Bezpečnost sítě

Stiflerova máma

Bezpečnost sítě
« kdy: 03. 01. 2013, 14:38:25 »
Jak nejlépe zabezpečit firemní síť, která umožňuje přístup z venčí k:

-ssh
-rdp
-vpn
-ftp
-web

Jako GW používám linuxové distro. Endian firewall který obsahuje IPS a pravidelně se aktualizuje, pouštím jenom potřebné porty.
Uživatele nutím každý měsíc ke změně hesla, které nárokuje určitou složitost.
Každý den provádím analýzu logů a sestavuji patřičné blacklisty.
Veškeré servery provádějí svoji antivirovou kontrolu pravidelně každý den (Win i Linux).
Teď přemýšlím, nad Cisco Asa.

Poradí někdo jak jinak lze ještě síť bránit proti útokům ?
Teď neberu v potaz zabezpečení pro endpoint.


smoofy

  • *****
  • 1 059
    • Zobrazit profil
    • E-mail
Re:Bezpečnost sítě
« Odpověď #1 kdy: 03. 01. 2013, 15:28:31 »
A proti cemu ji chces branit? To je dost dulezity. Pokud tam bezi nejakej dulezitej server tak bych urcite premyslel o reverzni proxy.

Sten

Re:Bezpečnost sítě
« Odpověď #2 kdy: 03. 01. 2013, 15:33:21 »
-rdp
-ftp

Doporučuji nepoužívat přímo, ale jen přes VPN, jejich bezpečnost a spolehlivost jsou přinejmenším sporné.

-vpn

Důležité je, aby VPN vedla pouze „na půl cesty“, kde je sice povoleno třeba FTP, RDP nebo Bonjour, ale jinak je od vnitřní sítě stále odděleno firewallem.

-web

Pokud je to IIS, Apache nebo Tomcat, doporučuji před to nějakou bezpečnou reverzní proxy (asi nejlepší je nginx).

Uživatele nutím každý měsíc ke změně hesla, které nárokuje určitou složitost.

To je sice oblíbené, ale pokud nedělají v bance (a nějak rozumně omezíte rychlost hádání), tak celkem zbytečné.

Btw. http://xkcd.com/936/

Každý den provádím analýzu logů a sestavuji patřičné blacklisty.

Každý den? Proč to nedělá automat on-line? Jinak blacklisty je dost problém sestavovat tak, aby to nezablokovalo uživatele (někdo cizí zkusí útok ze stejného hotelu, kde zrovna pořádáte prezentaci, a máte problém), lepší je sestavovat graylisty a omezit počet sestavených spojení za čas.

Poradí někdo jak jinak lze ještě síť bránit proti útokům ?

Zablokovat odchozí SMTP odjinud než z mejl serveru, jeho komunikaci s firewallem pokud možno oddělit do úplně jiné fyzické sítě.

Nasadit firewall na všechny servery a povolit jen ty služby, co používáte. Naprostá většina útoků je ze zavirovaných Widlí v kanceláři, případně z prolomených uživatelských účtů na serveru (to se prostě může stát, je potřeba na to myslet).

Pokud používáte nějaké SSO (Kerberos, Active Directory), tak zkontrolovat, jestli vám neputují špatně zabezpečená hesla po síti v kanceláři.

Motto: kdo staví nedobytnou pevnost, neměl by zapomínat, že útočník už může být uvnitř ;)

Stiflerova máma

Re:Bezpečnost sítě
« Odpověď #3 kdy: 03. 01. 2013, 15:55:52 »
No ty blacklisty si sestavuji z logu ve kterém je zobrazeno z jaké ip a kolikrát se pokusil útočník přihlásit.
Jeho ip projedu na whois a obvykle je o Čínu nebo Koreu, tak rovnou nechám zakázat celý rozsah, ze kterého byl pokus o přístup realizován.

Blacklist je logicky na hlavním FW za kterým jsou jak servery tak uživatelé.

SSH Kerberos nepoužívá. Ale uživatelé jsou nuceni měnit svoje hesla podle nastavených zásada.
AD také nutí měnit uživatele pravidelně hesla podle zadání.

VPN je použita jenom pro několik "notebookařů.
RDP je dostupné všem. Po pár neplatných pokus  se účty blokují na 20 minut.

FTP je zapnuto jenom v době potřeby.

Endpoint security je zajištěna minimálním oprávněním ke stanici + antivirus, pravidelné aktualizace atd..

FW zakazuje všechny nestandardní porty a SMTP je povoleno jenom na web serveru.

Servery na Linuxu, které jsou z venku přístupné používají ClamAV s pravidelným automatickým prohledávání virů, mají spuštěné IP tables...
Server na Windows - firewall, antivirus...

Při pokusu o "dolování" info z veřejné IP vyskočí jenom seznam otevřených portů. Logicky ...

Dá se ještě nějak jinak síť zabezpečit ?





Myslíte, že to Cisco je tedy zbytečný ?
Nebo dají se služby ještě nějak jinak zabezpečit ?

Ladislav Kepsta

Re:Bezpečnost sítě
« Odpověď #4 kdy: 03. 01. 2013, 15:56:19 »
Ako vyzera sietova infrastrukrura? Tie sluzby su umiestnene niekde v DMZ, alebo su len NATovane? Je dost riziko, rozne MGT protokoly (SSH, RDP) mat dostupne priamo z Internetu. Chce to vybudovat VPNku.


Stiflerova máma

Re:Bezpečnost sítě
« Odpověď #5 kdy: 03. 01. 2013, 15:59:07 »
Celé síti (takže jak segmentu se servery, tak uživatelská, hostovská i wifi) je nadřazen FW s IPS a IP blacklistem

Sten

Re:Bezpečnost sítě
« Odpověď #6 kdy: 03. 01. 2013, 16:03:31 »
Ako vyzera sietova infrastrukrura? Tie sluzby su umiestnene niekde v DMZ, alebo su len NATovane? Je dost riziko, rozne MGT protokoly (SSH, RDP) mat dostupne priamo z Internetu. Chce to vybudovat VPNku.

Pravda, zvenku přístupné SSH je bezpečné jen při přihlašování pomocí klíčů, takže přihlašování přes heslo bych tam zakázal. Kdo se chce přihlašovat přes heslo, tak musí napřed použít VPNku, která by se měla autentizovat certifikáty.

Stiflerova máma

Re:Bezpečnost sítě
« Odpověď #7 kdy: 03. 01. 2013, 16:14:06 »
no vzhledem k uživatelům...
to s klíči bude asi problém, ale jaká je možnost zneužití přihlašování pomocí hesla ?
To zase když pomyslím, že si někdo stáhne klíč daného jedince ...
Stát se to může...

Re:Bezpečnost sítě
« Odpověď #8 kdy: 03. 01. 2013, 16:25:06 »
Poradí někdo jak jinak lze ještě síť bránit proti útokům ?
Bezpečnost není o množství technologických opatření ani o jejich typu.

Uživatele nutím každý měsíc ke změně hesla, které nárokuje určitou složitost.
To je velmi dobrý způsob, jak bezpečnost snížit - reálný přínos tak rychlých změn hesla je malý, zatímco pravděpodobnost, že si je někdo začne někam psát, raketově roste. K dokonalisti už tomu chybí ještě kontrola, aby se nepoužívalo 5 posledně použitých hesel :)

Veškeré servery provádějí svoji antivirovou kontrolu pravidelně každý den (Win i Linux).
Jak přesně svoji antivirovou kontrolu provádějí ty linuxové servery?


P.S. celý mi to silně připomíná bezpečnostní politiku Datových schránek - uživatelé jsou "kvůli bezpečnosti" neuvěřitelně opruzovaní různými captchami a přitom datové rozhraní funguje bez nich :)

Stiflerova máma

Re:Bezpečnost sítě
« Odpověď #9 kdy: 03. 01. 2013, 16:32:50 »
Ať je to už Win nebo Linux server, tak vždy o půlnoci se spouštějí hloubkové antivirové kontroly.

Každý podezřelý nebo zavirovaný soubor je přesunut do karantény.

A myslím, že datové schránky jsou přece jenom trošku něco jiného.
Tady ani není nasazen žádný web-file manager....

Jasně, že síť nikdy nezabezpečíte tak, aby opravdu byla zcela neprůstřelná, ale aspoň se pokusím udělat maximum pro snížení rizika ne...
Nic méně, takhle můžeme debatovat nekonečně ...

Mě hlavně zajímá jestli se dá ještě něco použít...

Re:Bezpečnost sítě
« Odpověď #10 kdy: 03. 01. 2013, 16:35:39 »
Dá se ještě nějak jinak síť zabezpečit ?
1. Začít přemýšlet, jakého efektu vlastně chci dosáhnout, to je to nejdůležitější opatření. Každé ráno před snídaní padesátkrát napsat "nebudu geek fascinovaný množstvím technologií, ale zapojím selský rozum".

2. Sepsat alespoň jednoduchou bezpečnostní politiku (ideálně včetně širšího risk managementu) a udělat jednoduchá, přesně cílená opatření, která plní konkrétní požadavky politika. Natolik jednoduchá, aby jim pokud možno každý uživatel mohl porozumět.

3. Vyházet všechny nesmyslné radobybezpečnostní technologie, které jenom znepřehledňují situaci.

FTP je zapnuto jenom v době potřeby.
Tohle je výborný příklad deficitu bodu 1: FTP přece není "nebezpečné" tím, že naslouchá. Stejně jako telnet. "Nebezpečné" se stává tím, že ho někdo použije. Takže je třeba zapojit selský rozum, uvědomit si, v čem spočívají slabé stránky té které služby a na ně se zaměřit. Vypnout FTP když ho nikdo nepoužívá, je naprosto na nic (kromě toho, že vytváří falešný pocit bezpečí).

Re:Bezpečnost sítě
« Odpověď #11 kdy: 03. 01. 2013, 16:38:43 »
Ať je to už Win nebo Linux server, tak vždy o půlnoci se spouštějí hloubkové antivirové kontroly.
Neznám žádný antivirus, který by opravdu scanoval Linux (tj. ne např. wordová data na linuxové fileserveru) a zároveň by byl něco víc ne marketingová bublina. Proto se na to ptám, co je použito.

A myslím, že datové schránky jsou přece jenom trošku něco jiného.  [...] Mě hlavně zajímá jestli se dá ještě něco použít...
Jsou (aspoň podle mě) stejné v tom, že správci si zřejmě myslí, že by měli nasadit ještě něco.

Sten

Re:Bezpečnost sítě
« Odpověď #12 kdy: 03. 01. 2013, 16:48:13 »
no vzhledem k uživatelům...
to s klíči bude asi problém, ale jaká je možnost zneužití přihlašování pomocí hesla ?
To zase když pomyslím, že si někdo stáhne klíč daného jedince ...
Stát se to může...

Tak třeba dost zdánlivě bezpečných hesel se dá relativně jednoduše uhádnout (viz ten odkaz na xkcd). Klíče mají alespoň pevně danou vysokou entropii (až na jednu chybu ve starším Debianu, ale takové klíče lze snadno najít a zablokovat).

Samozřejmě se to stát může, proto je potřeba počítat i s tím, že útočník už je uvnitř, a omezit tak škodu, kterou může napáchat. Jinak mnohem pravděpodobněji se může stát, že útočník místo stažení klíče přečte papírek s heslem (máte šifrované disky počítačů, které smějí opustit kancelář?)

Re:Bezpečnost sítě
« Odpověď #13 kdy: 03. 01. 2013, 16:55:10 »
Tak třeba dost zdánlivě bezpečných hesel se dá relativně jednoduše uhádnout
A není lepší se zaměřit na znemožnění útoku hrubou silou? U služeb dostupných jenom lokálně to jde triviálně. U veřejně dostupných je potřeba zvážit pro a proti.

Klíče mají alespoň pevně danou vysokou entropii (až na jednu chybu ve starším Debianu, ale takové klíče lze snadno najít a zablokovat).
Zato se místo v mozku nacházejí na disku. Čili bezpečnost serveru v podstatě záleží na bezpečnosti koncového zařízení.

Sten

Re:Bezpečnost sítě
« Odpověď #14 kdy: 03. 01. 2013, 17:06:55 »
Klíče mají alespoň pevně danou vysokou entropii (až na jednu chybu ve starším Debianu, ale takové klíče lze snadno najít a zablokovat).
Zato se místo v mozku nacházejí na disku. Čili bezpečnost serveru v podstatě záleží na bezpečnosti koncového zařízení.

Soukromé klíče lze šifrovat heslem ;)