Na co dzień doradca i kierownik procesu wdrażania w Purple Magpie, lecz kiedy potrzeba wzywa - certyfikowany instruktor Extreme. O szansach i zagrożeniach dla bezpieczeństwa sieci rozmawiamy z Tomkiem Sroczyńskim, jednym z naszych Extreme Heroes!
Zacznijmy bezpiecznie – od bezpieczeństwa, bo tym zajmujesz się na co dzień J Czy pełna ochrona sieci jest w ogóle możliwa?
Pełna ochrona sieci nie jest obecnie możliwa i jestem zdania, że nigdy nie będzie. Systemy teleinformatyczne (rozumiane jako sieć, komputery, serwery, bazy danych, aplikacje itd.) to zbyt złożony stos sprzętu i oprogramowania. Wystarczy wyobrazić sobie super-wydajne i kosztowne oprogramowanie do, opartych o uczenie maszynowe, testów penetracyjnych danego pudełka czy aplikacji, zanim te zostaną wypuszczone na rynek. Nawet jeśli postęp technologiczny pozwoli nam uniknąć pojawiania się „nieszczelności” we wszystkich klockach, na szczycie tego stosu pozostaje człowiek i zawodność ludzkich procesów myślowych. Wynika to albo z szerszego informowania, albo ataków opierających się o socjotechnikę. Na przykład phishing, który skutkuje dystrybucją ransomware lub przechwyceniem danych do konta bankowego, a ostatnio także wiperware, są coraz częściej wybieraną metodą na utorowanie sobie „kariery” na szlaku e-kryminalisty. Jako gatunek ewoluujemy znacznie wolniej, niż technologia, którą tworzymy. Pewne rzeczy zostaną więc – w skali pokoleń, wieków lub nawet kolejnych tysiącleci – niezmienne. Można by się jeszcze pokusić o refleksję, czy usunięcie człowieka z tej układanki jest możliwe i pożądane oraz czy na przykład transhumanizm to słuszny kierunek rozwoju naszego grajdołka, ale moim zdaniem szkoda na to czasu. 😉 Żyjemy tu i teraz. Tu i teraz nasze biznesy i nasze życie prywatne są zagrożone licznymi pułapkami w obszarze technologii.
Czy systemy wyprzedzają problemy, czy tylko na nie odpowiadają? Zapobiegają czy leczą?
Myślę że w przeciwieństwie do relacji międzyludzkich, prewencja i wyprzedzanie problemów jest czymś możliwym i pożądanym jako kierunek rozwoju. W końcu nikt nie dołącza swojej sieci firmowej do Internetu bez jakiegokolwiek filtra w postaci zapory ogniowej zakładając, że dopiero w razie ataku będzie szukał jego źródła i ścigał złoczyńców. W tym czasie jego biznes może zupełnie stracić rację bytu. I tak – zapobieganie podstawowym zagrożeniom i wyprzedzanie problemów jest możliwe. Bardzo się ucieszyłem, kiedy zobaczyłem, że istnieje klasa oprogramowania do ochrony urządzeń końcowych (komputerów), która nie patrzy na sygnatury znanych zagrożeń, ale zajmuje się wykrywaniem i blokowaniem samych technik exploitowania. Ich przyrost jest wszak znacznie mniejszy, niż przyrost każdego jednego programu wykorzystującego daną podatność. Mamy tu wykrywanie działania, ale na etapie, na którym do niczego nie dojdzie. Wiele mechanizmów skupia się na zapobieganiu, o ile są dobrze wdrożone. Trudniej jest jednak działać prewencyjnie w przypadku choćby ataków APT. Dlatego istnienie SOC-ów, na bieżąco monitorujących, co się dzieje w sieci i podejmujących reakcje w razie potrzeby, bywa jak najbardziej zasadne. O jednym warto pamiętać – możemy mieć cały arsenał istniejącego na rynku oprogramowania i sprzętu dla bezpieczeństwa sieci i podłączonych komponentów, ale wystarczy ich suboptymalna konfiguracja i/albo socjotechnika i jedyne, co nam pozostanie to tłumaczenie się z zakupu sprzętu, który nas nie uchronił…
Jakie elementy według Ciebie powinny składać się na podręcznikowy system ochrony sieci w organizacjach?
Moim zdaniem, absolutnym minimum powinna być zapora ogniowa do ochrony przed zagrożeniami z zewnątrz, system kontroli dostępu do sieci broniący przed zagrożeniami z wewnątrz (brzeg sieci, środowiska zwirtualizowane) oraz system kontroli dostępu uprzywilejowanego, zapobiegający nadużyciom uprawnień przez pracowników IT lub kogoś, kto się pod nich podszywa. Oczywiście nie obejdzie się bez stosownej metodyki w projektowaniu infrastruktury. W większych sieciach na pewno zasadne będzie wrzucanie części ruchu do DMZ i przepuszczanie przez dodatkowe systemy filtrujące oraz zainwestowanie w systemy typu SIEM, pozwalające wyłuskiwać subtelne objawy potencjalnych incydentów bezpieczeństwa. System klasy IPS traktowałbym jako wisienkę na torcie ze względu na koszt i złożoność wdrożenia.
Pod uwagę warto chyba wziąć nie tylko technologie, ale też wspomniany… czynnik ludzki?
W ekosystemie bezpiecznej sieci nie obejdzie się też bez odpowiedniego podejścia do czynnika ludzkiego, owszem. Dlatego uważam, że przejście do uwierzytelniania w dostępie jest musem. Doskonale sprawdzi się tu mechanizm popularnie zwany 802.1X – najlepiej z użyciem certyfikatów, choć uwierzytelnianie domenowe też daje radę. Warto podkreślić, że wdrażanie urządzeń do tego modelu może być kłopotliwe, dlatego warto samodzielnie dokonać analizy ryzyka i zdecydować między większą wygodą (uwierzytelnianie MAC) lub większym bezpieczeństwem. Należy jednak pamiętać, że uwierzytelnianie, nawet 802.1X, nie jest absolutnym remedium na wszystko. Opisane są skuteczne metody ataku MitM na sieć opartą o ten model uwierzytelniania (klucz: sam proces autentykacji w sieci – niezależnie od tego, czego system NAC używa do decyzji o przydzielonym profilu dostępu, bazuje na adresach MAC). Są też metody wykrywania takich ataków lub podejście od strony procedur i architektury (projektu i jego fizycznej realizacji), które pozwolą zminimalizować ryzyko ich wystąpienia. Żeby jednak „dmuchać na zimne” (w tym przypadku i w odniesieniu do mrowia innych potencjalnych problemów) w przyznawaniu urządzeniom końcowym, takim komputery, kamery, punkty dostępowe, telefony, maszyny wirtualne, drukarki itp. dostępu do sieci zalecałbym podejście „least privilege”.
Co to znaczy?
Domyślnie blokujemy cały ruch sieciowy w każdym punkcie dostępu do naszej infrastruktury sieciowej, przepuszczając wyłącznie te protokoły i zasoby docelowe, które są niezbędne do działania organizacji. Czy użytkownicy potrzebują portów, na których bazują gry sieciowe? Czy potrzebują SMB? Czy potrzebują SSH i Telnet? Czy w ogóle powinni komunikować się między sobą po warstwie łącza danych czy po warstwie sieci? Przemyślenie i wdrożenie takiego modelu pozwoli znacznie zawęzić zasięg działania potencjalnego atakującego, uzyskującego dostęp do sieci i dokonującego wstępnego rekonesansu. Podobnie, mając w pamięci historie NotPetya i WannaCry (wykorzystujące podatność załataną kilka miesięcy wcześniej!), blokowanie niepotrzebnych portów i segmentacja sieci zawęzi też ryzyko propagacji złośliwego oprogramowania z użyciem podatności osiągalnych na „egzotycznych” portach oraz tych bardziej znanych, a niekoniecznie potrzebnych podłączonym urządzeniom. Wdrożenie modelu least privilege było na pewno mniej wygodne w czasach samych list kontroli dostępu. Dzisiaj dobrze wiemy, że można to zrobić w sposób efektywny z wykorzystaniem elementów ze stajni Extreme. Mam na myśli XMC i mechanizm Policy, a także Extreme Access Control.
Czy kluczem może być też odpowiednia edukacja samych użytkowników?
Oczywiście, podobnie jak pozasieciowe aspekty bezpieczeństwa infrastruktury IT w organizacji. Co nam po świetnie zabezpieczonej sieci, kiedy pracownik podłączy laptopa do publicznego Wi-Fi w galerii handlowej i wróci z „niespodziewajką” albo poczęstuje się pamięcią przenośną od nieznajomego? Sieć powinna minimalizować zasięg oddziaływania takiego incydentu – jakże dziś prawdopodobnego, kiedy służbowe laptopy są w ciągłym ruchu, a firmom jest na rękę zafundować pracownikom work-life balance na zasadzie pracy w dowolnym miejscu i czasie.
Pewnie często słyszysz pytanie: Firewall czy Network Access Control? Jakie są Twoje doświadczenia w kontekście rozwiązań Extreme?
Jeśli ktoś miałby wybrać tylko jedno z tych rozwiązań, wiadomo że powinien wybrać firewall – o ile dostawca usług nie zagwarantuje mu bezpiecznego styku z Internetem. Ale abstrahując od trudnych wyborów, oba systemy uzupełniają się, bo oba służą innym celom. Firewall pozwoli odfiltrować to, co do naszej sieci wchodzi (np. botnety, próby nawiązania sesji RDP do kontrolera domeny, wuchtabajty filmików z Youtube i ruchu z torrentów itd.) oraz co z niej wychodzi (np. usługi P2P, gry sieciowe, chmurowy storage, botnet ;). Co do zasady, nie ma natomiast żadnego wpływu na to, co dzieje się między użytkownikami i urządzeniami w sieci. Swego czasu omawiałem system klasy NAC w infrastrukturach sieci w szkołach na każdym szczeblu edukacji. Bo jakie będą skutki (dziś dodając do tego RODO/GDPR), kiedy uczeń podpatrzy dane logowania swojego nauczyciela lub pozyska je inną metodą, a następnie dostanie się do e-dziennika, żeby poprawić sobie średnią? To trywialny przykład, ale pokazuje że nie tylko boty, szpiedzy i drobne „e-złodziejaszki” z dalekich krajów mogą obrać sobie za cel naszą sieć. Zagrożenie może także pochodzić od wewnątrz. Nie musi być nawet świadome i dobrowolne. Chociażby jak przy wspomnianym wcześniej WannaCry.
Czy potrzeba uwierzytelniania i filtracja ruchu, także w warstwie dostępowej sieci, stanowią silny argument za podzieleniem infrastruktury na VLAN-y?
Jasne, nawet więcej niż jeden na dział, i to w małej firmie. Bo czy jest sens, by komputery księgowych mogły komunikować się bezpośrednio ze sobą? Wcześniejsze możliwości w tym zakresie były całkiem ciekawe. Na przykład w pierwszej generacji przełączników Extreme z systemem EXOS, serwer uwierzytelniania, wraz z decyzją o wpuszczeniu urządzenia do sieci, mógł przysłać nazwę skryptu, który ma zostać wywołany na przełączniku. W teorii więc można było zrobić wszystko – np. przypisać VLAN, QoS oraz ACL do portu na czas trwania sesji uwierzytelniania. Podejście to wymagało jednak opracowania list kontroli dostępu oraz skryptów i ich każdorazową propagację na wszystkie przełączniki brzegowe. Należało też o tym pamiętać w razie jakiejkolwiek modyfikacji skryptu lub ACL-ki. Parę lat temu, po akwizycji Enterasys, Extreme Networks intensywnie pracował nad wdrożeniem w fioletowym krzemie przejętego modelu Policy. Udało się, a efekty integracji obu rozwiązań to moim zdaniem silna wartość dodana do samego switchingu. Wdrożenie modelu bezpieczeństwa opartego na Extreme Policy polega na zdefiniowaniu unikalnych ról urządzeń i użytkowników w organizacji, a następnie określenie, jakie protokoły i zasoby mają być dostępne dla każdego z nich. Wszystko opiera się na „klikaniu” w interfejsie graficznym Extreme Management Center, co jest dużo przyjemniejsze i mniej podatne na błędy, niż pisanie ACL i skryptów. Kolejną zaletą jest jednoczesna propagacja całej domeny polityk do wszystkich przypisanych urządzeń sieciowych, więc synchronizacja i aktualizacja nie stanowi wyzwania i nie zajmuje wiele czasu. Finalnie, polityki na urządzeniach Extreme, zależnie od rodziny urządzeń, mają dużo więcej łatwo wdrażanych funkcji – np. przekierowanie konkretnych pakietów do innego VLAN-u, wygenerowanie komunikatu syslog lub SNMP Trap, mirror pakietu lub nawet wyłączenie portu czy kwarantanna! I tu dochodzimy do sedna. Extreme Access Control, wśród podstawowych filarów działania, umożliwia okiełznanie tych polityk i przypisywanie konkretnego rodzaju dostępu na danym porcie lub dla danego urządzenia w naszej sieci Wi-Fi w sposób dynamiczny. Nie musimy na sztywno planować obsadzenia portów na switchach, konfigurować VLAN-ów i ACL, nie musimy tworzyć oddzielnych sieci WLAN dla każdej z grup w organizacji. Polityka może być też różna dla tej samej osoby (roli w domenie polityk), w zależności od rodzaju urządzenia czy miejsca podłączenia się do sieci. Bardzo podoba mi się też fakt, że stosunkowo łatwo jest wykorzystać Extreme Access Control w sieciach opartych o urządzenia innych producentów.