ch7
Physical Security
在本章
了解實體安全
尋找實體的弱點
對實體安全攻擊的實施對策。
--------------------------------------------------------------------
資訊安全多依賴非技術的it與安全性勝於供應商或人們的發誓。
實體安全範圍包括技術與非技術,兩者必須兼具。
實體安全容易被忽視,但卻又很重要。
-----------------------------
辯識基礎實體安全漏洞
-----------------------------
許多實體漏洞與以下有關:
建築大小
建築數量或辦公室地點
員工數量
接待人員或是保全
建築進出口數量與地點
機房、管道間、資料中心的設置地點
作者做工作時常看到的弱點:
1。沒有接待人員或保全,可以自由進出。
2。進出公司沒有登記或是陪同。
3。員工過度相信訪客因為可能穿著供應商的制服或是說著他們要來處理影印機或是電腦。
4。門上沒有進出控制或是使用傳統可自由複製的key。
5。門一直都是開的。
6。ipbase的video、進出控制或資料中心管理系統用預設的帳密。
7。公開可使用的電腦房。
8。不安全的備份媒體,磁帶、硬碟、cd/dvd
9。機敏資料放在隔間裡,而不是鎖上。
10。不安全的電腦硬體:routers、交換器、未加密的筆電。
11。機敏資料亂丟,沒有碎掉直接丟垃圾筒。
-----------------------------------
在辦公室標出實體弱點
-----------------------------------
對自己辦公室的佈置、格局、周邊的警察局、消防局等都要有基礎的認識,
甚至周邊的犯罪率、搶劫等統計數據也要有了解。以便你可以好好了解自己在對抗什麼。
__________________________
Building infrastructure
__________________________
自問是否有以下這些問題:
1。門是否一直是開著的?為什麼?
2。門的按鈕是否有縫(間隙可能使某人能用氣球或是其它裝置將安全傳感器給關了)
3。門很好被弄開嗎?
4。建築或資料中心是什麼做的?牆和通道是否結實,
確保材料的彈性是否能對抗地震、颱風、大雨、還有駛入的車子
並確保經過這些災難,是否會使這個地方曝光以便惡意的人可以訪問這些關鍵的區域。
5。有任何門窗是用玻璃的嗎?如果有,玻璃是透明的還是防碎還是防彈的?
6。門的鉸鏈在內還是外?能輕鬆打開嗎?
7。門、窗、或其它入口是否有警告系統
8。建築是否有可上推的吊頂的瓷磚
9。建築之間是否有板到板的牆,連鎖牆之類的?
10。是否建築裡有板胚的牆,可能會被翻牆
對策
一些解決方案:
1。強壯的門和鎖
2。動作偵測器
3。監視器去不鼓勵犯罪行動並補捉即時的破壞者行為或證據在被破壞之後。
4。資料中心不需要窗。
5。清楚標示「什麼東西」「哪裡」「誰」允許。
6。持續監視警示系統在所有進出空間。
7。光!特別是進出口。
8。入口一次只允許一個人通過。
9。柵欄(必要時加上帶速或是帶刀的)
__________________________
Utilities
公共的一些東西。水、電、發電機、滅火設備
__________________________
攻擊點:
1。有保護電源的東西嗎?防突波器、ups、或發電機?容易被切電嗎?
外面的人容易進來隨便把你的線踢掉之類的?入口的鎖容易被破壞?
2。沒電時,機房的門開的了嗎?
3。防火、滅火設備在哪?偵測設備在哪?灑水設備在哪?入侵者容易破壞它們嗎?
可以用網路關掉它們嗎?有改帳密嗎?誤報的時候,它們會破壞設備嗎?
4。水、瓦斯的閥門在哪,是否能關閉?出事的時候,你關得了嗎?還是要找人來處理?
5。電信間在哪?外部進線點在哪?
如果它們都在地上,人們是否容易破壞?是否容易因為自然災害而破壞?
對策
1。主要的那些水電瓦斯、發電機等,要在有鎖的地方裡。不要讓路人容易碰到。
2。確保你有足夠多的監視器
3。確保任何有網路的設備都能通過弱點測試工具,如果沒有網路,或沒有需要網路,
就把那個功能關閉,或用fw限制能使用它的人。
4。確保有人經過時,也不能開或關那些重要的開關。
5。安全蓋(電源開關、usbport、擴充槽的蓋子)是有效的措施,但不要依賴。它們很容易被破壞。
6。作者有去過一個機房,人們可以很容易經過重要設施的旁邊。不要把主機放在這種公司裡面。
__________________________
Office layout and use
辦公室的設計與佈局也能幫助或阻礙實體安全。
__________________________
是否有以下問題:
1。門口有接待人員或是守衛在看進出狀況嗎?
2。同仁桌上有機敏的東西嗎?信件或是包裹有亂丟嗎?
3。垃圾筒或是回收筒還有碎紙機,是否能被輕易存取?垃圾筒潛水員。常會在垃圾筒裡找公司的機密或是客戶資料,而且常能找到。
4。收信室與列印室有多安全?如果入侵者能輕易進到這些房間,就能偷走你的重要的信來對付你,他們也可能對付你的傳真機。
5。監視器或網路監視器是即時的嗎?如果你不是很需要,至少也要在需要的時候隨時讀出內容。
6。你的網路監視器或影像的存檔是否有加強保護,不管是外觀的保護還是帳密的保護,大家幾乎都不改的。
7。門禁是怎麼做的?一般key還是門卡還是一起,還是生物辯識?確認誰能拿到這些key,還有放在哪?key和可程式化的keypad經常是分享的,造成無責任制,找出來。
作者有個客戶在大廳放了一台voip的電話,並且可以給任何人使用,
客戶沒有考慮到任何人都能來此大廳,可能拔掉電話接上筆電就進入了網路,並且很不容易被發覺。
此種狀況其實很好預防:如果能分開資料和聲音的port或是如果能把聲音和網路的流量在流量中分離,都不行的話就關掉無監控區域的網路,
對策:實體安全是種挑戰,因為安全控制經常反應,某些控制是預防性的,但它們不是萬無一失,下列是一些對策:
1。接待員或保全,有在看人來人往是最容易做的事。這個人能確保訪客簽到和全新或不任何的訪客能有人護送,請同仁向陌生人提問並回報,把這個設為規章
限同仁或安全人員進出的標示通常告訴壞人該去哪裡,這並不會阻止他們。不引起注意也許是更好的方法。
2。機房的進出口應單一。
3。垃圾筒應設置在安全的地方。
4。使用監視器在緊要的地方,包括垃圾筒。(這是個很神奇的事,它能讓你看到犯罪的形狀)
5。要丟備份的文件時,要用橫切碎紙機(重要備份都要用破壞性處理)。
6。限制key的數量與密碼組合的分享還有確保在進出的地方要有監視,不管是記錄還是監視器。
7。儘可能每個人應該都要有自己的key或是不使用它們,使用電子徽章,能更容易控制與監視。
8。使用生物辯視系統,它們有效,但它們也很貴和難以管理。
__________________________
Network components and computers
入侵者進入建築後,他們也許會尋找機房和存取網路或電腦。
__________________________
離城堡最近的經常是某人的筆電或桌機,且不遠處就有沒鎖的機房或管道間。
入侵者可以 :
1。獲得網路並用某人的帳號寄出惡意信件
2。利用工具取得密碼,比如說ophcrack LiveCD
3。放一個測試盒比如說Pwnie Express在電力房此設備能允許惡意的入侵者連到系統,透過手機連線,並幹點壞事,此法很偷偷摸摸,你可以將其用作自己的安全測試的一部份。
4。偷取檔案藉由電腦的usb或是電話,用寄的或是傳複製的。
5。進入沒鎖的機房,和到處對server、fw、路由器弄壞。
6。帶著網路圖、聯繫人列表、災難恢復計劃離開。
7。取得電話號碼或是線路ID,或是其它網路、電話設備的資訊,用於後續攻擊。
幾乎每個沒加密的封包,都能在網路上被記錄下來。
某人存取這些或使用這些資訊要做什麼呢?
可能是遠端連線到電腦上,可能是設定一些fw rule,某些人都不改密碼的。
問問你自己:
1。電腦多容易被摸到,上班時間?午餐時間?下班時間?
2。電腦或筆電有被鎖著嗎?有加密硬碟嗎?還有螢幕保護之後有密碼?
3。員工們通常會放著他們的電話在桌上,沒有保護比如當他們去行行或是在家工作,當地咖啡店等。
4。密碼寫在便條紙上貼在螢幕上、鍵盤上、或桌上嗎?這是個老笑話了,但還是會發生。
5。備份媒體是否容易被盜?
6。保險箱是用來保護備份媒體?誰可以存取它們?
7。保險箱是個蠻大的風險,因為它們的體積和價值,通常也不在安控的保護之下,考慮建立規則來保護它們。
8。保險箱應該要特別的保存,讓它避免因為火災而熔掉。
9。筆電包是否有鎖,開機密碼有設嗎?
10。加密可以解掉許多物理安全的弱點。
11。多容易能連到你的無線網路,能輕易連上你的網路嗎?惡意的連接也要考慮
12。實體網路容易接上後進入網路嗎?
13。所有電纜是否都接在配置盤上,以便所有分接器都處於活動狀態(是否接了就能用?)這樣的做法很正常,但不安全,它允許了任何人接上線就能用。
對策
1。網路和電腦的對策
2。跟人的行動有關,以下是流程對策
3。讓你的使用者知道要注意一些什麼並且會回報你,這樣你就有許多額外的眼和耳。
4。請使用者要設定鎖定螢幕,只要一些簡單的步驟,當他們離開電腦時,更好的話,用ad或是本機規則強制關閉。
5。確保強密碼使用。
6。讓筆電的使用者鎖他們的系統用鎖定電纜。特別重要的是遠端工作者或旅行者,以及大公司的員工或人流量較大的地方。
7。要求所有的筆電要做加密,windows有bitlocker,mac有filevault,不只c,d也要,外接式的也要。
8。確保機房和機櫃管道間要鎖上,並且設定監視器,以避免錯誤的行為。
9。保留軟硬體清單,以確保出現遺失的狀況時,能知道什麼丟了。
10。換掉舊門鎖,加入現代的門禁系統。
11。在存儲和運動過程中妥善保護媒體
12。掃描惡意的無線連接,並且將它們關閉。
13。使用電纜鎖來防止亂接線。
14。要報廢硬碟時,要磁力破壞。
留言列表
