Open source nás znova zachraňuje

Záhadný provoz v síti vyžaduje důkladnější monitoring, avšak problémem je financování. Provoz v síti se sousta...


Záhadný provoz v síti vyžaduje důkladnější monitoring, avšak problémem je
financování.

Provoz v síti se soustavně celý týden zvyšoval, ale systém detekce narušení
nezachytil žádný škodlivý provoz. Tedy ať byl v síti jakýkoliv provoz, bylo jej
možné označit jako bezproblémový. Serverové a desktopové systémy na všechny
byly aplikovány aktuální záplaty. Stejnou situaci jsem registrovala i u
přepínačů, respektive u jejich operačního systému IOS. Náš bezpečnostní
software Sophos Anti-Virus nepoukazoval na žádnou virovou aktivitu a do sítě
jsme navíc nenainstalovali žádná nová zařízení. Nicméně něco se změnilo a
působilo nám to značné problémy.
Spustili jsme proto sniffer a ani potom jsme nebyli schopni identifikovat žádný
obzvláště škodlivý provoz. Všimli jsme si však velkého množství něčeho, čemu já
sama říkám "hloupý provoz" IPX broadcasty z nových multifunkčních zařízení
značky Ricoh, která výrobce nainstaloval a nesprávně nakonfiguroval. To ale
neovlivňuje odchozí provoz.
Zjistili jsme, že několik uživatelů si nainstalovalo volně stažitelnou aplikaci
Netropa, která sama aktualizuje zprávy na desktopu uživatele. Třebaže tito
uživatelé vypadali v první chvíli nevinně (vývojáři společnoti Netropa kladou
důraz na to, aby jejich produkt nezabral příliš velkou šířku pásma), tuto
službu jsme jim z každého stroje odinstalovali.

Neznámý zdroj
Nedokázali jsme tedy identifikovat žádný systém v síti, který by vysílal
neobvykle velké objemy dat. Zaměstnanci běhali sem a tam celé odpoledne a
snažili se síť vyladit (a v jednom případě nedopatřením dokonce shodili velmi
důležitý server).
Byli jsme v rozpacích. Dokonce jsem nařídila administrátorovi serverů, aby na
Windows serverech spustil rootkit detektor BlackLight od společnosti F-Secure.
Nebyly však nalezeny žádné skryté procesy.
Jak se týden chýlil ke konci, šířka pásma se naštěstí zase vrátila k normálu,
ale stále jsme neměli tušení o základní příčině našich síťových problémů.
Cítila jsem se frustrovaná a zároveň si pomyslela: "To je směšné. Vyřešení
tohoto problému by nám přece nemělo zabrat několik dnů."
Něco byste měli vědět, abyste vše pochopili (a kvůli čemu i já musím být
trpělivá) můj personál nemá žádné praktické zkušenosti s monitorováním sítě, s
řešením provozních problémů či se síťovou bezpečností.
Jak už asi spousta pravidelných čtenářů ví, řídím IT a bezpečnostní oddělení v
malé státní agentuře a naše zdroje jsou velmi omezené. V předchozích
zaměstnáních jsem byla vždy schopná najmout specializované experty včetně
síťových inženýrů na úrovni CCIE a bezpečnostní inženýry s certifikátem CISSP.
Tady se musím spoléhat na své vlastní schopnosti, které jsou více orientované
manažersky než do hloubky po technické stránce.
V minulosti naše agentura spoléhala na síťové inženýry z jiných státních
agentur, kteří pomohli, když nějaké síťové problémy vyvstaly. Tentokrát jsem
nicméně chtěla, aby se náš personál naučil, jak řešit problémy tohoto typu a
neobracet se, aby byla úloha vyřešena, na zdroje mimo naši agenturu. Požadovala
jsem po svých podřízených hodně v příliš krátkém časovém úseku. Avšak někdy se
naučíme nejvíc, když jsme pod palbou, ačkoliv je mi jasné, že byste mohli naši
aktivitu charakterizovat jako "kuřata běhající po dvorku s useknutými hlavami".

Omezení veřejného sektoru
Když přemýšlíte o síťovém monitoringu, napadne vás slovo výkon. Ale co když
chcete sledovat změny v síti komplexněji? Zajímalo mě, jestli by bylo možné
vybudovat prostředí LAN/WAN na normálních portech a službách a být vždy
upozorněn, když se něco změní a případně je mimo obvyklý stav. Pak bych mohla
zkoumat a zjišťovat, jestli byla změna žádoucí, nebo ne. Například když by
server začal naslouchat na portu, jemuž běžně nenaslouchá (a to dokonce i jen
na krátký časový úsek), mohlo by to indikovat nějaké možné bezpečnostní riziko.
Základní problém, jemuž každý bezpečnostní tým čelí, obzvláště u modelu ochrany
jdoucího do hloubky, je to, že existuje příliš mnoho událostí, příliš mnoho
informací a příliš mnoho míst, která musejí být hodnocena, abyste byli schopni
data manuálně korelovat a mohli komplexní bezpečnostní problém přesně určit. To
prostě nelze udělat.
Před pár lety ode mě jeden manažer bez základních znalostí z oblasti
bezpečnosti požadoval přesné metriky. Musela jsem mu vysvětlit, že bez nějakého
způsobu korelování dat nelze z nesourodých bezpečnostních zařízení jednoduše
vytáhnout jednoznačné ukazatele. Museli jsme se spoléhat na svou vlastní
analýzu konkrétní situace, rozhodnout se, zda by mohla být považována za
bezpečnostní incident, a poté ji dále prošetřovat. To však není dostatečné.
K dispozici je bezpočet komerčních nástrojů pro monitoring bezpečnosti, které
pracují na úrovni sítě a systémů. Dříve, v soukromém sektoru, bylo odpovědí na
tento problém to, že jsme zakoupili Protego MARS, komplexní systém pro správu
bezpečnostních informací. (To bylo před tím, než byla firma Protego Networks
koupena společností Cisco Systems.) V ideálním světě by se naše agentura mohla
vydat stejným směrem. Samozřejmě ale nežijeme v ideálním světě. Jsme státní
agentura, která nemá žádný rozpočet pro nákup takových komerčních produktů.
Odpovědí tedy bylo (jak tomu ostatně bylo už mnohokrát od doby, kdy jsem
vstoupila do veřejného sektoru), obrátit se na open source. Pokusila jsem se
tedy pátrat, kde bych našla open source nástroj, který by umožnil to, abych
byla upozorněna, když se vyskytne změna v síti, ať už zlovolná, či nikoliv.
Namáhala jsem si mozek, abych našla způsob, jak monitorovat síť a zároveň
získat náhled do potenciálních bezpečnostních incidentů pomocí použití jediného
open source nástroje. Slyšela jsem o systému Nagios, programu pro monitoring
hostitelů, služeb a sítě, avšak nikdy jsem jej nepoužívala. Věděla jsem, že byl
primárně využíván pro monitorování síťových zdrojů. Zjistila jsem, že může být
nasazen společně s programy Snort, Nmap, Nessus a s některými ze známějších
open source nástrojů pro zabezpečení sítě a že se může stát takovým agregačním
bodem. Byla jsem docela nadšena, ale jenom do doby, než jsem si stáhla průvodce
instalací má 200 stránek. Zaúpěla jsem. Když nic jiného, pomyslela jsem si,
tahle práce mě přinutí stát se mnohem zdatnější v Linuxu.
Další výhodou, kterou nacházím při hledání, vybírání a implementování open
source alternativ pro správu sítě a bezpečnosti při nulovém rozpočtu, je tedy
to, že se zlepšuji po technické stránce, což může být dobře.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.