Czym jest Hardening?

utworzone przez | kwi 9, 2021

()

Czym jest hardening? Jest to proces, który ma za zadanie ograniczyć wektor ataku. Prosta definicja, niby określająca wszystko, ale dalej nic nie wiesz. Zazwyczaj tak jest, dopóki nie zagłębisz się w temat – sama definicja niewiele mówi, tak samo jak sama teoria nic Ci nie da.

Lecz zarówno słownictwo, jak i teorię musisz poznać, zanim zaczniesz coś robić. W sumie może nie do końca – da się praktykować nie znając ani teorii, ani słownictwa, ale jest to bardzo ograniczone, więc poznajmy wszystkiego po trochu:)

Wstęp

Na początek musisz zająć się ograniczeniem wektorów ataku na sieć. Ponieważ to właśnie przez nią wszystko przechodzi, tam się wszystko zaczyna i kończy – niczym alfa i omega ;). Przez sieć do Twojego sprzętu dostają się i są wysyłane masy informacji. I właśnie od niej zawsze powinieneś zacząć podnoszenie poziomu bezpieczeństwa w firmie.

Ale od czego by tu zacząć z siecią? Pierwszą rzeczą, którą powinieneś się zająć, jest Firmware. Urządzenia sieciowe, tak samo jak komputery, posiadają oprogramowanie, które nazywa się Firmware. W wypadku urządzeń firmowych wygląda to całkowicie inaczej niż w wypadku routerów w domu.

Network Security Hardening

Tu aktualizacje są częste i trzeba je śledzić, wprowadzać, gdy tylko wersja jest na tyle wygrzana (czyli została przetestowana na podobnym środowisku i są znane jej błędy lub możliwe konfiguracje), że jest to możliwe. Firmware jest przetrzymywany w tych urządzeniach w pamięci EEPROM ( tu możecie dowiedzieć się więcej o EPROM).

Kolejną podstawową rzeczą jest ustawienie odpowiedniego hasła na urządzeniu – dla przykładu tak, jak robiliśmy to w wypadku routera. Pamiętajcie, że w przypadku gdy jakiś firmware lub sprzęt jest już niewspierany, należy go niezwłocznie wymienić.

Rozumiem, że kwoty wydatków w wypadku firmowego sprzętu są ogromne. Ale można rozważyć wymianę sprzętu z jednoczesną częściową migracją do chmury. Nie w każdej firmie jest to możliwe, ale jeśli się da i kosztowo się opłaca, to warto wziąć pod uwagę takie rozwiązanie.

Jeśli jednak się nie da, to musisz wiedzieć i tak przedstawić to zarządowi: sprzęt dokonał żywota, jeśli w najbliższym czasie pokażą się jakiekolwiek luki, nie zostaną one załatane. Będziemy inwestować w inne rozwiązania, ale jeśli ktoś się dostanie przez nasze przestarzałe urządzenia sieciowe, nie będziemy w stanie nic na to poradzić.

Firma straci reputację i przy tym straci klientów. Zazwyczaj to otworzy portfel zarządu na nowe urządzenia ;). Starajcie się wybierać takie z długim EOL i z odpowiednim wsparciem.

Port security

W dzisiejszych czasach, jeśli nie kupujesz przedwiecznego sprzętu z odzysku, wszystkie switch mają możliwość ustawienia port security. Służy ono do ograniczenia dostępu poprzez podłączenie kabla sieciowego do portu.

Działa to przez whitelistowanie urządzeń, które mogą się podłączyć do portu i otrzymać internet. Wszystkie pozostałe pozostaną bez niego.

Dla przykładu: Adam przychodzi pierwszy raz do biura. Właśnie dziś zaczął pracę. Jest bardzo zadowolony, przeszedł wszystkie ciężkie etapy rekrutacji, w których to był przepytywany i maglowany na okrągło. Ale udało się – w końcu będzie robił to, co lubi. Jeszcze o tym nie wie, ale już pierwszego dnia w pracy wywoła incydent bezpieczeństwa.

Adam, jak każdy, przechodzi przez szkolenia i BHP, więc dzień mija mu szybko. Właśnie dostał godzinę przerwy, w której to może zjeść sobie obiad i odsapnąć od natłoku informacji.

Już po objedzie siada on do biurka, przy którym ma siedzieć na stałe. Akurat tego dnia koleżanka, która ma biurko obok, zachorowała i nie może pomóc Adamowi się zaaklimatyzować i wyjaśnić, jak sprawy wyglądają w firmie.

Adam myśli, że tu będzie tak samo, jak w poprzedniej firmie. Będzie mógł podłączać co chce i gdzie chce bez pytania o zgodę. Wiec schyla się pod stół i podłącza się do wystającego tam kabla Ethernet.

Ale internet nie działa

Ale internet nie działa. Nic sobie z tego nie robi, nie chce nic zgłaszać, ponieważ jest pierwszy dzień i jest wystraszony, że już coś zepsuł (tu od razu powiem: zawsze należy zgłaszać).

W ciągu paru minut odwiedzają go szefowa z kimś z działu bezpieczeństwa z pytaniem, dlaczego podłącza sprzęt, jeśli w regulaminie jest jasno napisane, że nie wolno. Oczywiście Adam, jak większość osób, nie czyta ważnych dokumentów, które podpisuje. Tu uwaga: należy czytać wszystkie dostępne polityki i regulaminy w pracy tak na początku jak i za każdym razem, kiedy są zmieniane.

W powyższym wypadku opisałem Ci, jak działa port security. Człowiek nie dostał dostępu do internetu, ponieważ MAC address jego komputera nie był zapisany na białej liście. Dodatkowo urządzenie wysłało komunikat o podłączeniu innego sprzętu do tego portu.

Wyłączanie nieużywanych portów

Będę pewnie Ci to wielokrotnie powtarzał przez ten i chyba kolejne artykuły, ale co tam, to bardzo ważne. Systemy i aplikacje są robione w ten sposób, by wiele komponentów ułatwiało Ci życie. Lecz jeśli to tylko możliwe, staraj się wyłączać wszystko, z czego nie korzystasz lub czego nie potrzebujesz.

W tym wypadku wyłączamy zbędne nieużywane porty na urządzeniach sieciowych. Nawet wtedy, gdy mamy MAC filtering. Najlepszą praktyką jest wyłączenie wszystkiego, z czego nie korzystasz.

IEEE standard 802.1X

Standardem już się stało, że każdy, kto podłączy się do sieci, musi się zautentykować. Jest to troszkę inne, niż w wypadku systemu operacyjnego – zazwyczaj, jak się logujesz już do systemu, to internet działa od jakiegoś czasu.

IEEE 802.1X to standard kontroli dostępu stworzony przez stowarzyszenie Institute of Electrical and Electronics Engineers . Służy on do kontroli dostępu do sieci przewodowych i bezprzewodowych. W wypadku 802.1X nie otrzymasz dostępu do internetu, dopóki nie potwierdzisz tożsamości w środowisku 802.1X.

Działa to w ten sposób: chcesz się podłączyć swoim urządzeniem, np. laptopem, do sieci poprzez router switch czy access point. Są one tzw. autetykatorami, wysyłają one requesty z żądaniem potwierdzenia tożsamości do serwera, np. Radius.

Po tym, jak takie potwierdzenie dostaną, nadają dostęp do sieci i można śmigać – internet już działa 🙂 Któregoś dnia, jak sobie przypomnę i znajdę chwilę to zrobię parę wideo, jak np. skonfigurować Cisco switch.

Group Policy

Tutaj tylko przytoczę, że jest to fajne narzędzie do konfiguracji w Windows. Daje dużo możliwości dla administratora, by ustawić globalną politykę i np. wyłączyć dostęp do USB dla danej grupy ludzi. Jak ją konfigurować opisałem wcześniej tu. Jest ona niezbędna, gdy chcesz dbać o bezpieczeństwo w Windows.

Nawet teraz, gdy większość tematów da się postawić w chmurze – jednak jakoś do tej chmurki trzeba się podłączyć i ten komputer, który będzie się podłączał, trzeba odpowiednio do tego przygotować :).

Patch Management

Kolejnym z bardzo ważnych aspektów jest aktualizacja. Wiem, że już ją lekko poruszyłem powyżej, ale musisz wiedzieć, że to bardzo ważny temat. Bardzo, ale to bardzo często jest powodem przełamania zabezpieczeń.

Wolne lub nieadekwatnie szybkie aktualizowanie oprogramowania czy systemu w dzisiejszych czasach jest największą zmorą.

Bowiem każda aktualizacja może powodować również ryzyko zaburzenia lub zaprzestania działania aplikacji, która jest np. niezbędna do działania systemu. Moim zdaniem należy śledzić na bieżąco całe swoje oprogramowanie.

Gdy tylko wersja jest na tyle wygrzana, że nie położy nam aplikacji, to od razu trzeba ją zaaplikować. Jeśli wystąpią przy tym jakieś błędy, będzie trzeba zawalczyć. Ale w dzisiejszych czasach nie można zbyt długo czekać z aktualizacjami.

Security Baseline

Security Baseline (minimalny punkt wyjścia) to standardowa konfiguracja, która została zaakceptowana przez firmę dla sprzętu bądź systemów. Musi być ona przestrzegana przez wszystkie urządzenia bądź systemy.

Każda zmiana w systemie, w którym został już zaaplikowany minimalny standard, musi być przeprocesowana przez tzw. „change management process”. Czyli proces zarządzania zmianami zdefiniowany przez ten system. Najważniejsze w tym procesie jest, by nie wyrządzić większej krzywdy.

Co przez to mam na myśli? A mianowicie to, że gdy chcemy zainstalować jakieś oprogramowanie, należy sprawdzić dokładnie, czy i jakie ma ona podatności (vulnerabilities).

Czy po jego zainstalowaniu nie zostaniemy z ręką w nocniku. Ponieważ otworzy ono nam port, którego byśmy nie chcieli lub którego nie śledzimy pilnie i ktoś uzyska dostęp do systemu bądź sieci poprzez to działanie.

Do wszystkiego powinien być inny standard podstawowy: inny dla serwera aplikacyjnego, inny dla DMZ, a jeszcze inny dla systemów, na których pracują użytkownicy. Trzeba pamiętać, by wszystkie te dokumenty były pisane w ten sposób, że osoba, która przyjdzie z ulicy, będzie w stanie krok po kroku je wykonać i aplikować te zmiany.

Security Monitoring

Gdy już zaaplikujesz wszystkie podstawowe ustawienia, należy je również zacząć monitorować. Ale też nie raz na pięć lat, tylko jest to stała praca – zazwyczaj potrzeba na nią kilku wakatów, ponieważ im większa organizacja, tym więcej ma systemów różnej maści, więcej aplikacji etc.

A Ty musisz utrzymać security standard na odpowiednim poziomie. Jak dobrze wiesz, brak wiedzy Cię hamuje, więc powinieneś wiedzieć jak najwięcej. I w wypadku jakichś alertów jak najszybciej. Ciężko mi opisać jedno narzędzie, którego masz się nauczyć, ponieważ w dzisiejszych czasach jest ich kilka.

Na pewno starałbym się nauczyć rozwiązań chmurowych. Uważam, że to i tak przyszłość. Choć wiele firm się przed nimi wzbrania, niektóre teraz jeszcze nie mogą ich stosować również ze względu na prawo. Ale jak dobrze wiemy, prawo tworzą ludzie, więc wszystko się może szybko i diametralnie zmienić 😉

Środki zaradcze

Jak już poruszyłem temat monitoringu, nie mogłem przejść obok skanowania podatności. Jest to jeden z ciekawych tematów w security. Szukasz dziur i łatasz. Dlatego właśnie pentesterzy mają tak fajnie, choć oni nie zajmują się łataniem podatności, jedynie ich wykrywaniem.

Lecz to samo możesz robić w defensywie, tyle że tylko dla własnej firmy, nie dla klientów. Służy to też do sprawdzania, czy konfiguracja na systemach docelowych jest taka sama, jak security baseline dla nich przypisane.

Podsumowanie

Dzisiaj sporo ciekawych tematów poruszyłem, mam w planach nagrać wideo, jak wykonywać skany podatności za pomocą openvas. Jak już będzie ono dostępne, na pewno trafi na bloga. Zapraszam do ocenienia artykułu, by poinformować mnie jak i przyszłych czytelników o jego wartości.

Pozdrawiam – Pusz 🙂

The form you have selected does not exist.

Jak przydatny był ten Artykuł

Kliknij gwiazdke by zagłosować

Średni / 5. Liczba głosów

Doceń naszą prace

Przepraszam że ten post nie był dla Ciebie przydatny

Popraw ten post!

Napisz mi co mogę poprawić

468

Prześlij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *