Uživatelé VPN obcházejí pravidla

Když se do VPN přistupuje nesprávným způsobem, do sítě se proplíží červ. Jak tomu zabránit? Zase jsem strávil ...


Když se do VPN přistupuje nesprávným způsobem, do sítě se proplíží červ. Jak
tomu zabránit?

Zase jsem strávil většinu týdne tím, že jsem se zabýval průnikem škodlivého
kódu do naší sítě, a proto nyní podnikám kroky pro to, abychom se podobnému
problému v budoucnosti vyhnuli. Tentokrát jsme byli zasaženi červem
W32.Mytob.HH@mm. Podobným jsme přitom byli zasaženi již před několika týdny,
hlavní rozdíl ale spočívá v tom, že tato verze červa využívá odlišné porty, aby
se mohla připojit zpět k IRC (Internet Relay Chat) kanálu.
Náš guru přes detekci narušení (intrusion-detection) zpětně sledoval průběh
zamoření až ke konkrétnímu uživateli, který se do podnikové sítě připojoval z
místního letiště přes VPN. Promluvil jsem si s oním uživatelem a ten mi řekl,
že když se napojil k bezdrátovému přístupovému bodu na letišti, obešel
doporučovanou metodu získání vzdáleného přístupu. Jakmile nabootoval svůj
laptop, access point se mu objevil v liště úloh a byl automaticky připojen bez
jakékoliv autentizace.
Uživatel popisoval, že ještě před tím, než spustil VPN klienta, dělal nějakou
práci na internetu a tato "práce" zahrnovala také spuštění EXE souboru z
e-mailu, v němž se tvrdilo, že jeho účet byl zrušen. Předpokládal, že tento
e-mail pocházel od našeho systému pro správu lidských zdrojů (viz můj minulý
příspěvek). Předtím totiž navíc dostal zprávu, která mu přikazovala, aby si
změnil heslo pro přístup do systému, nedostal se však k tomu, aby to udělal.
Když pak kliknul na odkaz označený jako "account-details.exe", nezdálo se, že
by se cokoliv stalo.
Dobrá, nyní už víme přesně, co se stalo. Jeho laptop byl infikován, a když se
připojil k firemní VPN, červ se rozšířil i do naší interní sítě.

Správný postup
Říkáme uživatelům, že správnou metodou pro vzdálený přístup, obzvláště pokud
cestují, je používat software iPassConnect Universal Client společnosti iPass.
Nakonfigurovali jsme iPassConnect tak, že poté, co se uživatel autentizuje,
zkontroluje klientský systém tak, aby se ujistil, že jak firewall desktopu, tak
program pro kontrolu virů jsou nainstalovány a běží. Navíc je klientský systém
iPass nastaven tak, že se ukončí, pokud se uživatel v naší podnikové VPN
neautentizuje během dvou minut.
Kromě toho VPN klient uživatele nutí, aby za účelem autentizace vložil své
uživatelské jméno a také token RSA SecurID. Je velmi pravděpodobné, že kdyby
uživatel provedl tyto procedury i na letišti, škodlivý kód, který spustil, by
byl odhalen.
Abychom zlepšili zabezpečení naší VPN infrastruktury, nově jsme instalovali
zařízení FortiGate od společnosti Fortinet. Tato zařízení už využíváme pro
ochranu prostředí našich vývojových laboratoří (nebo spíše chráníme před nimi
své firemní prostředí). Kvůli neústupnosti manažerů laboratoří se totiž naše
vývojová pracoviště nepodřídila podnikovým politikám týkajícím se bezpečnosti
hostitelů a sítě, takže věci, jako je ochrana proti virům, záplaty, správa
konfigurací či bezpečné základny, zde vůbec nejsou používány. Manažeři
laboratoří mají dojem, že musejí mít volnou ruku, aby mohli nastavit své
prostředí, jak je potřeba, a byli schopni v něm patřičně otestovat své produkty.

Politika z pozice síly
Namísto toho, abychom s nimi bojovali a nutili je, ať se přizpůsobí, rozhodli
jsme se, že by bylo nejlepší umístit mezi firemní síť a laboratoř jedno ze
zmiňovaných zařízení FortiGate. Doufáme přitom, že pokud budou zdroje
laboratoří infikovány, můžeme zamoření udržet jen v jejich vlastní síti.
Stejná argumentace je nyní aplikována i na VPN segment. Nemůžeme se totiž
zaručit za bezpečnost systémů, které k VPN přistupují. Zaměstnanci nedodržují
pravidla. Víme, že někteří z nich si VPN software nainstalovali dokonce na
svých domácích systémech. Setkali jsme se také s případy, kdy zaměstnanci
instalovali VPN software na systémy v kioscích, knihovnách či u zákazníků. Je
to opravdu dost nepříjemné.
Vypracovali jsme proto metodu, jak zajistit, že VPN přístup bude povolen pouze
autorizovaným firemním zdrojům, avšak dokud neprovedeme nějaké testování,
budeme muset žít se současnou konfigurací.
Ačkoliv zařízení FortiGate je ideální pro detekci virů, červů a trojských koní,
je schopno detekovat pouze to, co už zná. Monitoruje veškerý síťový provoz,
který přes něj prochází a hledá vzory nebo signatury, jež odpovídají tomu, o
čem ví, že je "špatné".
Problém je, že některý škodlivý kód může proniknout formou útoku označovaného
jako "zero-day attack". To znamená, že je kód napsán hned, jak je zranitelnost
identifikována, a je rozeslán do světa ještě před tím, než pro něj existují
jakékoliv antivirové signatury. Takový zlomyslný kód se pak snadno šíří do té
doby, než se jej zmocní antiviroví výrobci a napíší pro něj potřebnou signaturu.
S vědomím tohoto problému uvažuji rovněž o použití hostitelského intrusion
detection systému neboli HIDS. Téměř všechny HIDS produkty se "učí" běžné
aktivity systému. Systémová volání, manipulace s klíčovými soubory, služby,
aktivity v registru (v případě Windows NT), aplikace, síťové aktivity a několik
dalších oblastí jsou po určité časové rozmezí detailně monitorovány.
Jakmile jednou nasadíte HIDS do provozu, jsou zjišťovány veškeré odchylky od
běžných aktivit a následně mohou být provedena protiopatření. Tak například v
případě zero-day útoku červa pokud červ nainstaluje novou službu, modifikuje
hostitelský soubor nebo otevře zadní kanál k nějakému neznámému IRC serveru na
internetu, HIDS tuto aktivitu detekuje bez ohledu na to, jestli už na tento
konkrétní typ malwaru byla napsána příslušná signatura.
Sám jsem ale zatím ještě žádný HIDS nenasadil. Naposled, když jsem tyto
produkty testoval, vedlo nasazení HIDS agentů k nadměrnému využití CPU a naše
desktopové firewally musely být vypnuty. Proto jsem se v té době rozhodnul, že
nasazení této technologie na tisíce pracovních stanic by na naši společnost
nemělo ten nejlepší dopad. V následujících několika týdnech se ale na oblast
HIDS produktů znovu zaměřím, abych zjistil, jak se trh od té doby změnil.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.