it-swarm-korea.com

시스템 관리자가 떠날 때 어떤 추가 예방 조치를 취해야합니까?

사용자가 최상위 자격 증명을 대부분 알고있는 조직을 떠난 경우 해당 자격 증명을 변경하는 것 외에 다른 예방 조치를 취해야합니까?

분명히 표준 사용자가 전자 메일/VPN 액세스를 철회하거나 장치의 mac 주소를 네트워크에서 제거하는 등의 물건을 남기는 경우가 있지만 전력 또는 수퍼 유저에 대해 더 걱정하고 있습니다.

이 질문은 금주의 IT 보안 질문입니다.
자세한 내용은 2011 년 8 월 19 일 블로그 항목 또는 자신의 제출 금주의 질문.

33
Toby

관리자는 단순히 자신의 사용자 계정을 제거하거나 권한이없는 그룹으로 사용자 계정을 이동하여 제거 할 수없는 "슈퍼 사용자 자격 증명"이 없어야합니다.

예 : 관리자는 자신의 계정으로 Linux 시스템에 로그인하고 Sudo somecommand 루트 권한이 필요한 작업을 수행합니다. 이 관리자는 실제로 루트로 로그인 할 수 없으며 따라서 변경해야 할 단일 루트 비밀번호를 알고 있어야합니다. 로그인 할 IS 루트 계정 없음).

이 원칙은 다른 액세스 자격 증명에도 적용될 수 있다고 생각합니다.

물론 이것은 모두가 직장을 그만두거나 해고 당하기 전에 (또는 회사의 다른 부분으로 이동하기 전에) 실제로 정책을 따르는 경우에만 작동합니다. 자발적으로 정책을 위반하는 관리자로부터 보호하지 않음 자신을위한 백도어를 만듭니다.

15
Per Wiklander

관리자가 좋은 용어를 사용하고 네트워크가 얼마나 복잡한 지에 따라 결정하는 것은 상당히 중요하지만 수행해야 할 몇 가지 좋은 단계가 있습니다. 이러한 단계 중 일부를 수행하는 여러 조직과 협력했지만 그 중 어느 것도 모두 수행하지는 않습니다. 많은 사람들이 사용자 자격 증명을 철회하고 관리자가 나쁜 용어를 남겼거나 경쟁 업체에 갈 경우에만 추가 단계를 수행합니다.

  • 네트워크 전체의 모든 서버에서 사용자 자격 증명을 해지합니다. 여기에는 암호와 함께 키가 포함되어야합니다.
  • 다른 사용자로 먼저 로그인 할 필요가없는 루트 세부 정보를 알고있는 경우 이러한 세부 정보도 변경해야합니다.
  • 서버 호스팅과 관련된 다른 계정 정보도 변경해야합니다. 항상 사본이 있거나 기억할 수 있기 때문입니다.
  • 네트워크가 닫혀 있지만 관리자 집 주소와 같은 특정 IP 주소의 트래픽을 허용하는 경우 액세스에서 제거해야합니다.
  • 가능하면 leavers 사용자 이름으로 로그인 시도를 모니터링하면 시스템에 액세스하려고한다는 경고 메시지가 표시됩니다.
10
Mark Davidson

좋은 결과 내길 바랄 게. 일반적으로 누군가를 해고하기 전에이 모든 것들이 완료되었는지 확인하십시오. 약간 숙련 된 사람이라면 시스템을 손상시키지 않았는지 확인하기 위해 거의 거의 불가능하지는 않지만 얻을 수 있습니다.

그가 유일한 직원이라면 백도어가 있는지에 대한 언급은 없습니다. 그래서 지금이 순간 그는 여전히 접근 할 수 있습니다. 시스템 관리자에게 액세스 권한을 부여하면 시스템 관리자의 신뢰를 얻게되며 시스템 관리자도 신뢰할 수 있는지 확인해야합니다.

따라서 확인할 사항 :

  • 들어오고 나가는 모든 트래픽을 모니터링
  • 그의 모든 접근을 철회하십시오 (누군가를 해고하기 전에해야합니다)

  • 문서화

내 개인적인 관점에서 :

당신은 이것에 대한 경험이없는 것 같아서 매우 위험 할 수 있습니다. 전문 컨설턴트를 얻어야합니다. 나는 적어도 그 남자와 이야기하고 그가 한 짓을 물었을 것입니다. 그는 모든 것에 접근했다는 것을 기억하십시오. 그는 자신의 인프라를 알고 있습니다. 그가 악의적 인 일을하는 경우 현재 시스템을 신뢰할 수 없으므로 처음부터 시작할 수 있습니다.

나를 믿지 않으면 다음 사례를 살펴보십시오.

  • DHL Disgrunteled 직원이 48 시간의 모든 주문을 삭제함
  • Chevron — 22 개 이상의 주에서 불만을 품은 직원이 비상 시스템을 파괴했습니다 (USA 1992).
  • FiberWAN을 종료 한 Terry Childs

@Joel이 언급했듯이 Jurasic Park는 공룡이 사람을 먹는 것과 똥에 관한 것이라고 생각하지만 실제로는 sysadmin을 적절하게 보상하지 않으면 어떤 일이 발생하는지에 대해 생각합니다

업데이트

회사는 고정 된 위치에있는 사람을 조금 더 선임 할 것이라고 말했습니다. 그런 다음 무언가 잘못되었을 경우에도 여전히 도움이 될 수 있다고 설명하십시오. 또한 전환 기간이 더 길어야합니다. 그가 협력하지 않으면 기본적으로 Terry Childs 시나리오가 있습니다. 따라서 그를 기소하는 것 외에는 할 수있는 일이 거의 없습니다.

8
Lucas Kauffman

이것을 읽을 모든 사람들 else 의 이익을 위해, 이것에 대해 생각하는 것은 분명히 잘못된 시간입니다.

자, 당신은 말 그대로 불가능한 입장에 처했습니다. 시스템이 손상되지 않았다는 것을 확실하게 말할 수는 없습니다. 또한 sysadmin이 더 어려워 지거나 시간이 얼마나 어려울수록 더 많은 될 것입니다. 뒷문. 생계를 위해 이런 종류의 엉망을 청소하는 사람으로서, 나는 이것을하는 시스템 관리자의 비율이 엄청나게 높으며 위험이 매우 크다고 말할 수 있습니다.

지금해야 할 일에 대한 주제, 주요 결정 요인은 허용 할 수있는 가동 중지 시간의 양과 IT 시스템이 비즈니스에 얼마나 중요한지입니다. 이상적으로는 모든 항목 을 종료하고 처음부터 다시 작성하는 것이 이상적입니다. 네 진짜로 요. 이것은 극단적 인 것처럼 들리지만 이제는이 혼란에 빠졌으므로 확실하게 확인할 수있는 유일한 방법입니다. 다른 솔루션은 작동하지 않습니다.

그것을 감당할 수 없다면 또는 심각한 타협을 용인 할 수 있다고 생각되는 경우, 시스템을 하나씩 차례로 살펴보면 장기 실행 프로세스, 예약 된 작업, 하드를 찾을 수 있습니다. 암호화 된 인증 토큰, 인증 백도어 코드, 원격 관리 프로세스, VPN, 키 스트로크 로거 또는 기타 모니터링 도구, 보안 정책과 일치하지 않는 기타 구성 요소.

마지막으로, 그것을 감당할 수 없다면, 그러면 항상 눈을 감고 머리를 가리고 최선을 다할 수 있습니다.

앞으로 이것을 방지하는 방법

더 중요한 것은 다음과 같은 일이 다시 발생하지 않도록하는 몇 가지 팁입니다.

  • 여러 개의 최상위 시스템 관리자가 있음. 계층은 관리하기 쉽지만 보안에는 좋지 않습니다. "감시자를 볼"수있는 사람이 필요합니다. 시스템 관리자가 수행하는 작업을 확인하는 기술과 권한을 가진 사람과 이러한 백도어를 찾을 수있는 사람. sysadmin은 누군가가 그것을 찾을 것을 두려워한다면 백도어에 넣을 가능성이 훨씬 적습니다.

  • 시스템 정직을 선호하십시오 시스템 관리자를 고용 할 때. 암시 적으로 신뢰할 수있는 사람이 필요합니다. 아는 사람이 당신을 말리려고하지 않습니다. 가장 숙련 된 관리자가 아니더라도 주된 역할은 방어에 대한 책임입니다. 정직은 다른 모든 자격보다 더 중요합니다.

  • 결단 우월을 용납하지 마십시오. 이것은 위의 요점과 함께 진행되지만 약간의 명확성을 추가합니다. 다른 사람을 존중하지 않는 사람은 다른 사람의 이익을 위해 최선을 다할 수는 없습니다. 그러한 사람은 회사의 IT 부서에서 일하지 않아야합니다.

  • sysadmins를 기쁘게 유지하십시오 그들이 행복하지 않다면 문제를 해결하거나 다른 사람을 찾아서 빨리 찾으십시오.

7
tylerl

최고의 자격 증명을 대부분 알고있는 사람

나는 정확히 당신의 의미를 확신하지 못하지만 이것은 나를 두려워합니다. 개인이 많은 중요한 시스템을 광범위하게 액세스하고 제어하는 ​​것처럼 들립니다. sysadmin은 독점 제어권을 가지고 있었을 수도 있습니다. 몇 년 전 샌프란시스코는 네트워크 제어권을 잃어 버렸습니다 한 명의 sysadmin이 자신의 상사에게 암호를 제공하기를 거부했기 때문에. 따라서 시스템 관리자가 떠나기 전에 중요한 시스템에 액세스하고 제어 할 수있는 사람이 최소한 두 명 있는지 확인해야합니다.

자격 증명 변경 이외의 다른주의 사항이 있습니까?

물리적 액세스를 취소하십시오.

배지 및 사무실 키를 수집하는 것이 표준이지만 캐비닛, 제한 구역, 경보 코드, 오프 사이트 보관 장소, 주차 허가 등의 키는 잊어 버리지 않아야합니다. 그 이유와 이유를 받았습니다. 또한 24 시간 이내에 중요한 액세스 포인트를 다시 입력 할 수 있어야합니다. 경보 시스템에서 사용자가 허위 경보로 전화를 걸 수 있으면 퇴사 직원이 해당 목록에서 제거되었는지 확인하십시오.

모두에게 알려주십시오.

전직 sysadmin이 현재 직원을 사회 공학하는 것은 어렵지 않습니다. 현재 직원에게 전화를 걸지 못하게하는 것은 사실상 불가능합니다. 내부 정보에 대한 액세스 권한이 있으면 sysadmin은 누구에게 전화를 걸고 어떤 유형의 네트워크 액세스 권한을 얻는 지 알고있을 것입니다. 따라서 개인이 더 이상 직원이 아니라고 발표하십시오. 가능하면 전직원의 사진 (배지 사진이 훌륭함)을 보여주십시오. 전직 sysadmin이 의심스러운 연락을하는 경우 누구와 대화해야하는지 알고 있어야합니다. sysadmin이 공급 업체, 파트너 회사 또는 자회사와 긴밀한 관계를 유지했다면 그들에게도 알려주십시오.

전화 및 음성 메일 시스템을 잊지 마십시오.

이 취약점은 랜덤 음성 메일의 스누핑부터 회사 비용으로 장거리 전화를 거는 것에 이르기까지 다양합니다.

신용 카드, 청구 계정, 구매 주문

Sysadmin이 장비를 주문할 권한이있는 경우 모든 공급 업체, 공급 업체 등으로부터 능력을 취소해야합니다. 표준 절차에 따라 일부 Nice 장비를 주문하고 배송 주소를 변경하는 것은 사소한 일입니다.

이전 직원이 서명 한 계약 및 계약을 검토하십시오.

Sysadmin이 작업의 일부로 계약 또는 계약에 서명 한 경우 누군가가 서명 한 모든 문서를 검토하도록하십시오. 이상적으로 직원이 서명 한 문서 데이터베이스가 있어야하며 지정된 직원이 서명 한 모든 문서를 즉시 불러올 수 있어야합니다.

중요한 시스템의 패치 및 업데이트 상태를 확인하십시오.

이전 직원조차도 해당 시스템의 관리자 역할을하지 않았으며 자신의 상태를 알 수 있습니다.

6
this.josh

나는 거의 같은 문제에 대한 불행한 경험을했다. 나는 이것에 대해 몇 밤의 잠을 잃었습니다. 이것이 도움이되기를 바랍니다.

짧은 대답 : 외부에서 시작하십시오. 응용 프로그램/내부 작업에서 IP 주소 변경을 허용하면 (공격 할 경우) 공격자가 될 수 있습니다. 필자의 경우 원격 사이트에서 실행 된 응용 프로그램이 외부 IP에 직접 도달했기 때문에이 작업을 수행 할 수 없었습니다.

두 번째로 사무실의 WiFi를 비활성화했습니다 (이전 관리자). 나는 그가 접근하려고하면 재산에서 그를 볼 수 있다는 것을 알았 으므로이 두 번째를했습니다. 또한 아무도 모르게 설치된 숨겨진 액세스 포인트의 가능성을 없애기 위해 전제 주위를 걷는 무선 신호를 확인하십시오.

다음으로 방화벽에서 모든 규칙을 감사했습니다. "허용 된"고정 IP (Aircard 및 케이블 인터넷)가 몇 개 발견되어 필요한 액세스를 확인할 수없는 모든 곳에서 액세스가 거부되었습니다.

다음으로 모든 서버의 모든 로그 파일을 검토하여 로그인 시도가 실패했는지 확인했습니다. 무언가를 발견하면 문서화하십시오.

그런 다음 모든 사용자가 암호를 변경하고 사전의 단어를 암호로 허용하지 않는 정책을 시행하도록 강요합니다. 나는 이것을 관리하도록 설득해야했지만 사전 파일 VS bruteforce를 사용하여 공격을 보였을 때 그들은 그 순간 회사 변경을 승인했습니다.

다음은 (제 경우에는 이스트 라스트) 전화 시스템이었습니다. 모든 사람의 모든 액세스 코드를 변경하고 다른 사람이 사용하도록 강요하십시오 (또는 음성 메일 PIN 변경을 거부하는 경우이를 수행하십시오)

마지막으로해야 할 일은 모든 트래픽을 스니핑하는 것입니다. 저렴한 LAN Tap (나는 던지기 LAN 탭을 구입)을 약 20 달러에 사거나 구축하고 방화벽과 모든 것이 들어있는 주 스위치 사이에 넣었습니다. 업무 시간 외의 트래픽에 특히주의를 기울였습니다. 업무 시간 이외의 시간 동안 네트워크에서 진행되는 작업을 식별하는 데 도움이됩니다.

마지막으로 상황에 따라 (고용주가 돈을 저축하기 위해 해고 했습니까?) 상황의 복잡성에 따라 전화를해야 할 수도 있습니다 (이전의 advin). 이전 관리자와 친구가 된 것을 발견하고 이전 관리자에게 호의를 베풀어야 할 경우 (회사가 비영리 단체를위한 선물로 구매 한 별도 도메인의 웹 호스팅 비밀번호) 그룹) 기존 관리자가 사이트를 작성한 비영리 회사는 도메인을 갱신하기 위해 1 년 동안 그에게 비용을 지불하지 않았지만 (이전 관리자) 도메인을 다시 얻지 못했기 때문에 여전히 손실을 입었습니다.

이전의 관리자가 구두로 또는 심지어 (멍청한) 서면 위협을 만들면 모든 사본을 여러 개 보관합니다. 또한 발생할 수있는 법적 문제는 결코 노력할 가치가 없다고 말할 수 있습니다. 잘하면 이것은 당신에게 조금 도움이 될 것입니다.

4
Brad

그 + 해설을 모두 읽은 후 ...

넌 망했어. 처음부터 시작하십시오. 시스템, 새 키/암호, VLAN, VPN 강화 ...

기본적으로 전체 9 야드.

매우 불만을 품은 전직 관리자의 관점에서 @ it을 가져 오십시오. 그런 다음 생각할 수있는 벡터를 방어하십시오. 그는 원격으로 일했고 VPN을 제외한 다른 모든 원격 액세스를 제한했습니다 (새로 고침 키 포함).

그것은 대부분의 회사가 미리 정책과 절차를 잘 작성해 놓은 해치 루틴을 기본적으로 포기한 것입니다.

당신이 그것을 끝내기를 바랍니다. 그러나 당신이 무엇을 해야할지에 대한 많은 정보를 얻기 위해 여기에 왔으면 회사에 대해 유감스럽게 생각합니다. :-(

4
laughingman

참고 :이 답변은 다른 질문에서 마이그레이션 된 다음이 질문으로 병합되었습니다. 따라서이 질문에는 적용되지 않습니다 (다른 질문은 이미 많은 실수가 있었고 곧 시스템 관리자가 액세스 할 수있는 상황을 설명했습니다). 아마도 제거해야하지만 편집되지 않은 버전을 아래에 남겨 두었습니다.


다른 답변 (특히 @tylerl, @lucaskauffman)이 절대적으로 맞다고 생각하지만 동시에 경보가 과도하게 경보를 받고 있습니다.

예,이 불만족스러운 sysadmin이 무엇을 할 수 있는지 확실하지 않습니다. 그러나 누군가가 시스템에 침입하여 손상을 입히려면 다소 불만이 있습니다. 이런 종류의 행동은 아마도 일하는 계약의 위반illegal 둘 다에 있습니다.

내가 보는 방식에서, 다른 답변이 놓치거나 나중에 생각할 때 중요한 점은 근본 원인 또는 가장 높은 위험, 즉 이 사람을 화나게하는 방법)을 고치는 방법입니다 일 수 있습니다.

그러므로 나는 행동의 첫 번째이자 최선의 방법은이 사람을 최소 불만, 심지어는 happy로 만드는 것입니다. 그들에게 물건을 넘겨 줄 여분의 돈을주고, 그들이하고있는 일을 기록하고 후임자가 쉬운 직업을 갖도록하십시오. 그들이 지불 받았을 때 별도의 '대기'보상을 제공하지만 아무 일도 할 필요가 없습니다. 사내 직원이 외부 계약자 대신이 작업을 수행하도록하는 것이 왜 회사에 적합한 지 설명하십시오.

동시에 자신이 유일하게 시스템에 액세스 할 수있는 유일한 사람이고 위반이있는 경우 prime suspect가되고 귀하가 이겼다는 사실을 분명히해야합니다. 아무리 작은 사건이라도보고하고 조사하는 것을 망설이지 마십시오.

전체 IT를 중단시키고 처음부터 구축하면 문제가 해결되지만이 솔루션이 실제로 얼마나 현실적인지는 알 수 없습니다.

2
Yoav Aner