Proteger uma rede corporativa não é tarefa simples,
principalmente se a estrutura é antiga. Existem inúmeros protocolos e
configurações que precisam ser aplicadas para fazer do ambiente um local seguro
para se trabalhar.
Quando falamos de Windows (Microsoft), estamos falando em
conectividade simplificada, ou seja, tudo é muito fácil e extremamente
funcional. Essa facilidade de instalação e manuseio tem um alto preço, quando
falamos de segurança ou segurança cibernética.
O papel do arquiteto de soluções envolve, não só a
configuração de um ambiente visando sua conectividade e funcionalidade, mas sua
segurança e disponibilidade. Uma das falhas mais fáceis de se explorar pode ser explorada em
quase que 98% de todas as redes hoje no Brasil (poucas empresas se preocupam
com isso). Pequenos detalhes fazem toda a diferença quando falamos
sobre segurança em ambientes corporativos. Separei cinco itens que precisam ganhar importância durante a elaboração da arquitetura de um ambiente.
O que tomei mais cuidado neste post, foi exatamente a explicação em cima da resolução de nomes. É algo relativamente simples de se estudar e de corrigir em inúmeras redes e ambientes diferentes, mas os cinco pontos abordados aqui podem ganhar espaço.
A prova 70-744 pode ajudar a ganhar muito conhecimento relacionado a segurança em ambientes Microsoft, mas uma boa quantidade de leitura e entendimento sobre os protocolos mais comuns de resolução de nomes, ajuda vislumbrar os ataques e como evita-los.
1. Proteção da camada de protocolos (arquitetura de ambiente
Microsoft);
Comece pelo básico. Proteja a forma com que a resolução de nomes acontece dentro de sua rede e elimine protocolos desnecessários e/ou obsoletos que não possuem segurança. Isso não vai sacrificar a performance (como alguns gostam de frisar), se a arquitetura for bem desenhada.
A estratégia para resolução de nomes de uma estrutura de
redes é extremamente importante para evitar ataques. O que acontece é que as
empresas, muitas vezes, possuem aplicações legado que dependem dessa
arquitetura mais antiga (e sensível a ataques). De forma resumida, como
funciona a resolução de nomes dentro de uma rede:
1° DNS
- cache, arquivo host e servidor
2°
LLMNR (ativado por padrão em todas as interfaces) - cache, multicast
3°
NETBIOS (ativado por padrão em todas as interfaces) - LMHost, Wins e Broadcast
Existem inúmeros protocolos mais antigos ainda em uso que
podem causar riscos estruturais (riscos arquitetônicos) em estruturas de rede,
tal como o NETBIOS e WINS. O LLMNR é o sucessor do NETBIOS (mas suporta IPv6),
e também pode ser explorado para invasão com facilidade.
A grande e massiva gama de profissionais que atuam com o
Microsoft Windows, faz a instalação de servidores e estações de trabalho no
modo Next, Next, Finish. Isso significa que muitos itens desnecessários estão
ativos por padrão sem a necessidade real de existir, como por exemplo o NETBios
(que funciona por broadcast).
Imagine que você está tentando acessar um web site qualquer, e não
consegue resolver o nome digitado no navegador. Existe uma sequência de
consultas que utilizam o DNS, depois o LLMNR e depois o NETBIOS. Isso significa
que dependendo do site e da codificação das aplicações, todos os dados da
credencial de um determinado usuário viajam pela rede por broadcast ou
multicast, se tornando alvos fáceis.
Não se atentar na forma com que a rede resolve os nomes, é
realmente perigoso, permitindo facilmente que um invasor efetue um
envenenamento de DNS dentro da rede.
A ferramenta Responder presente no Kali Linux, por exemplo,
é excelente para ataques que envolvem envenenamento de DNS em cima dos
protocolos LLMNR, NETBios e DNS. Ele identifica se algum tipo de aplicação esta
encaminhando credenciais em Broadcast ou Multicast e então captura essa
credencial de acesso.
2. Evitar coleta de credenciais na memória (domínio) -
Mimikats;
3. Evitar coleta de credenciais de disco (SAM);
4. Políticas de lista branca APPLocker - Evita execução de aplicativos
que não estejam listados e aprovados;
5. Mitigar exploits