Zdobywanie fortecy bez wyważania drzwi.

Zdobywanie fortecy bez wyważania drzwi. Bezpieczeństwo zdalnego dostępu administracyjnego. Franciszek Lewenda Specjalista ds. Bezpieczeństwa IT

Agenda Zdalny dostęp administracyjny Zdobywanie fortecy ataki/słabości Ochrona wybrane zabezpieczenia Pojedyncze zabezpieczenia nierozwiązane problemy Podejście kompleksowe Podsumowanie, Q&A

O jakim dostępie mowa?

Zdalny dostęp administracyjny 3rd party Serwery / urz. Sieciowe / WebApp/ bazy danych Internet LAN Lokalni admini Zdalni admini 3rd party

Zdalny dostęp administracyjny = Zdalny dostęp to: Drzwi dostępne z zewnątrz, Dostęp administracyjny to: Szerokie uprawnienia możliwość: Nieuzasadnionego dostępu do danych, Kasowania lub modyfikacje informacji, Niedozwolonych operacji w systemie, Zacierania śladów nadużyć, A przy okazji: Duże środowisko = dużo kont i haseł, Problemy z audytem i rozliczalnością.

Zdobywanie fortecy

Nasza sieć to forteca, ale

1. Atak na drzwi

Źródło: Raport CERT Polska 2013 Portscan

Ataki słownikowe Pod koniec roku 2013 CERT Polska informował o nowym rodzaju bota, przeznaczonego do ataków DDoS, który infekował serwery zarówno z systemem Linux, jak i Windows. W przypadku systemu Linux rozprzestrzeniał się za pomocą ataku słownikowego na hasła usługi SSH. Źródło: http://www.cert.pl/news/7849

2. Atak na człowieka

LinkedIn hacking

Admin poza zasięgiem zabezpieczeń styku C&C Internet

Wyciek danych z OVH Serwerownia OVH właśnie poinformowała o incydencie bezpieczeństwa. Sprawa jest poważna, ponieważ naruszone zostały zabezpieczenia wewnętrznej sieci biurowej pracowników data center. Jak doszło do włamania? Atakujący miał najpierw przejąć konto e-mail jednego z administratorów OVH, a następnie przy jego pomocy uzyskał dane dostępowe do konta VPN innego pracownika odpowiadającego za tzw. backoffice. Stamtąd miał już otwartą drogę do wewnętrznych usług i systemów. Źródło: http://niebezpiecznik.pl/post/ovh-zhackowane-miales-konto-zmien-haslo/

3. Zagrożenie wewnętrzne

Udostępnianie danych uwierzytelniających

It happens Sprawozdanie z konferencji SECURITY CASE STUDY 2014 Valery Milman wskazał z kolei jako główne problemy, które następnie omówił: wspólne konta administracyjne, dzielenie się uprawnieniami, brak wiedzy co do ilości kont uprzywilejowanych, brak wiedzy na temat tego jakie dane faktycznie mamy chronić. Źródło: https://www.cybsecurity.org/sprawozdanie-z-konferencji-security-case-study-2014/

Zabezpieczanie fortecy

1. Silne uwierzytelnianie

CERB

Drugi składnik uwierzytelniania

Korzyści TFA: Niezaprzeczalność dostępu Odporność na ataki brute force Nie trzeba pamiętać i ciężko udostępnić hasła CERB: Niski koszt tokena Niski koszt logistyki Integracja AD/RADIUS Łatwa migracja z wdrożonych rozwiązań TFA

2. Monitoring i rejestracja zdalnych sesji administracyjnych

FUDO

Zasada działania sqeiloc1orbg1a3dq9ljljcm9hu sqeiloc1orbg1a3dq9ljljcm9hu YjCJZWAYkICHTCTAoywSBFr GW0XxG2IdU3A28SUsb4X3Staj GW0XxG2IdU3A28SUsb4X3Staj czap12ffomqijefxrw5tmzi5 51x20sM4XXEhzRdQNM0RPB2p 51x20sM4XXEhzRdQNM0RPB2p 2YykQ7ocEYewwRZ6CBMC8K root# komenda1 root# komenda1

Natywny klient RDP VNC SSH

Scenariusze wdrożenia 1/2 Tryb transparentny ssh user@10.0.2.50 p 22

Scenariusze wdrożenia 2/2 Tryb pośrednika

Korzyści Czynnik dyscyplinujący Personel obcy Personel własny Materiał szkoleniowy Wyciek danych wiemy co wyciekło

3. Zarządzanie hasłami i dostępem

Secret Server

Panel użytkownika

Korzystanie z dostępu - request

Cisco zmiana hasła

Automatyczna zmiana haseł Active Directory Amazon AS/400 Check Point Cisco Dell DRAC DSEE Enterasys Google HP ilo Juniper MS SQL Server MySQL ODBC Oracle OpenLDAP PostgreSQL Salesforce SAP SSH / Telnet Sybase UNIX/Linux/Mac (root też) VMWare ESX WatchGuard

Korzyści Systemy odporne na ataki brute-force Zgodność z wymaganiami na hasła Single SignOn, wygoda Centralne zarządzanie uprawnieniami dostępu Nie da się zalogować do systemu lokalnie Pełny audyt użytkowników i systemów

Pojedyncze zabezpieczenia

Narzędzie doskonałe Czy istnieje?

CERB Problemy, których nie rozwiązuje Tylko uwierzytelnianie Ograniczone możliwości audytu

FUDO Problemy, których nie rozwiązuje Logowanie lokalne ciągle możliwe Potencjalne podszycie się pod support Tabelka z mapowaniem portów

Thycotic Problemy, których nie rozwiązuje Mogłoby być lepiej: Wbudowane TFA Wbudowane rejestrowanie sesji Hasło do Thycotica da się udostępnić

Podejście kompleksowe

Jedno zabezpieczenie może nie wystarczyć. Ale

CERB + FUDO

CERB + Thycotic

Thycotic + FUDO

CERB + Thycotic+ FUDO

Podsumowania czas

Podsumowanie Czy da się żyć bez zdalnego dostępu? Jego bezpieczeństwo jest bardzo istotne: Potencjalny wektor ataku Możliwość nadużyć trudnych do wykrycia Duże i zróżnicowane środowiska to: Trudności w zarządzaniu uprawnieniami Trudności z audytem i rozliczalnością Lek na wszystko nie istnieje.

Q&A Czas na pytania

Dziękuję za uwagę! Franciszek.Lewenda@passus.com.pl http://www.passus.com.pl/