Blog

Jak (ne)zabezpečit síť

15. srpna 2024
Jan Veselý
18 min čtení
Jak (ne)zabezpečit síť

Zabezpečení sítě je komplexní záležitost, ale z našich zkušeností většina správců porušuje i základní pravidla. Jedná se stále o stejné prohřešky způsobené hlavně pohodlností. Data se dostatečně nezálohují. Správce využívá jen jedny přihlašovací údaje nebo jen pár hesel, která si pamatuje. Případně se přihlašujete na klientských počítačích pod doménovým administrátorem. Tohle je jen malý výčet neřestí, se kterými se setkáváme. V tomto blogovém článku si připomeneme, jaká pravidla dodržovat, ať už se staráte v síti o pár počítačů, nebo stovky. Uvědomujeme si, že rozpočet, časové prostředky, ale nakonec i snaha se v různých podnicích liší. Naštěstí tyto zásady, které by pro vás měly být samozřejmostí, uplatníte skrze celou škálu velikosti firem.

Co se v článku dozvíte

  • 1Jaké bezpečnostní zásady dodržovat
  • 2Proč vás VPN nezachrání
  • 3Proč není vhodné používat jen pár privilegovaných účtů

1. Nebraňte se bezpečnostním zásadám, které pro Vás jiní připravili

Dříve platila jednoduchá poučka: Pokud jste chtěli poznat, zda se správce chová zodpovědně, stačilo, aby vám ukázal aplikaci pro multifaktorové ověřování. V dnešní době už to příliš neplatí a to z jednoho prostého důvodu – firmy jako jsou Google, Microsoft, ale například i mnoho eshopů si uvědomuje, že v zabezpečení je nejslabší článek člověk. Snaží se vás dotlačit, abyste používali alespoň tento prvek zabezpečení.

Microsoft uvádí, že díky dvoufázovému ověřování se sníží počet úspěšných útoků o 98 %. Tak proč se tomuto stále spousta lidí (i správců) snaží vyhnout a zabezpečení vypínají? Z mojí zkušenosti se jedná o tři důvody – pohodlnost, přesvědčení, že nemají co ztratit a obavy z Co kdyby.

Nemají nám co ukrást

Setkáváme se s tím hlavně u malých zákazníků, kteří mají názor, že jejich data nemají žádnou hodnotu, a proto je není třeba příliš chránit. Osobně zastávám názor, že každá data mají určitou svou hodnotu. Pro nás například bezvýznamná emailová konverzace může sloužit pro profilování vaší identity, kterou útočník následně zneužije u phishingového útoku. Informace o smlouvách a fakturách zase mohou sloužit pro pochopení vnitřního fungování firem. Pak útočníkovi stačí, aby chytře podvrhl emailovou fakturu, která přijde zrovna ve chvíli, ve které přijít má, za zboží, které zrovna očekáváte. V neposlední řadě vám ale ochranu dat před zneužitím nařizuje i zákon.

Pohodlnost

Pohodlnost je zřejmá. Může být obtěžující stále dokola přepisovat ověřovací kódy. Mnohdy i několikrát denně, a když máte zrovna telefon na nabíječce, tak Vás tato obtěžující rutina nutí stále zvedat ze židle. Řešení je ale jednoduché. Můžete ve firmě používat jednotné přihlašování, nasadit SSO na služby, do kterých se uživatelé přihlašují. V korporátních počítačích pak nastavíte, že pokud se uživatel přihlásí doménovým účtem, tak se automaticky přihlásí i do cloudu. Jednoduché, praktické a bezpečné.

Tímto odstavcem chci naznačit jediné — je potřeba si hledat cesty. Provozovatelé vědí, proč nasazují bezpečnostní zásady. A dělají to pro vás.

Co kdyby

Otázka, která vyvstává u některých z nás, může být například: Co kdyby Microsoft trpěl globálním výpadkem, nebo co když zrovna ztratíme telefon. Je pravda, že konkrétně u MFA mohou být obě části problémové. Když ztratíte telefon a nemáte nastavené alternativní cesty pro ověření (alternativní emailová adresa, jiný telefon, nebo dalšího uživatele), tak Vám v nejhorším případě kolega bude muset MFA resetovat.

Ohledně výpadků Microsoft zaručuje uptime 99,99 %. A daří se mu, zatímco před rokem 2021 zaručoval „jen“ 99,9 %, tak například v roce 2019 měl dostupnost služeb 99,995 %. To znamená jen asi 26 minut nedostupnosti v roce. Ano, může se Vám stát, že zrovna u Vás nebude služba fungovat jednu celou hodinu, zatímco na druhé straně polokoule nebudou trpět celý rok žádným výpadkem. Ale berme to pragmaticky — každá služba, kterou provozujete, tak může (a jednou bude) trpět výpadkem a pravděpodobně Vám nikdo nezajistí lepší dostupnost než je 99,99 %. A nakonec pokud jste už přihlášeni (zpravidla se například autorizační token ukládá do sessions prohlížeče), tak vás ani hodinový výpadek nemusí příliš ovlivnit. (Mějme na mysli, že celá firma díky tomu nestojí plonková u svých počítačů.)

Položme si ale jednoduchou otázku. Opravdu chceme zvýšit úspěšnost útoků o téměř padesáti násobek jenom kvůli tomu, že se bojíme výpadku služby, který průměrně trvá 26 minut v roce?

2. Nespoléhejte na VPN

Nebudu tady přímo zpochybňovat důležitost VPN, ale chci lehce zpochybnit její vliv na odvrácení útoku. Dejme si hypotetickou otázku. Kolik z nás by otevřelo RDP port serveru na veřejné IP adrese? Věřím, že mnoho by nás nebylo. Ano, určitě za to mohou zranitelnosti jako DejaBlue, které na nás intuitivně působí, že tyto služby mohou trpět zranitelností a nechceme je otevírat pro zbytek světa. Ale takovou zranitelnost přeci mohou mít i VPN servery. Nehledě na to, že nás to celé vrací na začátek, že nejslabším článkem je uživatel. Někde uniknou přístupy do VPN a náhle máme cizího návštěvníka v síti. A to se stává… často, bohužel. Neříkám, že nemáte používat VPN, naopak. Ale nespoléhejte na ni. Snažte se vždy zabezpečit síť takovým způsobem, jako kdybyste předpokládali, že návštěvníka už máte v síti. Segmentujte síť, nastavujte bezpečnostní mechanismy, které objeví, že v síti je nezvaný host, a používejte multifázové ověřování.

3. Neaktualizovaný software

Stát se specialistou na kyberbezpečnost je náročné a pro mnoho správců s tou agendou, kterou obstarávají, nereálné. Chápeme, že malé až střední firmy často nedisponují svým specialistou, analýzu rizik nedělají a audit je pro ně občas sprosté slovo. Ale proč neaktualizovat alespoň software, který už máme nainstalovaný? Je to to nejjednodušší, co pro naši bezpečnost můžeme udělat. Setkáváme se s tím, že některé servery se nainstalují a od té doby na ně nikdo nesáhl. Občas už se ani neznají přístupové údaje a přesto na nich běží emailové servery, webservery a podobně. Ano, nejedná se většinou o kritickou infrastrukturu (emaily mohou složit jen jako notifikace), ale proč takto usnadňovat život útočníkům? Dekádu neudržovaný Debian opravdu není něco, co chcete mít ve vlastní síti. A můžete si potom instalovat sebelepší VPN servery a chránit přístupy, ale skrze tento server se útočník může lusknutím prstu dostat do poloviny vaší sítě a zbytek si už lehce obstará.

Občas si neuvědomujeme, jak lehké může být tento server zneužít. Díky zranitelnosti mohou útočníci nainstalovat například SpyWare, potom vše, co zadáte na počítači zaznamenají a zneužijí. Společně s kombinací nedostatečným password managementem potom stačí, aby si útočník chvíli počkal. Jakmile se správce přihlásí zaznamenají jeho heslo a to pak použijí k privilege escalation a ovládnou celou síť. Pokud si heslo nepamatujete a použijete pětku svých hesel, než trefíte to správné, tak útočník s klidem může zaznamenat všechna z nich. Co pak následuje už si můžete domyslet. Prosím, nepodceňujte zásady aktualizovaných počítačů. Neochrání vás to před vším, zero day zranitelnosti budou stále velkým problémem, ale minimalizujete riziko útoku jen velmi jednoduchým snažením.

4. Jednotná hesla, lokální a doménoví administrátoři

Postupně se upouští od politiky vynucování změn hesel, protože se ukázalo, že je to kontraproduktivní. Uživatelé si nevytvářeli nová hesla, ale jen je různě modifikovali. Stále ale platí, že je potřeba mít k jednotlivým službám a serverům JEDINEČNÁ hesla. Pokud dojde ke kompromitaci jednoho hesla, nepřijdete potom o celou síť. Používejte password manager a tam si hesla spravujte, ten samozřejmě chraňte dvoufázovou autentifikací.

Občas se setkávám s názorem, kdy je lidem proti srsti chránit všechna hesla jedním svým heslem. Je potřeba si ale uvědomit, že to nejcennější v síti je počítač správce. Skrze něj spravujeme nejdůležitější infrastrukturu jako jsou doménové řadiče a zálohovací servery. Pokud se ho útočník dokáže zhostit, zachrání vás už jen rychlá detekce útočníka v síti a trocha štěstí, aby nestihl napáchat příliš škody a vytvořit si backdoory. V tu chvíli je jedno, jestli používáte jedno heslo a chráníte tím svůj password manager a nebo máte stovku hesel napsaných na papíře vedle počítače. Přidaná hodnota password manageru je ale extrémní. O tom, že je potřeba chránit počítač správce zase jindy.

Lokální administrátoři na (skoro) všech počítačích

Ono se to celé točí zas u toho jednoho uživatelského jména a hesla. Pokud máme v síti dvě stě počítačů, které nainstalujeme s lokálním administrátorem a stejným heslem (zpravidla nikterak bezpečným), potom nám stačí k ovládnutí skoro celé sítě zjistit jen hash hesla. Nehledě o tom, že heslo zpravidla nikdo nemění, protože se nikomu nechce obíhat všechny počítače. Řešením je používat LAPS.

Doménového administrátora si musíte chránit. Je naprosté NO GO se přihlašovat doménovým administrátorem na klientských počítačích a serverech. Pokud bude tento počítač napaden, potom vám útočník přihlašovací údaje ukradne a přijdete o celou síť. Je to až k neuvěření, že občas se doménový administrátor najde třeba i na tiskárnách. Ke správě můžete používat delegované účty, případně pomocí GPO nastavovat účty s různými oprávněními. Bohužel tato lenost správců je často příčinou, proč končí celá síť díky jednomu kompromitovanému serveru.

5. Zapomenutí administrátoři, uživatelé, přístupy, kam se podíváme

Bývá to vcelku běžné — jeden zaměstnanec odejde a místo něj nový přijde. Ale už se zapomene účet zakázat, nebo odstranit. Postupem času v Active Directory začne být chaos a nikdo nemá přehled ani o tom, do jakých složek má kdo jaké oprávnění. Neví se, kdo ve firmě ještě pracuje nebo kdo je zrovna na mateřské. A jestli je v tom zmatek u uživatelských účtů, co teprve u uživatelů jako jsou DNS Admins, Server Operators, Schema admins a další. Bývá vhodné si jednou za čas udělat audit, zda opravdu všechny účty a především oprávnění jsou tak, jak mají být. Musíte být schopní popsat každý jednotlivý účet — komu patří / k čemu slouží, proč mají oprávnění takové, jaké mají.

6. Zálohy, zálohy a zálohy

Opakované téma a stále extrémně podceňované. V lepším případě se zálohuje — to, jakým způsobem je už vedlejší kapitola. Často se ale nezálohuje vůbec, nebo jen velmi sporadicky a to takovým způsobem, že záloha nemá šanci útok Ransomwarem přežít.

K tomuto jednoho dne napíšu samostatný článek, ale popíšu alespoň obecné požadavky:

  • Dodržujte pravidla 3-2-1. Tedy mít každá data alespoň na třech místech, dvou médiích (disk, offline, immutable) a držte jednu offsite zálohu.
  • Vyhraďte si na zálohování samostatný počítač.
  • Vytvořte speciální přístupy pro správu záloh.
  • Nasaďte monitoring tak, abyste se dozvěděli, že máte v zálohovacím systému chybu a systém udržujte bezchybný.
  • Testujte svoje zálohy — zkuste si obnovit pár serverů, zjistíte nedostatky a nebo že Vám obnovy trvají příliš dlouho.
  • Zálohujte celé servery, pokud máte málo místa, tak kapacitu rozšiřte. Není nic horšího, když žijete v domnění, že máte všechna data zálohovaná a potom zjistíte, že vám scházejí.
  • Zálohujte alespoň denně. Představte si, kolik agendy firma udělá za jeden den, týden, měsíc. 2 týdny stará záloha vás může zachránit z nejhoršího, když přijdete o všechna data a máte 2 týdny starou offline zálohu. Ale jinak je už dva dny stará záloha, opravdu příliš stará.
  • A hlavně PŘEMÝŠLEJTE. Pokud můžete zničit zálohy vy, tak jak zamezíte, aby vám je nezničil útočník? Předpokládejte, že získá oprávnění doménového administrátora a přístup k serverům. Musíte se snažit zajistit, aby se k zálohám útočník nedostal.

Závěr

V počítačových sítích dochází k jednomu paradoxu. Čím větší síť máte, tím větší výdaje v přepočtu na jeden počítač je potřeba investovat do zabezpečení. Jednoduše malá firma o třech počítačích nebude disponovat specializovanými softwary a desítkou odborníků na jejich správu. Ale výše zmíněná pravidla jsou za mě hodně muziky za opravdu málo peněz. Stojí to jen vaši snahu chtít dělat práci správně. Občas hlavně u malých firem se setkávám, že nemají zájem o kvalitní správu sítě. Potom bych vám doporučil jít o dům dál. Pokud zákazník (a nebo zaměstnavatel) není schopen přistoupit na zálohy, platit offsite úložiště, investovat do nástrojů, které ho chrání, potom je jenom otázka času, kdy se něco stane. Pokud budete práci dělat svědomitě a kvalitně, budete z ní mít dobrý pocit a bude vám dávat smysl. Paradoxně doufám, že jste se nic nového nedozvěděli, ale pokud ano a netroufáte si nebo nemáte dostatečné kapacity na správu sítě, tak se vždy můžete obrátit na odborníky.

Zpět na blog

Líbil se vám článek?

Přečtěte si další články z našeho blogu nebo nás kontaktujte pro více informací.

Další článkyKontaktujte nás