Dotaz: Sitova sonda

Taková věc není jen tak. Mimochodem to znamená v síti zprovoznit 802.1x, aby ten firewall věděl jaká je vazba mezi IP adresou/uživatelem v doméně. Opravdu to má smysl?

Nic takového se u nás nemůže stát, protože :

• kamery a další věci jsou v oddělené vlaně, ze které není přístup na internet
• mgmt zařízení je na oddělené vlaně dostupné pro IT
• PC nemají přímý přístup na internet, všichni jedou přes proxy server a nastavení pro klienty probíhá pomocí dns/dhcp a wpad.dat souboru. Na proxy serveru se pak filtruje provoz, aby uživatelé nemohli stahovat spustitelné soubory apod.
• používáme mail gateway, kde je jednak klasický antispam (spamassasin, kontrola spf, dkim, greylisting apod.), ale zakazujeme také spustitelné soubory, i když jsou v archivu a taktéž zakazujeme vnořené archivy (např. zip v zipu a v něm exe)
• ESET máme také, ale ten sám o sobě nestačí, ještě se musí vhodně nastavit, hlavně se musí vhodně nastavit HIPS filtr, my třeba používáme nastavení, kdy Office procesy nemohou spouštět žádné další. Když tedy projde přes antispam/antivir zavirovaný dokument a uživatel udělá chybu, že ho otevře a ještě prokliká, tak se nic nestane, protože když proces např. wordu nedokáže spustit cmd, vbscript, rundl32 atd., tak se nespustí ani červ a nic se neděje. A toto vše jde právě nastavit v HIPS filtru, je to hodně dobrá prevence.
• Výstup na internet je přes jinou IP, než výstup pro maily. Když by někdo nějak dokázal spamovat přes proxynu, nebo má třeba výjimku, že proxynu nepoužívá z nějakého důvodu, tak následný dočasný útok nijak neovlivní mailový systém (mail server se nedostane na blacklisty atd.)

Toto nastavení považuji za základ a 802.1x za další krok. Stejně tak analýzu provozu.
Pokud máš Mikrotika jako hraniční router, tak můžeš někde rozjet Snort/Suricatu apod. a posílat z Mikrotiku na Snort kolektor údaje o provozu a dělat tak analýzu online (Mikrotik má ještě vlastní řešení, jmenuje se to Calea, ale s tím zkušenosti nemám). Jinak i trochu lepší switche umí posílat data k analýze. Třeba Cisco SG350/550 mají podporu pro sFlow. A jsou to L3 switche, takže ideální pro routing a ACL mezi vlanami a poté samozřejmě i jako dobrý zdroj pro analýzu provozu s tím, že výkonově to zvládá všechno levou zadní a Mikrotik pak může být čistě jen router do internetu (nemusí být zbytečně zatěžován routováním lokálních segmentů - když je to slabší kousek, nebude těžké ho ubít/neuroutovat Gbit apod.).
Zdar Max

Jmenuje se to IPS.

Ještě jedna poznámka k věci: tohle by mělo zajímat i HR/právní: zaměstnanec by neměl dělat paseku v IT, měl by nést nějakou odpovědnost za své jednání. A na IT je, aby mu k tomu udělalo podmínky a dalo to ve známost.

...a ve chvíli, kdy ta škodlivá aktivita někde uvnitř Vaší sítě probíhala, podařilo se zjistit *aspoň něco* ? Které zařízení hrnulo ten škodlivý provoz ven do internetu? "kamerový systém" = IP kamera, nějaký dedicated server, nějaká pracovní stanice? Nebo jste tuhle informaci nedokázali zjistit? Prostě to skončilo samo dřív, než jste se stihli podívat?

Různé kamery a levné malé routery jsou poslední dobou napadány přes factory-default adminské heslo, které se vlastník/provozovatel nenamáhal změnit po uvedení krabičky do provozu. Napadená hloupá krabička je poté změněna na "zombie" - a často ani nedojde k napadení firmwaru ve Flash, k odstranění nákazy na samotné krabičce stačí restart (takže se znehodnotí obsah RAM). Pokud není napadená krabička vidět přímo z divokého internetu, mohl útok proběhnout nepřímo - nějaký malware potichu napadne počítač v LAN, potichu si stáhne "úkoly" a jedním z nich může být, oskenovat LAN na známé hloupé krabičky s defaultními hesly, a pokud nějaké najde, tak do nich "at runtime" propašovat zombie servisku. Která si pak zavolá domů o další úkoly.

Souhlasím, že detekovat podezřelou aktivitu v rámci LAN (skenování sítě a pokusy o zneužití default hesel) znamená, analyzovat provoz v LAN - na to by mohl stačit mirror port na strategicky umístěném switchi a nějaký box s IDS analyzátorem, nebo v nouzi wireshark (a samozřejmě znalosti).

Max už tady načrtl, jak postavit systém pro kompletní záznam metadat a ex post následnou analýzu. Pro okamžitý přehled "zrovna když to probíhá" stačí méně - osobně používám iptraf na Linuxu který mi slouží jako router. IPtraf ukáže hrubší obrysy, podrobnosti se dají zkoumat na tomtéž stroji tcpdumpem. Velmi se mi to osvědčilo už v řadě situací, kdy se nejednalo o nějaký zákeřný útok, ale něco někde se zbláznilo a začalo zuřivě sosat, nebo mi někdo omylem propašoval do LAN další DHCP server apod. Prostě důležité je "vidět", a lepší než nic je vidět co se děje "právě teď". Mikrotik RouterOS moc neznám - matně si vybavuji, že tomuhle účelu by mohl sloužit nástroj zvaný Torch. Na první pohled mi přijde docela mocný.

A souhlasím, že "least privilege" a oříznout přístup na web proxinou je to správné kladivo na všelijaké svinstvo, které závisí na přímém přístupu. Ve větší LAN síti s netriviálním počtem naivních uživatelů asi není jiné cesty. Svoboda do jisté míry funguje v malých firmách se znalými uživateli - ovšem včetně svobody pro lidskou chybu, které se občas dopustí každý, i admin. Tzn. šikanózní "least privilege" je dobré i jako ochrana proti vlastním přehmatům.

Všelijaké antiviry... většinou šikanují uživatele více či méně zjevnými omezeními, občas kvůli antiviru hapruje něco užitečného (třeba transport e-mailu mezi klientem a místním serverem), a reálně stejně chytají většinou jenom dávno známé primitivní hrozby. Tradičně antiviry lovily především viry podle známých signatur, ale nechávaly převážně plavat všelijaký adware, phishingové útoky a podobné "neškodné" svinstvo. Přitom už mnoho let frčí útočný malware, obvykle bez virových autoreprodukčních charakteristik, zato se schopností maskování proti "kontrole signatur". Primitivní phishingový útok "bububu, kliknete nám semhle kamsi do tramtárie a řekněte svoje heslo" většinou proleze všemi filtry, pokud je dostatečně často obměňován a používá dostatečně obecnou=nefiltrovatelnou slovní zásobu. Nebo: už Vám někdy antivir vynadal, že jste spustil Telnet nebo SSH na nějakou krabičku v LAN?

Za co bych osobně dával kázeňské tresty je čtení a forwardování soukromých žertovných mailů s přílohou. A sledování filmečků s velkým podílem pleťových odstínů bych povolil jenom ze správně nastavených ne-windowsových systémů, pokud existují uživatelé, kterým to nelze kategoricky zakázat (V momentálním zaměstnání naštěstí tenhle problém nepotkávám.)

Off topic:

Popravdě mi delší dobu vrtá hlavou, jestli na ovládání internet bankingu nevyhradit finančnímu odd. dedicated PC s Linuxem, na které by se nedalo dostat na dálku přes remote desktop (případně to povolit jenom opačně, z tohoto stroje přes RDP třeba na terminal server s účetnictvím a spol). Na tom linuxu nakonfigurovat jenom přes imap nebo interní webmail a sambu přístup k dokumentům, ze kterých se přes clipboard extrahují platební kontakty.

Alienvault, ossim, suricata