Un hostname dovrebbe mai essere considerato un segreto?

20

In passato mi è stato detto che non dovresti mai fornire i nomi host dei computer sulla tua rete. Non riesco a pensare a nessuna ragione per cui questo sarebbe il caso.

Qualcuno potrebbe dirmi se dovrebbero essere considerate informazioni sensibili e, in caso affermativo, perché?

    
posta Mokilok 04.10.2013 - 01:32
fonte

3 risposte

18

Due ragioni per cui posso pensare:

  • Gli attaccanti sapranno quali server sono più preziosi da attaccare. per esempio. TEST_BOX_04 vs DB_BACKUP_02
  • Gli hacker avranno un'idea migliore della topologia della tua rete: quanti server hai; quali altri server probabilmente esistono perché implicazioni semantiche (host03 implica host01 e host02); quale tipo di stack di applicazioni hai (ad esempio web_app_server implica 3 livelli; cloud_proxy può implicare 4 livelli); e quali asset aziendali vengono allocati dinamici rispetto agli IP statici (gli asset di valore tendono ad avere IP statici)
risposta data 04.10.2013 - 02:21
fonte
9

In primo luogo, sarebbe bello definire "dare". Non pubblicare su siti Web esterni? Siti web interni? Non inserire host interni in DNS esterni? Non creare record PTR per? Non creare un record per? Stai facendo una domanda sui costi-benefici, ed è importante conoscere il costo e il vantaggio.

La risposta breve alla tua domanda è, il problema di cui le persone si preoccupano è quando:

  1. Il nome host fornisce informazioni che potrebbero beneficiare di un utente malintenzionato
  2. Le informazioni sono disponibili per potenziali aggressori

Quando le informazioni potrebbero essere utili a un utente malintenzionato? Quando dice loro cosa è attaccabile su una scatola. Come sottolinea @LateralFractal, "DB" in un nome host lo rende più interessante di "DEV" o "TEST". Se l'autore dell'attacco ha accesso alla porta 3306 (ad esempio) sulla rete, probabilmente avrà capito che si tratta comunque di un DB. D'altra parte, se tutto ciò che possono accedere è la porta 80/443, e il nome della casella è "MYSQLDB01", quindi questo potrebbe guidarli al tipo di attacchi SQL basati sul web che funzioneranno con MySQL in preferenza ad altri server di database.

Quello che sto cercando di dire è che è un giudizio molto sfumato. E a mio parere, il valore pratico dei nomi di host è di solito sufficiente a superare la maggior parte dell'offuscamento o della limitazione sui dati DNS funzionali. È più importante aiutare le persone a fare un lavoro valido piuttosto che cercare di scoraggiare gli attaccanti che molto probabilmente hanno altri metodi per eseguire la stessa ricognizione.

Outlook Web Access è un ottimo esempio. Per definizione è comunemente esposto a Internet senza restrizioni IP, permettendo a chiunque di attingerlo. È stata aggiunta alcuna sicurezza non impostando record DNS di inoltro e storno validi per "owa.example.com" o "webmail.example.com"? No, perché chiunque può accedere alla porta 443, ovvero a tutti, verrà accolto da una pagina di benvenuto che urla (visivamente o con intestazioni HTTP) che si tratta di Outlook Web Access. Non ottieni nulla offuscando o limitando l'accesso al nome lì.

D'altra parte, se ho un server che deve essere su Internet ma preferirei non pubblicizzarlo ("backend-auth-proxy.example.com"), lo chiamerò Enterprise. Tardis. Klaatu. Il tipo di nome generico scelto dall'amministratore del sistema geeky che non si distingue dal milione di altre caselle simili :) Nascondi le cose in bella vista anziché cercare di limitare l'accesso ai nomi.

    
risposta data 04.10.2013 - 06:03
fonte
5

Oltre alla risposta di Lateral, non puoi garantire che i tuoi nomi host non vengano utilizzati in un altro modo imprevisto. Alcuni protocolli richiedono il corretto funzionamento del nome host (NTLM e possibilmente kerberos). Se un utente malintenzionato non ha gli indirizzi IP, un utente malintenzionato esterno può utilizzare gli hostname per eseguire attacchi. Un sacco di volte gli attacchi delle applicazioni web ti portano dentro il firewall, ma può essere difficile trovare un host in ascolto, specialmente se non conosci il loro schema di indirizzamento.

    
risposta data 04.10.2013 - 03:52
fonte

Leggi altre domande sui tag