Jednou z věcí, na kterých jsem v poslední době pracoval, je budování nového síťového systému detekce narušení (IDS). Bylo to v mých plánech zabezpečení již nějakou dobu, ale omezení našeho nového rozpočtu projekt zbrzdilo.
Nasazení našich senzorů IDS vyžadovalo kombinaci taktiky strašení (což nerad používám, ale zlé časy volají po zoufalých opatřeních), outsourcingu a staromódního postupu „udělej si sám“. Za posledních několik týdnů jsem postupně dosáhl pokroku.
Senzory IDS jsou nainstalované a výsledky své činnosti hlásí systému SIEM (Security Incident and Event Management), který zjišťuje souvislosti mezi všemi záznamy v logech ze síťových zařízení, serverů, antivirových systémů a dalších technologií a generuje případná varování. Je to úžasný systém, a protože jeho realizace nebyla příliš drahá, poskytuje „za babku“ hodně muziky.
Tento pátek odpoledne jsem tedy procházel varování vygenerovaná novým systémem a našel jsem něco zvláštního: velký počet připojení vzdálené plochy z internetu do některých počítačů v naší interní síti.
Kolega Mathias Thurman nedávno ve svém článku uváděl vzdálenou plochu jako „pravděpodobně nejrozšířenější metodu neoprávněného přístupu“. Nebylo to tedy něco, co bych očekával jako příchozí komunikaci z internetu.
Zpočátku jsem si myslel, že to musí být falešný poplach nebo že to možná byla jen špatně navržená přístupová metoda pro nějakého vzdáleného dodavatele. Jinak řečeno jsem nevěřil, že by to mohlo ve skutečnosti probíhat tím nejhorším způsobem.
Po bližším přezkoumání se ukázalo, že zmíněná připojení ke vzdálené ploše byla realizována z jiné země – z té, která nedávno plnila titulky novin v souvislosti se státem podporovanými síťovými útoky vůči některým významným firmám. A tato země se nyní připojuje k počítačům naší společnosti!
Bylo to to poslední, co bych chtěl v pátek odpoledne zjistit! Nemohl jsem odejít, aniž jsem přesně věděl, co se děje. Zašel jsem tedy za správcem sítě. (V naší společnosti jsou firewally považovány za součást infrastruktury sítě a jako takové jsou spravovány síťovým týmem.)
Řekl jsem mu, že potřebuji vidět konfiguraci zásad firewallu chránícího tyto počítače. Tuto informaci mi poskytl během pár sekund, a přestože jsem si myslel, že jsem připraven na nejhorší, zažil jsem obrovský šok.
Konfigurace firewallu obsahovala několik pravidel typu ip-any-any. To pro několik počítačů v naší interní síti znamenalo, že se k nim mohl připojit každý počítač z internetu pomocí libovolného protokolu – jinými slovy, firewall byl otevřen zcela dokořán asi pro 16 počítačů v naší firemní síti.
S uvedeným otevřeným pravidlem vlastně ani nelze mluvit o tom, že byste měli firewall, protože umožňuje stejné přenosy, jako by byly možné při nechráněném přímém připojení síťového kabelu do internetu.
Pokud o firewallech něco víte, je vám asi jasné, jaký pocit hrůzy jsem zažil. Pokud ne, myslím, že vám to nedokážu dostatečně popsat, ale je to v podstatě moje nejhorší noční můra.
Naše síť měla obrovskou díru, kterou využili nepřátelští útočníci. Bylo to jako mít spíž a najít otvor ve zdi, kterým vám tam chodí zvířátka ujídat a znečišťovat vaše zásoby jídla.
Poslal jsem správce sítě okamžitě uzavřít díry ve firewallu a zahájil jsem audit konfigurací na všech našich firewallech. Samozřejmě že jsem audit konfigurací našich firewallů dělal pravidelně, ale s nedostatkem zaměstnanců a zdrojů jsem to nebyl schopen dělat dostatečně často. Uvedené problematické změny přitom vznikly poměrně nedávno.
Myslím, že z této zkušenosti plyne mnoho ponaučení a jedno z nich je „nevěřit nikomu“.
Řešíte podobné problémy jako J. F. Rice? Podělte se o svoje zkušenosti s námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.
Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako J. F. Rice. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.
PŘEDPLATNÉ
ČLÁNKY DO MAILU