Ako detekovať a zabezpečiť otvorené služby

Každý, kto má verejnú IP adresu preberá na seba v určitej miere zodpovednosť a preto by sme mali týmto službám venovať viac ako len minimálnu pozornosť. Zmenšiť toto riziko je jednoduché a pri dodržiavaní pár jednoduchých pravidiel sa prípadným nepríjemnostiam ľahko vyhnete.

1. Z Internetu sú dostupné len potrebné služby
Je potrebné si uvedomiť, ktoré služby využívame a ktoré je potrebné vystaviť do Internetu. V prípade, že služby z rôznych dôvodov nieje potrebné mať dostupné z Internetu je dobré ich dostupnosť obmedziť. Môže sa stať, že po zmenách v systéme už služby, ktoré ste doteraz využívali nepotrebujete a preto odporúčame vykonávať priebežný audit/kontrolu dostupných služieb pravidelne.

Pokiaľ si nie ste istí, ktoré služby máte otvorené, môžete si to jednoducho overiť napríklad cez sieťový skener nmap. Jeho zdrojové kódy a spustiteľné súbory pre Windows a Mac OS X nájdete tu - http://nmap.org/download.html. Skenovať treba z inej adresy na Internete, ako je tá vaša.

nmap -F (IP adresy)
alebo
nmap -A -PN -p- (IP adresy) (skúsenejší používatelia určite majú svoje obľúbene prepínače :)
Medzi najčastejšie používané prepínače patria napríklad:
-A (detekcia operačného systému, verzie služieb, použitie skriptov, a traceroute)
-F (rýchly scan s limitovaným počtom portov)
-sP (Ping Scan – zistí, ktoré hosty sú pravdepodobne online)
-PN (pracuje so všetkými hostmi ako online)
Pokiaľ nechcete skenovať z príkazového riadka a viac vám vyhovuje webové rozhranie môžete použiť online nástroj. Napriek tomu, že webové rozhranie neposkytuje toľko možností ako prepínače nmapu v príkazovom riadku, umožňuje preskenovanie zariadenia bez predošlej inštalácie samotného nástroja.

Neodporúčame však skenovať IP rozsahy, ktoré vám nepatria!!!

2. Prihlasovacie údaje
Pokiaľ ste zhodnotili, že službu necháte dostupnú z Internetu, zvoľte pre prihlasovanie dostatočne silné a hlavne nie defaultne nastavené prihlasovacie údaje. Najčastejšie prihlasovacie údaje sú väčšinou admin:admin, admin:password či napr. admin:1234. Pri slovníkových útokoch či použití brute force sú takto a obdobne zvolené prihlasovacie údaje veľmi ľahko prelomiteľné. To isté platí pokiaľ necháte defaultne nastavené prihlasovacie údaje do služby. Pokiaľ ste zistili, že služby alebo zariadenia používajú príliš jednoduché alebo defaultne nastavené prihlasovacie mená a heslá, pri ich zmene sa môžete inšpirovať na tomto názornom obrázku:

password_strength_sm.png
http://xkcd.com/936/

3. Šifrované protokoly
Ak ste zhodnotili, že službu necháte dostupnú z Internetu a zároveň používate dostatočne silné prihlasovacie údaje, odporúčame používať šifrované protokoly. Šifrované protokoly majú opodstatnenie najmä v prípade, keď sa prenášajú citlivé údaje medzi ktoré prihlasovacie meno a heslo určite patria.
Použiť môžete:
- ssh namiesto telnetu
- FTP/SSL, SFTP alebo scp namiesto ftp
- šifrované verzie poštových protokolov (pop3s, imaps, smtps)
- https namiesto http v prípade, ak sa cez protokol prenášajú údaje, ktoré by nemali byť po ceste odchytené.