Autor
Jim Palmer
Kategorien
SicherheitIn einem früheren Beitrag habe ich einige Schritte besprochen, die Unternehmen ergreifen können, um ihre drahtgebundenen Netzwerke zu sichern, indem sie einfach den physischen Zugriff auf ihre Netzwerkausrüstung sichern. Es mag wie ein unbedeutender Schritt erscheinen, aber die Anzahl der Hacker-Stories, die mit „Also, ich schaute vorbei und es gab einen offenen Port (USB, Netzwerk, was auch immer) und ich habe ihn angeschlossen und er war live“ beginnen, ist signifikant genug, dass er die Aufmerksamkeit auf diesen Schritt rechtfertigt.
Jetzt werde ich einige logische Schritte behandeln, die unternommen werden können, um Ihr drahtgebundenes Netzwerk aus einer logischen Perspektive zu sichern. Während die Best Practice eine Network Access Control (NAC)-Lösung umfasst, neigen NACs dazu, teuer zu sein, wenn Sie viele Ports verwalten müssen; sie können auch arbeitsintensiv für Feed und Support sein. Kleinere Organisationen haben möglicherweise nicht die Zeit und das Fachwissen, um eine NAC-Lösung zu etablieren. Größere Unternehmen, die mit der Expertise besetzt sind, eine NAC zu betreiben, könnten die Kosten und den Aufwand für eine Übernahme als einfach zu hoch empfinden.
Das soll nicht heißen, dass Sie keine NAC verwenden oder sich damit beschäftigen sollten! Jede Organisation sollte auf jeden Fall eine NAC-Lösung verwenden. Für die meisten Menschen, die dies lesen, wissen wir jedoch alle, dass Best Practices oft leiden, wenn sie die Anforderungen der Praxis und den täglichen Betrieb erfüllen. Schade ist es hier nicht, nur andere Lösungen oder Optionen anzubieten, um mit den Ihnen zur Verfügung stehenden Tools das zu sichern, was Sie haben.
Konsolen-Ports
Im vorherigen Beitrag habe ich darüber gesprochen, wie jeder Angreifer, der sein Salz wert ist, ein Konsolenkabel in seinem Trickbeutel haben wird. Es ist also eine schlechte Idee, sich auf Ihr „spezielles Konsolenkabel“ zu verlassen, dass keiner Ihrer Freunde herumgelegt hat, um die Konsolenports auf Ihren Netzwerkgeräten zu schützen. Logischerweise sollten Sie in der Gold-Konfiguration für alle Switches in Ihrer Organisation den Befehl aaa-Konsole aktivieren in dieses Konfigurationsskript einfügen. Dieser einfache Befehl stellt sicher, dass der/die Konsolenport(s) in den restlichen Authentifizierungs-, Autorisierungs- und Buchhaltungsdiensten (AAA) des Switches enthalten ist/sind. Sobald AAA auf Konsolenports aktiviert ist, wird ein Angreifer, der Zugriff auf die Netzwerkausrüstung erhält und sein Konsolenkabel anschließt, aufgefordert, Anmeldedaten zu authentifizieren, um auf die Hardware zuzugreifen, anstatt eine kostenlose Fahrt in Ihr Netzwerk zu haben.
Auch hier nicht die ausgeklügeltste Verteidigung, aber wenn der Angreifer nicht über die Berechtigung verfügt, könnte diese einzige Blockade ihn so weit verlangsamen, dass er sich entweder weiterbewegt, hochstolpert und eine Warnung auslöst oder so viel Zeit verbringt, dass er gefangen wird.
Obwohl es lustig klingt, ist es tatsächlich eine gute Sache, einen Verstoß gegen die Handlung zu erkennen. Obwohl wir unsere Netzwerke nie gerne kompromittieren lassen, ist es wirklich gut zu wissen, wann es passiert ist und wer verantwortlich war. Jemanden im Akt zu erwischen, beantwortet viele Fragen, die später gestellt werden.
Verwendung enger VLANs
Wir alle wissen, dass wir VLANs verwenden sollten. Diese Virtual Local Area Networks helfen dabei, das Netzwerk zu segmentieren, um Broadcast-Domains zu reduzieren und den Datenverkehr zu trennen. Es gibt mehrere Möglichkeiten, dies zu erreichen (ACLs, Firewalls), die ich hier nicht behandeln werde, aber es gibt einen Trick, den Ingenieure tun können, um Angreifer zu starten, indem sie den grundlegenden IEEE-VLAN-Standard verwenden, um ein begrenztes VLAN in Ihr Netzwerk einzuführen.
Ein begrenztes VLAN ist einfach eine VLAN-ID, die dafür bestimmt ist, den Göttern der Informationssicherheit (InfoSec) geopfert zu werden. Dies kann jede gültige VLAN-ID sein, sie muss nur im gesamten Netzwerkteam festgelegt und bekannt sein. Sobald die ID identifiziert wurde, ist das entscheidende Element dieses begrenzten VLAN, dass die ID NIEMALS auf den Uplinks des Switches angezeigt werden sollte. Das VLAN wird auf alle Ports angewendet, die am Switch NICHT VERWENDET sind.
Konfiguration des eingeschränkten VLAN
Diese Ports sollten vom Kabel, das zur Wandbuchse führt, getrennt und auch administrativ deaktiviert werden, aber wenn diese Schritte verpasst werden (weil niemand gesagt hat, dass der Port nicht verwendet wurde), bedeutet die Zuweisung dieses begrenzten VLAN zum Port, dass selbst wenn ein Angreifer entweder über eine Wandbuchse oder im Raum Zugang zum Port erhält, das Anschließen an diese nicht verwendeten Ports es ihm nicht erlaubt, den Switch zu verlassen. Ohne DHCP und ohne die Möglichkeit, den Switch zu verlassen, sind sie auf den Switch beschränkt.
Ein Nebenvorteil bei der Verwendung dieses begrenzten VLAN ist, dass es ungenutzte Ports schnell an das Netzwerkteam signalisieren kann, indem es sich einfach die VLAN-Zuweisung ansieht. Wenn das begrenzte VLAN (888 im obigen Beispiel) einem Port zugewiesen ist, wissen sie, dass der Port nicht für die Verwendung konfiguriert ist. Wenn diese Option aktiviert ist, ist dies ein Problem, das untersucht werden muss. Wenn es eine Verbindung zeigt, signalisiert es erneut ein Problem, das untersucht werden muss.
Am wenigsten privilegiert
Das Konzept der am wenigsten privilegierten ist wieder eine Sicherheitskonfiguration, die sich in den meisten Unternehmenshardware befindet, aber nicht genug genutzt wird. Obwohl sie nicht so bunt und blitzschnell sind wie Next Generation Firewalls und Deep Packet Inspection, ist das Konzept der geringsten Privilegien die Idee, dass nicht jeder Superuser-Zugriff auf die Netzwerkkonfigurationen benötigt und sie nicht immer benötigt. Das geringste Privileg umfasst auch Richtlinien und Verfahren, die Benutzer befolgen, um die geringste Menge an Zugriff zu verwenden, die erforderlich ist, um eine Aufgabe zu erledigen, und den Zugriff nur bei Bedarf für sensiblere Aufgaben zu „erneuern“.
Wenn Sie den Zugriff eines Benutzers auf ein Gerät oder eine Gruppe von Geräten festlegen, richten Sie ein eindeutiges Benutzerkonto ein, das nur die Zugriffsebene hat, die diese Person benötigt. Die Verwendung von generischen Super-Admin-Anmeldedaten als einzige Anmeldedaten für das Netzwerk bedeutet, dass die Angreifer jetzt vollen Zugriff auf das Netzwerk haben, wenn dieses Passwort kompromittiert wird. Alle anderen coolen Sicherheitsfunktionen spielen keine Rolle, ob Angreifer die Konfigurationen einfach nach eigenem Geschmack ändern können.
Ein weiterer Vorteil einzigartiger Anmeldedaten ist, dass Auditprotokolle bei Bedarf viel einfacher zu lesen und zu entschlüsseln sind. Wenn alle dieselben generischen Anmeldedaten von Admin/Passwort verwenden, können Audit-Protokolle nicht darauf verweisen, wer auf die Geräte zugegriffen hat. Eindeutige Anmeldedaten wie Jpalmer/Jimlikescookies bedeuten, dass das Prüfprotokoll zeigt, dass Jim auf den Switch zugegriffen und Änderungen vorgenommen hat. Wenn diese Anmeldedaten nicht berechtigt sind, Konfigurationsänderungen vorzunehmen (am wenigsten privilegiert), können Änderungen nicht vorgenommen werden oder sogar die erhöhten Anmeldedaten anzeigen, die für diese Änderungen erforderlich sind.
Und schließlich bedeuten eindeutige Anmeldedaten, dass, wenn Jim das Unternehmen verlässt, nur seine Anmeldedaten aus dem Netzwerk entfernt werden müssen, nicht von allen (aufgrund von etwas wie einem gemeinsamen Admin-Benutzernamen und Passwort). Dies ist zwar einfacher, wenn man einen zentralen AAA-Server verwendet, um sich zu authentifizieren, aber es ist immer noch etwas, das auch ohne diesen zentralen Authentifizierungsserver getan werden kann.
Wenn Benutzer gezwungen werden, ihre Berechtigungen bei Bedarf zu erhöhen, und wenn sie eine separate eindeutige Passphrase verwenden, kann dies eine kleine Verzögerung für autorisierte Benutzer darstellen, über die sie sich beschweren könnten. Diese beiden Schritte können jedoch eine Steinmauer für einen Angreifer sein, selbst wenn er Zugriff auf das Netzwerk erhält.
Denken Sie daran, dass es das kleinste Hindernis sein kann, das einen Angriff vereitelt; wir möchten sicherstellen, dass wir genug von ihnen haben, dass die Angreifer aufgeben und weitermachen.
Verbindungsfehler deaktivieren
Die letzte logische Konfiguration, die ich abdecken möchte, ist wahrscheinlich mein Favorit. Angreifer versuchen im Allgemeinen, heimlich zu sein, wenn sie sich ins Netzwerk begeben, damit ihr Plan nicht gestoppt werden kann, bis es zu spät ist. Daher ziehen sie in der Regel keine aktiven Geräte aus der Steckdose, falls es im Netzwerk Warnungen für Geräte gibt, die ausfallen. Da sich einige Geräte, wie Wi-Fi®-Zugangspunkte, auch in öffentlichen Bereichen befinden und diese Geräte selten von selbst herunter und hoch gehen können, wird es schwierig zu erkennen, ob etwas unschuldig oder aufgrund böswilliger Absicht offline gegangen ist. Es reicht also nicht aus, nur nach Down-/Up-Geräten zu suchen.
Aufgrund ihrer Zugänglichkeit betrachten Angreifer WLAN-APs als eine Eingangstür zu dem weit geöffneten Netzwerk und befürworten daher einen Angriff auf sie. Es gibt Schritte, die unternommen werden können, um diese mithilfe von Dingen wie MAC-Lernen oder NAC zu sichern, aber NAC kann teuer sein und die MAC-Adresse wird normalerweise auf dem Gerät gedruckt. RUCKUS Netzwerk-ICX®-Switches verfügen über einen Befehl, der kostenlos verwendet werden kann, um vor allen zu schützen, die versuchen, diese APs als breite Fronttür zum Netzwerk zu verwenden.
Link-Fehler-Deaktivieren von Toggle-Schwellenwert-Probenahmezeit-in-Sekunden-Wartezeit-in-Sekunden
Dieser Befehl wird pro Port angewendet, entweder nacheinander oder auf eine Reihe von Ports, sieht imposant aus, ist aber relativ einfach in der Verwendung. Für ein Netzwerkgerät, das als potenzielles Ziel identifiziert wird (z. B. ein AP in einer Lobby, die für die Öffentlichkeit zugänglich ist und auf die Wandbuchse zugegriffen werden kann), würde die Konfiguration so aussehen:
device(config)# Schnittstellenethernet 1/1/1
Gerät(config-if-e10000-1/1/1)# Linkfehler deaktivieren 1 1 0
Diese Beispielkonfiguration weist den Switch darauf hin, dass, wenn Port 1 des Switches einmal über die Zeitspanne von einer Sekunde (Orange 1) abfällt (grün 1), der Port den Fehler deaktiviert (selbst ausschalten) und NIEMALS wieder einschaltet (rot 0). Diese Parameter können nach Bedarf angepasst werden, z. B. nur für einige Sekunden oder sogar Stunden deaktivieren und wie oft der Port im Laufe einiger Sekunden herunterfahren müsste (10. B. zweimal in 5 Minuten). Aber in Bereichen, die als anfällig identifiziert wurden, ermöglicht es die Organisation, den Port dauerhaft zu deaktivieren, bis er manuell zurückgesetzt wird, einen Techniker zu entsenden, um die Hardware physisch zu überprüfen, um sicherzustellen, dass sie nicht manipuliert wurde.
Ist es zeitaufwändig? JA!
Hat es Auswirkungen auf den Service? JA!
Ist das eine Unannehmlichkeit? JA!
Ist es zeitaufwendiger, dienstbeeinträchtigender und unbequemer als eine vollständige Netzwerkverletzung mit allen gestohlenen Daten und verschlüsselten Betriebssystemen des Unternehmens, die auf ein Lösegeld wartet, um es zu entschlüsseln? NEIN!
Diese Warnungen können an andere Plattformen gebunden werden, die sogar Nachrichten und E-Mails senden können, die Administratoren darüber informieren, wann dieses Ereignis eingetreten ist, was eine wichtige Information für jede Untersuchung ist.
Abschließende Gedanken
Es stehen genügend logische Konfigurationen und Produkte zur Verfügung, um Ihre Netzwerke zu sichern und tausend Seitenbücher auszufüllen. Das Ziel hier war nicht, alle abzudecken, nur einige hervorzuheben, die ohne Kostenunterbietung umgesetzt werden können.
Verstehe mich nicht falsch, du wirst immer noch etwas Geld für deine IT-Sicherheit ausgeben und andere Schritte unternehmen wollen, um dein Netzwerk zu sichern, aber diese Schritte, die ich skizziert habe, könnten der eine Teil im InfoSec-Playbook sein, der dein Netzwerk schützt und einen Angriff verhindert, bevor er passieren kann. Ehrlich gesagt ist die Wahrscheinlichkeit, dass diese einfachen Schritte einen Angriff verhindern, ungefähr gleich oder besser als eine Millionen-Dollar-Sicherheitsinvestition, die einen 0-DayAngriff stoppt.
Denken Sie daran, dass wir uns auf die kleinen Dinge konzentrieren müssen, um unsere Netzwerke zu sichern, sowie auf die größeren, komplizierten und hochkarätigen Angriffe, über die wir gelesen haben. Angreifer riskieren nicht, einen supergeheimen Exploit aufzudecken, wenn sie eine einfache, offene Hintertür verwenden können.
Begleiten Sie mich in der nächsten Ausgabe, in der ich über drahtlose Sicherheit sprechen werde. Wenn Sie es glauben können, kann die drahtlose Sicherheit tatsächlich einfacher zu implementieren und zu kontrollieren sein als die kabelgebundene Sicherheit!
