Praktické rady z oblasti bezpečnosti: Audit firemních firewallů

13. 12. 2014

Sdílet

 Autor: © Tommi - Fotolia.com
Síťový tým narazil na důkaz o útoku DDoS. Akční plán: Najít zdroj problému v síti a potom zkontrolovat všechny firemní firewally, aby už k žádným podobným incidentům nedocházelo.

Komplexní audit našich firewallů se v mém seznamu priorit přesunul na přední místo. Tato naléhavost vyplývá z nedávného incidentu, který naštěstí nebyl tak zlý, jak by ve skutečnosti mohl být.

Po celém světě provozujeme více než 60 firewallů. Používáme centralizovanou platformu pro správu pravidel a výchozí konfiguraci, ale stále je nutné tato zařízení kontrolovat, aby se zjistily případné nesrovnalosti. Měli jsme audit naplánovaný na konec letošního roku, ale nyní to měníme na mnohem dřívější termín.

Minulý týden se náš tým při odstraňování problémů s výkonem sítě na naší jedné velké pobočce rozhodl, že bude monitorovat přenosy, které z ní odcházejí. Špatnou zprávou bylo, že protokoly firewallu a směrovače ukázaly obrovské množství transportu dat určených pro jednoho hostitele ve Vietnamu.

Přenosy pocházely ze stovek externě adresovatelných IP adres v naší interní síti. To bylo velmi podezřelé, protože pro chráněnou síť používáme pouze interní privátní IP adresy.

 

Hledání zdroje

Svolal jsem náš krizový akční tým, protože to vypadalo jako distribuovaný útok odepření služby (DDoS – Distributed Denial of Service). Samozřejmě že jsme ihned upravili pravidla firewallů, abychom zablokovali přístup k cílové IP adrese.

Dále jsme zapnuli pravidla antispoofingu pro rozhraní dotčeného firewallu, aby se zablokovaly přenosy pocházející z veřejných IP adres v naší interní síti. Následně jsme spustili anti-DDoS profily, které nám umožňují řídit „datovou záplavu“ a nastavit maximální počet současných relací. Poslední dvě jmenované konfigurace mimochodem už měly být zapnuté, ale o tom později.

Vypátrali jsme postižené zařízení prostřednictvím zjištění portu přepínače, ke kterému bylo připojené. Ukázalo se, že jde o server podnikové třídy, který měl inženýr z oddělení výzkumu a vývoje připojený k ethernetovému portu na svém stole, což je zcela nepřípustné.

Na tento server jsme následně použili přístup správce kvůli instalaci forenzního vyšetřovacího nástroje EnCase. To, co jsme našli, bylo v souladu s chováním malwaru, který předtím navazoval spojení k serveru ve Vietnamu z více falešných IP adres.

Vypnuli jsme tedy malwarovou službu a nechtěné přenosy ustaly. Po tomto úkonu jsme zahájili důkladné forenzní zkoumání – odposlechem síťových přenosů pocházejících z infikovaného serveru jsme zjistili, že k žádnému úniku dat ani k neoprávněnému přístupu naštěstí nedošlo. Takové kompromitace jsem se skutečně bál.

Kontrolou celopodnikového inventáře jsme odhalili stejný malware i na některých dalších strojích a našli jsme ho dokonce i v našem ústředí. Naštěstí nebyl žádný z nich kompromitován tak zásadně jako onen první server.

 

Prevence budoucích incidentů

Škodám se tedy podařilo předejít a já jsem si vytvořil nový seznam úkolů. Zaprvé je zcela zřejmé, že musíme zkontrolovat naše firewally, abychom ověřili, zda je základní konfigurace jako například antispoofing či anti-DDoS funkční.

Chci se však také podívat na to, proč nás nástroj SIEM nevaroval, že server komunikuje se známým malwarovým hostitelem. Z incidentu rovněž jasně plyne, že musíme řešit i některé nesrovnalosti v oblasti dodržování pravidel ochrany koncových bodů, protože infikované servery neobsahovaly nejnovější signatury.

A konečně jsme v poslední době také zprovoznili některé pokročilé funkce detekce malwaru, které mají kontrolovat všechny stažené spustitelné soubory a spustit je v izolovaném prostředí kvůli zjištění, zda jsou ve své podstatě škodlivé. Rád bych stanovil, proč právě tato technologie v našem případě selhala.

bitcoin_skoleni

Mojí nejvyšší prioritou však je audit firewallů. Jsem si jistý, že kromě několika základních konfigurací rozhraní existují v základně pravidel firewallů také mezery.

 Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.