Router a Server v jednom

[Miroslav Šilhavý]

Přesně tak, pletou si NAT a firewall.
NAT - samozřejmě, do jisté míry / nějak - zesložiťuje útok, ale NAT není firewall.

To byl jen jeden příklad, jak někdy mylná úvaha vede k řetězci špatných úvah na poli bezpečnosti. Diskutovaná byla otázka, jak může VPS na stroji vystrčením na internetu, ohrozit perimetr vnitřní sítě a ostatní VPS. Meritem je, že v takové konfiguraci je oslabené oddělení, oproti fyzickému oddělení. Při fyzickém oddělení musí být další chyby v komunikačních protokolech, v jejich nastavení. Při souběhu na jednom hypervizoru se přičítají ještě rizika plynoucí z hypervizoru - tj. chybná konfigurace, chyby hardware (spectre), backdoory (amt), a z hlediska provozu ještě rizika výpadku (případný DoS útok je vedený na mašinu, která slouží i dovnitř).

Zhodnocení těch rizik je otázka jiná. Někdy to vadí hodně (závisí na tom provoz zaměstnanců), jindy to vadí méně (hobby projekt). Bez toho, aniž by někdo vyjmenoval potenciální vektory útoků, nelze zhodnotit dopady. Bez zhodnocení dopadů nelze odpovědět na otázku, zdali je to v mém případě možno považovat za dostatečně bezpečné.

Takže pokud někdo položí otázku "je to bezpečné?", je taková otázka nezodpověditelná bez doplnění očekávání. Absolutní bezpečnost neexistuje, a je-li něco relativní, tak se na to dá odpovědět jen "vůči čemu, vůči jakým požadavkům, vůči jakému očekávání?"

[Reklama]

[altrok]

Pokud porty vystrčí jen pro určité rozsahy IP adres nebo pro IP rozsahy celé ČR, pořád bude neviditelný před skenery typu shodan a tím pádem i před drtivou většinou útočníků. Osobně si takhle omezuju i dostupnost OpenVPN.

To je klasický omyl. Skrytí před útočníkem nezvyšuje bezpečnost. Příkladem jsou útoky do vnitřní sítě iniciované z prohlížeče, kdy dvířka otevírají NAT helpery. Před léty si taky nikdo neuměl představit, že by se dalo dovnitř dostat přes NAT a dodnes NAT někteří považují za bezpečný by default.

Neviditelnost portů vnímám jako eliminaci jednoho z vektorů útoku. Pokud se objevují zranitelnosti komerčních VPNek, pak je pro mě skrytí portů důležitá prevence.

...pro IP rozsahy celé ČR...

A ty rozsahy ČR v dnešním adresním bordelu (předpokládám IPv4) berete odkud?

Jak kdy. https://mikrotikconfig.com/firewall/ , OPNsense má připravený checkbox.

[Miroslav Šilhavý]

Neviditelnost portů vnímám jako eliminaci jednoho z vektorů útoku. Pokud se objevují zranitelnosti komerčních VPNek, pak je pro mě skrytí portů důležitá prevence.

Ne v pravém slova smyslu. Neřeší to problém, jen to uhýbá před jeho projevem. Problém zůstává dál.

Představte si letadlo, kterému nefunguje osvětlení kokpitu. Můžete buďto opravit letadlo, nebo vydat pokyn, že se smí lítat jen ve dne. Pokud se vydáte tou druhou cestou, tak se nic nestane do doby, než se pilotům přihodí (třeba kvůli problému na letišti), že zapadne slunce.

Za bezpečnostní řešení konkrétního problému se dá považovat jen takové, jehož výskyt dokážete eliminovat, ne jen mitigovat.

Proto se to obvykle nepovažuje za zabezpečení, pouze za mitigaci projevů.

[Logik]

Proto se to obvykle nepovažuje za zabezpečení, pouze za mitigaci projevů.

V podstatě s tím souhlasím. Ale zas nepsal jsi?

Takže pokud někdo položí otázku "je to bezpečné?", je taková otázka nezodpověditelná bez doplnění očekávání.

Takže skrytí portů bezpečnost zvýší, jen ji nezvýší tolik, jako jiné, lepší řešení problému. Otázka tedy je: zvýší to (pro danou aplikaci) dostatečně?

[Miroslav Šilhavý]

Ale zas nepsal jsi?

Takže skrytí portů bezpečnost zvýší, jen ji nezvýší tolik, jako jiné, lepší řešení problému. Otázka tedy je: zvýší to (pro danou aplikaci) dostatečně?

IP adresa je nestálá. Pokud víme, komu patří dnes, nevíme, komu bude patřit zítra. Na to bychom museli stanovit pravidelnou revizi (z praxe vím, že access listy jen rostou, málokdy se revidují). Nemáme jak ověřit, že IP odesilatele nebyla cestou podvržena (může udělat kdokoliv po cestě). Z hlediska bezpečnosti bych to bral spíš jako poor man's hardening. Pro vyhodnocení rizik bych to označil čistou nulou a vyžadoval bych stejně další mechanismus, který bude spolehlivý. Spolehlivý mechanismus může být náchylný k DoS, a tam IP access list může posloužit k odvrácení odepření služby, ale ne k zabezpečení.

[Reklama]