双homed主机
双源主机推出一些重大的安全漏洞成网络结构,因为它们可以让使用者获得的权利和特权,对一个网络或域名的权利和特权,他们或许并不打算对一个单独的域名。 这个弱点,通常看来,作为一个整体的桌面机连接到组织的内部局域网,并同时连接通过调制解调器线,以当地的互联网服务供应商。 在这样的一个配置,任何人在互联网上可以访问企业网络,通过拨号连接。 但是,也有其他的配置在这个弱点可能出现。 举例来说,一接触,尤其是,客户端是互联网服务供应商也提供网页寄存服务,为成千上万的公司。 接待设施构成了一大批(在数以百计)的一个基于unix主机,具有相同的配置,运行网景的网络服务器。 互联网服务供应商的模式,在地方提供全面管理,就是要维护机器,但让客户来管理网络服务器本身。 包括在网上申办方案东涌脚本语言,它允许远程管理的网络服务器。 是什么,也许是未知之数,向互联网服务供应商是通过东涌的脚本语言,熟悉的客户,甚至旅客代管的网站将能够做更多的基本管理。 有人可能利用网络服务器,这是跑步根特权,以获取root权限对机器通过各种特制的url字符串。 这是一个输入验证攻击网络服务器。 这导致折衷的主机,在许多同样的方式错误,微软iis服务器,可导致折衷的主机。 然而,这并不成为被最坏暴露于网络。 一旦一台机器上使用网上驳网络是毫不妥协的(例如,根准入是实现) ,黑客工具包,可以装上机器,包括各种工具去破解密码。 一旦获得root权限在一台机床上,我们能够断定该网络连接到第二个网络,用于支持各业务单位的互联网服务供应商。 此外,我们发现,有一些用户对网站主办的网络帐户上的第二个网络,以及和使用相同的密码。 在这一点上,获得这第二个网络是实现了由单纯的存在账户与同一用户名称和密码,这两个网络,黑客工具箱,可以再次被复制和安装。 我们能够断定一台机器上,这第二个网络也homed就第三网络。 这第三个网络公司,内部网络用来支持发薪和会计功能,并保持客户数据库等宝贵资产。 这个网络的目的是要成为一项独立的地位,内部网络。 一台机器被误左双源。 这种机器被发现,确定它有两个网卡卡和ip地址是属于两个不同的地址范围。 因此,用户帐号(和根帐户) ,对这个票房有权利对两个网络。 可以预料,扎根帐户有相同的密码对所有主机在第二个网络,因此,我们又取得了根进入该组织的核心,内部网络。 概括来说,它有可能获得root权限,以一台机器上使用网上申办网络,利用现有的软件对网络服务器本身,以跳转到第二个网络,通过用户帐号相同的用户名/密码对的,最后,在经过他们发现了一种双源箱,擅自进入到企业内部网。 事实上,由于有效的访问权已经达到了,这是获得授权在一定意义上的访问控制机制并没有阻止它,或找出它视为不必要的。 此前,该公司经理人意识到他们已在无意中留下了机器内部,专用网双源对网络已连接到外面的世界,从而破坏了完整性及保密性,该公司的关键数据资产和客户信息,他们可以理解的震惊和屈辱。 吸取的教训我们已经看到若干的情况下,组织不知道双源机器存在或该组织曾使用双源主机作为一个不易解决,以解决问题,某些应用沟通的通过防火墙。 这个故事的寓意是,需要密切注意将支付给一个组织的网络结构。 经过设计和实施一个安全的体系结构,既包括主机配置和整体网络的拓扑结构,任何改变都要经过一个变化控制机制,以帮助防止安全风险的,如双源的情况偷渡到环境中。 这是一篇文章说,由亚伯拉罕汉弗莱
|
|||
|