🙏🏾 🥋 🕦 5年間情報セキュリティに関与していない大企業を見つけましたが、まだ生きています。 👩🏾‍⚕️ 🏗️ 🕴🏿

約5〜6年前、非常にクールな管理者がいて、ネットワークを時計のように設定し、当時の最新の経済セグメント機器を装備していました。管理者は、適切な構成と適切なアーキテクチャで予算の不足を補いました。一般に、多くの作業が行われたことがわかります。

その後、会社は2つに分割され、拡張され、すべてが数回変更されました。この間、松葉杖でネットワークがサポートされていました。 ITはお客様のコアビジネスではないため、状況は一般的に明らかです。どこにでもありますが、大規模なネットワーク（地理的に分散した会社、数十の支店）の場合、この形式で5年間続きます。これはまだ見ていません。

実際、それは耐えられませんでした。ハッキングイベントが検出された後、私たちはネットワークインフラストラクチャを監査するために呼び出されました。その場合、商用秘密を表すすべての情報を含むデータベースがダウンロードされました。より正確には、間違った人々が浮上した。

状況、トポロジの一部、およびその他の詳細がわずかに変更されているため、顧客を認識できません。それでも、この投稿は実際の出来事に基づいており、警備員が許す限り現実に近いものです。

この会社は、主要な生産（同じサーバーノード内）と全国の数十の支店を代表しています。シンクライアントは、VPN + RDPを介してユーザーが作業するサーバーノードに移動するブランチにインストールされます。ブランチには、セントラルノードのサービスとデータベースを使用する機器もあります。ブランチで接続が失われた場合、ネットワークに再接続する前に切断されます。

ネットワーク-サイト間でデータを転送するための数十の先史時代のスイッチ、ほこりだらけの「ダム」ルーター、プロバイダーからのMPLS L3 VPN接続。

別の会社のルートスイッチ

私が言ったように、会社は2つの独立した会社に分割され、数年前にわずかに競合していました。そのため、ネットワークの一部は一般的なままでした。なぜなら、彼らはそれらを壊さないことを決めたからです。奇妙だが論理的な結果：ルートスイッチは競合他社のものです。競合他社のユーザーは、競合他社の管理者であるネットワークプリンタにタスクを送信できます-ネットワークボールなどを監視するための努力が必要です。ビデオ監視アーカイブを備えたサーバーは一般的に一般的です。実験室のミニクラスターも。 III ...

ファイアウォールなし！

ネットワークは区切られていません。より正確には、どのように：ジャンクションに古い鉄片があります。これは、新世代のファイアウォールが出現する前に、保護のために使用されていました。本質的に、単純なステートフルファイアウォールのように機能します。明らかに、ある時点でネットワークの開発を妨げたため、通常の構成の痕跡がコメントアウトされました。

一般的な問題

レポートからの抜粋は次のとおりです。

現在のスイッチ設定では、ネットワークインフラストラクチャは非常にアクティブなネットワーク機器への攻撃に対して脆弱です：DoS / DDoS、不正アクセス、およびユーザートラフィックとサーバー機器への攻撃：DoS / DDoS攻撃、MACおよびIPを置き換えることによるトラフィック傍受攻撃アドレス、DHCPサービスに対する攻撃。
アクティブなネットワーク機器への不正アクセスを防ぐには、集中認証と許可を構成し、管理者がデバイスへの管理接続を確立できるデバイスのIPアドレスを制限する必要があります。
ネットワークへの不正アクセス、およびネットワーク上のアクティブなネットワーク機器およびデバイスへの攻撃を防ぐには、未使用のインターフェイスをオフにして、未使用のVLANに配置する必要があります。
DHCPサービスへの攻撃とそれに続くトラフィックの侵害を防ぐには、DHCPスヌーピング機能を使用する必要があります。
MACアドレスの置換に対する攻撃と、スイッチのスイッチングテーブルに対する攻撃を防ぎ、その後トラフィックが危険にさらされるのを防ぐには、ポートセキュリティ機能を使用する必要があります。
悪意のあるARP応答を送信してトラフィックをリダイレクトすることを目的とした攻撃を防ぐには、ダイナミックARPインスペクション機能を使用する必要があります。
スイッチおよびユーザートラフィックへの攻撃を防ぐには、スパニングツリーBPDUguard機能を使用する必要があります。
ネットワークインフラストラクチャへのDoSおよびDDoS攻撃を防ぐため、およびループの切り替えの可能性のために、ストーム制御（ユニキャスト、ブロードキャスト、マルチキャスト）機能を使用する必要があります。
このサイトでは、古いOSバージョンの古いスイッチモデルを使用しています。スイッチのOSバージョンを更新することをお勧めしますが、その後でも、これらのスイッチはOSIモデルの第2レベルに現在必要なデータネットワークのセキュリティを提供できません。
他のサイトとの通信およびこのサイトでのインターネットアクセスは、別の会社のネットワークインフラストラクチャに依存しています。ローカルルートスイッチのサービスプロバイダーに接続することをお勧めします。
ネットワーク上のゲストVLANには、多数のサードパーティデバイスがあります。 dot1xサプリカント機能をサポートするエンドポイントデバイスでは、これらのデバイスからのトラフィックを制限するVLANおよびダイナミックアクセスコントロールリストを使用して、これらすべてのデバイスにdot1x認証を設定する必要があります。エンドデバイスがこの機能をサポートしていない場合、アクセス制御リストとポートセキュリティ、および許可されたトラフィックの量を制限するためにスイッチのインターフェイスにQoSポリシングを設定することをお勧めします。
アクセスポイントとして、HTTPプロトコルとSSL v1プロトコルに基づくHTTPSを使用した接続を許可する管理者の集中認証をサポートしないデバイスが使用されます。
SSIDはブロードキャストモードでアドバタイズされますが、プライベートでアドバタイズすることをお勧めします。
認証に使用されるWPA2キーは、内部SSIDとゲストの両方で一致し、10文字のラテンアルファベット（創設者の名前）です。
IKEプロトコルのフェーズ1および2でのルーターの現在のIPsec VPN設定は、暗号化アルゴリズムとして3DESプロトコル、認証アルゴリズムおよびDH 2としてMD5を使用します。AES-256、SHA-512以上およびDH 19以上を使用することをお勧めします。 DH 19以上のグループでPFS機能を有効にすることも必要です。

リモートアクセスOpenVPN（Debian Linux 8）。接続ポートに応じて、さまざまなルートがスプリットトンネリングとしてさまざまなクライアントに返されるため、リモート接続のために特定のネットワークへのアクセスのみが暗黙的に許可されます。ただし、クライアントはOpenVPNサーバーに接続されたときに作成された論理トンネルに追加のルートを手動で登録できるため、トラフィックを会社のネットワークにルーティングできます。

すべてのサイトのユーザーとサーバーからのトラフィックは、最新のファイアウォールと侵入防止システムによってテストおよび検査されることなく、ルーターおよびインターネットを介してインターネットに送信されます。また、ほとんどの場合、このトラフィックは無制限またはほぼ無制限です。この点で、デバイス、アプリケーション、および企業データは、企業に対して使用できる多くの攻撃から実際には保護されていません。これらは、アプリケーションおよびオペレーティングシステムの脆弱性を悪用する攻撃、サーバー、アプリケーションおよび企業のアクティブなネットワーク機器に対するDoSおよびDDoS攻撃、ウイルスやネットワークワームを使用したユーザーデータに対する攻撃などです。パブリックネットワークとの間で送受信されるすべての企業トラフィック、および異なる企業サイト間のトラフィックや企業とそのパートナー間のトラフィックは、最新世代のファイアウォールと侵入防止システムによって制限およびチェックされる必要があります。このようなソリューションはコストが高いため、セントラルオフィスでデバイスの集中ペア（フォールトトレランス用）を使用し、これらのデバイスを介してすべてのサイトからインターネットおよび他の企業サイトにトラフィックをルーティングすることをお勧めします。

監査はどうでしたか？

ステージ1。顧客アンケートを送信し、作業を実行する前に記入するよう依頼しました。アンケートはdocファイルとExcelタブレットの形式で、情報の量はオブジェクトによって異なりました。一部の機器については、多くの情報がありました。一部の機器については、ゼロです。一般的に、このようなアンケートへの記入は標準的な手順であり、IPアドレス、サーバーの数、場所、内容、方法などを示します。

ネットワーク構成プロセスに関与するすべてのITスペシャリストが顧客の正社員であるわけではなく、外部委託されたサポートもありました。 OpenVPNは、外部エンジニアによって構成されました。私は、彼に私にリモートアクセスと構成ファイルを提供するように要求しました。特別な問題はありませんでした。機器に接続してから1週間以内に情報を受け取りました。質問がある場合は、ローカル管理者で解決しました。 Linuxoidの構成のいくつかのセクションは何度か会いましたが、それらを理解するために同僚をつなぐ必要がありました。これらは、何年も前に時計のようにすべてを起動した非常に神話的な管理者の痕跡でした。

2番目のステップでは、プロキシサーバーとOpenSSL VPNサーバーの構成を要求し、その後分析しました。約1週間かかりました。

ステージ3。彼はすべてのハードウェアに登って見ました。これは、このような監査のオプションの手順です。原則として、すべてが構成ファイルに含まれている必要があります。しかし、あなたはそれを見ることができないようなものがあります。一部のハードウェアがオフになり、転送されたドキュメントの一部にはデフォルトの設定が表示され、実際の設定は表示されませんでした。これらの設定のリストを保持している人はいません;それらはどこにも示されていません。したがって、すべてを手動で確認することをお勧めします。そうでした。ベンダーの機器の各インターフェイスで、統計情報が送受信されます。統計がゼロの場合、機器が使用されていないことは明らかであり、オフにすることができます。カウンターがゼロではないインターフェイスもありましたが、機器には何も接続されていませんでした。トラフィックカウンターをリセットし、インターフェイスを通過するバイト数が増加したかどうかを確認しました。 2週間後にこのインターフェイスを介して何も送信されなかった場合、使用されなかったという予備的な結論を導き出すことができます。

また、プロトコルの種類、認証の構成方法も確認しました。リモートアクセスプロトコル、プロトコル設定、認証、承認、インターフェイスのオン/オフの有無、NAT、Wi-Fiなど、各ハードウェアの完全な監査を実施しました。ルーター上のアクセスリストは非常に重要です。彼らはそうではなかったか、非常に基本的でした。レポートを完了するのに3週間かかりました。そして、はい、私はまだOS、ファームウェアのバージョンを確認しました、それはアップグレードしてより最新の機能を得ることが可能ですか、適切なバージョンがありますか？

第4段階-情報を集約し、各「ハードウェア」について推奨事項を作成しました。

彼らはどのように生き残りましたか？

最も可能性が高い-とらえどころのないジョーの原則に。 5年間の運はハックで終わりました。さらに興味深いのは、過去5年間に、彼らがブロッカーの別の流行を取り上げなかったり、鉱夫やランダムなDDoSを捕まえて「入れ」なかったということです。

一般に、中小企業（特に遠隔地の異なる産業）はそのように生きていると言えます。民間の小さな銀行でさえこのように働くことがある、と同僚はそのような話をした。しかし、この規模の会社とそのような売り上げのある会社にとっては非常に奇妙です。小学校では、すべての競争相手は紳士である必要があります。そうすれば、インフラストラクチャが片方に残らないようにするためです。

ストーリーはどのように終わりましたか

彼らは現在、企業レベルで最新の機器を再び購入しています。いくつかのファイアウォールがあり、新しい、より機能的なルーターがあり、許可されたトラフィックの正しい設定とルールがあります。インターネットアクセスルーティングは、全国のメインサーバーノードを経由します。これは、ファイアウォールが2つしかないためです。すでに、彼らはすべての未使用のポートを閉じて、一般に設定を更新しました。可能な場合はファームウェアを更新します。

新しいスイッチには、認証、ロギング、および管理するユーザーの権限の集中管理が集中化されます。サポートは最終的に異なるアカウントを持つことになります-現在、それらは一度に1つずつ機能します。ここで設定を削除してデバイスを再起動すると、誰がそれを知っているかわかりません。

その後、DLPおよびその他の機能のためにゆっくりと節約します。

5年間情報セキュリティに関与していない大企業を見つけましたが、まだ生きています。