Этап 1. Определение области действий
Первый этап состоит в определении области рекогносцировочной деятельности. Нужно произвести рекогносцировку всей организации или только отдельных зон (например, корпорации или дочерних фирм). В некоторых случаях непросто определить все объекты, связанные с выбранной в качестве мишени организацией. К счастью, Интернет предоставляет широкий набор ресурсов, позволяющих ограничить область действий и выяснить типы и объемы общедоступной информации об организации и ее сотрудниках.
В качестве стартовой точки злоумышленник внимательно изучает web-страницу организации, если таковая имеется. Многие web-страницы предоставляют достаточно информации атакующим. К другим интересным сведениям относятся:
1. Местонахождение
· Связанные организации или объекты
· Новости о слиянии или приобретении
· Телефонные номера
· Контактные имена и адреса электронной почты
· Политики разграничения доступа и защиты, указывающие на типы механизмов зашиты
2. Ссылки на другие web-серверы, связанные с данной организацией.
Также используется просмотр комментарии в HTML-коде. Многие вопросы, не предназначенные для общего доступа, спрятаны в тегах комментариев НТМL.
После изучения web-страниц проводится поиск по открытым источникам информации, связанной с данной организацией. Новости, заявления для прессы и т.п. могут содержать дополнительные сведения о состоянии организации и ее компьютерной защиты. Если исследуется профиль компании, которая в основном действует в Интернете, то в соответствующих публикациях можно обнаружить сведения о многочисленных инцидентах с нарушением компьютерной зашиты. Для выполнения этой работы достаточно привычной системы поиска в Web. Однако существуют и более совершенные средства поиска и методы ввода критериев отбора, которые можно использовать для получения дополнительной информации (комплект утилит FerretPRO).
Этап 2. Перечень сети
Первый шаг в процессе создания перечня (инвентаризации) сети состоит в идентификации доменных имен и связанных с ними сетей, относящихся к данной организации. Доменные имена характеризуют присутствие в Интернете и являются сетевыми эквивалентами названия компании. Существует множество баз данных, которые можно опросить для получения необходимой информации.
Разные запросы предоставляют различную информацию. Основная часть сведений, используемых злоумышленниками в начале атаки, изменяется запросами следующих типов:
- Организационным. Выводит всю информацию, относящуюся к конкретной организации;
- Доменный. Выводит всю информацию, относящуюся к конкретному домену;
- Сетевой. Выводит всю информацию, относящуюся к конкретной сети или к одному IP-адресу;
- Контактный. Выводит всю информацию, относящуюся к конкретному лицу, обычно— к ответственному сотруднику организации.
Этап 3. Опрос DNS
После определения всех связанных доменов можно начать опрос DNS (Domain Name Service — служба доменных имен). DNS представляет собой распределенную базу данных, используемую для отображения IP-адресов на имена сетевых компьютеров и наоборот. Если DNS сконфигурирована без учета требований зашиты, важная информация об организации становится доступной.
Пересылка файла зоны
Одной из наиболее серьезных ошибок конфигурации, которую может сделать системный администратор, является разрешение ненадежным пользователям Интернета выполнять пересылку зон DNS.
Пересылка файла зоны (zone transfer) позволяет вторичному управляющему серверу обновлять свою базу данных о зонах, но запросам к первичному управляющему серверу. Это делается для повышения надежности (резервирования) DNS на случай отказа первичного сервера имен. Обычно пересылку зоны DNS достаточно выполнять только на вторичных управляющих серверах DNS. Однако многие серверы DNS сконфигурированы неверно, поэтому выдают копию зоны любому, кто ее запросит. Это не так плохо, если выводятся только информация о подключенных к Интернету системах и реальные имена сетевых компьютеров, хотя поиск потенциальных целей для атаки упрощается. Настоящая проблема возникает тогда, когда организация не пользуется механизмом общих, личных DNS для отделения внешней информации DNS (которая является общедоступной) от своей внутренней (личной, частной) информации. В этом случае атакующим раскрываются имена и IP-адреса внутренних сетевых компьютеров. Предоставление в Интернете информации о внутренних IP-адресах ненадежному пользователю аналогично предоставлению полной схемы или дорожной карты внутренней сети организации.