Vizsgáljunk meg példaként két gyakori konfigurációs hibát:
A zárt portok problémája
Gyakori megoldás a szervezeteknél, hogy kizárólag a hálózati tűzfalukra támaszkodnak, és hajlamosak kikapcsolni a helyi/végponti tűzfalukat, megspórolva ezzel annak rendszeres karbantartását. Ez a gondatlanság a portokon keresztül üthet vissza a hálózatra.
A különböző szolgáltatások és alkalmazások futtatásához szükséges portokat a szervezeti tűzfalon keresztül tudjuk megnyitni. Időről időre ezek az alkalmazások törlésre kerülhetnek a végpontokról. Ilyen esetekben a törölt alkalmazáshoz tartozó port zárt státuszba kerül, azonban a helyi tűzfalszabály továbbra is engedélyezi kapcsolat létrehozását a zárt porton. Ezt pedig hajlamosak vagyunk figyelmen kívül hagyni.
De miért számít konfigurációs hibának, ha egy portot zárt státuszban hagyunk? Tekintsük át a három leggyakoribb port státuszt:
•
Nyitott port – Az alkalmazás vagy szolgáltatás fut, és kapcsolatot fogad a porton keresztül
•
Szűrt („filtered”) port – Valamilyen biztonsági eszköz, például egy tűzfal vagy router, blokkolja és szűri a porton keresztüli kapcsolatot, azaz elnyeli (eldobja) a kapcsolódási kérést és semmilyen választ nem engedélyez vissza
•
Zárt port – Nincs alkalmazás vagy szolgáltatás, amely aktívan kapcsolatot vár a porton; egy esetleges kapcsolódási kérésre a zárt állapotról válaszcsomagot küld vissza az operációs rendszer. Egy zárt port azonban bármikor újranyitható egy alkalmazás elindításával
A zárt port státusz az üzemeltetőben azt a hamis képet keltheti, hogy onnan nem érheti támadás, mivel ott nem feltételez adatforgalmat. Ez a feltételezés okozza azt is, hogy a zárt port folyamatos ellenőrzését, monitorozását is hanyagolják, ezzel teremtve veszélyforrást, hiszen a port zárt állapota gyakorlatilag bármikor változhat, egy megfelelő jogosultságokkal futtatott program újranyithatja azt, rajta újból adatforgalom mehet keresztül.
Más szóval, a támadók a hálózati végpontok aktuálisan zárt portjait - azok újranyitásával - képesek arra használni, hogy kapcsolatot hozzanak létre a saját és a hálózat belső eszközei között és rosszindulatú parancsok végrehajtására használják ezen csatornát. Ezt az eljárást angol szakszóval „bind shell”-nek nevezzük.
A kiberbűnözők tehát meg tudják támadni a szervezeti tűzfal által védett eszközeinket a korábbi zárt portokon keresztül.
A hackerek egy ’payload’-ot, azaz hasznos adatot, küldenek az eszköznek a 445-ös (SMB) porton, melyet a szervezeti tűzfal átenged. A payload ezután megpróbál kommunikációt létesíteni egy „reverse shell”-t alkalmazva vissza a támadóhoz a 4444-es porton keresztül, azonban ezt már blokkolja a szervezeti tűzfal (lásd az 1. ábrát).