Представьте, что вы не знаете, какие устройства подключены к вашей сети, как они настроены и что там происходит. Страшно? Ещё бы! Многие компании как раз так и живут — не уделяют внимания аудиту сетевого оборудования. А зря. Без такой инвентаризации невозможно ни нормально управлять ИТ-инфраструктурой, ни защититься от угроз.
Мы наблюдаем в инфраструктуре клиентов это так часто, что поняли – нужно выдать базу. Мы – это руководитель практики развития MaxPatrol Carbon Константин Маньяков и эксперт центра безопасности (PT ESC) Данил Зарипов, и в этой статье мы будем разбираться в ключевых аспектах аудита сетевых устройств, его роли в построении эффективного управления активами и повышении уровня защищенности ИТ-инфраструктуры.
Почему аудит сетевых устройств — это фундамент, а не опция
Какую практическую пользу приносит аудит
Аудит сетевых устройств дает нам полную информацию об их настройках и конфигурациях. Эти данные становятся ценным ресурсом для решения ряда задач, например:
Построение актуальной карты сети. Мы получаем реальную, а не предположительную схему взаимодействия всех компонентов.
Оценка сетевой достижимости. Мы точно определяем, какой трафик и между какими узлами может проходить, что важно для анализа рисков.
Проверка соблюдения политик безопасности. Анализ данных о конфигурациях сетевых устройств позволяет выявить наиболее опасные бреши, которые нужно устранить в первую очередь.
Моделирование атак. Вся эта информация в дальнейшем используется для построения потенциальных маршрутов атак в MaxPatrol Carbon.
Перечисленные аспекты важны и для ИБ-специалистов, и для ИТ-отдела. Аудит служит тем самым общим языком и источником объективных данных, который позволяет обеим командам работать согласованно над укреплением инфраструктуры. Именно поэтому мы считаем его не отдельной опцией или разовой задачей, а фундаментом для построения всех последующих процессов безопасности.
Что мы получаем в результате: от карты сети до выявления «теневых» активов
Представим, что ИТ-инфраструктура — это большой, сложно устроенный город. Сетевое оборудование — его дороги, мосты и тоннели. В этой аналогии аудит сетевых устройств — не просто прогулка с блокнотом, а полноценная инвентаризация всей транспортной системы с вертолета, которая позволяет найти и заброшенные тупики, и незаконные постройки, и даже тайные ходы.
Построение актуальной карты сети и оценка сетевой достижимости
В отличие от статичных схем, которые быстро устаревают, карта сети на основе данных аудита отражает реальное положение вещей. Так, можно увидеть не просто устройства, но и какие функции они выполняют, а также как именно они соединены друг с другом — через какие интерфейсы, с какими адресами. Сегменты сети можно подписать, присвоив им имена, роли и признаки, что сразу делает карту понятной не только сетевикам, но и специалистам по безопасности.
Такую карту можно детально настроить, «заморозить» в нужном состоянии и экспортировать в удобном формате, например, для предоставления аудиторам при проверках на соответствие стандартам вроде PCI DSS.
В свою очередь, информация о том, как связаны между собой сегменты сети и каким образом настроена маршрутизация трафика между ними с учётом различных механизмов фильтрации и туннелирования, важна для понимания площади атаки (анализ сетевой достижимости позволяет понять, к каким системам может получить доступ злоумышленник, скомпрометировав определенный актив). Эта информация также используется для моделирования потенциальных маршрутов кибератак.
Выявление «теневой» инфраструктуры
Головной болью ИТ- и ИБ-специалистов может стать появление неучтенных активов и сетевых сегментов, которые расширяют поверхность атаки. Это могут быть, к примеру:
неактуальные стыки с подрядчиками или провайдерами, которые забыли отключить;
тестовые среды, оставленные без надзора;
оборудование, подключенное сотрудниками без согласования с ИТ-отделом.
Аудит сетевых устройств, в частности анализ конфигураций маршрутизаторов и межсетевых экранов, позволяет выявить такие слепые зоны: провести их сканирование, идентифицировать активы и либо обозначить для них зону ответственности, либо отключить от сети или логически изолировать, запретив доступ.
Валидация данных через протоколы соседства (CDP/LLDP)
Для повышения достоверности данных крайне полезны протоколы канального уровня, такие как CDP (Cisco Discovery Protocol) и LLDP (Link Layer Discovery Protocol). С их помощью сетевые устройства передают информацию о себе и своих «соседях». Этот метод служит перекрестной проверкой, которая делает общую картину инфраструктуры более полной и точной.
Анализируя эту информацию, можно:
найти пропущенные при сканировании устройства, например, свитчи или точки доступа: «соседи» любезно укажут на недостающие звенья — например, на тот самый коммутатор в серверной на пятом этаже, про который все забыли;
проверить уже собранную информацию и быстро выявить проблемы, связанные с некорректной идентификацией или связью устройств: если устройство А в вашей базе говорит, что оно связано с устройством Б, а в протоколах соседства этого не видно — это повод копать глубже.
Бывают, конечно, и ложные срабатывания – например, в роли «соседа» может оказаться IP-телефон со встроенным свитчем, но это можно легко отфильтровать.
Как злоумышленники используют сетевые устройства: от тихого саботажа до громких краж
Многие до сих пор считают, что сетевые устройства — это просто скучные «железки», которые тихо и верно работают, занимая место в серверных шкафах. Установил, настроил и забыл. Но для злоумышленника они могут стать настоящей находкой и ключом ко всей инфраструктуре.
Во-первых, они часто оказываются на периметре и становятся мишенью для ботнетов, которые сканируют внешнюю сеть в поисках любых дыр. Старая уязвимость в веб-интерфейсе роутера или стандартный пароль— и вот враг уже внутри. Но настоящая опасность начинается, когда злоумышленник уже проник в сеть. Тогда сетевое устройство может быть использовано разными способами.
Для атак типа Man-in-the-Middle (MitM, «человек посередине»)
Представьте, что злоумышленник получил контроль над вашим коммутатором. Теперь он может незаметно перенаправлять весь трафик через свой сервер. Как если бы почтальон вскрывал все ваши письма, копировал или подменял содержимое, а потом аккуратно заклеивал конверты и относил адресату.
Как это выглядит на практике? Один из классических методов — ARP-spoofing. Это атака, эксплуатирующая уязвимости протокола Address Resolution Protocol (ARP), который используется для определения физических сетевых адресов устройств (то есть MAC-адресов) по их IP-адресам. Злоумышленник «представляется» компьютеру сетевым шлюзом, и ПК доверчиво начинает отправлять ему весь свой трафик: пароли, переписку, документы. Если трафик не шифруется, а такое во внутренней сети встречается достаточно часто, то все эти данные становятся добычей.
Как идеальное укрытие в инфраструктуре
На серверах и рабочих станциях стоят антивирус и EDR-агенты. Сетевые же устройства мониторят куда менее пристально, поэтому, закрепившись на них, злоумышленник может месяцами оставаться незамеченным и тихо наблюдать за всем, что происходит в сети.
Для приостановки деятельности компании
Доступ к сетевому устройству с максимальными привилегиями — это право парализовать важные рабочие процессы. Один клик — и можно:
- выключить порт, изолировав критически важный сервер;
- изменить или удалить конфигурацию, превратив маршрутизатор в бесполезный кирпич;
- перезагрузить или отключить устройство, вызвав масштабный простой.
Как за два часа украли $150 000 или последствия инцидента с Amazon Route 53
В 2018 году мир увидел наглядный пример того, что уязвимость сетевой инфраструктуры — это не теоретическая угроза, а прямой путь к финансовым и репутационным потерям. И если злоумышленник добирается до управления сетевыми устройствами, он получает власть не только над вашей внутренней сетью, но и может влиять на то, как выглядит ваш трафик извне.
Так, пользователи MyEtherWallet стали жертвой атаки на протокол маршрутизации Border Gateway Protocol (BGP) — своеобразный «язык», на котором маршрутизаторы договариваются, как передавать трафик. Если представить, что Интернет — это глобальная сеть дорог, а BGP — система дорожных указателей, то атака BGP hijacking (перехват маршрутов BGP) — тайная подмена указателей злоумышленником.
Все началось с того, что хакеры скомпрометировали сеть одного местного интернет-провайдера и от его имени разослали подрядчикам (таким же провайдерам) ложные «указатели» (BGP-анонсы), как бы утверждая: «самая короткая дорога к DNS-серверам Amazon ведет через нас». И поскольку многие провайдеры не проверяют достоверность таких объявлений, они доверчиво перенаправили часть трафика Amazon на серверы злоумышленников. Так, пользователи попадали на фишинговые страницы, которые перенаправляли платежи на криптокошельки преступников. За два часа им удалось похитить около 150 000 долларов .
Ниже рассказываем, что необходимо делать компаниям, чтобы не стать жертвой аналогичных атак.
Как усилить защищенность сети до атаки хакеров
Теперь разберёмся, как выстроить систему защиты сетевых устройств, которая работает автоматически, а не держится на героизме администраторов.
Шаг 1. Харденинг самих устройств
Первый рубеж защиты — привести в порядок сами сетевые устройства. Аудит конфигураций — это поиск «окон, открытых нараспашку»: слабых паролей (иногда и в открытом виде в конфигах), открытых портов и небезопасных протоколов.
С этим может помочь модуль для комплаенс-контроля и харденинга инфраструктуры MaxPatrol HCC, который автоматически проверяет конфигурации устройств на соответствие сотням требований, специфичных для каждого вендора и модели. Он не просто находит проблему, а дает готовую команду для ее исправления — например, установить зашифрованный пароль для повышения привилегий в операционной системе Huawei VRP, выполнив это командой super password cipher.
Шаг 2. Поиск и управление уязвимостями
Сетевые устройства, как и компьютеры, тоже имеют свои баги. Большинство из них относятся к интерфейсам управления, которые должны быть доступны лишь единицам, но в реальности их часто можно найти если не «торчащими» в интернет, то уж во внутренней сети — точно.
Своевременно обнаруживать бреши сетевого оборудования позволяют системы управления уязвимостями, такие как MaxPatrol VM. Регулярное сканирование дает не просто список недостатков безопасности, а функционал для полноценного управления ими: от получения детального описания риска до контроля процесса устранения.
Шаг 3. Контроль того, что и как «светится» в интернете
Один из рисков — неконтролируемая публикация внутренних сервисов наружу через NAT — технологию для изменения IP-адреса и, при необходимости, порта во время передачи пакетов Ethernet через маршрутизатор. MaxPatrol VM анализирует все NAT-правила и составляет их полный реестр, а также отвечает на вопрос, какому именно сервису и хосту принадлежит тот или иной внутренний IP.
Например, в системе видно, что определенный IP – это GitLab-сервер, и его аудит пора бы обновить. Это возможно благодаря тому, что данные аудита сетевых устройств объединяются с инвентаризацией всех активов компании.
Аналогично можно контролировать, какие сервисы публикуются во внешней сети через обратные прокси-серверы.
Шаг 4. Контроль сетевых политик: принцип наименьших привилегий
Избыточные разрешения часто становятся слабым звеном в защите. Здесь в игру вступает контроль политик сетевого доступа, который можно реализовать с помощью инструмента Network Compliance Control, который сейчас является частью MaxPatrol Carbon. Это позволяет постоянно проверять, соблюдается ли правило: каждому — только то, что необходимо для работы.
Допустим, есть некий регламент, согласно которому доступ к веб-интерфейсу GitLab по HTTPS разрешен только для IP-адресов разработчиков и администраторов. Если это правило нарушено, система покажет, у каких ещё пользователей есть такой доступ.
Руководство по аудиту активов
Как уже было отмечено выше, тщательный аудит активов – основа для обеспечения безопасности инфраструктуры. Asset Management – это технология, которая позволяет провести полную инвентаризацию ИТ-активов и отслеживать актуальное состояние инфраструктуры в продуктах Positive Technologies на базе MaxPatrol VM.
Для оказания помощи в построении процесса аудита ИТ-активов с использованием MaxPatrol VM мы разработали специальный гайд – Руководство по аудиту активов. Документ содержит подробные инструкции и справочную информацию для оценки качества сканирования инфраструктуры. Он поможет службам ИБ и ИТ обеспечить контроль над ИТ-активами, а также подготовить инфраструктуру к моделированию маршрутов в MaxPatrol Carbon.
Таким образом, аудит сетевых устройств – это не просто очередная проходная задача, а фундаментальный элемент для построения полноценного процесса управления активами, расчета сетевой достижимости, моделирования атак и, как следствие, повышения уровня защищенности инфраструктуры в целом. Без этой основы любые усилия ИБ-специалистов будут напоминать строительство замка на песке: самые современные системы защиты могут оказаться недостаточно эффективными, если в сети остались неучтенные «черные ходы» в виде забытых стыков с подрядчиками или устройств с дырявыми конфигурациями.
Константин Маньяков
Руководитель практики развития MaxPatrol Carbon
Данил Зарипов
Специалист экспертного центра безопасности (PT ESC)
