Nemůžete zakázat stahování hudby

Po návratu ze školení věnovaného IDS čekalo Mathiase 1,7 milionu varování. Uživatelé si totiž začali ve větší m...


Po návratu ze školení věnovaného IDS čekalo Mathiase 1,7 milionu varování.
Uživatelé si totiž začali ve větší míře stahovat filmy a hudbu.
Minulý týden jsem si dal krátkou přestávku ve shánění nových zaměstnanců,
majících nahradit ty, kteří od nás před nedávnem odešli za lepším. Využil jsem
totiž příležitost a zúčastnil se šestidenního školení věnovaného detekci
průniků do firemní sítě. Uspořádal ho v New Yorku SANS Institute a měli se ho
zúčastnit docela zajímaví přednášející.
Návrat do firmy stál za to. Ze školení jsem přijel do situace, kdy náš systém
IDS Snort vytvořil sérii 1,7 milionu varování. Většina z nich vznikla kvůli
činnosti našich zaměstnanců, kteří se rozhodli ve větší míře používat software
pro sdílení multimediálních souborů. Tedy aby si stáhli nějakou tu hudbu a
filmy, které by jim zpříjemnily každodenní šeď v kanceláři.
Od té doby, co mám výrazně méně personálu, než potřebuji, jsem jedinou osobou,
která je ve firmě osobně zodpovědná za řešení varování generovaných systémy
IDS. Protože jsem ale v době školení neměl přístup k žádnému rychlejšímu
připojení k internetu, nemohl jsem ani řešit problémy s IDS. Pro případ
vážnějších událostí je systém nastaven tak, aby mi poslal varování na pager.
Naštěstí zřejmě žádný z oněch 1,7 milionu alertů tak vážný nebyl. Můj pager po
celou dobu mlčel.

Ach ti zaměstnanci
Během zmíněného školení jsem měl příležitost sdílet své strasti ohledně IDS a
aplikací pro sdílení hudebních souborů s ostatními účastníky. Ptali se mě, proč
prostě přístup k tomuto druhu služeb nezablokuji. Vždyť je koneckonců jejich
využívání jistě v rozporu s naší firemní politikou. Jenže my v tomto okamžiku
nemáme žádnou oficiálně schválenou firemní politiku týkající se systémů pro
sdílení hudebních a dalších souborů a protože taková politika neexistuje,
nemohu svévolně zamezit přístupu k těmto druhům služeb na firewallech.
Je to mj. i z důvodu evropských zákonů na ochranu soukromí, které jsou přece
jen přísnější než ty americké. Pokud například naše firemní politika vyžaduje
filtrování e-mailů podle určitých slov, která obsahují a která mohou indikovat
nějakou závadnou aktivitu zaměstnance, stačí nám v USA zveřejnit naši politiku,
která bude na to, že filtrování provádíme, zaměstnance upozorňovat. Pro
evropské pobočky je ale v takovém případě nezbytné podepsat individuální
smlouvy ohledně této činnosti před tím, než ji začneme provádět.
Dokud tyto problémy nevyřešíme, nemůžeme nakonfigurovat naše firewally tak, aby
blokovaly přístup k z našeho pohledu závadným webům nebo službám. Můžeme ale
nicméně identifikovat zaměstnance, kteří je využívají a upozornit na to jejich
nadřízené. Já tento druh provozu shromažďuji převážně kvůli identifikaci.
Jistě, možná to nezní jako něco, co je úplně v pořádku, ale je to do jisté míry
politická otázka a obchodní problém.

Můžete se učit
Rád bych se tu ale ještě vrátil k onomu v úvodu zmiňovanému školení. Považuji
to za rozumné i přesto, že se možná sami k návštěvě podobného školení
nechystáte a na místě, kde žijete a pracujete ať už je to kdekoli na zeměkouli
je nabídka školení výrazně odlišná. Myslím si ale, že stojí za to zmínit, k
čemu jsou takové kurzy dobré a co by měly obsahovat.
Systémy IDS (Intrusion Detection System) jsou něčím, do čeho jsem v poslední
době investoval spoustu svého času, a tak jsem považoval za přínosné, pokud se
zúčastním školení, které mi pomůže vytěžit z nich maximum. Také jsem si chtěl
osobně poslechnout dva z řečníků, které považuji za špičku v tomto oboru.
Stephen Northcutt je expertem na analýzu paketů. A protože je velká část mé IDS
infrastruktury postavena na nástroji Snort, aplikaci IDS, která je softwarem
typu open source, přímo jsem skočil po šanci poslechnout si jejího tvůrce,
Martina Roesche.
V průběhu školení Roesch probral obecnou historii nástroje Snort a jeho vývoj
až do stadia, kdy je nástrojem na úrovni podobných komerčně nabízených systémů
pro firemní sféru. Nyní je jeho funkcí odchytávání paketů a detekce průniků.
Roesch nám nadšeně ukazoval některé jeho nové vlastnosti. Zvláště mě zaujala
funkce s názvem přehrání session (session replay), která správci umožňuje
nahrávat a přehrávat akce určitého uživatele. To je velmi užitečné v případě,
že někoho konkrétního podezíráte z nekalých praktik. S funkcí přehrání session
můžete zaznamenávat stisky kláves uživatele a poté je buď v reálném čase
přehrávat, nebo je uložit do speciálního souboru pro pozdější analýzu.

Rychlý a divoký
Kurzy SANS nejsou pro lidi slabé na srdce. Postup je rychlý a u posluchačů se
předpokládá,že už na začátku disponují množstvím znalostí z dané oblasti.
Například v našem kurzu věnovaném detekci průniku musejí posluchači rozumět
základům TCP/IP, jako jsou IP adresy, porty a protokoly, stejně jako konceptům
TCP jako příznaky nebo průběh handshakingu.
Bezpečnostní profesionálové, kteří s těmito pojmy nejsou obeznámeni, by se
tohoto kurzu neměli účastnit. Ti, kteří tak učinili, se nakonec ve výkladu
ztratili, usnuli nebo zdržovali ostatní tím, že se ptali na základní otázky.
Navíc se ještě většina z nich cítila frustrovaná.
Já naštěstí mám dobrý základ, takže jsem účast v kurzu považoval za
stimulující. Northcutt mluvil velmi intenzivně a bylo zřejmé, že tématu, o
kterém hovoří, skutečně hluboce rozumí. Tématem prochází velmi rychle, ale pro
ty, kdo dobře rozumějí základům, představují jeho lekce výjimečný učební
zážitek.
Většina z technických přednášek SANS obsahuje také laboratorní cvičení, a ani
náš kurz zaměřený na detekci průniků do sítě nebyl v tomto ohledu výjimkou. Při
cvičení jsme používali volně dostupné programy pro odchytávání paketů WinDump,
Tcpdump a Snort a zachycený síťový provoz jsme následně využili v analytické
části našich cvičení. Strávili jsme také jeden celý den tím, že jsme s Roeschem
konfigurovali systém Snort. Měl jsem několik specifických otázek ohledně toho,
jak Snort funguje v mé společnosti, a Roesch je bez problémů zodpověděl během
výuky a část po jejím skončení.

Bezpečnostní díry
Další kurz SANS, o kterém uvažuji, se nazývá Techniky hackerů, bezpečnostní
díry a řešení incidentů. Při kurzu věnovaném IDS jsem měl možnost do materiálů
k tomuto kurzu nahlédnout, a musím říci, že mi připadají docela dobré. Program
kombinuje teoretický výklad a laboratorní cvičení, při kterých se nabourávají
nejrůznější operační systémy a poté se vzniklé problémy řeší jakoby z pohledu
správce sítě.
Jednou v minulosti jsem byl zavolán do kanceláře ředitele naší firmy, on mi
ukázal naši hacknutou domovskou webovou stránku a ptal se mě, jak to, že
hackera naše infrastruktura IDS nezastavila. Věřte mi, že v takovém okamžiku si
budete moc přát, abyste znali správnou odpověď. Kurz s názvem Hackerské
techniky je dalším, který navštívím. Myslím, že pokud jste tak ještě neučinili,
měli byste o něčem podobném také uvažovat.

Vytěžit maximum
Nyní, když jsem zpět, chystám se využít nově nabytých znalostí k tomu, aby náš
systém IDS lépe fungoval. Už jsem rekonfiguroval způsob, jakým některé senzory
filtrují určité typy síťového provozu tak, že jsem je nechal vyhodit pakety na
jiné síťové vrstvě ještě předtím, než se k nim systém IDS vůbec dostane
podrobněji. Tato metoda se nazývá Berkeley Packet Filter. Dělá systém IDS
efektivnějším, protože snižuje množství paketů, které musí jeho engine
zpracovat.
Myslím, že v příštích týdnech vytěžím znalosti z kurzu ještě více a o všem, co
budu považovat za zajímavé, vás budu samozřejmě informovat. Po vyřešení všech
problémů s IDS je tu však ještě jedna věc, která mě čeká musím konečně zaplnit
mezeru po zaměstnancích, kteří můj tým opustili.
Řešíte podobné problémy ja-ko Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.