Manažer bezpečnosti: Zbrzdění procesu integrace sítí

21. 3. 2008

Sdílet

Navštívil jsem pobočky kupované firmy v Connecticutu a v Novém Mexiku, kde jsem se sešel s místním managementem, abych se dozvěděl co možná nejvíc o obchodních procesech ve firmě, otázkách duševního vlastnictví firmy a s tím související bezpečnostní politice.

Navštívil jsem pobočky kupované firmy v Connecticutu a v Novém Mexiku, kde jsem se sešel s místním managementem, abych se dozvěděl co možná nejvíc o obchodních procesech ve firmě, otázkách duševního vlastnictví firmy a s tím související bezpečnostní politice.

Mohli jsme jednoduše nainstalovat podporu pro protokol MPLS (Multiprotocol Label Switching) a připojit tyto pobočky s jejich 600 zaměstnanci k naší síti, ale to by jim v podstatě umožnilo přístup k velké části naší vnitřní infrastruktury. Jako bezpečnostní manažer to ale nemohu dovolit, dokud nebudu schopen zaručit integritu připojované sítě a vymahatelnost příslušných pravidel. S největší pravděpodobností však přizpůsobíme politiky kupované společnosti těm našim, když vezmu v potaz to, že jsme letos zaznamenali pouze jedno ohrožení virem, a to kvůli tomu, že jeden ze zaměstnanců si připojoval svůj osobní notebook k naší doméně.

Při hodnocení všech okolností, se kterými jsme se setkali, jsem se soustředil na několik klíčových oblastí. Tou první byly škodlivé kódy. Musíme si být jistí, že si do své sítě nenasadíme nějaké viry, spyware nebo trojské koně. Abych zjistil, jestli tato společnost nemá ve svém systému nějaký zákeřný kód, nechal jsem konzultanta provést několik skenů. Bezprostředně poté jsme zaznamenali indikace spywaru, když kontrolní systém detekoval symptomy toho, že desktopy "volají domů" a přenášejí informace získaná ze snímačů stisknutých kláves či jiná sebraná data. Nessus, což je volně dostupný skener portů, totiž odhalil škodlivý kód číhající na nestandardních portech. Dále jsme se soustředili na diskutabilní externí připojení. Museli jsme se ubezpečit, že tato firma neposkytla žádné třetí straně přístup k firewallu či routerům a že přístupové body VPN nedovolují žádné neoprávněné připojení. Tady jsme narazili na řadu problémů. Jedním z nich byla konfigurace bezdrátových přístupových bodů, které používaly WEP se sdíleným klíčem, přičemž ten klíč se léta neměnil a AP přitom
ústil do interní sítě podniku. V naší firmě používáme technologii WPA s podporou TKIP (Temporal Key Integrity Protocol), přičemž access pointy připojujeme k virtuální síti, takže jediným zařízením, ke kterému je možné se přes AP připojit, je VPN brána. Tím nutíme všechny zaměstnance, aby se připojovali do sítě přes VPN. Netvrdím, že je to to nejbezpečnější řešení bezdrátového připojení, ale je to mnohem bezpečnější než sdílený WEP klíč, který se léta nemění.

Dalším problémem bylo nastavení firewallu, který umožňoval přístup do interní sítě společnosti z velkého množství adres, které nebyly firemní. Vypadalo to , že tady nikdo neví, která bije. Vyhledáváním na internetu jsme zjistili, že tyto adresy patřily třetím subjektům, z nichž jedním byla firma zabývající se síťovou integrací, která byla najata na pouze na 30 dní před více než dvěma lety. To asi nebylo úplně v pořádku... Dále jsme řešili nepřijatelné způsoby chování uživatelů. Trval jsem například na tom, aby byly zablokovány běžné peer-to-peer softwarové technologie. Další mezery Počet problematických bodů se navyšoval, a to jsme se ještě nepodívali na kritická firemní zařízení jako doménové kontroléry, úložiště zdrojových kódů, firewally, VPN koncentrátory a další. Když jsme tak učinili, bylo jasné, že si nikdo nedal práci s konfigurováním či správou serverů poté, co byly uvedeny do provozu. Patche byly zastaralé, nebyla nastavena pravidla pro nastavení hesel, administrátorská hesla byla buď vynechána, anebo byla snadno odhalitelná. Existovala zde dokonce databáze mezd, která pro administrátorský přístup používala výchozí heslo. Antivirové enginy pro servery i uživatelské stanice byly více než tři roky staré.

Jak asi správně tušíte, nainstalovat MPLS bez bez toho, že by byla učiněna zásadní opatření, jsem nedovolil. Začali jsme tím, že všechny uživatelské stanice a servery povinně obdržely nejnovější doporučované patche jak pro operační systém, tak pro aplikace. Byly nainstalovány nejnovější antiviry a všechny systémy prošly důkladným skenováním a byly očištěny od škodlivých kódů, některé musely být dokonce přeinstalovány. Sám už vím, že výjimku tvoří některé systémy jako například vývojové nebo laboratorní servery, a je jasné, že ke všem zdrojům se nedostaneme, já ale budu prosazovat instalaci dvou zařízení na ochranu proti neoprávněnému vniknutí (IPS, Intrusion-Prevention Systems). Jedno bude umístěno mezi oběma společnostmi na spoji MPLS a to druhé bude sedět mezi internetovým rozhraním a vnitřní sítí námi kupované společnosti.

Autor článku