27.03.2018 07:06
ASigachev 92 48300 Источник

Примерно 5-6 лет назад там был реально крутой админ, который настроил сеть как часы и оснастил современным на тот момент оборудованием экономсегмента. Недостаток бюджета админ компенсировал хорошими конфигами и правильной архитектурой. В общем, видно, что было сделано много работы.

Потом компания разделилась на две, расширилась, в ней всё поменялось пару раз — и за всё это время сеть поддерживали на костылях. Поскольку ИТ не профильный бизнес нашего заказчика, ситуация в целом понятна. Она такая много где, но чтобы большая сеть (территориально распределённая компания, десятки филиалов) продержалась в таком виде 5 лет — я такого ещё не видел.

Собственно, и не продержалась. Нас позвали провести аудит сетевой инфраструктуры после зафиксированного случая взлома, когда их базы данных со всей представляющей коммерческую тайну информацией оказались просто скачаны. Точнее, всплыли не у тех людей.

Обстоятельства, части топологии и другие детали немного изменены, чтобы нельзя было узнать заказчика. Тем не менее пост основан на реальных событиях и максимально приближен к действительности, насколько позволили наши безопасники.

Компания представляет собой основное производство (там же серверный узел) и десятки филиалов по всей стране. В филиалах установлены тонкие клиенты, которые ходят по VPN + RDP до серверного узла, где пользователи и работают. Также в филиалах есть оборудование, которое использует сервисы и базы данных центрального узла. Если в филиале пропадает коннект, то он просто умирает до подключения сети снова.

Сеть — несколько десятков доисторических коммутаторов, покрытые пылью «тупые» маршрутизаторы и MPLS L3 VPN-стык от провайдера для переброски данных между площадками.

Корневой коммутатор в другой компании


Как я говорил, компания разделилась на две независимые и немного конкурирующие несколько лет назад. Так вот, части сети остались общими, потому что тогда их решили не ломать. Странный, но закономерный итог: корневой коммутатор принадлежит конкурентам. Пользователи конкурентов могут посылать задания на сетевые принтеры, админ конкурентов — при некотором усилии смотреть их сетевые шары и так далее. Серверы с архивом видеонаблюдения вообще до сих пор общие. Лабораторный мини-кластер — тоже. Ииии…

Файрволла нет!


Сети не разграничены. Точнее, как: на стыке стоит старинная железка, которая до появления файрволлов нового поколения использовалась в том числе и для защиты. По сути, она работает как простой statefull-файрволл. На ней были обнаружены следы нормального конфига, которые были закомментированы, поскольку, видимо, в какой-то момент помешали развитию сети.

Общие проблемы


Вот выдержки из отчёта:

  • При текущих настройках коммутаторов сетевая инфраструктура уязвима как к атакам на само активное сетевое оборудование: DoS/DDoS, неавторизованный доступ, так и к атакам на трафик пользователей и серверное оборудование: DoS/DDoS-атаки, атаки по перехвату трафика путём подмены MAC и IP-адресов, атаки на сервис DHCP.
  • Для предотвращения неавторизованного доступа к активному сетевому оборудованию необходимо настроить централизованную аутентификацию и авторизацию, а также ограничить IP-адреса устройств, с которых администраторы могут устанавливать management-подключения к устройствам.
  • Для предотвращения неавторизованного доступа в сеть и атак на активное сетевое оборудование и устройства в сети необходимо выключить неиспользуемые интерфейсы и поместить их в неиспользуемую VLAN.
  • Для предотвращения атак на сервис DHCP и последующую компрометацию трафика необходимо использовать функционал DHCP Snooping.
  • Для предотвращения атак по подмене MAC-адресов и атак на таблицы коммутации коммутаторов с последующей компрометацией трафика необходимо использовать функционал port-security.
  • Для предотвращения атак, направленных на перенаправление трафика путём отправки вредоносных ARP-ответов, необходимо использовать функционал Dynamic ARP Inspection.
  • Для предотвращения атак на коммутаторы и трафик пользователей необходимо использовать функционал spanning-tree BPDUguard.
  • Для предотвращения DoS- и DDoS-атак на сетевую инфраструктуру, а также в связи с вероятностью появления петель коммутации необходимо использовать функционал storm control (unicast, broadcast, multicast).
  • На площадке используются устаревшие модели коммутаторов с устаревшими версиями ОС. Рекомендуется обновить версии ОС на коммутаторах, но и после этого данные коммутаторы не смогут предоставить необходимую на сегодняшний день безопасность сети передачи данных на втором уровне модели OSI.
  • Связь с другими площадками и выход в Интернет на данной площадке зависят от сетевой инфраструктуры другой компании. Рекомендуется произвести подключения к сервис-провайдерам на локальном корневом коммутаторе.
  • В сети есть ряд посторонних устройств, находящихся в гостевой VLAN. При поддержке конечными устройствами функционала dot1x supplicant необходимо настроить для всех этих устройств dot1x-аутентификацию с назначением VLAN и динамических списков контроля доступа, ограничивающих трафик от этих устройств. При отсутствии поддержки данного функционала конечными устройствами рекомендуется на интерфейсах коммутаторов настроить списки контроля доступа и port-security, а также QoS policing для ограничения количества разрешённого трафика.
  • В качестве точек доступа используются устройства, которые не поддерживают централизованную аутентификацию администраторов, разрешающие подключения по протоколу HTTP, а также по HTTPS на основании протокола SSL v1.
  • SSID объявляются в широковещательном режиме, рекомендуется объявлять их в скрытом.
  • WPA2-ключи, используемые для аутентификации, совпадают как для внутренней SSID, так и для гостевой, и представляют из себя 10 букв латинского алфавита (фамилия учредителя).
  • В текущих настройках IPsec VPN на маршрутизаторе на фазе 1 и 2 протокола IKE используется протокол 3DES в качестве алгоритма шифрования, MD5 в качестве алгоритма аутентификации и DH 2. Рекомендуется использовать AES-256, SHA-512 и выше и DH 19 и выше. Также необходимо включить функционал PFS с группой DH 19 и выше.

Удалённый доступ OpenVPN (Debian Linux 8). В зависимости от порта подключения, разным клиентам возвращаются разные маршруты в качестве split-tunneling, таким образом, неявно разрешая доступ только к определённым сетям для удалённого подключения. Но клиент может вручную прописать дополнительные маршруты в логический туннель, создаваемый при подключении к OpenVPN-серверу, таким образом, получив возможность маршрутизировать трафик в любые сети компании.

Трафик от пользователей и серверов на всех площадках передаётся в Интернет и из Интернета через маршрутизаторы, не проходя проверку и инспекцию современными межсетевыми экранами и системами предотвращения вторжений. Также данный трафик в большинстве случаев либо не ограничен, либо почти не ограничен. В связи с этим устройства, приложения и данные компании практически не защищены от целого ряда атак, которые могут быть использованы против компании. Это атаки, использующие уязвимость приложений и операционных систем, атаки DoS и DDoS на серверы, приложения и активное сетевое оборудование компании, атаки на данные пользователей компании при помощи вирусов и сетевых червей и т.д. Весь трафик компании, передающийся из или в публичные сети, а также трафик между разными площадками компании и трафик между компанией и её партнёрами должен быть ограничен и проходить проверку межсетевыми экранами и системами предотвращения вторжений последнего поколения. Из-за высокой стоимости таких решений целесообразно использовать централизованную пару устройства (для отказоустойчивости) в центральном офисе и маршрутизировать трафик от всех площадок в Интернет и на другие площадки компании через данные устройства.

Как шёл аудит?


Этап первый. Я выслал заказчику опросные листы и попросил их заполнить до того, как буду проводить работы. Опросные листы были в формате doc-файлов и экселевских табличек, объём информации зависел от объектов. По какому-то оборудованию было много информации, по какому-то — по нулям. Вообще, заполнение таких опросных листов — процедура стандартная, там указываются IP-адреса, количество серверов, где, что и как, ну и так далее.

Не все айтишники, вовлечённые в процесс конфигурации сети, являлись штатными сотрудниками заказчика, была ещё и аутсорс-поддержка. OpenVPN мне настраивал как раз внешний инженер. Я просил, чтобы он мне предоставил удалённый доступ и конфигурационные файлы. Здесь проблем особых не возникло. Информацию я получил в течение недели, после подключился к оборудованию. Если возникали вопросы, решал их с местным админом. Несколько раз встретились некоторые участки конфигураций от линуксоида, и чтобы в них разобраться, мне пришлось подключить своих коллег. Это были следы того самого мифического админа, который всё как часы запустил много лет назад.

На втором этапе я запросил конфигурации прокси-сервера и OpenSSL VPN-сервера, которые впоследствии анализировал. На это ушло ещё около недели.

Этап третий. Залезал на все «железки» и смотрел. Это необязательная процедура в таком аудите. В принципе, всё должно быть в конфигурационном файле. Однако, есть и такие вещи, которые так просто посмотреть нельзя. Часть «железа» была выключена, часть в пересланных документах показывала настройки по умолчанию, а не фактические. Перечень этих настроек никто не вёл, они нигде не указывались. Поэтому лучше было всё проверить вручную. Так и сделал. На каждом интерфейсе оборудования любого вендора ведётся статистика полученного и отправленного трафика. Если статистика по нулям, понятно, что оборудование не используется и его можно выключить. Были и интерфейсы, у которых счётчики были не по нулям, но к оборудованию ничего не было подключено. Я обнулял счётчики трафика и проверял, увеличилось ли количество байт через интерфейс или нет. Если спустя две недели через этот интерфейс ничего не передавалось, то можно сделать предварительный вывод, что он не использовался.

Ещё я смотрел, какие есть протоколы, как настроена аутентификация. Проводил полный аудит по каждой «железке»: протоколы удалённого доступа, настройка протоколов, аутентификация, авторизация, включены/выключены ли интерфейсы, NAT, Wi-Fi — всё. Очень важны access-листы на маршрутизаторах. Либо их не было, либо они были очень базовыми. Это заняло три недели вместе с оформлением отчётов. А, да, я ещё проверял ОС, версии прошивок, можно ли обновиться и получить более современный функционал, есть ли подходящая версия.

Четвёртый этап — сагрегировал информацию и дал рекомендации по каждой «железке».

Как они выжили?


Скорее всего — по принципу Неуловимого Джо. 5 лет везения закончились взломом, про который стало известно. Куда более интересно — как они за эти пять лет не подцепили очередную эпидемию блокировщиков либо не словили майнеров или случайный DDoS, который бы их «положил»?

В целом могу сказать, что маленькие компании (особенно разные производства в далёких регионах) так и живут. Даже частные банки небольшие так иногда работают, коллеги рассказывали такие байки. Но вот чтобы компания такого размера и с таким оборотом — очень странно. Элементарно, все конкуренты должны быть джентльменами, чтобы не положить их инфраструктуру одной левой.

Чем кончилась история


Они сейчас закупают снова современное оборудование корпоративного уровня. Будет пара файрволов, будут новые, более функциональные маршрутизаторы, будут правильные настройки и правила разрешённого трафика. Маршрутизация доступа к Интернету пойдёт через основной серверный узел для всей страны, потому что пара файрволов только там. Уже сейчас они закрыли все неиспользуемые порты и вообще обновили настройки. Обновляют прошивки, где это возможно.

У новых коммутаторов будет централизованная аутентификация, логирование, разграничение прав юзеров по управлению. У поддержки наконец-то появятся разные учётки — сейчас они работают по одной. Если сейчас удалить конфиг и перезагрузить устройство, то никто не узнает, кто это был.

После этого они будут медленно копить на DLP и другие фичи.

Ссылки


Комментарии (92)


  1. zedalert
    27.03.2018 10:44
    #10726656
    +1

    Ничего удивительного или нового в этой истории нет, есть ощущение что чуть ли не в половине фирм такое происходит, приходящие админы, открытый wifi (ну мы же мощность передачи ограничили) и пр. Да и провайдеры в 00-ых начинали с подобного, все абоненты в единой сети, броадкаст гуляет, шары и принтеры видны, система управления у монтажников без пароля. :)

    Можно наверно даже адаптировать шутку про админов с бекапами, которые делятся на два три типа: которые не занимаются сетевой безопасностью, которые ей занимаются и которые проводят аудит.


    1. SONANT
      27.03.2018 10:51
      #10726674

      Опередили меня, по смыслу то же самое хотел донести)))


  1. impetus
    27.03.2018 10:47
    #10726662

    Прежний админ крут. Прям «админ судного дня». Вы его так тут отрекламировали, что возмжно многие захотят его координаты. Если б они не размножились простым делением — возможно ещё лет 5 продержались бы. Ну и — многие, видел, живут в стиле «или шах, или ишак» — и это вполне осознанная стратегия.


    1. Merkat0r
      28.03.2018 15:48
      #10728926

      Только, если старой закалки :)
      Ибо, как раз где-то лет 5-7 назад *сисадмин* уже почти обесценилось и теперь стало синонимом мышкофтыкателя, ну(и из-за), как в комменте выше.
      «пойдука поработаю сисадмином пока на погророграмммиста учусь». оттуда и, в большинстве случаев, отношение как к обсл. персоналу с зп 25-50к на фултайме еще и с овертаймом, правда с хотелками на 250к+ :)
      Сейчас такое же наблюдаю с девопсами, оно правда пока в самом начале, но уже прям во всю подает корни, так, что лет через 5 будет — «ищем девопс инжинера для настройки аутлук\офис 2020 прокладки сетей, настройки терминальных ферм, деплоя корп сайта на пхп 5.6 — зп: больше вашей стипендии, опыт от 10 лет»


      1. maxzhurkin
        28.03.2018 22:14
        #10729434

        А почему аутлук\офис из будущего, а пхп из прошлого?


        1. Merkat0r
          28.03.2018 22:26
          #10729442

          это, скорее, вариант древнего стеба на тему основного пула оснащения корп сектора и их офисов, но чтоб Novell был и сайт работал в ie6 :)


        1. Tippy-Tip
          28.03.2018 22:34
          #10729450

          «Работать в нашем банке — большая честь.» ©


  1. SONANT
    27.03.2018 10:50
    #10726668

    Ну вы прям Америку открыли… такие компании скорее не редкость… я таких несколько штук знаю. 5 лет это вообще не срок для компаний где it не профиль и изменения начинаются либо когда кое-кто клюнет в одно место, либо сертификация или требования партнеров.


    1. SONANT
      27.03.2018 10:53
      #10726680
      +1

      Было бы круто, если бы вы подготовили что то вроде, памятки по сетевой безопасности в виде cheatsheet. Вы из 2000-ых если для вашей сети верно следующее;)


  1. DanilinS
    27.03.2018 11:01
    #10726708
    +3

    Вполне типичная ситуация.
    Был свидетелем:
    1) Пригласили глянуть сеть. Маленькая фирма. Просто проходил мимо. Руководитель — мой друг.
    2) По заявлению руководства — на входе стоить крутой экран на базе линя. Админ — «редкоприходящий»
    3) С удивлением обнаруживаем, что комп «экрана» выключен и отключен от сети. А сеть торчит напрямую в инете.
    4) Восстановил хронологию: около полугода назад пропал инет. Вызвали инженера провайдера. Он обнаружил, что инет блокирует именно файрвол. Он был отключен, сетка включена «напрямую». Обещали немедленно связаться с админом и все настроить.
    5) Т.к. инет появился, через 5 минут всё забыли. Админа не вызвали. Так и работали полгода…


    1. Alex023
      27.03.2018 21:17
      #10727872

      Это история о том, как к докторам ходить, каждый день к разным. В поисках самого-самого из самых. Известная проблема с головой у многих заказчиков. Приводит именно к таким результатам обычно. Каждый следующий ни капли не отвечает за всю систему в целом, а только за то что попросили. Для заказчика этот подход опасен для жизни.


  1. Uzyalb
    27.03.2018 11:21
    #10726732

    А потом пройдет год, и снова все встанет по прежнему.


  1. dimsoft
    27.03.2018 11:21
    #10726734

    IMHO "правильно закрученная сеть" будет жить, пока железки не умрут


    1. zero_day
      27.03.2018 12:24
      #10726858

      Да, да! Я так три года не работаю уже на предприятии, а там после меня сисАдм и не нету. Живут по принципу — работает — отлично — живём.


  1. Igrek_L
    27.03.2018 11:21
    #10726736

    А базу то как угнали определили? Может ее абсолютно штатно скопировал приходящий админ?


    1. ASigachev Автор
      27.03.2018 11:28
      #10726748

      Как утащили базу, неизвестно, но это стало сигналом к тому, что надо заниматься ИБ.


      1. Skerrigan
        27.03.2018 13:26
        #10727082
        +1

        Однако при этом надо отметить, что хоть, некогда единая контора, разделилась, вели они по отношению друг к другу как «джентльмены» (или я таки что-то в тексте упустил?) — 5 лет вот таким образом жить с общим доступом до «информационных каналов и базы», это не хухры-мухры. Поэтому, наверное текущие владельцы могут друг другу руки пожать.


  1. alexey150296
    27.03.2018 11:58
    #10726802
    -1

    Создается впечатление, что автор просто предлагает использовать вообще все известные ему security функционалы, не вдаваясь в обоснованность их использования. Как будто локальная сеть компании наводнена не сотрудниками, а посторонними хакерами, которые только и делают, что в открытую ломают сеть, втыкают свои DHCP сервера и коммутаторы, рассылающие BPDU, и на зависть всем спецслужбам мира дешифровывают IPSEC VPN с «недостаточно надежным» 3DES MD5 алгоритмом!


    1. Navarro
      27.03.2018 18:15
      #10727638

      Модель угроз ИБ, не?


    1. AkshinM
      28.03.2018 08:21
      #10728220

      делают, что в открытую ломают сеть, втыкают свои DHCP сервера и коммутаторы, рассылающие BPDU, и

      дай чуток прав пользователям, и они им 100% воспользуются и что-то поломают.

      Лично я придерживаюсь модели: обрезай все по максимуму ползователям. Закрывай доступы ко всему кроме того, что нужно.


    1. paxlo
      28.03.2018 15:17
      #10728866

      Поддерживаю. Автор лепит не к месту всё в одну кучу


    1. sumanai
      28.03.2018 21:54
      #10729416

      Как будто локальная сеть компании наводнена не сотрудниками, а посторонними хакерами,

      С этого предположения и начинается информационная безопасность в 21 веке.


  1. zero_day
    27.03.2018 11:58
    #10726804

    Александру Сигачёву огромная благодарность за статью, сам недавно пришёл в организацию (государственную). Начал изучать структуру сети, в итоге мне стало ясно, что живут по принципу «неуловимого Джо».


    1. AllexIn
      27.03.2018 13:43
      #10727126

      Все живут по принципу неуловимого Джо потому, что если цель будет хакнуть — хакнут.
      Задача всех защит закрыться от массированных атак без конкретного нацеливания.


      1. Kwisatz
        28.03.2018 03:57
        #10728140

        А если не хакнут железо то хакнут людей.


        1. QDeathNick
          28.03.2018 11:29
          #10728494

          Если не хакнут людей, то хакнут железо.
          Найти выход на сотрудника многим проще, чем найти хакера.


        1. dimsoft
          28.03.2018 20:38
          #10729318

          Если закрутить гайки например по SRP и не открывать никаких сервисов, то «паровоз пролетит» и 10 лет


          1. Merkat0r
            28.03.2018 22:50
            #10729460

            да ёклмн… хватит считать это панацеей. SRP нужен для защиты компов от рядовых пользователей с заданным набором — например, кассиров и т.д. на большее он дефолтный не годится. Его киллер фича — hash rule, применима только в случаях выше, иначе можно создавать отдел который только и будет, что разгребать его правила и вносить туда сюда аксесс листы.
            Поэтому 90% забивает и врубают тупо whitelisting(иногда даже FilePAth Rule), что максимум — не даст тете Глаше запустить её любимый солитер с именем бинарника solitair.exe. Но оно прекрасно запустится, если будет переименовано в Word.exe, в случае же filepath подойдет уже любой современный донор в appdata. И более-менее, мотивированный на залипание в зуму, манагер это решение нагуглит себе часов за n.
            Это я еще умалчиваю на тему целенаправленного взлома — нагнуть applocker & srp займет даже у *киддиса* минут 10-15(пока будет перебирать способы инжекта или подмены) :)


            1. sumanai
              28.03.2018 23:11
              #10729494

              Его киллер фича — hash rule

              Что? Это его самая большая дыра, которую лучше не использовать вообще.
              Поэтому 90% забивает и врубают тупо whitelisting(иногда даже FilePAth Rule)

              Что плохого в белом списке, в котором только системные каталоги?
              Но оно прекрасно запустится, если будет переименовано в Word.exe

              Толку от переименования, если файл должен лежать в /Program Files/ или другом системном каталоге?
              донор в appdata

              Что приложения забыли в каталогах, доступным пользователю на запись?
              Вы вообще разбираетесь в том, как действительно нужно настраивать SRP?


              1. Merkat0r
                28.03.2018 23:33
                #10729510

                Я тут могу только одно посоветовать — телепортируйтесь уже наконец из ~2012 в 2к18 :)


                1. sumanai
                  29.03.2018 00:00
                  #10729534

                  Что изменится, кроме замены его на AppLocker, который по сути тоже самое? Если вы намекаете на хром и некоторые другие нерадивые программы, которые для решения некоторых проблем с UAC устанавливаются в каталог пользователя — то это решаемо, тот же хром имеет возможность нормальной установки в Program Files при помощи msi, что ещё даёт возможность контроля групповыми политиками. Самое оно для бизнеса.


              1. Tippy-Tip
                28.03.2018 23:33
                #10729512

                Его киллер фича — hash rule

                Что? Это его самая большая дыра, которую лучше не использовать вообще.

                А можно поподробнее об этом факте?


                1. sumanai
                  29.03.2018 00:04
                  #10729536

                  Ну, дыра там не в безопасности, хеши в новых ОС вполне надёжные. Проблема там в сложности контроля, куча хешей быстро превращается в свалку непойми чего, где нерадивый админ вполне может подсунуть хеш нужной ему программы. Плюс без контроля dll этот метод легко обходится, а с его включением наблюдаются проблемы с производительностью.


                  1. Tippy-Tip
                    29.03.2018 00:27
                    #10729550

                    SRP можно строить не только по хэшам, но и по цифровым подписям, они имеют наивысший приоритет над всеми остальными (хэши и каталоги запуска). Если добавить сертификат вендора, то все программы и библиотеки, подписанные этим сертификатом будут считаться валидными, поэтому рекомендуется строить именно белый список, поскольку если сертификат попадет в черный список, все программы вендора, подписанные данным сертификатом, будут считаться запрещенными к запуску. Таким образом можно сдержать безудержный рост белого списка SRP и сохранить контроль над ним.


                    1. sumanai
                      29.03.2018 00:35
                      #10729564

                      Это тоже вариант. Я правда не понимаю, какой безудержный рост списка при разрешении запуска только из системных каталогов. Как была пару стандартных записей, так и останется. Самый предпочтительный способ его настройки. Работает конечно только при работе от ограниченной учётной записи и расположении программ в стандартных каталогах, но это в любом случае полезные практики.


            1. djiggalag
              29.03.2018 10:57
              #10729892

              Сразу вспомнил рожу своего Одмина когда он удивился как я смог запустить Tor и спокойно сёрфить нет как мне хочется))))


  1. SchmeL
    27.03.2018 12:05
    #10726814
    +1

    Они сейчас закупают снова современное оборудование корпоративного уровня. Будет пара файрволов, будут новые, более функциональные маршрутизаторы, будут правильные настройки и правила разрешённого трафика.

    Пройдет еще лет 5 и все скатится туда же откуда и пошло, если не будет человека, который будет поддерживать это в актуальном состоянии. Хорошо, если это все оправдано. Но почему-то многие компании думают, что если они закупят брендовое оборудование, обложат себя firewall и съэкономят на админе — то ничего поддерживать не придется. Типичный пример из жизни, есть одна гос. контора, которая решила нанять другую контору для аудита сети и написания ТЗ аукциона, те в свою очередь не стесьняясь заложили на 50 сотрудников с одним файловым сервером на Win 2003 несколько checkpoint firewall, экзотическую железку с DPI и естественно потом сами их поставили и настроили. Прошла пара лет, контора увеличилась в двое, появилось с десяток филиалов — потребовалось расширить сеть и перенастроить, контора та зарядила такой ценник конский, на закупку еще таких же checkpoint, обновления старых железок и настройку — что дешевле было админа нанять, тем более что штат расширился. Тот админ, ничего не понимающий в этих ваших checkpoint, снес все к хренам и построил свою сеть с блекджеком и pfsense, который и поставил на этот checkpoint и на какие-то мини PC в филиалах :) DPI с каким-то хитрым ПО, вообще не понятно как использовался, тем более что ПО этой хрени надо было продлевать по подписке.


  1. Igrek_L
    27.03.2018 12:29
    #10726876

    Пройдет еще лет 5 и все скатится туда же откуда и пошло, если не будет человека, который будет поддерживать это в актуальном состоянии. Хорошо, если это все оправдано. Но почему-то многие компании думают, что если они закупят брендовое оборудование, обложат себя firewall и съэкономят на админе

    Не факт что пять лет пройдет. Может завтра тот же самый, кто предыдущую базу увел так же ее и сольет вновь. Имея на то доступы. Защита периметра безусловна нужна, но если брать даже мировую статистику «забор» помогает все меньше. Эксплоиты «нулевого дня», письма с «бомбами» заинтересованные сотрудники или непонятные «компутерщики» с ломанным RAdmin в лидерах. Особенно в тихих… скромных… неприметных…


  1. swiing
    27.03.2018 15:43
    #10727366
    +2

    Сколько раз видел (с помощю shodan.io) открытые всему миру SMB шары в которых лежит файл типа pssword.doc со всеми паролями от VPN,DC и всего остального. Некоторым даже писал письма с просьбой закрыть пока не поздно. Некоторые даже закрывали… И не только в России.


  1. achekalin
    27.03.2018 17:07
    #10727522
    +1

    Да ничего удивительного. 5 лет — не срок. Конечно, от масштабов конторы завиисит, но описанное мало чем отличается от ситуации маленькой компании с D-Link DIR-320 в качестве роутера и D-Link DES-1016 в роли сразу и ядра, и уровня доступа. Опять же, людей специально целенаправленно не взламывали, а автоматизированные переборщики дыр, вероятно, то ли не дошли, то ли не нашли ничего сильно простого. Ну и изнутри сеть тоже не атаковали, что часто берется как допущение при построение сетей — «своим мы верим», и все тут.

    Можно комментарий попросить вот про это:

    На площадке используются устаревшие модели коммутаторов с устаревшими версиями ОС. Рекомендуется обновить версии ОС на коммутаторах, но и после этого данные коммутаторы не смогут предоставить необходимую на сегодняшний день безопасность сети передачи данных на втором уровне модели OSI.

    Скажите, а как новые модели коммутаторов существенно улучшают безопасность на 2 уровне OSI? Вы про то, что старые не умеют VLAN? Так это не про модели коммутаторов, а про разделение сетей. Тем более что на картинке изображен пыльный-пыльный HP Procurve, и не из младших, я бы и на старой прошивке такому верил бы. Выглядит так, что половина часть списка просто на тему «что бы такое продать клиенту».


    1. vvpoloskin
      28.03.2018 07:15
      #10728184

      Если совсем старьё, то они не смогут большую часть из рекомендаций после аудита (снупинги, порт-секьюрити, шторм контроль и т.д.). По опыту работы о таких штуках не задумываешься до первого случая, а случай возникает при, например, при заражении одного компа вирусней.


      1. achekalin
        28.03.2018 07:29
        #10728196

        Это так, но… В случае этой компании (как и многих других) проще пережить атаку вирусни через прогиб сети от пакетов, вычислить заражённые хосты, отрубить их от сети, и дальше жить, постепенно разбираясь.

        Сравните с ситуацией, когда покупается продвинутое железо с кучей умных функций, функции настраиваются на глазок (а откуда взяться опыту, чтобы настроить точно по параметрам будущей атаки — что у админа подобной компании, что у, будем говорить, иного интегратора; по рекомендациям технических писателей, сочиняющих документацию на свичи?), и железо за кучу денег имеет шанс пропустить большую часть атаки до юзеров, но все думают, что оно стоит на посту и ничего точно не пропустит.

        Не говоря уже, что лет 5 назад атаки были попроще, и защита, настроенная 5 лет назад, может сегодня быть неэффективной.

        Так что в подходе компании (бессознательном, стихийно сложившимся, но все же) «будут проблемы — будем переживать их» есть свой смысл: для них настройка сложной защиты слишком вероятно может оказаться на сферическую атаку в вакууме.

        Впрочем, последнее, повторюсь, и про многие другие компании можно сказать.


        1. vvpoloskin
          28.03.2018 09:18
          #10728276

          В случае этой компании

          Тут писали про то, что сотрудники работают через удаленные рабочие столы, а это технологии типа vdi/utag. Этим занимаются совсем немаленькие конторы с явно больше 15 пользователями.


          1. achekalin
            28.03.2018 09:59
            #10728346

            Это в мире. В России можно встретить самые уникальные системы в не самых крупных, согласно методичек MS, компаниях. Просто админ прокачался скил, за что русских айтишников на западе и любят.


    1. vvpoloskin
      28.03.2018 09:26
      #10728300

      Кстати на счет старого бюджетного оборудования. Вот, например, неофициальный багтрекер микротика. Треть из списка можно точно адаптировать как минимум для DoS. Думаю, аналогичные трекилки можно найти и по старью 3com, edge-core, dlink etc. Может даже не публичные.


      1. achekalin
        28.03.2018 10:04
        #10728354

        Так и у любого другого бренда, в т.ч. у кисок, такое найдется. Вопрос, что доберется до конторы, какая атака. Но вот незадача: те же циски продают как дорогое, но надёжное. Но им надо уметь пользоваться и, самое главное, обновлять!


        Вы устройте на Хабре опрос, как часть люди обновляют софт свичей. Не роутером, а именно свичей. Думаю, мы все удивимся ответам.


        1. vvpoloskin
          28.03.2018 11:46
          #10728536

          Не удивимся. По факту софт обновляется только тогда, когда нужно применить какую-нибудь заявленную фичу, которая бажно (или вообще нет) работает в старой версии софта. А требование на включение такой фичи как правило придет по линии ИБ в случае аудита или хака. Ну или инициатива изойдет от самого админа чтобы упростить головную боль.

          Я все это к тому, что использование старого необновляемого оборудования — это хоть и плохая, но мировая практика в индустрии. Чтобы сетевой инженер что-то сделал, у него должен быть заказчик. Все это понимают, поэтому в крупных конторах и проводят периодические аудиты.


          1. achekalin
            28.03.2018 11:55
            #10728546

            Золотые слова. Мы все знаем, что обновить софт во всей сети — значит, делай приёмку сети заново, а старый добрый вопрос "какие задавать параметры защиты" как стоял, та и стоит.


            Интегратор может либо взять цифры с потолка, либо из мануалов вендоров (где цифры порой придуманы техническими писателями, и для других версий прошивки), либо порекомендовать из своего опыта (это ещё отличный вариант), но опыт может быть и не точно тот, что нужен в конкретном случае.


            Все то же может и админ сделать (с той же уверенностью в правильности установок). Одно важно: если в конторе оно кому-то от души надо, то будут делать, а если нет, то даже интегратор не сильно поможет.


            Аудит — да, идеально его закладывать в план работ раз в полгода или год. Менять железо — сомневаюсь, что без этого никак. Важнее, чтобы ИТ вообще имело бюджет и возможность развиваться.


            Но это все должно быть нужно конторе и админу. Тот же приходящий спец может либо сделать хорошо, чтобы не ходить лишний раз (и ему вроде дальше не за что будет платить, как порой думают), либо сделает на отвали, потому что с конкретной точки онтполучает копейку, и заниматься профилированием трафика ему не с руки.


      1. Ned88
        28.03.2018 15:17
        #10728870

        Зря так про микротики, все баги из трекера уже, скорее всего, пофиксили. За свои деньги лучшего железа, на мой взгляд, нет. Обновления выходят постоянно, обновляться проще простого.


        1. vvpoloskin
          28.03.2018 15:31
          #10728894

          Я не говорю, что они плохие. Но когда у тебя таких коробок хотя бы >100 штук под сервисом, требующим проведения плановых работ по некой процедуре, навряд ли вы будете целенаправлено их обновлять из-за того. Даже следить за багами не будете, вместо этого вас найдут, чем увлечь.


    1. really4g
      28.03.2018 15:17
      #10728872

      Ну если уж заговорили про dlink dir 320 и Des 1016. Dir обычный маршрутизатор для домашнего использования. Без поддержки vlan и довольно слабым ЦП (это к вопросу по всякие шифрование на лету и пр). Скрещенные маршрутизатор и концентратор.
      Des так вообще неуправляемый концентратор. Он не может быть ни концентратором распределения, ни концентратором уровня доступа. Зачем их в пример приводить.


  1. isam_os
    27.03.2018 17:47
    #10727604

    а зачем фаервол… ваще не понял… неужто у них все ИПшки наружу торчат?


  1. best_reader
    27.03.2018 17:47
    #10727606

    Удивительно, что их действительно не тронули конкуренты за столько-то лет.


  1. Tippy-Tip
    27.03.2018 18:47
    #10727672

    Интересно, этот админ-основатель вёл документацию (топологию сети, требования к стойкости паролей, правила назначения имен хостов, текстовое описание структуры ActiveDirectory и т.п.)? Не хочу хвалиться, но история с админом-основателем напомнила меня, также создавал сеть с нуля с распределенными филиалами… Каждый элемент/технологию/узел документировал, поэтому после моего увольнения из организации сменщики говорили «Спасибо!», поскольку знали где оно и как оно. Контора посл моего увольнения прожила еще пять лет, после чего разделилась на две: с «хорошими» активами, и «плохими». Новая контора с «плохими» активами благополучно умерла вместе с железом и моими настройками, а сеть для новой делали другие люди.


  1. tendium
    27.03.2018 19:14
    #10727692

    Я в своей нынешней компании перманентно борюсь с такой проблемой (а надо сказать, что материнская компания котируется на бирже, так что не микробизнес). Но это как с ветряными мельницами. У руководства простой подход — если мы это не понимаем и нам это не приносит деньги, значит это решать не надо. На возражения, что если завтра взломают, то все вместе пойдем на биржу труда (тут я, конечно, утрирую, но суть ясна), я получаю ответ: если за 5 лет не взломали, то и сейчас — если ты не поможешь — не взломают (тот самый неуловимый Джо, ага). Увы, но я уже имею на руках скрипт, способный положить целый бизнес под ноль. И его может написать любой человек без каких-либо знаний инфраструктуры нашей компании. Но что делать? Не запускать же этот скрипт, чтобы доказать свою правоту…


    1. impetus
      27.03.2018 21:32
      #10727882

      если ты не поможешь — не взломают
      Вам же прямым текстом сказали, кого назначат крайним в случае чего. А поскольку бизнес большой — то и деньги большие да? В общем, я бы после таких слов крепко задумался о смене места работы…


  1. dgrees
    27.03.2018 19:32
    #10727716

    Только я за первые два абзаца понял, что речь про известный магазин автозапчастей?)


    1. SeregaSA73
      29.03.2018 18:53
      #10730996

      хм, вот пока вы не написали и не подумал про него.


  1. Alex023
    27.03.2018 21:43
    #10727898

    Я выслал заказчику опросные листы и попросил их заполнить до того, как буду проводить работы.

    Надо продолжить так:
    «Мне написали все что знали, все явки и пороли. Я их анализировал 3 недели, и дал заключение: сеть что до меня сделал админ 5 лет назад — какашка не соответствует требованиям 1,2...9. И закатал туда в бюджет по ИБ всё, что только прочитал в умных книжках по ИБ до этого. Насколько оно нужно… это уже не важно.»


    1. achekalin
      28.03.2018 01:39
      #10728108

      "… и все что было в прайсах — пусть хоть где-то постоит, поработает, буду потом рассказывать истории успеха."


  1. Kwisatz
    28.03.2018 04:04
    #10728142

    А можно мне, тупенькому, пояснить как именно новые железки связаны с безопасностью? Просто для собственного развития.


    1. dmxrand
      28.03.2018 06:36
      #10728170

      Для старых прошивки не обновляют. Там дыры которые известны и изготовитель забил на них.


      1. Kwisatz
        28.03.2018 13:00
        #10728650

        Не все ли равно если они за натом?


        1. vvpoloskin
          28.03.2018 13:54
          #10728708

          Если просто за натом, то не все равно. Полно способов пробить нат в зависимости от реализации и настройки.
          Если к нату мы добавляем возможности statefull fw, мы защитимся от внешних угроз.
          Но это все равно не решит проблемы с троянским заражениям пользовательских машин и последующей генерации такого трафика, который положит сеть или вообще откроет бекдор с последующей эксплуатацией багов для несанкционированного доступа в защищенные сегменты.


          1. Kwisatz
            29.03.2018 05:18
            #10729662

            Но это все равно не решит проблемы с троянским заражениям пользовательских машин

            Простите за назойливость, а что решит эту проблему? Пользователь сам запустит троян, а если атака нацеленная то могу предположить, что антивирус даже не пискнет. Дальше в рамках полномочий пользователя мы в любом случае получаем доступ.

            Например в случае с 1с (как одного из самых популярных продуктов) это позволит утащить всю базу.


            1. vvpoloskin
              29.03.2018 13:49
              #10730254

              в рамках полномочий пользователя

              Ключевая фраза здесь. Зараженная машина может эксплуатировать известные баги сетевого оборудования и выйти за рамки этих полномочий.


  1. dmxrand
    28.03.2018 06:30
    #10728168

    У меня была противоположная ситуация. В филиале Пятигорске оператор глушил UDP (голосовой трафик конкурентам резал). Долго мучился. В итоге уменьшил MTU и чудо! VPN стал работать устойчиво. Проходит пара месяцев выясняется, что почта в головной офис (в одно из подразделений) не доходит. Ну основное ходит, а это подразделение на отшибе и туда раз в год пишут. В Exim ругань на таймаут. Открываю телнет. Все Ок. Почта прошла. Шлю через тандербед. Неа. Минут час думал. Поменял MTU. О! Пошло. Звоню тамошнему админу. Говорю что там у вас с PMTU? А тот глаза так вылупил, что они из телефонной трубки вылезли «С ЧЕМ???». Я думал он издевается. Не. Он работает сисадмином три года и не знает что такое PMTU. Я звоню сисадмину в головной офис и говорю, что там у вас во втором офисе с PMTU и слышу «C ЧЕМ???». Оказалось у нас бюджета на ИТ небыло я все собирал на обычных офисных компьютерах. Роутеры СОХО уровня все фаерволы и VPN на Linux. А у них ворованный Эксчейндж и циски. Циски настраивал приезжий дядя. Наверное до сих пор так и живут (лет 7 прошло).


    1. climp
      28.03.2018 15:18
      #10728876

      Поздравляю, после вашего комментария количество запросов «PMTU» возросло втрое.


  1. vvpoloskin
    28.03.2018 07:08
    #10728182

    Стало интересно, что имеется в виду под «хорошими конфигами и правильной архитектурой». Можете хотя бы тезисно описать, что там было такого что вам понравилось? А лучше с примерами.


    1. ASigachev Автор
      28.03.2018 19:02
      #10729192

      Хорошие конфиги, это конфиги которые позволяют максимально обезопасить само устройство от атак и непосредственно сетевую инфраструктуру.
      Если речь идет о коммутаторах – то это в первую очередь отключение неиспользуемых интерфейсов, добавление description для всех портов, сегментирование трафика на разные вланы, настройка STP BPDU Guard и STP Root Guard, настройка storm control и port-security. В идеале использование dot1x. Использование безопасных протоколов удаленного доступа – https, ssh, snmpv3. Отключение всех неиспользуемых сервисов Использование централизованной аутентификации и авторизации, в крайнем случае – использование нескольких разных локальных учеток с разным уровнем привилегий. Использование логгирования и синхронизации времени. Подходящая архитектура, это устройства и ПО, поддерживающие данный перечисленный функционал.


      1. vvpoloskin
        29.03.2018 00:31
        #10729556

        Так и не понял, что имеется именно под архитектурой. С моей точки зрения отключить неиспользуемые порты, настроить некоторые фичи на коммутаторе, включить iptables на шлюзе, организовать централизованную телематику вообще не относятся к архитектурным особенностям. Наверно архитектура это больше к какой-то централизованной маршрутизации-коммутации.

        Остаётся непонятным, что имеется в виду под обнаружены следы нормального конфига. Что имеется в виду? Корректная настройка iptables в части ACL?


  1. Zanak
    28.03.2018 08:44
    #10728240

    Если сублимировать мысль автора: забейте на безопасность, не тратьтесь на специалистов, один раз вложившись в инсталляцию системы вы получите паровоз, который по инерции пролетит лет 5 — 7, чем меньше ваша компания, тем больше будет срок полета, а дальше придем мы, умные дяди, чтобы ваша система опять взлетела.
    Получается как-то так. По крайней мере, на меня эта публикация произвела именно такое впечатление.


    1. vvpoloskin
      28.03.2018 09:20
      #10728282

      Ну так и работают интеграторы и их заказчики, чуда в этом никакого нет. Переносим opex в capex. А в рамках контракта обучим одного-двух админов на своих курсах как с этим жить эти ближайшие 5-7 лет.


      1. Zanak
        28.03.2018 09:34
        #10728310

        Я про ценность статьи. В чем она? Автор показал, как делать не надо? Может поделился полезным опытом? Или просто пропиарился?


        1. vvpoloskin
          28.03.2018 11:50
          #10728540

          Это же блог. Люди пишут истории из жизни. Я лично увидел реальные рекомендации ИБ после аудита, описанные грамотным языком.


  1. achekalin
    28.03.2018 10:30
    #10728400
    -2

    Я вот хочу спросить автора: а клиент рад, что про него в таком тоне рассказали на всю страну? Как бы люди не закрывали глаза на ИТ, вряд ли они рады даже намёкам.


    Я бы после этого к Кроку не пошел. Одно дело в курилке с коллегой обсудить древность прошивок, другое — показать, что вы будете легенды рассказывать про компанию, неплохо ещё заработав (надеюсь).


    Скажите, а в своем офисе вы как часто прошивки свичам меняете?


  1. EnergyAngel
    28.03.2018 10:53
    #10728440

    Большое спасибо! Взял ваши выдержки из отчета на вооружение (красиво и ёмко).
    Вот только читать данный отчет порой просто некому :) и тут уже по принципу: «умный не скажет, дурак не поймет»


  1. Shiva-TM
    28.03.2018 15:18
    #10728878

    Вздыхает, а мне вот сказали что нам защита не нужна. Ну даже если уведут базу и фиг с ним. Честно я не нашел что ответить.


  1. shvlad1
    28.03.2018 15:18
    #10728882

    а что такое MPLS V3 VPN? Может, L3?


    1. ASigachev Автор
      29.03.2018 17:14
      #10730754

      Да, имеется в виду L3. Опечатка( Спасибо!


  1. msav
    28.03.2018 19:04
    #10729196

    Меня лично тут сильно смущает факт сочетания крупной компании и супер админа в прошедшем времени.

    По практике даже идеально настроенная сетевая инфраструктура требует постоянного внимания и контроля. Ни разу, от слова «ВООБЩЕ», не встречал средних или крупных компаний, где всё это могло бы прожить на автомате без поддержки квалифицированными специалистами.

    В связи с этим вся статья смахивает на байку ради пиара, или какие там ещё автор ставит перед собой цели.


    1. ASigachev Автор
      28.03.2018 19:04
      #10729198

      Согласен. Грамотный админ должен быть всегда. Другое дело, что не каждая компания может позволить себе платить 100+ в месяц, что бы его содержать. А так админ должен быть всегда и постоянно работать с инфраструктурой.


      1. macbookpro
        28.03.2018 21:07
        #10729348

        100К руб/мес, если большое предприятие не хочет платить эти, в общем то маленькие, деньги, то рано или поздно оно заплатит гораздо больше.
        Админ не просто обязан быть в «крупной компании», он ещё и должен быть освобождён от дел типа anykey, иначе рискует не инфраструктурой заниматься, а быть в поддержке хелпдеска.


      1. vvpoloskin
        29.03.2018 00:38
        #10729570

        платить 100+

        С учётом описанной вами ранее квалификации для замкадья это 35-40+эникейство, какие же тут 100.


  1. macbookpro
    28.03.2018 21:05
    #10729344

    Сколько ориентировочно стоит подобное событие?


  1. iproger
    28.03.2018 23:09
    #10729488

    Вот поэтому я и вижу кассы-терминалы на ipad. Хорошее решение не должно разламываться за несколько лет.
    В будущем победят те системы которые будут достаточно гибкими и устойчивыми. Пример — приложения на смартфонах: дуракоустойчивые, простые и относительно надежные. После обновления может не понравится дизайн, но все продолжит работать.


    1. sumanai
      28.03.2018 23:13
      #10729496

      Как будто смартфоны не изобилуют дырами. И к тому же, они на порядок менее гибкие в настройках.


      1. iproger
        29.03.2018 00:42
        #10729574

        Уязвимости исправляются. Абстрагирование приложений от основной ОС является плюсом и в этом вопросе.

        Мое сообщение в первую очередь о архитектуре решения задач.


      1. zero_day
        29.03.2018 12:56
        #10730172

        тем более айпады\айфоны всякие


  1. AbstractGaze
    29.03.2018 15:02
    #10730422
    +1

    А вы разве сделали аудит информационной безопасности? Вы сделали только аудит технических средств защиты. А где аудит мер и прочее?
    Тут на днях разбирал 17 приказ ФЭСТЕК, так после него к вам с аудитом и обращаться не хочется — судя по статье пустая трата времени и денег.


    1. ASigachev Автор
      29.03.2018 18:53
      #10730994

      Мы делали аудит не информационной безопасности, а только сетевой безопасности.
      Аудит информационной безопасности он очень комплексный, там много всего.
      Мы же сделали тот аудит, который нас попросил сделать заказчик, исходя из его финансовых возможностей.


  1. elve
    29.03.2018 16:31
    #10730632

    Знаю организацию у которой профиль ИТ основной =). Ну или близок к нему. Так вот у них все почти также. Когда-то давно админ выбирал правильное железо, делал правильные настройки… а потом либо сам ушел, либо его ушли. И все это после него работает уже 10 лет и новые админы с квалификацией сильно меньше пока ничего не сломали =).