Мы нашли крупную компанию, которая 5 лет не занималась информационной безопасностью, и она ещё жива


    Примерно 5-6 лет назад там был реально крутой админ, который настроил сеть как часы и оснастил современным на тот момент оборудованием экономсегмента. Недостаток бюджета админ компенсировал хорошими конфигами и правильной архитектурой. В общем, видно, что было сделано много работы.

    Потом компания разделилась на две, расширилась, в ней всё поменялось пару раз — и за всё это время сеть поддерживали на костылях. Поскольку ИТ не профильный бизнес нашего заказчика, ситуация в целом понятна. Она такая много где, но чтобы большая сеть (территориально распределённая компания, десятки филиалов) продержалась в таком виде 5 лет — я такого ещё не видел.

    Собственно, и не продержалась. Нас позвали провести аудит сетевой инфраструктуры после зафиксированного случая взлома, когда их базы данных со всей представляющей коммерческую тайну информацией оказались просто скачаны. Точнее, всплыли не у тех людей.

    Обстоятельства, части топологии и другие детали немного изменены, чтобы нельзя было узнать заказчика. Тем не менее пост основан на реальных событиях и максимально приближен к действительности, насколько позволили наши безопасники.

    Компания представляет собой основное производство (там же серверный узел) и десятки филиалов по всей стране. В филиалах установлены тонкие клиенты, которые ходят по VPN + RDP до серверного узла, где пользователи и работают. Также в филиалах есть оборудование, которое использует сервисы и базы данных центрального узла. Если в филиале пропадает коннект, то он просто умирает до подключения сети снова.

    Сеть — несколько десятков доисторических коммутаторов, покрытые пылью «тупые» маршрутизаторы и MPLS L3 VPN-стык от провайдера для переброски данных между площадками.

    Корневой коммутатор в другой компании


    Как я говорил, компания разделилась на две независимые и немного конкурирующие несколько лет назад. Так вот, части сети остались общими, потому что тогда их решили не ломать. Странный, но закономерный итог: корневой коммутатор принадлежит конкурентам. Пользователи конкурентов могут посылать задания на сетевые принтеры, админ конкурентов — при некотором усилии смотреть их сетевые шары и так далее. Серверы с архивом видеонаблюдения вообще до сих пор общие. Лабораторный мини-кластер — тоже. Ииии…

    Файрволла нет!


    Сети не разграничены. Точнее, как: на стыке стоит старинная железка, которая до появления файрволлов нового поколения использовалась в том числе и для защиты. По сути, она работает как простой statefull-файрволл. На ней были обнаружены следы нормального конфига, которые были закомментированы, поскольку, видимо, в какой-то момент помешали развитию сети.

    Общие проблемы


    Вот выдержки из отчёта:

    • При текущих настройках коммутаторов сетевая инфраструктура уязвима как к атакам на само активное сетевое оборудование: DoS/DDoS, неавторизованный доступ, так и к атакам на трафик пользователей и серверное оборудование: DoS/DDoS-атаки, атаки по перехвату трафика путём подмены MAC и IP-адресов, атаки на сервис DHCP.
    • Для предотвращения неавторизованного доступа к активному сетевому оборудованию необходимо настроить централизованную аутентификацию и авторизацию, а также ограничить IP-адреса устройств, с которых администраторы могут устанавливать management-подключения к устройствам.
    • Для предотвращения неавторизованного доступа в сеть и атак на активное сетевое оборудование и устройства в сети необходимо выключить неиспользуемые интерфейсы и поместить их в неиспользуемую VLAN.
    • Для предотвращения атак на сервис DHCP и последующую компрометацию трафика необходимо использовать функционал DHCP Snooping.
    • Для предотвращения атак по подмене MAC-адресов и атак на таблицы коммутации коммутаторов с последующей компрометацией трафика необходимо использовать функционал port-security.
    • Для предотвращения атак, направленных на перенаправление трафика путём отправки вредоносных ARP-ответов, необходимо использовать функционал Dynamic ARP Inspection.
    • Для предотвращения атак на коммутаторы и трафик пользователей необходимо использовать функционал spanning-tree BPDUguard.
    • Для предотвращения DoS- и DDoS-атак на сетевую инфраструктуру, а также в связи с вероятностью появления петель коммутации необходимо использовать функционал storm control (unicast, broadcast, multicast).
    • На площадке используются устаревшие модели коммутаторов с устаревшими версиями ОС. Рекомендуется обновить версии ОС на коммутаторах, но и после этого данные коммутаторы не смогут предоставить необходимую на сегодняшний день безопасность сети передачи данных на втором уровне модели OSI.
    • Связь с другими площадками и выход в Интернет на данной площадке зависят от сетевой инфраструктуры другой компании. Рекомендуется произвести подключения к сервис-провайдерам на локальном корневом коммутаторе.
    • В сети есть ряд посторонних устройств, находящихся в гостевой VLAN. При поддержке конечными устройствами функционала dot1x supplicant необходимо настроить для всех этих устройств dot1x-аутентификацию с назначением VLAN и динамических списков контроля доступа, ограничивающих трафик от этих устройств. При отсутствии поддержки данного функционала конечными устройствами рекомендуется на интерфейсах коммутаторов настроить списки контроля доступа и port-security, а также QoS policing для ограничения количества разрешённого трафика.
    • В качестве точек доступа используются устройства, которые не поддерживают централизованную аутентификацию администраторов, разрешающие подключения по протоколу HTTP, а также по HTTPS на основании протокола SSL v1.
    • SSID объявляются в широковещательном режиме, рекомендуется объявлять их в скрытом.
    • WPA2-ключи, используемые для аутентификации, совпадают как для внутренней SSID, так и для гостевой, и представляют из себя 10 букв латинского алфавита (фамилия учредителя).
    • В текущих настройках IPsec VPN на маршрутизаторе на фазе 1 и 2 протокола IKE используется протокол 3DES в качестве алгоритма шифрования, MD5 в качестве алгоритма аутентификации и DH 2. Рекомендуется использовать AES-256, SHA-512 и выше и DH 19 и выше. Также необходимо включить функционал PFS с группой DH 19 и выше.

    Удалённый доступ OpenVPN (Debian Linux 8). В зависимости от порта подключения, разным клиентам возвращаются разные маршруты в качестве split-tunneling, таким образом, неявно разрешая доступ только к определённым сетям для удалённого подключения. Но клиент может вручную прописать дополнительные маршруты в логический туннель, создаваемый при подключении к OpenVPN-серверу, таким образом, получив возможность маршрутизировать трафик в любые сети компании.

    Трафик от пользователей и серверов на всех площадках передаётся в Интернет и из Интернета через маршрутизаторы, не проходя проверку и инспекцию современными межсетевыми экранами и системами предотвращения вторжений. Также данный трафик в большинстве случаев либо не ограничен, либо почти не ограничен. В связи с этим устройства, приложения и данные компании практически не защищены от целого ряда атак, которые могут быть использованы против компании. Это атаки, использующие уязвимость приложений и операционных систем, атаки DoS и DDoS на серверы, приложения и активное сетевое оборудование компании, атаки на данные пользователей компании при помощи вирусов и сетевых червей и т.д. Весь трафик компании, передающийся из или в публичные сети, а также трафик между разными площадками компании и трафик между компанией и её партнёрами должен быть ограничен и проходить проверку межсетевыми экранами и системами предотвращения вторжений последнего поколения. Из-за высокой стоимости таких решений целесообразно использовать централизованную пару устройства (для отказоустойчивости) в центральном офисе и маршрутизировать трафик от всех площадок в Интернет и на другие площадки компании через данные устройства.


    Как шёл аудит?


    Этап первый. Я выслал заказчику опросные листы и попросил их заполнить до того, как буду проводить работы. Опросные листы были в формате doc-файлов и экселевских табличек, объём информации зависел от объектов. По какому-то оборудованию было много информации, по какому-то — по нулям. Вообще, заполнение таких опросных листов — процедура стандартная, там указываются IP-адреса, количество серверов, где, что и как, ну и так далее.

    Не все айтишники, вовлечённые в процесс конфигурации сети, являлись штатными сотрудниками заказчика, была ещё и аутсорс-поддержка. OpenVPN мне настраивал как раз внешний инженер. Я просил, чтобы он мне предоставил удалённый доступ и конфигурационные файлы. Здесь проблем особых не возникло. Информацию я получил в течение недели, после подключился к оборудованию. Если возникали вопросы, решал их с местным админом. Несколько раз встретились некоторые участки конфигураций от линуксоида, и чтобы в них разобраться, мне пришлось подключить своих коллег. Это были следы того самого мифического админа, который всё как часы запустил много лет назад.

    На втором этапе я запросил конфигурации прокси-сервера и OpenSSL VPN-сервера, которые впоследствии анализировал. На это ушло ещё около недели.

    Этап третий. Залезал на все «железки» и смотрел. Это необязательная процедура в таком аудите. В принципе, всё должно быть в конфигурационном файле. Однако, есть и такие вещи, которые так просто посмотреть нельзя. Часть «железа» была выключена, часть в пересланных документах показывала настройки по умолчанию, а не фактические. Перечень этих настроек никто не вёл, они нигде не указывались. Поэтому лучше было всё проверить вручную. Так и сделал. На каждом интерфейсе оборудования любого вендора ведётся статистика полученного и отправленного трафика. Если статистика по нулям, понятно, что оборудование не используется и его можно выключить. Были и интерфейсы, у которых счётчики были не по нулям, но к оборудованию ничего не было подключено. Я обнулял счётчики трафика и проверял, увеличилось ли количество байт через интерфейс или нет. Если спустя две недели через этот интерфейс ничего не передавалось, то можно сделать предварительный вывод, что он не использовался.

    Ещё я смотрел, какие есть протоколы, как настроена аутентификация. Проводил полный аудит по каждой «железке»: протоколы удалённого доступа, настройка протоколов, аутентификация, авторизация, включены/выключены ли интерфейсы, NAT, Wi-Fi — всё. Очень важны access-листы на маршрутизаторах. Либо их не было, либо они были очень базовыми. Это заняло три недели вместе с оформлением отчётов. А, да, я ещё проверял ОС, версии прошивок, можно ли обновиться и получить более современный функционал, есть ли подходящая версия.

    Четвёртый этап — сагрегировал информацию и дал рекомендации по каждой «железке».

    Как они выжили?


    Скорее всего — по принципу Неуловимого Джо. 5 лет везения закончились взломом, про который стало известно. Куда более интересно — как они за эти пять лет не подцепили очередную эпидемию блокировщиков либо не словили майнеров или случайный DDoS, который бы их «положил»?

    В целом могу сказать, что маленькие компании (особенно разные производства в далёких регионах) так и живут. Даже частные банки небольшие так иногда работают, коллеги рассказывали такие байки. Но вот чтобы компания такого размера и с таким оборотом — очень странно. Элементарно, все конкуренты должны быть джентльменами, чтобы не положить их инфраструктуру одной левой.

    Чем кончилась история


    Они сейчас закупают снова современное оборудование корпоративного уровня. Будет пара файрволов, будут новые, более функциональные маршрутизаторы, будут правильные настройки и правила разрешённого трафика. Маршрутизация доступа к Интернету пойдёт через основной серверный узел для всей страны, потому что пара файрволов только там. Уже сейчас они закрыли все неиспользуемые порты и вообще обновили настройки. Обновляют прошивки, где это возможно.

    У новых коммутаторов будет централизованная аутентификация, логирование, разграничение прав юзеров по управлению. У поддержки наконец-то появятся разные учётки — сейчас они работают по одной. Если сейчас удалить конфиг и перезагрузить устройство, то никто не узнает, кто это был.

    После этого они будут медленно копить на DLP и другие фичи.

    Ссылки


    КРОК

    387,00

    №1 по ИТ-услугам в России

    Поделиться публикацией
    Комментарии 97
    • НЛО прилетело и опубликовало эту надпись здесь
        –4
        Опередили меня, по смыслу то же самое хотел донести)))
        +4
        Прежний админ крут. Прям «админ судного дня». Вы его так тут отрекламировали, что возмжно многие захотят его координаты. Если б они не размножились простым делением — возможно ещё лет 5 продержались бы. Ну и — многие, видел, живут в стиле «или шах, или ишак» — и это вполне осознанная стратегия.
          +1
          Только, если старой закалки :)
          Ибо, как раз где-то лет 5-7 назад *сисадмин* уже почти обесценилось и теперь стало синонимом мышкофтыкателя, ну(и из-за), как в комменте выше.
          «пойдука поработаю сисадмином пока на погророграмммиста учусь». оттуда и, в большинстве случаев, отношение как к обсл. персоналу с зп 25-50к на фултайме еще и с овертаймом, правда с хотелками на 250к+ :)
          Сейчас такое же наблюдаю с девопсами, оно правда пока в самом начале, но уже прям во всю подает корни, так, что лет через 5 будет — «ищем девопс инжинера для настройки аутлук\офис 2020 прокладки сетей, настройки терминальных ферм, деплоя корп сайта на пхп 5.6 — зп: больше вашей стипендии, опыт от 10 лет»
            +1
            А почему аутлук\офис из будущего, а пхп из прошлого?
              0
              это, скорее, вариант древнего стеба на тему основного пула оснащения корп сектора и их офисов, но чтоб Novell был и сайт работал в ie6 :)
                0
                «Работать в нашем банке — большая честь.» ©
            +2
            Ну вы прям Америку открыли… такие компании скорее не редкость… я таких несколько штук знаю. 5 лет это вообще не срок для компаний где it не профиль и изменения начинаются либо когда кое-кто клюнет в одно место, либо сертификация или требования партнеров.
              +3
              Было бы круто, если бы вы подготовили что то вроде, памятки по сетевой безопасности в виде cheatsheet. Вы из 2000-ых если для вашей сети верно следующее;)
              +16
              Вполне типичная ситуация.
              Был свидетелем:
              1) Пригласили глянуть сеть. Маленькая фирма. Просто проходил мимо. Руководитель — мой друг.
              2) По заявлению руководства — на входе стоить крутой экран на базе линя. Админ — «редкоприходящий»
              3) С удивлением обнаруживаем, что комп «экрана» выключен и отключен от сети. А сеть торчит напрямую в инете.
              4) Восстановил хронологию: около полугода назад пропал инет. Вызвали инженера провайдера. Он обнаружил, что инет блокирует именно файрвол. Он был отключен, сетка включена «напрямую». Обещали немедленно связаться с админом и все настроить.
              5) Т.к. инет появился, через 5 минут всё забыли. Админа не вызвали. Так и работали полгода…
                +2
                Это история о том, как к докторам ходить, каждый день к разным. В поисках самого-самого из самых. Известная проблема с головой у многих заказчиков. Приводит именно к таким результатам обычно. Каждый следующий ни капли не отвечает за всю систему в целом, а только за то что попросили. Для заказчика этот подход опасен для жизни.
                0
                А потом пройдет год, и снова все встанет по прежнему.
                  0

                  IMHO "правильно закрученная сеть" будет жить, пока железки не умрут

                    0
                    Да, да! Я так три года не работаю уже на предприятии, а там после меня сисАдм и не нету. Живут по принципу — работает — отлично — живём.
                    +1
                    А базу то как угнали определили? Может ее абсолютно штатно скопировал приходящий админ?
                      0
                      Как утащили базу, неизвестно, но это стало сигналом к тому, что надо заниматься ИБ.
                        +5
                        Однако при этом надо отметить, что хоть, некогда единая контора, разделилась, вели они по отношению друг к другу как «джентльмены» (или я таки что-то в тексте упустил?) — 5 лет вот таким образом жить с общим доступом до «информационных каналов и базы», это не хухры-мухры. Поэтому, наверное текущие владельцы могут друг другу руки пожать.
                      –1
                      Создается впечатление, что автор просто предлагает использовать вообще все известные ему security функционалы, не вдаваясь в обоснованность их использования. Как будто локальная сеть компании наводнена не сотрудниками, а посторонними хакерами, которые только и делают, что в открытую ломают сеть, втыкают свои DHCP сервера и коммутаторы, рассылающие BPDU, и на зависть всем спецслужбам мира дешифровывают IPSEC VPN с «недостаточно надежным» 3DES MD5 алгоритмом!
                        +2
                        Модель угроз ИБ, не?
                          –1
                          делают, что в открытую ломают сеть, втыкают свои DHCP сервера и коммутаторы, рассылающие BPDU, и

                          дай чуток прав пользователям, и они им 100% воспользуются и что-то поломают.

                          Лично я придерживаюсь модели: обрезай все по максимуму ползователям. Закрывай доступы ко всему кроме того, что нужно.
                            0
                            Поддерживаю. Автор лепит не к месту всё в одну кучу
                              +2
                              Как будто локальная сеть компании наводнена не сотрудниками, а посторонними хакерами,

                              С этого предположения и начинается информационная безопасность в 21 веке.
                                0
                                Это не так. Если у вас в локальной сети security level 0 и периметр проходит по портам пользователей, то это не компания, а какое-то Интернет-кафе или многоквартирный дом.
                              0
                              Александру Сигачёву огромная благодарность за статью, сам недавно пришёл в организацию (государственную). Начал изучать структуру сети, в итоге мне стало ясно, что живут по принципу «неуловимого Джо».
                                +1
                                Все живут по принципу неуловимого Джо потому, что если цель будет хакнуть — хакнут.
                                Задача всех защит закрыться от массированных атак без конкретного нацеливания.
                                  +2
                                  А если не хакнут железо то хакнут людей.
                                    +1
                                    Если не хакнут людей, то хакнут железо.
                                    Найти выход на сотрудника многим проще, чем найти хакера.
                                      0
                                      Если закрутить гайки например по SRP и не открывать никаких сервисов, то «паровоз пролетит» и 10 лет
                                        0
                                        да ёклмн… хватит считать это панацеей. SRP нужен для защиты компов от рядовых пользователей с заданным набором — например, кассиров и т.д. на большее он дефолтный не годится. Его киллер фича — hash rule, применима только в случаях выше, иначе можно создавать отдел который только и будет, что разгребать его правила и вносить туда сюда аксесс листы.
                                        Поэтому 90% забивает и врубают тупо whitelisting(иногда даже FilePAth Rule), что максимум — не даст тете Глаше запустить её любимый солитер с именем бинарника solitair.exe. Но оно прекрасно запустится, если будет переименовано в Word.exe, в случае же filepath подойдет уже любой современный донор в appdata. И более-менее, мотивированный на залипание в зуму, манагер это решение нагуглит себе часов за n.
                                        Это я еще умалчиваю на тему целенаправленного взлома — нагнуть applocker & srp займет даже у *киддиса* минут 10-15(пока будет перебирать способы инжекта или подмены) :)
                                          0
                                          Его киллер фича — hash rule

                                          Что? Это его самая большая дыра, которую лучше не использовать вообще.
                                          Поэтому 90% забивает и врубают тупо whitelisting(иногда даже FilePAth Rule)

                                          Что плохого в белом списке, в котором только системные каталоги?
                                          Но оно прекрасно запустится, если будет переименовано в Word.exe

                                          Толку от переименования, если файл должен лежать в /Program Files/ или другом системном каталоге?
                                          донор в appdata

                                          Что приложения забыли в каталогах, доступным пользователю на запись?
                                          Вы вообще разбираетесь в том, как действительно нужно настраивать SRP?
                                            0
                                            Я тут могу только одно посоветовать — телепортируйтесь уже наконец из ~2012 в 2к18 :)
                                              0
                                              Что изменится, кроме замены его на AppLocker, который по сути тоже самое? Если вы намекаете на хром и некоторые другие нерадивые программы, которые для решения некоторых проблем с UAC устанавливаются в каталог пользователя — то это решаемо, тот же хром имеет возможность нормальной установки в Program Files при помощи msi, что ещё даёт возможность контроля групповыми политиками. Самое оно для бизнеса.
                                                0
                                                Вот как раз Device Guard штука сильно нишевая и годится лишь для статичной инфраструктуры.
                                                0
                                                Его киллер фича — hash rule

                                                Что? Это его самая большая дыра, которую лучше не использовать вообще.

                                                А можно поподробнее об этом факте?
                                                  0
                                                  Ну, дыра там не в безопасности, хеши в новых ОС вполне надёжные. Проблема там в сложности контроля, куча хешей быстро превращается в свалку непойми чего, где нерадивый админ вполне может подсунуть хеш нужной ему программы. Плюс без контроля dll этот метод легко обходится, а с его включением наблюдаются проблемы с производительностью.
                                                    0
                                                    SRP можно строить не только по хэшам, но и по цифровым подписям, они имеют наивысший приоритет над всеми остальными (хэши и каталоги запуска). Если добавить сертификат вендора, то все программы и библиотеки, подписанные этим сертификатом будут считаться валидными, поэтому рекомендуется строить именно белый список, поскольку если сертификат попадет в черный список, все программы вендора, подписанные данным сертификатом, будут считаться запрещенными к запуску. Таким образом можно сдержать безудержный рост белого списка SRP и сохранить контроль над ним.
                                                      0
                                                      Это тоже вариант. Я правда не понимаю, какой безудержный рост списка при разрешении запуска только из системных каталогов. Как была пару стандартных записей, так и останется. Самый предпочтительный способ его настройки. Работает конечно только при работе от ограниченной учётной записи и расположении программ в стандартных каталогах, но это в любом случае полезные практики.
                                                0
                                                Сразу вспомнил рожу своего Одмина когда он удивился как я смог запустить Tor и спокойно сёрфить нет как мне хочется))))
                                                  0
                                                  И как же?
                                        +4
                                        Они сейчас закупают снова современное оборудование корпоративного уровня. Будет пара файрволов, будут новые, более функциональные маршрутизаторы, будут правильные настройки и правила разрешённого трафика.

                                        Пройдет еще лет 5 и все скатится туда же откуда и пошло, если не будет человека, который будет поддерживать это в актуальном состоянии. Хорошо, если это все оправдано. Но почему-то многие компании думают, что если они закупят брендовое оборудование, обложат себя firewall и съэкономят на админе — то ничего поддерживать не придется. Типичный пример из жизни, есть одна гос. контора, которая решила нанять другую контору для аудита сети и написания ТЗ аукциона, те в свою очередь не стесьняясь заложили на 50 сотрудников с одним файловым сервером на Win 2003 несколько checkpoint firewall, экзотическую железку с DPI и естественно потом сами их поставили и настроили. Прошла пара лет, контора увеличилась в двое, появилось с десяток филиалов — потребовалось расширить сеть и перенастроить, контора та зарядила такой ценник конский, на закупку еще таких же checkpoint, обновления старых железок и настройку — что дешевле было админа нанять, тем более что штат расширился. Тот админ, ничего не понимающий в этих ваших checkpoint, снес все к хренам и построил свою сеть с блекджеком и pfsense, который и поставил на этот checkpoint и на какие-то мини PC в филиалах :) DPI с каким-то хитрым ПО, вообще не понятно как использовался, тем более что ПО этой хрени надо было продлевать по подписке.
                                          0
                                          Пройдет еще лет 5 и все скатится туда же откуда и пошло, если не будет человека, который будет поддерживать это в актуальном состоянии. Хорошо, если это все оправдано. Но почему-то многие компании думают, что если они закупят брендовое оборудование, обложат себя firewall и съэкономят на админе

                                          Не факт что пять лет пройдет. Может завтра тот же самый, кто предыдущую базу увел так же ее и сольет вновь. Имея на то доступы. Защита периметра безусловна нужна, но если брать даже мировую статистику «забор» помогает все меньше. Эксплоиты «нулевого дня», письма с «бомбами» заинтересованные сотрудники или непонятные «компутерщики» с ломанным RAdmin в лидерах. Особенно в тихих… скромных… неприметных…
                                            +3
                                            Сколько раз видел (с помощю shodan.io) открытые всему миру SMB шары в которых лежит файл типа pssword.doc со всеми паролями от VPN,DC и всего остального. Некоторым даже писал письма с просьбой закрыть пока не поздно. Некоторые даже закрывали… И не только в России.
                                              +2
                                              Да ничего удивительного. 5 лет — не срок. Конечно, от масштабов конторы завиисит, но описанное мало чем отличается от ситуации маленькой компании с D-Link DIR-320 в качестве роутера и D-Link DES-1016 в роли сразу и ядра, и уровня доступа. Опять же, людей специально целенаправленно не взламывали, а автоматизированные переборщики дыр, вероятно, то ли не дошли, то ли не нашли ничего сильно простого. Ну и изнутри сеть тоже не атаковали, что часто берется как допущение при построение сетей — «своим мы верим», и все тут.

                                              Можно комментарий попросить вот про это:
                                              На площадке используются устаревшие модели коммутаторов с устаревшими версиями ОС. Рекомендуется обновить версии ОС на коммутаторах, но и после этого данные коммутаторы не смогут предоставить необходимую на сегодняшний день безопасность сети передачи данных на втором уровне модели OSI.

                                              Скажите, а как новые модели коммутаторов существенно улучшают безопасность на 2 уровне OSI? Вы про то, что старые не умеют VLAN? Так это не про модели коммутаторов, а про разделение сетей. Тем более что на картинке изображен пыльный-пыльный HP Procurve, и не из младших, я бы и на старой прошивке такому верил бы. Выглядит так, что половина часть списка просто на тему «что бы такое продать клиенту».
                                                0
                                                Если совсем старьё, то они не смогут большую часть из рекомендаций после аудита (снупинги, порт-секьюрити, шторм контроль и т.д.). По опыту работы о таких штуках не задумываешься до первого случая, а случай возникает при, например, при заражении одного компа вирусней.
                                                  0
                                                  Это так, но… В случае этой компании (как и многих других) проще пережить атаку вирусни через прогиб сети от пакетов, вычислить заражённые хосты, отрубить их от сети, и дальше жить, постепенно разбираясь.

                                                  Сравните с ситуацией, когда покупается продвинутое железо с кучей умных функций, функции настраиваются на глазок (а откуда взяться опыту, чтобы настроить точно по параметрам будущей атаки — что у админа подобной компании, что у, будем говорить, иного интегратора; по рекомендациям технических писателей, сочиняющих документацию на свичи?), и железо за кучу денег имеет шанс пропустить большую часть атаки до юзеров, но все думают, что оно стоит на посту и ничего точно не пропустит.

                                                  Не говоря уже, что лет 5 назад атаки были попроще, и защита, настроенная 5 лет назад, может сегодня быть неэффективной.

                                                  Так что в подходе компании (бессознательном, стихийно сложившимся, но все же) «будут проблемы — будем переживать их» есть свой смысл: для них настройка сложной защиты слишком вероятно может оказаться на сферическую атаку в вакууме.

                                                  Впрочем, последнее, повторюсь, и про многие другие компании можно сказать.

                                                    0
                                                    В случае этой компании

                                                    Тут писали про то, что сотрудники работают через удаленные рабочие столы, а это технологии типа vdi/utag. Этим занимаются совсем немаленькие конторы с явно больше 15 пользователями.
                                                      0

                                                      Это в мире. В России можно встретить самые уникальные системы в не самых крупных, согласно методичек MS, компаниях. Просто админ прокачался скил, за что русских айтишников на западе и любят.

                                                  0
                                                  Кстати на счет старого бюджетного оборудования. Вот, например, неофициальный багтрекер микротика. Треть из списка можно точно адаптировать как минимум для DoS. Думаю, аналогичные трекилки можно найти и по старью 3com, edge-core, dlink etc. Может даже не публичные.
                                                    0

                                                    Так и у любого другого бренда, в т.ч. у кисок, такое найдется. Вопрос, что доберется до конторы, какая атака. Но вот незадача: те же циски продают как дорогое, но надёжное. Но им надо уметь пользоваться и, самое главное, обновлять!


                                                    Вы устройте на Хабре опрос, как часть люди обновляют софт свичей. Не роутером, а именно свичей. Думаю, мы все удивимся ответам.

                                                      0
                                                      Не удивимся. По факту софт обновляется только тогда, когда нужно применить какую-нибудь заявленную фичу, которая бажно (или вообще нет) работает в старой версии софта. А требование на включение такой фичи как правило придет по линии ИБ в случае аудита или хака. Ну или инициатива изойдет от самого админа чтобы упростить головную боль.

                                                      Я все это к тому, что использование старого необновляемого оборудования — это хоть и плохая, но мировая практика в индустрии. Чтобы сетевой инженер что-то сделал, у него должен быть заказчик. Все это понимают, поэтому в крупных конторах и проводят периодические аудиты.
                                                        0

                                                        Золотые слова. Мы все знаем, что обновить софт во всей сети — значит, делай приёмку сети заново, а старый добрый вопрос "какие задавать параметры защиты" как стоял, та и стоит.


                                                        Интегратор может либо взять цифры с потолка, либо из мануалов вендоров (где цифры порой придуманы техническими писателями, и для других версий прошивки), либо порекомендовать из своего опыта (это ещё отличный вариант), но опыт может быть и не точно тот, что нужен в конкретном случае.


                                                        Все то же может и админ сделать (с той же уверенностью в правильности установок). Одно важно: если в конторе оно кому-то от души надо, то будут делать, а если нет, то даже интегратор не сильно поможет.


                                                        Аудит — да, идеально его закладывать в план работ раз в полгода или год. Менять железо — сомневаюсь, что без этого никак. Важнее, чтобы ИТ вообще имело бюджет и возможность развиваться.


                                                        Но это все должно быть нужно конторе и админу. Тот же приходящий спец может либо сделать хорошо, чтобы не ходить лишний раз (и ему вроде дальше не за что будет платить, как порой думают), либо сделает на отвали, потому что с конкретной точки онтполучает копейку, и заниматься профилированием трафика ему не с руки.

                                                      0
                                                      Зря так про микротики, все баги из трекера уже, скорее всего, пофиксили. За свои деньги лучшего железа, на мой взгляд, нет. Обновления выходят постоянно, обновляться проще простого.
                                                        0
                                                        Я не говорю, что они плохие. Но когда у тебя таких коробок хотя бы >100 штук под сервисом, требующим проведения плановых работ по некой процедуре, навряд ли вы будете целенаправлено их обновлять из-за того. Даже следить за багами не будете, вместо этого вас найдут, чем увлечь.
                                                      0

                                                      Ну если уж заговорили про dlink dir 320 и Des 1016. Dir обычный маршрутизатор для домашнего использования. Без поддержки vlan и довольно слабым ЦП (это к вопросу по всякие шифрование на лету и пр). Скрещенные маршрутизатор и концентратор.
                                                      Des так вообще неуправляемый концентратор. Он не может быть ни концентратором распределения, ни концентратором уровня доступа. Зачем их в пример приводить.

                                                      0
                                                      а зачем фаервол… ваще не понял… неужто у них все ИПшки наружу торчат?
                                                        0
                                                        Удивительно, что их действительно не тронули конкуренты за столько-то лет.
                                                          +1
                                                          Интересно, этот админ-основатель вёл документацию (топологию сети, требования к стойкости паролей, правила назначения имен хостов, текстовое описание структуры ActiveDirectory и т.п.)? Не хочу хвалиться, но история с админом-основателем напомнила меня, также создавал сеть с нуля с распределенными филиалами… Каждый элемент/технологию/узел документировал, поэтому после моего увольнения из организации сменщики говорили «Спасибо!», поскольку знали где оно и как оно. Контора посл моего увольнения прожила еще пять лет, после чего разделилась на две: с «хорошими» активами, и «плохими». Новая контора с «плохими» активами благополучно умерла вместе с железом и моими настройками, а сеть для новой делали другие люди.
                                                            0
                                                            Я в своей нынешней компании перманентно борюсь с такой проблемой (а надо сказать, что материнская компания котируется на бирже, так что не микробизнес). Но это как с ветряными мельницами. У руководства простой подход — если мы это не понимаем и нам это не приносит деньги, значит это решать не надо. На возражения, что если завтра взломают, то все вместе пойдем на биржу труда (тут я, конечно, утрирую, но суть ясна), я получаю ответ: если за 5 лет не взломали, то и сейчас — если ты не поможешь — не взломают (тот самый неуловимый Джо, ага). Увы, но я уже имею на руках скрипт, способный положить целый бизнес под ноль. И его может написать любой человек без каких-либо знаний инфраструктуры нашей компании. Но что делать? Не запускать же этот скрипт, чтобы доказать свою правоту…
                                                              +5
                                                              если ты не поможешь — не взломают
                                                              Вам же прямым текстом сказали, кого назначат крайним в случае чего. А поскольку бизнес большой — то и деньги большие да? В общем, я бы после таких слов крепко задумался о смене места работы…
                                                              0
                                                              Только я за первые два абзаца понял, что речь про известный магазин автозапчастей?)
                                                                0
                                                                хм, вот пока вы не написали и не подумал про него.
                                                                0
                                                                Я выслал заказчику опросные листы и попросил их заполнить до того, как буду проводить работы.

                                                                Надо продолжить так:
                                                                «Мне написали все что знали, все явки и пороли. Я их анализировал 3 недели, и дал заключение: сеть что до меня сделал админ 5 лет назад — какашка не соответствует требованиям 1,2...9. И закатал туда в бюджет по ИБ всё, что только прочитал в умных книжках по ИБ до этого. Насколько оно нужно… это уже не важно.»
                                                                  +2
                                                                  "… и все что было в прайсах — пусть хоть где-то постоит, поработает, буду потом рассказывать истории успеха."
                                                                  +1
                                                                  А можно мне, тупенькому, пояснить как именно новые железки связаны с безопасностью? Просто для собственного развития.
                                                                    +2
                                                                    Для старых прошивки не обновляют. Там дыры которые известны и изготовитель забил на них.
                                                                      0
                                                                      Не все ли равно если они за натом?
                                                                        0
                                                                        Если просто за натом, то не все равно. Полно способов пробить нат в зависимости от реализации и настройки.
                                                                        Если к нату мы добавляем возможности statefull fw, мы защитимся от внешних угроз.
                                                                        Но это все равно не решит проблемы с троянским заражениям пользовательских машин и последующей генерации такого трафика, который положит сеть или вообще откроет бекдор с последующей эксплуатацией багов для несанкционированного доступа в защищенные сегменты.
                                                                          0
                                                                          Но это все равно не решит проблемы с троянским заражениям пользовательских машин

                                                                          Простите за назойливость, а что решит эту проблему? Пользователь сам запустит троян, а если атака нацеленная то могу предположить, что антивирус даже не пискнет. Дальше в рамках полномочий пользователя мы в любом случае получаем доступ.

                                                                          Например в случае с 1с (как одного из самых популярных продуктов) это позволит утащить всю базу.
                                                                            0
                                                                            в рамках полномочий пользователя

                                                                            Ключевая фраза здесь. Зараженная машина может эксплуатировать известные баги сетевого оборудования и выйти за рамки этих полномочий.
                                                                    +1
                                                                    У меня была противоположная ситуация. В филиале Пятигорске оператор глушил UDP (голосовой трафик конкурентам резал). Долго мучился. В итоге уменьшил MTU и чудо! VPN стал работать устойчиво. Проходит пара месяцев выясняется, что почта в головной офис (в одно из подразделений) не доходит. Ну основное ходит, а это подразделение на отшибе и туда раз в год пишут. В Exim ругань на таймаут. Открываю телнет. Все Ок. Почта прошла. Шлю через тандербед. Неа. Минут час думал. Поменял MTU. О! Пошло. Звоню тамошнему админу. Говорю что там у вас с PMTU? А тот глаза так вылупил, что они из телефонной трубки вылезли «С ЧЕМ???». Я думал он издевается. Не. Он работает сисадмином три года и не знает что такое PMTU. Я звоню сисадмину в головной офис и говорю, что там у вас во втором офисе с PMTU и слышу «C ЧЕМ???». Оказалось у нас бюджета на ИТ небыло я все собирал на обычных офисных компьютерах. Роутеры СОХО уровня все фаерволы и VPN на Linux. А у них ворованный Эксчейндж и циски. Циски настраивал приезжий дядя. Наверное до сих пор так и живут (лет 7 прошло).
                                                                      +5
                                                                      Поздравляю, после вашего комментария количество запросов «PMTU» возросло втрое.
                                                                      +2
                                                                      Стало интересно, что имеется в виду под «хорошими конфигами и правильной архитектурой». Можете хотя бы тезисно описать, что там было такого что вам понравилось? А лучше с примерами.
                                                                        0
                                                                        Хорошие конфиги, это конфиги которые позволяют максимально обезопасить само устройство от атак и непосредственно сетевую инфраструктуру.
                                                                        Если речь идет о коммутаторах – то это в первую очередь отключение неиспользуемых интерфейсов, добавление description для всех портов, сегментирование трафика на разные вланы, настройка STP BPDU Guard и STP Root Guard, настройка storm control и port-security. В идеале использование dot1x. Использование безопасных протоколов удаленного доступа – https, ssh, snmpv3. Отключение всех неиспользуемых сервисов Использование централизованной аутентификации и авторизации, в крайнем случае – использование нескольких разных локальных учеток с разным уровнем привилегий. Использование логгирования и синхронизации времени. Подходящая архитектура, это устройства и ПО, поддерживающие данный перечисленный функционал.
                                                                          0
                                                                          Так и не понял, что имеется именно под архитектурой. С моей точки зрения отключить неиспользуемые порты, настроить некоторые фичи на коммутаторе, включить iptables на шлюзе, организовать централизованную телематику вообще не относятся к архитектурным особенностям. Наверно архитектура это больше к какой-то централизованной маршрутизации-коммутации.

                                                                          Остаётся непонятным, что имеется в виду под обнаружены следы нормального конфига. Что имеется в виду? Корректная настройка iptables в части ACL?
                                                                        +4
                                                                        Если сублимировать мысль автора: забейте на безопасность, не тратьтесь на специалистов, один раз вложившись в инсталляцию системы вы получите паровоз, который по инерции пролетит лет 5 — 7, чем меньше ваша компания, тем больше будет срок полета, а дальше придем мы, умные дяди, чтобы ваша система опять взлетела.
                                                                        Получается как-то так. По крайней мере, на меня эта публикация произвела именно такое впечатление.
                                                                          0
                                                                          Ну так и работают интеграторы и их заказчики, чуда в этом никакого нет. Переносим opex в capex. А в рамках контракта обучим одного-двух админов на своих курсах как с этим жить эти ближайшие 5-7 лет.
                                                                            0
                                                                            Я про ценность статьи. В чем она? Автор показал, как делать не надо? Может поделился полезным опытом? Или просто пропиарился?
                                                                              +3
                                                                              Это же блог. Люди пишут истории из жизни. Я лично увидел реальные рекомендации ИБ после аудита, описанные грамотным языком.
                                                                          –3

                                                                          Я вот хочу спросить автора: а клиент рад, что про него в таком тоне рассказали на всю страну? Как бы люди не закрывали глаза на ИТ, вряд ли они рады даже намёкам.


                                                                          Я бы после этого к Кроку не пошел. Одно дело в курилке с коллегой обсудить древность прошивок, другое — показать, что вы будете легенды рассказывать про компанию, неплохо ещё заработав (надеюсь).


                                                                          Скажите, а в своем офисе вы как часто прошивки свичам меняете?

                                                                            0
                                                                            Большое спасибо! Взял ваши выдержки из отчета на вооружение (красиво и ёмко).
                                                                            Вот только читать данный отчет порой просто некому :) и тут уже по принципу: «умный не скажет, дурак не поймет»
                                                                              0
                                                                              Вздыхает, а мне вот сказали что нам защита не нужна. Ну даже если уведут базу и фиг с ним. Честно я не нашел что ответить.
                                                                                0
                                                                                а что такое MPLS V3 VPN? Может, L3?
                                                                                  0
                                                                                  Да, имеется в виду L3. Опечатка( Спасибо!
                                                                                  0
                                                                                  Меня лично тут сильно смущает факт сочетания крупной компании и супер админа в прошедшем времени.

                                                                                  По практике даже идеально настроенная сетевая инфраструктура требует постоянного внимания и контроля. Ни разу, от слова «ВООБЩЕ», не встречал средних или крупных компаний, где всё это могло бы прожить на автомате без поддержки квалифицированными специалистами.

                                                                                  В связи с этим вся статья смахивает на байку ради пиара, или какие там ещё автор ставит перед собой цели.
                                                                                    0
                                                                                    Согласен. Грамотный админ должен быть всегда. Другое дело, что не каждая компания может позволить себе платить 100+ в месяц, что бы его содержать. А так админ должен быть всегда и постоянно работать с инфраструктурой.
                                                                                      0
                                                                                      100К руб/мес, если большое предприятие не хочет платить эти, в общем то маленькие, деньги, то рано или поздно оно заплатит гораздо больше.
                                                                                      Админ не просто обязан быть в «крупной компании», он ещё и должен быть освобождён от дел типа anykey, иначе рискует не инфраструктурой заниматься, а быть в поддержке хелпдеска.
                                                                                        +1
                                                                                        платить 100+

                                                                                        С учётом описанной вами ранее квалификации для замкадья это 35-40+эникейство, какие же тут 100.
                                                                                      0
                                                                                      Сколько ориентировочно стоит подобное событие?
                                                                                        +1

                                                                                        Вот поэтому я и вижу кассы-терминалы на ipad. Хорошее решение не должно разламываться за несколько лет.
                                                                                        В будущем победят те системы которые будут достаточно гибкими и устойчивыми. Пример — приложения на смартфонах: дуракоустойчивые, простые и относительно надежные. После обновления может не понравится дизайн, но все продолжит работать.

                                                                                          0
                                                                                          Как будто смартфоны не изобилуют дырами. И к тому же, они на порядок менее гибкие в настройках.
                                                                                            0
                                                                                            Уязвимости исправляются. Абстрагирование приложений от основной ОС является плюсом и в этом вопросе.

                                                                                            Мое сообщение в первую очередь о архитектуре решения задач.
                                                                                              0
                                                                                              тем более айпады\айфоны всякие
                                                                                            +1
                                                                                            А вы разве сделали аудит информационной безопасности? Вы сделали только аудит технических средств защиты. А где аудит мер и прочее?
                                                                                            Тут на днях разбирал 17 приказ ФЭСТЕК, так после него к вам с аудитом и обращаться не хочется — судя по статье пустая трата времени и денег.
                                                                                              0
                                                                                              Мы делали аудит не информационной безопасности, а только сетевой безопасности.
                                                                                              Аудит информационной безопасности он очень комплексный, там много всего.
                                                                                              Мы же сделали тот аудит, который нас попросил сделать заказчик, исходя из его финансовых возможностей.
                                                                                              +1
                                                                                              Знаю организацию у которой профиль ИТ основной =). Ну или близок к нему. Так вот у них все почти также. Когда-то давно админ выбирал правильное железо, делал правильные настройки… а потом либо сам ушел, либо его ушли. И все это после него работает уже 10 лет и новые админы с квалификацией сильно меньше пока ничего не сломали =).
                                                                                                +1
                                                                                                отличная статья, спасибо!

                                                                                                из своей практики могу посоветовать изменить формулировку в рекомендациях с «должно магическим образом стать так» на «IT директор Дима должен поставить админу Васе задачу включить это или объяснить что нам нужно купить чтобы это заработало. Директору Диме нужно ставить задачу админу Васе проверять что это включено и работает на всём оборудовании каждые N месяцев и контролировать выполнение»

                                                                                                SSID объявляются в широковещательном режиме, рекомендуется объявлять их в скрытом
                                                                                                опять этот пункт… скажите, а в этом есть какой-то практический смысл? любой скрипт-кидди за 30 секунд обойдёт эту ммм… настройку. мне действительно интересно узнать юзкейс, где такая настройка действительно решает какую-то настоящую проблему — потому что в моей практике это лишний пункт в списке рекомендаций, который админы любят сделать и отчитаться, вместо того чтобы сделать какой-то более нужный пункт.
                                                                                                  0
                                                                                                  На самом деле там во многих пунктах нет никакого практического смысла. Например, довольно экзотично будет использовать одновременно DHCP Snooping, port-security, Dynamic ARP Inspection. Да, до кучи еще туда надо ip source guard. Я такого нигде не встречал. ИМХО — будет наворочено много лишнего внутри периметра где половина угроз решается чисто административными методами. И как он может обосновать, что нужно использовать именно AES-256, SHA-512 и выше и DH 19? А с документами ФСТЭК по защите информации он знаком? Вообщем, все-равно складывается впечатление, что автор, недавно освоив курс security тут же решил применить все узнанное не практике.

                                                                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                Самое читаемое