Jak řeší bezpečnost specialisti?

[darebacik]

Najprv napisem, ze nie som odbornik na siete a bezpecnost. Nestudoval som to, ale vela si o tom citam a studujem ako samouk. Nepouzivam ziadne VS skripta (obcas si precitam nejaku BP, alebo DP) a dost vela z toho co prestudujem si nasadim do prevadzky.
Pustam sa do takych veci, ktore dokazem zvladnut, takze nejaky proxmox (skusal som vmware, ale rychlo som sa vratil k proxmoxu), zopar KVM, LXC, docker, nejake weby, WP, dokuwiki, nextcloud, selfhosting, collabora, drawio a pod. Mam tiez zabbix, ale do toho sa moc nepustam, monitorujem len nejak NS loco5. Nechcem tu spominat vsetko, ale aspon z casti som nieco nacrtol.

Nemam ziadny VPS, vsetko si hostujem doma na jednom fizickom stroji, vratane pfSense v KVM. Nejake veci mam vystercene do internetu (hlavne weby), aj nextcloud a mozno aj to co by vystrcene nemuselo byt.

Na pfSense na WAN dostavam od ISP verejnu dynamicku IPv4 adresu, takze vela veci riesim cez free dns sluzby. Vsetko mi funguje k spokojnosti a nemam ziadne problemy. Ako som spominal, vsetko, vratane routra/firewallu bezi na jednom HW s CPU core i5 10400 a 32GB RAM. Prevaznu cast zivota to ide v idle (CPU si buble na 2.5%).

Zaujma ma bezpecnost. Nikdy som to neriesil, nemal som dovod, pretoze vsetko funguje, pravidelne aktualizujem a zalohujem. Casto vsak pocujem, ze hackeri napadli ten, alebo onen web. Dostali sa k databaze, vykonali DDOS utok a pod.

Z mojej strany si myslim, ze mam vsetko bezpecne (aj ked to nemusi byt pravda). Cela siet je za NAT a do internetu mam vystrcene len niekolko veci a mam otvorene, len tie najnutnesjie porty. To co je vystrcene do internetu je tiez v DMZ, cize neohrozi to napr. LAN. Na prihlasovanie ssh pouzivam ssh kluce, inde (napr. pre web menezment) pouzivam silne hesla atd .. atd ... atd ...

Za napadnutie servera povazujem to, ze niekto sa dostane do systemu napr. cez SSH, alebo nejaku inu dieru (napr. WP sa hovori, ze je deravy) a dokaze spustit nejaky prikaz, alebo sa dostane k databaze. Dalsi problem vidim v DDoS, ale toho sa asi nijak neda zbavit, jedine odpojit sa od internetu (resp. pouzit nejaky proxy, cloudflare a pod.).

Ako riesia tieto napadnutia a utoky spravcovia serverov, resp. pravcovia sieti. Ako vedia (a ci vobec o tom tusia), ze niekto sa dostal do systemu, ze im vykradol databazu a pod. A ked to nahodou zistia, tak ci vedia ako sa tam niekto nabural aby tuto dieru mohli opravit.

Da sa nejakymi online nastrojmi otestovat/oskenovat server. resp. IP adresa ci je v poriadku a nie je tam ziadna diera ?

[Reklama]

[Filip Jirsák]

Cela siet je za NAT

NAT vás z hlediska bezpečnosti nijak nechrání. Naopak zvyšuje bezpečnostní riziko, protože v konfiguraci NATu může být chyba, která způsobí ohrožení bezpečnosti.

[darebacik]

Ano ja viem, ale NAT musime pouzivat ked sme v IPv4.

[ogdru6jahad]

najdi si publikovanou chybu i s nastrojem pro zneuziti chyby.
nainstaluj si postizenou verzi webserveru, mailserveru apod.
aplikuj skript, ktery utoci na diru v serveru a ziskej pristup pomoci diry v software.
mezitim si na svem stroji vsechno zaloguj a nauc se co se v systemu mezi tim stalo.

tak se naucis pracovat s chybami v systemu. aplikuj zaplaty, kontroluj exploity,
studuj zdrojaky zda jsou tam zneuzitelne chyby.

[jfila]

Nechat si web otestovat lze i zdarma, už je to pár leto co jsem to absolvoval.
https://www.bezpecnyinternet.cz/cs/bezpecnostni-testy/

Jinak doporučuji se naučit používat MetaSploit.
https://www.metasploit.com/

Dle mého názoru není nikdy nic naprosto bezpečné. Máte představu kolik řádků kódu "používáte" a v kolika je chybka? A pokud není zrovna zneužitelná chyba v kódu, co třeba níž, například na úrovni HW. Vše je otázka motivace, času a prostředků.

Existují registry zranitelností, můžete si vypsat seznam sw a jejich verzí a porovnat to, pokud náhodou nic nenajdete, nutně to neznamená, že tam nejsou, objeví se za čas nebo třeba nikdy.

Zadáte penetrační test a každý něco najde něco jiného, je třeba posoudit zda je to závažné. Také řetězit zranitelnosti lze. Útočník získá přístup do webového serveru, eskaluje práva, zneužije další zranitelnost umožňující "utéct" z VM atd atd...

Ale většinou chybu udělá člověk, klikne na odkaz v mailu, stáhne si "cinknutou" verzi PuTTY z jiných stránek nebo použije heslo, které už použil jinde.

[Reklama]

[martyd420]

Nechat si web otestovat lze i zdarma, už je to pár leto co jsem to absolvoval.
https://www.bezpecnyinternet.cz

"Proto je naše bezplatná služba určena neziskovým organizacím"
Jinak je to jen automatický scan, spíše falešný pocit bezpečí.

[jfila]

Aha, změna tenkrát to bylo zdarma i pro běžné smrtelníky.

Nepsal jsem, že co nenajde tento sken, tak tam není. Myslel jsem že na základě mého předchozího příspěvku všichni vypnou vše. Jsem zvědav co napíší ostatní.

[stevo54785]

Skús sa ešte mrknúť na https://www.shodan.io/

[vXmUVBPz]

Zdravím.

Můžu předat pár slov z pohledu ofenzivní bezpečnosti.

Záleží na tom, do jaké hloubky chcete bezpečnost řešit. Říkáte, že máte do internetu vystavené nějaké služby, máte FW, uvnitř DMZ, za tím další neveřejné služby atd atd...
Můžete si oskenovat vaši veřejnou část infrastruktury, což bude předpokládám ta vaše jedna veřejná IP, kterou vám ISP zrovna přidělí. Dejte šanci třeba Tennable Nessus. Na omezený počet IP adres vám dají licenci zdarma (pokud něco nezměnili). Ano, jsou jiné a kompletně free alternativy - nemám s nimi zkušenosti. Nessus, nebo podobný krám, s největší pravděpodobností stejně budou pouštět ty zmiňované společnosti... Pak můžete udělat to samé uvnitř vaší sítě. Nessus také umí provést i lokální sken strojů jako takových (dáte tomu v konfiguraci třeba ssh přístup, on se při skenech na jednotlivé hosty připojí a udělá hromady lokálních kontrol).

Tím dostanete hrubý obrázek toho, jak na tom jste při pohledu "ze světa" a "zevnitř". Jestli máte někde komponentu s veřejně známou zranitelností, staré a nepodporované verze SW, typické konfigurační chyby, atd. atd.
Výstupy už si ale pak samozřejmě musíte nějak interpretovat. Typicky budete řešit kde svítí největší problémy a co je nutné řešit s prioritou. Pokud vám z toho nedejbože vyběhne, že máte na nějaké veřejné službě (plácnu, třeba ten Nextcloud) kritickou zranitelnost, tak se částečně přesouváte k druhé části vašeho příspěvku...

...a to jestli už u vás někdo byl, nebo je, a jak na to vlastně přijít. Tento svět znám pouze z zpovzdálí u korporátů, kde mají ty jejich robustní řešení antivirů, SIEMy, SOARy, XDRka, SOCy a kdoví co ještě. Dá se to shrnout tím, že se všechno monitoruje - sbírá se hromada dat/logů, nad kterými se provádí velmi chytrá analýza. Pokud ta analytika objeví nějaké podezřelé chování, vystřelí to upozornění a někdo to musí řešit. Jak tohle ale řeší nějaké menší společnosti, kde mají jednoho admin na všechno, netuším. Řekl bych, že spíš nijak...

Závěrem bych se zeptal, zda je pro vás opravdu nutné ty vaše služby vystavovat do internetu. Nemůžete si to schovat za VPN a "mít klid"? U sebe mám do netu vystavený jeden vysoký UDP port pro wireguard a tím to hasne. Na druhé straně nemám doma zdaleka takový setup jako popisujete vy

[_Tomáš_]

Abys mohl řešit bezpečnost potřebuješ extenzivní znalosti buď technologii nebo doporučených konfigurací. Nikdy ale nebudeš schopný kvantitifikovat sám, jak bezpečnou platformu máš.

Pokud navrhuješ zabezpečení nějakého systému, musíš znát a aplikovat doporučení pro každou část, pro každou komponentu, kterou v něm máš, tohle musíš dělat skoro na denní bázi a nikoliv jednorázově. Na to, abys dokázal spolehlivě posoudit, které doporučení je slabé a které silné, které můžeš vynechat potřebuješ opravdu obrovské množství znalostí a důkazů/testů. Zkrátka řečeno, sám to nikdy neuděláš, musíš se na to specializovat a to poměrně dlouho. A i potom můžeš jen věřit a doufat, že jsi to udělal vše správně, protože si to neumíš zpravidla sám ověřit, ale musíš na to najít třetí strany.

Pokud naopak útočíš, stačí ti velmi dobrá znalost jen několika nástrojů, komponent, výsledek pak můžeš poskytovat jako službu/program. Těch útočníků/hackerů je více, každý si řeší jednu část a výsledek je práce spousty a spousty lidí (viz třeba databáze metasploit. A proti tomuhle ty bojuješ jako jednotlivec.

najdi si publikovanou chybu i s nastrojem pro zneuziti chyby.
nainstaluj si postizenou verzi webserveru, mailserveru apod.
aplikuj skript, ktery utoci na diru v serveru a ziskej pristup pomoci diry v software.
mezitim si na svem stroji vsechno zaloguj a nauc se co se v systemu mezi tim stalo.

tak se naucis pracovat s chybami v systemu. aplikuj zaplaty, kontroluj exploity,
studuj zdrojaky zda jsou tam zneuzitelne chyby.

Tohle je dobré, když chceš mít povědomí, jak to probíhá a jak to funguje uvnitř, ale moc ti to nepomůže v návrhu a realizaci bezpečného systému, protože budeš mít zkušenosti pouze k jednomu typu útoku/zranitelnosti. Ale určitě je to správné doporučení, pokud se tomu chce někdo věnovat. Dlouhodobě si udržuji sestavení starších verzích distribucí, nástrojů, databází jako obraz do VM, mohu pak zpětně dělat tyhle analýzy a učit se na tom.

[mark42]

Ako riesia tieto napadnutia a utoky spravcovia serverov, resp. pravcovia sieti. Ako vedia (a ci vobec o tom tusia), ze niekto sa dostal do systemu, ze im vykradol databazu a pod. A ked to nahodou zistia, tak ci vedia ako sa tam niekto nabural aby tuto dieru mohli opravit.

Da sa nejakymi online nastrojmi otestovat/oskenovat server. resp. IP adresa ci je v poriadku a nie je tam ziadna diera ?

Vyssie odporucany Shodan resp. ine bezpecnostne skenery Ti povedia, ci mas znamu zranitelnost vystavenu von.

Dalej https://en.wikipedia.org/wiki/Intrusion_detection_system je skupina SW, ktore monitoruju rozne parametre (procesy, disk, komunikacia) a ak zistia anomaliu oproti nastavenemu stavu, tak upozornia. Podobne funguju aplikacne firewally, ktore ale pozeraju len na sietove prenosy, a vedia zablokovat komunikaciu aj na zaklade obsahu paketu. Toto je vsak narocne na spravu a pre domace pouzitie neviem, ci existuje kvalitna alternativa.

[_Tomáš_]

Ako riesia tieto napadnutia a utoky spravcovia serverov, resp. pravcovia sieti. Ako vedia (a ci vobec o tom tusia), ze niekto sa dostal do systemu, ze im vykradol databazu a pod. A ked to nahodou zistia, tak ci vedia ako sa tam niekto nabural aby tuto dieru mohli opravit.

Da sa nejakymi online nastrojmi otestovat/oskenovat server. resp. IP adresa ci je v poriadku a nie je tam ziadna diera ?

Vyssie odporucany Shodan resp. ine bezpecnostne skenery Ti povedia, ci mas znamu zranitelnost vystavenu von.

Dalej https://en.wikipedia.org/wiki/Intrusion_detection_system je skupina SW, ktore monitoruju rozne parametre (procesy, disk, komunikacia) a ak zistia anomaliu oproti nastavenemu stavu, tak upozornia. Podobne funguju aplikacne firewally, ktore ale pozeraju len na sietove prenosy, a vedia zablokovat komunikaciu aj na zaklade obsahu paketu. Toto je vsak narocne na spravu a pre domace pouzitie neviem, ci existuje kvalitna alternativa.

K tomu IDS (a navazujícímu IPS), to jsou dnes už zastaralé přístupy, ne že by nebyly užitečné a měly svoje místo, ale útočníci se naučili dělat vyčkávací zranitelnosti, kdy ovládají nějaký systém, ale ten se neprojevuje dokud nenastane správný čas, pak je na IDS už pozdě a IPS hasí jen požár. Doba, kdy nákazala znamenala boom nových procesů v systému a otevírání spousty reklam nebo masivní šifrování souborů, které uměl IDS dobře detekovat, je už pryč. Stejně tak reakční čas běžného IPS, který potřeboval nejprve nasbírat data a pak reagovat už je také obstarožní, pomáhá to, ale problém to neřeší. Dnes se nákazy šíří zadními vrátky v SW (ať už cílenými nebo chybami), špatnou konfigurací, získáním přístup na koncové stanice, napadením řetěžce důvěry (např. repositáře a tím zase úprava SW).

Dnes celý sektor se mění na vytváření malých vězených pro služby, počítání s tím, že služba se může začít kdykoliv chovat nestandardně, omezování dosahu služeb, ověřování správné konfigurace, hledání anomálií nikoliv v rámci jednoho serveru, ale celé infrastruktury (takové IDS na steroidech). Čím dál více práce se přesouvá na statickou analýzu před nasazením a ověřování integrity (nastavení, aplikace) při běhu. Nějaké kontroly provozu a zabránění třeba masivního stahování jsou taková poslední záchrana, ale již jsou důsledkem a nikoliv příčinou, která by se měla systematicky řešit.

Čím víc částí se přesouvá na PaaS, tím IDS mají menší množství dat a naopak 360 integrace logů a metrik a jejich analýza (dnes s marketingovým názvem SIEM) realtime je to, co se buduje a na co se spoléhá. Obor se stává hodně komplexní, stejně jako SW samotný.

[darebacik]

Spominate, ze IPS a IDS su zastarale techniky. Rozmyslal som nad snort alebo suricatou na pfsense, ale teraz neviem ci sa do toho vobec pustat.

[mark42]

Spominate, ze IPS a IDS su zastarale techniky. Rozmyslal som nad snort alebo suricatou na pfsense, ale teraz neviem ci sa do toho vobec pustat.

Suhlasim s Tomasom, ze PaaS, SIEM a hrabanie sa v logoch je teraz viac trendy vo firemnom prostredi, ale pre domace pouzitie je stale IDS lepsie ako nic - ak sa ti PC na sieti stane sucastou DDOS botnetu alebo ak ti ransomware zacne sifrovat disk, stale to pomoze.

[_Tomáš_]

z IDS si sice můžeš všimnout, že ti někdo šifruje disk nebo jsi součástí ransomware sítě, ale zpravidla to už je po funuse...

On největší problém je spíše ty nástroje nějak rozumně nastavit, snort nebo suricata mají strašně moc možností a hejblátek, alert noise může být výrazně až obtěžující. Nejraději používám obyčejný zeek a loguji si základní metadata o tcp/udp/icmp spojení podle aplikací a uživatelů v čase.

Pokud se to chceš učit, určitě se tomu věnuj, dá ti to hodně, pokud chceš mít aspoň základní metriky, abys mohl mít servery lépe pod kontrolou, subjektivně mi sedí použití netdaty a coroot a pak podle toho upravit nastavení služeb, ty je dobré spouštět v kontejnerech s vlastní IP, kterou obsluhuješ v třeba pfsense, abys to mohl nějak rozumně korigovat. I to je ale hodně práce a někdy je o dost levnější si takové služby zaplatit v cloudu a použít nativní nástroje nebo si na to někoho objednat.