Manažer bezpečnosti: Případ nesmyslné IP adresy

Tento měsíc jsem pátral po záhadě v síti naší společnosti. Když mám chvíli času (což tedy není moc často), prohlížím logy různých našich zabezpečovacích zařízení. Máme personál, který se tím zabývá, ale já si myslím, že je důležité mít vlastní představu o dění v naší síti. Třeba zahlédnu něco, co uniklo softwarovým nástrojům a co mohli ostatní přehlédnout. V tomto případě se mi tato myšlenka potvrdila.

Pročítal jsem protokoly firewallu, což je obvykle nudná a zcela nezajímavá (i když potřebná) činnost, a nalezl jsem něco divného. Náš firewall přijímal velké množství datových přenosů z internetu s cílovou adresou 0.0.0.0, která samozřejmě není platná. Už je to dávno, co jsem nastavil na firewallu pravidla pro obousměrné blokování přenosů s falešnými adresami.

Náš firewall tyto nežádoucí přenosy svědomitě blokoval a poznamenával to do protokolů. Když jsem však teď uviděl záznamy logu, velmi mne zaujaly. Nudná činnost se rázem stala zajímavou. Proč by se někdo pokoušel o přenosy do naší sítě s takovouto nesmyslnou neexistující adresou a jak by k nám vůbec takové přenosy dorazily? To je jako když ve své schránce papírové pošty najdete dopis bez uvedení adresáta.

Nasadil jsem si tedy klobouk detektiva. Pokud na internetu někdo posílá nějaká data na adresu se samými nulami, tak se pakety nedostanou vůbec nikam. A najednou byly na vstupu naší sítě. Mohlo se stát, že byla adresa změněna, jakmile přenos dorazil na hranici naší sítě?

Nezdálo se mi to pravděpodobné, ale možnost to byla. Jestli však nebyl zdrojem internet, tak jediným rozumným vysvětlením byla injektáž přenosů do naší sítě mezi náš firewall a internet, a to by znamenalo vysoké ohrožení z našich vlastních řad!

Žádný smysl
Samozřejmě nelze trasovat původce, když adresa nedává žádný smysl. Přizval jsem na pomoc síťového technika naší firmy, který je velmi chytrý. Zaujalo ho to stejně jako mne, a tak jsme společně začali přemýšlet, co se mohlo stát. Přesunuli jsme pozornost na internetový směrovač, který je dalším místem síťových přenosů vně našeho firewallu. V konfiguraci ani v protokolech přenosů tohoto směrovače jsme nenašli nic divného, ale něco tu opravdu nebylo v pořádku. Nebyl tu žádný záznam přenosů s takto divnou nulovou IP adresou.

Po bližším přezkoumání síťový technik našel významnou informaci: Ve směrovači došlo k přeplnění paměti. Přetížení našeho internetového směrovače vyústilo v nedostatek volné paměti.

Nakonec tedy byl viníkem všeho zmíněný nedostatek paměti. Tento značkový směrovač začne při tomto stavu zahazovat některé síťové informace, a to vysvětluje podivné nuly: Při nedostatku paměti nebylo možno sestavit platné síťové pakety a výsledkem byla řada nul. Některé z nich se dostaly na potřebné místo a záhada prázdné tajemné adresy byla na světě.

Restartování směrovače snad problém vyřešilo. Nyní náš síťový tým bude více sledovat využití prostředků našich směrovačů a síťových zařízení.

Potěšilo mne, že jsme s našimi nástroji zabezpečení IT a personálem dokázali identifikovat a najít problém s funkcí v naší síti. I když záležitost přísně vzato nesouvisela se zabezpečením, byla v tomto případě vyhledána naším vlastním vybavením a oddělení zabezpečení dokázalo kromě obvyklého blokování jinému oddělení pomoci. Považuji to za úspěch.