Hard Rock… Networking – hardening urządzeń sieciowych

Routery, przełączniki, access pointy i kontrolery stanowią kręgosłup każdej sieci. Może być ich mniej lub więcej w różnych konfiguracjach, jednak w zależności od zastosowanych rozwiązań, wszystkie lub niemal wszystkie mogą być konfigurowalne przy użyciu interfejsów administracyjnych, pozwalających na dostosowanie sieci do wymagań przedsiębiorstwa. Mnogość opcji konfiguracyjnych np. przełącznika sieciowego często może przyprawić administratora o ból głowy – zarówno w kontekście właściwego wykorzystania tych funkcjonalności, jak i poprawności ich uruchomienia w kontekście bezpieczeństwa sieci – a o tym drugim aspekcie rzadko się pamięta.

Hardening urządzeń sieciowych, czyli taka konfiguracja sprzętu, by zapewniał on wymagane funkcjonalności i jednocześnie sam nie stał się furtką dla hackerów bądź by nie był składnikiem infrastruktury, za którego sprawą zagrożenie może łatwo rozprzestrzenić się na pozostałe elementy struktury IT, to sztuka żmudna, polegająca na poszukiwaniu kompromisów oraz wymagająca ścisłej wiedzy o dostępnej na urządzeniach funkcjonalności. Od czego zacząć pracę nad tym zagadnieniem? Podejście może być dwojakie w zależności od tego, jak dobrze czujemy się w roli eksperta ds. bezpieczeństwa IT. Jeżeli nie jest to naszym „konikiem”, warto zlecić audyt konfiguracji urządzeń sieciowych fachowcom, którzy niezależnym okiem dokonają inspekcji ustawień i w oparciu o potrzeby przedsiębiorstwa i administratorów, przedstawią raport dotyczący rozpoznanych potencjalnych podatności i wskażą zalecenia związane z dążeniem do usunięcia tych luk, bądź do zminimalizowania prawdopodobieństwa ich wykorzystania przez osoby niepowołane, bądź złośliwy kod. Możemy również spróbować własnych sił sporządzenia raportu, nie zapominajmy jednak o tym, że jeżeli sprawdzamy sami siebie, nie możemy mówić o bezstronności i krytycznym podejściu do tematu, skutkiem czego bardzo prawdopodobnym jest, że zbagatelizujemy rozpoznane nieprawidłowości, pozostawiając je do dyspozycji każdemu, kto zechce i będzie mógł je wykorzystać. Inną sprawą jest to, że osoba niezależna, ekspert działający na co dzień w profesji audytorskiej, działa metodologicznie i zajmuje się tym zawodowo, w związku z czym jest w tym szybszy, bardziej skuteczny, bardzo dobrze przeszkolony i z pewnością zaproponuje trafne remedium na rozpoznane niedoskonałości.

Jakie elementy konfiguracji podlegają weryfikacji? Dla przykładu opiszmy kilka pozycji z checklisty audytora sprawdzającego poprawność zabezpieczeń na przełącznikach sieciowych.

• Stosowana wersja protokołu SSH – jeżeli przełącznik obsługuje i ma włączony dostęp za pomocą protokołu SSH, to jaka wersja jest używana? Na przełącznikach Cisco, wersja 2 jest uznawana za bezpieczną, wersja 1 powinna być wyłączona.

• DHCP snooping – funkcjonalność pozwalająca na blokowanie nieautoryzowanych serwerów DHCP w sieci, pomagając w udaremnianiu ataków typu Man In The Middle. Audytor sprawdza, czy jest ona włączona oraz poprawnie skonfigurowana.
• Używanie vlan-u natywnego w jakimkolwiek segmencie sieci – ze względów bezpieczeństwa (atak o nazwie VLAN hopping) oraz kwestii wydajnościowych, nie zaleca się umieszczania w vlan-ie natywnym jakiegokolwiek zbioru urządzeń.
• Włączone CDP/LLDP – protokoły te są pomocne w pracy administratora; za ich pomocą można łatwo odkryć i odtworzyć topologię sieciową wiedząc, co z czym jest ze sobą połączone. Jeżeli nie ma wyraźnej potrzeby, należy te protokoły wyłączać, żeby utrudnić potencjalnym intruzom rozpoznanie struktury sieci.
• Port security – funkcjonalność blokująca próby tzw. MAC-spoofingu, czyli ataku polegającego na przepełnieniu pamięci CAM przełącznika losowo generowanymi adresami MAC, by przepełnić tę pamięć i uczynić przełącznik HUB-em.
• Stosowana wersja oprogramowania – pod kątem wersji, rozpoznanych podatności oraz dostępności aktualizacji.Oczywiście w zależności od weryfikowanego sprzętu, pozycji tych może być kilkanaście, a nawet kilkadziesiąt. Sprawdzenie każdej z nich jest umotywowane istniejącymi, rozpoznanymi rodzajami ataków i ma na celu zminimalizowanie prawdopodobieństwa ataku.

Oczywiście w zależności od weryfikowanego sprzętu, pozycji tych może być kilkanaście, a nawet kilkadziesiąt. Sprawdzenie każdej z nich jest umotywowane istniejącymi, rozpoznanymi rodzajami ataków i ma na celu zminimalizowanie prawdopodobieństwa ataku.

Hardening urządzeń sieciowych jest ważny także z innego, bardzo ważnego powodu: ataki na tę część infrastruktury często nie pozostawiają śladu, o ile w firmie nie stosuje się serwerów TACACS, RADIUS, nie przekierowuje się sysloga oraz nie monitoruje się aktywności na tym sprzęcie sieciowym. Administratorzy szczególnie dużą wagę przywiązują do monitorowania zachowań użytkowników końcowych, na boczny tor usuwając kwestię właściwego monitoringu urządzeń sieciowych. Często okazuje się, że właśnie przez tego typu priorytetyzację logowania zdarzeń, do ataku dochodzi w sposób całkowicie niezauważony, bez pozostawiania jakichkolwiek śladów.

KG