 445 cũng như các cổng UDP
88, 137 và 138 để ngăn chặn các cuộc tấn công SMB.
- Kích hoạt cài đặt hồ sơ công khai trong hệ thống tường lửa.
5.6 Các biện pháp đối phó liệt kê FTP
- Triển khai FTP bảo mật (SFTP, sử dụng SSH) hoặc bảo mật FTP (FTPS,
sử dụng SSL) để mã hóa lưu lượng FTP qua mạng.
- Triển khai mật khẩu mạnh hoặc chính sách xác thực dựa trên chứng
nhận.
- Đảm bảo rằng việc tải lên các tập tin không hạn chế trên máy chủ FTP là
không được phép.
- Vô hiệu hóa tài khoản FTP ẩn danh. Nếu không thể, hãy thường xuyên
theo dõi các tài khoản FTP ẩn danh.
- Hạn chế quyền truy cập theo IP hoặc tên miền vào máy chủ FTP.
- Định cấu hình kiểm soát truy cập trên tài khoản FTP được xác thực bằng
danh sách kiểm soát truy cập (ACL).
- Hạn chế số lần đăng nhập và thời gian.
- Định cấu hình quy tắc lọc đầu vào và đầu ra cho các dịch vụ FTP.
- Sử dụng SSL/FTPS cho tài khoản FTP được xác thực.
 - Không chạy các dịch vụ công cộng thông thường như thư hoặc web trên
một máy chủ FTP.
- Triển khai mô hình phân tích dựa trên trò chơi Markov để đánh giá lỗ
hổng và thử nghiệm thâm nhập (VAPT) trên các máy chủ FTP dựa trên đám
mây.
5.7 Các biện pháp đối phó liệt kê DNS.
Thảo luận dưới đây là các biện pháp khác nhau để ngăn chặn việc liệt kê
DNS.
- Hạn chế quyền truy cập của trình phân giải: Đảm bảo rằng chỉ các máy
chủ bên trong mạng mới có thể truy cập vào trình phân giải để ngăn chặn tình
trạng ngộ độc bộ nhớ đệm bên ngoài.
- Ngẫu nhiên hóa các cổng nguồn: Đảm bảo rằng các gói yêu cầu thoát
khỏi mạng sử dụng ngẫu nhiên cổng, thay vì cổng UDP 53. Ngoài ra, ngẫu nhiên
hóa ID truy vấn và thay đổi kiểu chữ cái của tên miền để bảo vệ chống nhiễm
độc bộ đệm.
- Kiểm tra vùng DNS: Kiểm tra vùng DNS để xác định các lỗ hổng trong
tên miền và tên miền phụ cũng như giải quyết các vấn đề liên quan đến DNS.
- Vá các lỗ hồng đã biết: Cập nhật và vá máy chủ tên bằng các phiên bản
phần mềm mới nhất như BIND và Microsoft DNS.
- Hạn chế chuyển vùng DNS: Hạn chế chuyển vùng DNS tới các địa chỉ
IP của máy chủ tên nô lệ cụ thể vì việc chuyển vùng có thể bao gồm bản sao
chính của cơ sở dữ liệu của máy chủ chính. Vô hiệu hóa việc chuyển vùng DNS
tới các máy chủ không đáng tin cậy.
- Sử dụng các máy chủ khác nhau cho các chức năng phân giải và phân
giải: Việc tách biệt các chức năng của trình phân giải và máy chủ tên có thẩm
quyền có thể giảm tình trạng quá tải và ngăn chặn các cuộc tấn công từ chối dịch
vụ (DoS) trên các miền.
- Sử dụng máy chủ DNS biệt lập: Tránh lưu trữ máy chủ ứng dụng cùng
với máy chủ DNS. Sử dụng máy chủ riêng biệt và chuyên dụng cho các dịch vụ
DNS để giảm thiểu nguy cơ bị tấn công ứng dụng web.
 - Vô hiệu hóa đệ quy DNS: Vô hiệu hóa đệ quy DNS trong cấu hình máy
chủ DNS để hạn chế đệ quy các truy vấn từ các miền khác hoặc bên thứ ba,
đồng thời giảm thiểu các cuộc tấn công khuếch đại và đầu độc DNS.
- Cùng cố hệ điều hành: Tăng cường hệ điều hành bằng cách đóng các
cống không sử dụng và chặn các dịch vụ không cần thiết.
- Sử dụng VPN: Sử dụng VPN để liên lạc an toàn. Ngoài ra, hãy thay đổi
mật khẩu mặc định.
- Triển khai xác thực hai yếu tố: Thực thi xác thực hai yếu tố để cung cấp
quyền truy cập an toàn khi máy chủ DNS được quản lý bởi bên thứ ba.
- Sử dụng khóa thay đổi DNS: Sử dụng khóa thay đổi DNS hoặc khóa ứng
dụng khách để hạn chế thay đổi cài đặt DNS mà không có sự cho phép phù hợp.
- Sử dụng DNSSEC: Triển khai DNSSEC như một lớp bảo mật bổ sung
cho máy chủ DNS để chỉ cho phép các yêu cầu DNS được ký điện tử và giảm
thiểu việc chiếm quyền điều khiển DNS.
- Sử dụng đăng ký DNS cao cấp: Sử dụng dịch vụ đăng ký DNS cao cấp
để ẩn thông tin nhạy cảm, chẳng hạn như thông tin máy chủ (HINFO), khỏi
công chúng.
5.8 Các biện pháp đối phó khác để chống lại việc liệt kê DNS
- Đảm bảo rằng các máy chủ riêng và địa chỉ IP của chúng không được
xuất bản trong tệp vùng DNS của máy chủ DNS công cộng.
- Sử dụng địa chỉ liên hệ quản trị viên mạng tiêu chuẩn để đăng ký DNS
nhằm tránh các cuộc tấn công lừa đảo qua mạng.
- Cắt bớt các tệp vùng DNS để tránh tiết lộ thông tin không cần thiết.
- Duy trì các máy chủ DNS bên trong và bên ngoài độc lập.
- Đảm bảo rằng các bản ghi DNS cũ hoặc không sử dụng sẽ bị xóa định
kỳ.
- Hạn chế truy vấn yêu cầu version.bind bằng ACL. Xóa hoặc chạy BIND
với ít đặc quyền nhất.
- Sử dụng tệp /etc/hosts để phát triển hoặc dàn dựng các tên miền phụ
thay vì sử dụng bản ghi DNS.