Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Stiflerova máma 03. 01. 2013, 14:38:25
-
Jak nejlépe zabezpečit firemní síť, která umožňuje přístup z venčí k:
-ssh
-rdp
-vpn
-ftp
-web
Jako GW používám linuxové distro. Endian firewall který obsahuje IPS a pravidelně se aktualizuje, pouštím jenom potřebné porty.
Uživatele nutím každý měsíc ke změně hesla, které nárokuje určitou složitost.
Každý den provádím analýzu logů a sestavuji patřičné blacklisty.
Veškeré servery provádějí svoji antivirovou kontrolu pravidelně každý den (Win i Linux).
Teď přemýšlím, nad Cisco Asa.
Poradí někdo jak jinak lze ještě síť bránit proti útokům ?
Teď neberu v potaz zabezpečení pro endpoint.
-
A proti cemu ji chces branit? To je dost dulezity. Pokud tam bezi nejakej dulezitej server tak bych urcite premyslel o reverzni proxy.
-
-rdp
-ftp
Doporučuji nepoužívat přímo, ale jen přes VPN, jejich bezpečnost a spolehlivost jsou přinejmenším sporné.
-vpn
Důležité je, aby VPN vedla pouze „na půl cesty“, kde je sice povoleno třeba FTP, RDP nebo Bonjour, ale jinak je od vnitřní sítě stále odděleno firewallem.
-web
Pokud je to IIS, Apache nebo Tomcat, doporučuji před to nějakou bezpečnou reverzní proxy (asi nejlepší je nginx).
Uživatele nutím každý měsíc ke změně hesla, které nárokuje určitou složitost.
To je sice oblíbené, ale pokud nedělají v bance (a nějak rozumně omezíte rychlost hádání), tak celkem zbytečné.
Btw. http://xkcd.com/936/
Každý den provádím analýzu logů a sestavuji patřičné blacklisty.
Každý den? Proč to nedělá automat on-line? Jinak blacklisty je dost problém sestavovat tak, aby to nezablokovalo uživatele (někdo cizí zkusí útok ze stejného hotelu, kde zrovna pořádáte prezentaci, a máte problém), lepší je sestavovat graylisty a omezit počet sestavených spojení za čas.
Poradí někdo jak jinak lze ještě síť bránit proti útokům ?
Zablokovat odchozí SMTP odjinud než z mejl serveru, jeho komunikaci s firewallem pokud možno oddělit do úplně jiné fyzické sítě.
Nasadit firewall na všechny servery a povolit jen ty služby, co používáte. Naprostá většina útoků je ze zavirovaných Widlí v kanceláři, případně z prolomených uživatelských účtů na serveru (to se prostě může stát, je potřeba na to myslet).
Pokud používáte nějaké SSO (Kerberos, Active Directory), tak zkontrolovat, jestli vám neputují špatně zabezpečená hesla po síti v kanceláři.
Motto: kdo staví nedobytnou pevnost, neměl by zapomínat, že útočník už může být uvnitř ;)
-
No ty blacklisty si sestavuji z logu ve kterém je zobrazeno z jaké ip a kolikrát se pokusil útočník přihlásit.
Jeho ip projedu na whois a obvykle je o Čínu nebo Koreu, tak rovnou nechám zakázat celý rozsah, ze kterého byl pokus o přístup realizován.
Blacklist je logicky na hlavním FW za kterým jsou jak servery tak uživatelé.
SSH Kerberos nepoužívá. Ale uživatelé jsou nuceni měnit svoje hesla podle nastavených zásada.
AD také nutí měnit uživatele pravidelně hesla podle zadání.
VPN je použita jenom pro několik "notebookařů.
RDP je dostupné všem. Po pár neplatných pokus se účty blokují na 20 minut.
FTP je zapnuto jenom v době potřeby.
Endpoint security je zajištěna minimálním oprávněním ke stanici + antivirus, pravidelné aktualizace atd..
FW zakazuje všechny nestandardní porty a SMTP je povoleno jenom na web serveru.
Servery na Linuxu, které jsou z venku přístupné používají ClamAV s pravidelným automatickým prohledávání virů, mají spuštěné IP tables...
Server na Windows - firewall, antivirus...
Při pokusu o "dolování" info z veřejné IP vyskočí jenom seznam otevřených portů. Logicky ...
Dá se ještě nějak jinak síť zabezpečit ?
Myslíte, že to Cisco je tedy zbytečný ?
Nebo dají se služby ještě nějak jinak zabezpečit ?
-
Ako vyzera sietova infrastrukrura? Tie sluzby su umiestnene niekde v DMZ, alebo su len NATovane? Je dost riziko, rozne MGT protokoly (SSH, RDP) mat dostupne priamo z Internetu. Chce to vybudovat VPNku.
-
Celé síti (takže jak segmentu se servery, tak uživatelská, hostovská i wifi) je nadřazen FW s IPS a IP blacklistem
-
Ako vyzera sietova infrastrukrura? Tie sluzby su umiestnene niekde v DMZ, alebo su len NATovane? Je dost riziko, rozne MGT protokoly (SSH, RDP) mat dostupne priamo z Internetu. Chce to vybudovat VPNku.
Pravda, zvenku přístupné SSH je bezpečné jen při přihlašování pomocí klíčů, takže přihlašování přes heslo bych tam zakázal. Kdo se chce přihlašovat přes heslo, tak musí napřed použít VPNku, která by se měla autentizovat certifikáty.
-
no vzhledem k uživatelům...
to s klíči bude asi problém, ale jaká je možnost zneužití přihlašování pomocí hesla ?
To zase když pomyslím, že si někdo stáhne klíč daného jedince ...
Stát se to může...
-
Poradí někdo jak jinak lze ještě síť bránit proti útokům ?
Bezpečnost není o množství technologických opatření ani o jejich typu.
Uživatele nutím každý měsíc ke změně hesla, které nárokuje určitou složitost.
To je velmi dobrý způsob, jak bezpečnost snížit - reálný přínos tak rychlých změn hesla je malý, zatímco pravděpodobnost, že si je někdo začne někam psát, raketově roste. K dokonalisti už tomu chybí ještě kontrola, aby se nepoužívalo 5 posledně použitých hesel :)
Veškeré servery provádějí svoji antivirovou kontrolu pravidelně každý den (Win i Linux).
Jak přesně svoji antivirovou kontrolu provádějí ty linuxové servery?
P.S. celý mi to silně připomíná bezpečnostní politiku Datových schránek - uživatelé jsou "kvůli bezpečnosti" neuvěřitelně opruzovaní různými captchami a přitom datové rozhraní funguje bez nich :)
-
Ať je to už Win nebo Linux server, tak vždy o půlnoci se spouštějí hloubkové antivirové kontroly.
Každý podezřelý nebo zavirovaný soubor je přesunut do karantény.
A myslím, že datové schránky jsou přece jenom trošku něco jiného.
Tady ani není nasazen žádný web-file manager....
Jasně, že síť nikdy nezabezpečíte tak, aby opravdu byla zcela neprůstřelná, ale aspoň se pokusím udělat maximum pro snížení rizika ne...
Nic méně, takhle můžeme debatovat nekonečně ...
Mě hlavně zajímá jestli se dá ještě něco použít...
-
Dá se ještě nějak jinak síť zabezpečit ?
1. Začít přemýšlet, jakého efektu vlastně chci dosáhnout, to je to nejdůležitější opatření. Každé ráno před snídaní padesátkrát napsat "nebudu geek fascinovaný množstvím technologií, ale zapojím selský rozum".
2. Sepsat alespoň jednoduchou bezpečnostní politiku (ideálně včetně širšího risk managementu) a udělat jednoduchá, přesně cílená opatření, která plní konkrétní požadavky politika. Natolik jednoduchá, aby jim pokud možno každý uživatel mohl porozumět.
3. Vyházet všechny nesmyslné radobybezpečnostní technologie, které jenom znepřehledňují situaci.
FTP je zapnuto jenom v době potřeby.
Tohle je výborný příklad deficitu bodu 1: FTP přece není "nebezpečné" tím, že naslouchá. Stejně jako telnet. "Nebezpečné" se stává tím, že ho někdo použije. Takže je třeba zapojit selský rozum, uvědomit si, v čem spočívají slabé stránky té které služby a na ně se zaměřit. Vypnout FTP když ho nikdo nepoužívá, je naprosto na nic (kromě toho, že vytváří falešný pocit bezpečí).
-
Ať je to už Win nebo Linux server, tak vždy o půlnoci se spouštějí hloubkové antivirové kontroly.
Neznám žádný antivirus, který by opravdu scanoval Linux (tj. ne např. wordová data na linuxové fileserveru) a zároveň by byl něco víc ne marketingová bublina. Proto se na to ptám, co je použito.
A myslím, že datové schránky jsou přece jenom trošku něco jiného. [...] Mě hlavně zajímá jestli se dá ještě něco použít...
Jsou (aspoň podle mě) stejné v tom, že správci si zřejmě myslí, že by měli nasadit ještě něco.
-
no vzhledem k uživatelům...
to s klíči bude asi problém, ale jaká je možnost zneužití přihlašování pomocí hesla ?
To zase když pomyslím, že si někdo stáhne klíč daného jedince ...
Stát se to může...
Tak třeba dost zdánlivě bezpečných hesel se dá relativně jednoduše uhádnout (viz ten odkaz na xkcd). Klíče mají alespoň pevně danou vysokou entropii (až na jednu chybu ve starším Debianu, ale takové klíče lze snadno najít a zablokovat).
Samozřejmě se to stát může, proto je potřeba počítat i s tím, že útočník už je uvnitř, a omezit tak škodu, kterou může napáchat. Jinak mnohem pravděpodobněji se může stát, že útočník místo stažení klíče přečte papírek s heslem (máte šifrované disky počítačů, které smějí opustit kancelář?)
-
Tak třeba dost zdánlivě bezpečných hesel se dá relativně jednoduše uhádnout
A není lepší se zaměřit na znemožnění útoku hrubou silou? U služeb dostupných jenom lokálně to jde triviálně. U veřejně dostupných je potřeba zvážit pro a proti.
Klíče mají alespoň pevně danou vysokou entropii (až na jednu chybu ve starším Debianu, ale takové klíče lze snadno najít a zablokovat).
Zato se místo v mozku nacházejí na disku. Čili bezpečnost serveru v podstatě záleží na bezpečnosti koncového zařízení.
-
Klíče mají alespoň pevně danou vysokou entropii (až na jednu chybu ve starším Debianu, ale takové klíče lze snadno najít a zablokovat).
Zato se místo v mozku nacházejí na disku. Čili bezpečnost serveru v podstatě záleží na bezpečnosti koncového zařízení.
Soukromé klíče lze šifrovat heslem ;)
-
Soukromé klíče lze šifrovat heslem ;)
...čímž se efekt smrskne zpět na bezpečnost toho hesla. A jsme (skoro*) tam, kde jsme byli a navíc máme zbytečně zkomplikovanou situaci...
* Skoro proto, že alespoň v některých případech můžu klíč ukrást a vesele si na něj bruteforcovat doma, aniž by to kdokoli věděl a mohl to zjistit, neřkuli zastavit.
Docela silně zastávám názor, že jediný nárůst bezpečnosti oproti heslu je hw token s nevyexportovatelným klíčem. Všechno ostatní jsou šidítka.
...ale to jsme se dostali někam, kam jsem se právě dostat něchtěl - k diskusi o technologii bez znalosti širšího kontextu, k čemu má vlastně sloužit...
-
Soukromé klíče lze šifrovat heslem ;)
...čímž se efekt smrskne zpět na bezpečnost toho hesla. A jsme (skoro*) tam, kde jsme byli a navíc máme zbytečně zkomplikovanou situaci...
* Skoro proto, že alespoň v některých případech můžu klíč ukrást a vesele si na něj bruteforcovat doma, aniž by to kdokoli věděl a mohl to zjistit, neřkuli zastavit.
Docela silně zastávám názor, že jediný nárůst bezpečnosti oproti heslu je hw token s nevyexportovatelným klíčem. Všechno ostatní jsou šidítka.
...ale to jsme se dostali někam, kam jsem se právě dostat něchtěl - k diskusi o technologii bez znalosti širšího kontextu, k čemu má vlastně sloužit...
Proto jsem psal, že by počítače, které mohou být mimo kancelář, měly být zašifrovány. Mimochodem ono ukrást klíč je většinou o dost těžší než ukrást heslo. Heslo získáte třeba jenom tím, když dotyčného natočíte, jak to heslo zadává. Nebo prolomíte rádiové spojení od bezdrátové klávesnice. Pro klíč musíte získat přístup na disk počítače.
-
Btw. http://xkcd.com/936/
jak se z 11 znaků stane 28 bitů?
-
Btw. http://xkcd.com/936/
jak se z 11 znaků stane 28 bitů?
https://cs.wikipedia.org/wiki/Entropie#Informa.C4.8Dn.C3.AD_entropie
http://ari.wikidot.com/kryptologie-a-komprimace#toc6
-
aha. v tom případě je ten výpočet z komixu dost nedotažený.
-
Security through obscurity tak trosku?
-
Jaký plat a motivaci má nejhůře placený zaměstnanec s přístupem k datům?
Mají uklízečky se znalostmi "ajťáka" přístup k počítačům bez dozoru?
Řešíte firemní problémy u piva v blízké hospůdce?
Pokud jsi alespoň na jednu otázku odpověděl ano, začni řešit i jiné druhy bezpečnosti.
Podobných otázek je spousta.
-
Docela silně zastávám názor, že jediný nárůst bezpečnosti oproti heslu je hw token s nevyexportovatelným klíčem. Všechno ostatní jsou šidítka.
Ani ten token nejspíš (v případě třeba unixových účtů) nepomůže - útočníkovi stačí přihlásit se jednou a může na vzdálený systém zasadit backdoor.
-
Jak to tak čtu, tak vlastně neexistuje bezpečná síť, existuje pouze řada komplikací, které musí útočník řešit, ale všechny jsou obejitelné a záleží jen na tom, jak moc po těch datech pase...
-
Ani ten token nejspíš (v případě třeba unixových účtů) nepomůže - útočníkovi stačí přihlásit se jednou a může na vzdálený systém zasadit backdoor.
To už je ale zranitelnost jiného druhu. Heslo slouží k autentizaci, ne k ochraně před instalací backdooru :)
-
Jak to tak čtu, tak vlastně neexistuje bezpečná síť, existuje pouze řada komplikací, které musí útočník řešit, ale všechny jsou obejitelné a záleží jen na tom, jak moc po těch datech pase...
Dobrý, že pouze na základě pár příspěvků jste došel k závěru, který je bohužel pravdivý... možná mě někdo poopraví, ale risk managenet je právě o tom odhadnout co je pro firmu riziko a tam nasadit zabezpečení, ale zabezpečení takové, které svými náklady a snížením komfortu používání odpovídá míře rizika (měnit hesla každý měsíc například ve většině případů vede k zbytečnému snížení komfortu používání služby a ke zvýšení rizika použití "lehkých hesel" - prostě to povede uživatele k volbě špatných hesel, protože uživatelé budou chtít aspoň částečně kompenzovat snížený komfort).
Je tady zmíněno filtrování adres z Číny. To bych nezonačil za zabezpečení, ale jako jeden ze způsobů zkrácení logů z důvodu přehlenosti a zároveň snížení zátěže serveru. Pro tento účel jsou lepší automatické nástroje než ruční dohledávání (denyhosts, online listy apod.)
-
Dobrý, že pouze na základě pár příspěvků jste došel k závěru, který je bohužel pravdivý... možná mě někdo poopraví, ale risk managenet je právě o tom odhadnout co je pro firmu riziko a tam nasadit zabezpečení
Podle mě je začít riziky dobré taky v tom, že to člověka úplně přirozeně dovede k zamýšlení se nad disaster recovery. Prostě počítám s tím, že se určité věci můžou stát a mám promyšlené, co udělám, když se stanou. Oproti tomu, pokud si udělám fetiš ze "zabezpečovacích tehnologií", sám sobě nutím představu, že jsem udělal všechno proto, aby se něco NEstalo - a když se to přesto stane, jsem zaskočený... To první vede k počítání se vším, to druhé k překvapení čímkoli :)
-
Mají uklízečky se znalostmi "ajťáka" přístup k počítačům bez dozoru?
Nemusí mít ani žádné znalosti. Stačí umět do usb portu vrazit keylogger.
-
Uvědomuju si realitu, takže jen pro inspiraci.
Technický věci už zazněly, proto stručně:
Fyzická bezpečnost budovy a serverovny (ve stručnosti: zámky, dveře a okna, revize alarmu prověřeným technikem, analýza kudy by to šlo proniknout do objektu, zabezpečení kabeláže, docházkovej systém vs. vrátnej, hlídači vs. kamerovej systém, nepravidelnej interval obchůzek hlídačů ).
Položit si otázku jakej typ útočníka je nejpravděpodobnější (jestli bude mít možnosti jako Mossad tak jseš stejně nahranej ;-))
Bezpečnost čistě na základě návrhu je příliš nákladná, proto je dobré kombinovat bezpečný návrh a bezpečnost na základě utajení.
Kontrolujte přenosná zařízení přistupující do sítě.
Prověřujte uživatele, návštěvníky i úklidovou službu.
Nastav procesy tak aby byly odolný proti sociotechnikám.
Předpokládejte že k napadení už došlo.
Zákaz BYOD
Mirek Prýmek
Bezpečnější než hw tokeny je vícefaktorová autentizace. Pokud by byla bezpečnost skutečnou prioritou tak se dá kombinvat nějaký sofistikovaný způsob heslové fráze (např. jednorázové hesla). s nějakým tokenem a biometrií.
Ohledně tý analýzy rizik. Zrovna se učim na zkoušku z "risk managementu" zaměřenou obecně na průmysl (bohužel s převahou bezpečnosti chemických provozů, jaderné energetiky oproti praktickejm věcem jako jsou projekty, nebo IT).
Setkal jsi se v IT praxi i s kvantivativní analýzou rizika? Od kud se berou data pravděpodobnosti, respektive frekvenci standartních typů bezpečnostních incidentů?
-
Mají uklízečky se znalostmi "ajťáka" přístup k počítačům bez dozoru?
Nemusí mít ani žádné znalosti. Stačí umět do usb portu vrazit keylogger.
Jasný :-) chtěl jsem mu jen naznačit, že je potřeba se na to podívat i z jiného pohledu.
-
Bezpečnější než hw tokeny je vícefaktorová autentizace. Pokud by byla bezpečnost skutečnou prioritou tak se dá kombinvat nějaký sofistikovaný způsob heslové fráze (např. jednorázové hesla). s nějakým tokenem a biometrií.
Jasně, dva faktory jsou vždycky bezpečnější než jeden.
Ohledně tý analýzy rizik. Zrovna se učim na zkoušku z "risk managementu" zaměřenou obecně na průmysl (bohužel s převahou bezpečnosti chemických provozů, jaderné energetiky oproti praktickejm věcem jako jsou projekty, nebo IT).
Tohle bych hrozně moc chtěl vidět - máte nějaký skripta v el. podobě nebo aspoň záznam přednášek? Fakt mě to hodně zajímá, hlavně ta jaderná energetika, můžeš pls. dát odkaz nebo se ozvat soukromně? Dík moc.
Setkal jsi se v IT praxi i s kvantivativní analýzou rizika? Od kud se berou data pravděpodobnosti, respektive frekvenci standartních typů bezpečnostních incidentů?
Já jsem v tomhle samouk a dělám to pro své potřeby, takže teorie mi spíš chybí. Co jsem zatím četl/slyšel, riziko se vždycky kvantifikovalo expertním odhadem. Že by to někdo nějak počítal, o tom jsem zatím neslyšel - a moc rád si o tom něco poslechnu, pokud se podělíš.
-
Já jsem v tomhle samouk a dělám to pro své potřeby, takže teorie mi spíš chybí. Co jsem zatím četl/slyšel, riziko se vždycky kvantifikovalo expertním odhadem. Že by to někdo nějak počítal, o tom jsem zatím neslyšel - a moc rád si o tom něco poslechnu, pokud se podělíš.
Napiš mailovou adresu, pošlu materiály.
-
Uživatele nutím každý měsíc ke změně hesla, které nárokuje určitou složitost.
Tohle je moc fajn zpusob, jak bezpecnost totalne zborit ... useri si pak hesla pisou kde se da, protoze si je nepamatujou. Rozumna je zmena tak jednou do roka ... (coz uz ti tu jini napsali)
Jinak z toho tvyho dotazu mam pocit, ze vubec netusis jaka rizika hrozi ... a predevsim nevis, ze 99% utoku pochazi ... zevnitr organizace. A i to 1% zvenku vubec neznamena, ze to bude po siti.
Predevsim neni od veci vyhodnotit, co vlastne zabezpecuju a predevsim, jake (financni) ztraty mi hrozi. Protoze fakt nema smysl investovat miliony do zabezpeceni par stanic, na kterych utocnik tak mozna zjisti, ze sekretarka reditele spi i s jeho zastupcem ...
-
Mohu potvrdit, že nucená změna hesla měsíčně a to s pouzitím pravidla male pismena, cislo, specialni znak vede akorat k heslum jako např.: asdf123+, další měsíc qwer123+ atd.... :-D
A co takto šifrované emaily? Řešíte to nějak víc někde?
-
Napiš mailovou adresu, pošlu materiály.
Super! Předem dík moc, pošli toho co nejvíc :)
Použít můžeš libovolný kontakt z http://www.gosw.cz/kontakt.html