Nevím, zda bych to měl přiznat, ale jednou z mých oblíbených aktivit jako manažera bezpečnosti je reakce na incidenty.
Incidenty samozřejmě mohou být nejhorší noční můrou manažera zabezpečení, protože dostanou vás i váš program zabezpečení do centra dění. V naší společnosti jsou však velmi vzácné, takže když nějaké vzniknou, je to pro mne vítaná změna při mé běžné rutině auditů, aktivitách souvisejících s dodržováním směrnic a pracovních poradách. Je to ale obvykle náročné a někdy chytíme lumpa.
Náš nedávný případ žádné neodhalil, ale jak se ukazuje, odhalili jsme chybu v konfiguraci našich DNS serverů od Microsoftu.
Zde je popis toho, co se stalo: Jeden z našich inženýrů používal software Remote Admin (Radmin) k odstranění problémů s jedním z drahých a specializovaných nástrojů pro měření, které naše firma navrhuje a vyrábí. Při kontrole přihlašovacích protokolů ze softwaru Radmin server si všiml podezřelé aktivity, která pocházela z počítačů dvou nejvyšších manažerů naší firmy.
To bylo velmi podivné, protože ti se normálně k těmto nástrojům nepřihlašují. “Proč by to tito manažeři dělali,“ říkal jsem si. Tak jsem se jich na to zeptal. Jeden se podíval na příslušný log a prohlásil že v době spojení spal. Druhý uvedl, že když byl údajně jeho počítač byl přihlášen k jednomu z našich nástrojů, on sám se nacházel vysoko nad Atlantikem na své cestě do Evropy. Jak tedy tyto počítače, které byly vypnuté nebo bez obsluhy, mohly být zodpovědné za podezřelá připojení?
Jak se ale ukázalo, nebyly. Ve skutečnosti nebyla přihlášení provedena ze dvou počítačů patřících manažerům, ale z jednoho počítače patřícího inženýrovi, který měl však pro přihlašování k tomuto nástroji legitimní důvod.
Jak se tedy mohlo stát, že systém DNS podal informace ukazující na špatné subjekty?
V naší firmě používáme protokol DHCP (Dynamic Host Configuration Protocol), který přiřazuje IP adresu z předdefinovaného síťového rozsahu. Máme DHCP nakonfigurovaný tak, že každé přiřazení IP adres expiruje po dvou týdnech a počítač dostane při příštím přihlášení k síti jinou IP adresu. Neuvědomil jsem si ale, že naše prostředí Windows uchovává informace z vyrovnávací paměti cache pro všechna tato přiřazení IP adres namísto mazání starých záznamů.
Problém cachingu
Nedokázal jsem pochopit, proč bychom použili takovou konfiguraci, tak jsem se zeptal našeho týmu pro servery Windows. Dozvěděl jsem se, že museli zakázat automatické čištění DNS cache, protože způsobovalo problémy. Chtěl jsem vědět, o jaké problémy se jednalo. Nikdo mi na to však nedokázal přesně odpovědět. V každém případě byl stav cache zodpovědný za dezinformaci v protokolech, které tak ukazovaly na manažery, protože jejich počítače tyto IP adresy měly přiřazeny v minulosti.
Budeme muset vyzkoumat, jaká příčina vedla k vypnutí čištění DNS cache, protože už to dnes nemusí představovat žádné potíže, ale pokud by stále existovaly, budeme muset najít jiné řešení. Automatické čištění paměti jsme tedy znovu zapnuli.
Nakonec tedy žádní vrcholoví manažeři neprováděli průmyslovou špionáž. I když byl tento incident falešným poplachem, bylo to zajímavé rozptýlení. Dalo nám to také dobrou lekci důležitosti kontrolovat základní konfigurace, aby DNS servery správně poskytovaly informace. Samozřejmě, že také chci mít k dispozici historické záznamy pro odpověď na otázky, kdo měl dotyčnou IP adresu v daném dni a čase. To může být velmi důležitá informace a budeme ji chtít uchovávat.
Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.
Tento článek vyšel v Computerworldu 15/2011.
PŘEDPLATNÉ
ČLÁNKY DO MAILU