Сегодня мы расскажем вам одну поучительную историю о том, как частная компания решила заняться модернизацией собственной информационной безопасности. Суть в том, что этот вопрос не поднимался вовсе на протяжении пяти лет! А значит, инфраструктура устарела настолько сильно, насколько это возможно. И как результат, база данных компании была украдена злоумышленниками.nnИтак, сама компания имеет основной офис, а также множество филиалов, разбитых по разным областям и работающих за счет тонких клиентов. Сеть большая, а её работоспособность поддерживать достаточно сложно, не говоря уже о модернизации.nnВ ней использовались стандартные методы VPN RDP соединений между пользователями и центральным сервером. Пользователи объединены в группы, которые работают в определенных филиалах, а значит, если падает основной коннект к центральному узлу, то рушится сеть в целом офисе. Об «умных» настройках самого железа речи даже не велось, так как везде использовались «тупые» свичи.n
Неполное разделение
Ещё один интересный нюанс: компания переживала разные времена и однажды была разделена на две части. Естественно, как это бывает, о сети задумывались в последнюю очередь. В результате, любой сотрудник из второй половины разделенной компании, мог управлять принтером того, кто находился в первой. Это пример того, с каких незначительных проблем уже заметна уязвимость инфраструктуры.n
Отсутствие файрволла
Сеть компании никак не была разграничена. Да, в ней использовались некоторые «железки», которые уже давно устарели и не могли обеспечить должный уровень безопасности. Все, что работало в сети – это банальный statefull-файрволл.n
Описание выявленных проблем
Краткое содержание выявленных проблем в компании с устаревшей инфраструктурой информационной безопасности:n
- Из-за устаревшего ПО и отсутствия регулярных обновлений ОС коммутаторов, сеть компании уязвима перед DoS/DDoS атаками, она не способна защититься от подмененного IP или MAC-адреса, а также не выдержит атаки на DHCP сервер.
- Решение вышеуказанной проблемы было возможно благодаря сужению круга задействованных портов и IP-адресов, через которые обеспечивается администраторский доступ.
- После обнаружения угрозы возможной не авторизованной аутентификации, было принято решение отключить бесполезное ПО и интерфейсы, которые не используются в сети, перенося некоторые из них в отдельный VLAN.
- DHCP Snooping – инструмент, изолирующий DHCP сервер от направленных атак. Для защиты от атак с подменёнными IP и MAC адресами, был задействован метод port-security.
- Dynamic ARP Inspection помог избежать проблем с вредоносными APP-ответами.
- Spanning-tree BPDUguard – метод защиты от атак на физическое оборудование сети.
- Для повышения уровня защиты от DDoS-атак было необходимо развернуть ещё один метод storm control.
- Не обошлось и без обновления ОС на сетевом оборудовании, которое устарело много лет назад.
- Пользователи сети никак не разграничены, а потому было необходимо ограничить права для некоторых групп, настроить уровень доступного трафика для каждой из них, а также обезопасить сеть, применив дополнительные меры за счет VLAN и port-security.
- Еще одна проблема возникла с устаревшими точками доступа, которые нужно было настраивать локально, без возможности централизованного администрирования.
- SSID были переназначены в скрытый режим.
- Пароль всех точек доступа был идентичен. Он состоял из 10 букв – фамилии директора компании. Без комментариев.
- Были обновлены версии VPN на всех маршрутизаторах. Таким образом, алгоритмы шифрования перешли на современные рекомендуемые стандарты AES-256, SHA-512 и DH 19.
- Была обнаружена существенная проблема, связанная с удаленным доступом. Практически любой пользователь, обладая необходимыми навыками, мог самостоятельно проложить маршрут к центральному узлу.
- Хождение в интернет никак не контролировалось, а межсетевой экран попросту отсутствовал. Из-за этого, внутренняя сеть компании могла быть скомпрометирована в любую секунду, а нагрузка распределялась неравномерно из-за неограниченного трафика. Все это должно контролироваться.
Решение проблем
Для начала, было необходимо запросить стандартный пакет информации о типе используемого оборудования, его расположении и количестве, IP-адреса каждой рабочей единицы, конфигурации серверов и многое другое.nnКак это бывает во многих компаниях, ИТ-отдел – это не единственные сотрудники, обеспечивающие работоспособность сети. Удаленный штат имеет место быть. Именно с ним приходилось решать вопросы с доступом и конфигурационными файлами для OpenVPN.nnПосле того, как все исходные данные были получены, нужно было провести анализ работающих прокси- и OpenSSL VPN-сервера. Далее наступал самый рутинный этап, когда нужно было исследовать и настроить каждую единицу аппаратной составляющей всей сети. Это обусловлено в первую очередь тем, что даже если вы будете обладать системным отчетом, он не покажет всю картину того, что-то могло сломаться и выйти из строя, потому даже не отобразится в нем.nnА где-то конфигурация не соответствует стандартному режиму «по умолчанию». В итоге, часть оборудования была отключена и отправлена на покой, так как не была задействована в работе или банально вышла из строя.nnПредпоследний этап заключался в анализе работы каждой отдельной единицы аппаратной части сети. Это касалось их прошивки, протоколов, включенных интерфейсов и access-листов, которые имели особое значение. Те маршрутизаторы, в которых было возможно обновить ОС, были отмечены отдельно. И наконец, вся проведенная работа компоновалась и переводилась в понятный для руководителей отчет, который описывал каждую «железку».n
Окончательный этап
После согласования финансовых вопросов и формирования доступного бюджета, проводится закупка оборудования, необходимого для модернизации сети. После этого, ведется настройка, с учетом тех проблем, которые были описаны выше. Каждый коммутатор обзавелся централизованной аутентификацией, логированием и множеством разграничивающих правил. Дальше – только вложение больших средств для более современного оборудования.n
Заниматься безопасностью бизнес-сети должны компетентные люди. Если вы сомневаетесь в своих знаниях или не хотите тратить время и морочиться над сетевой защитой, то просто позвоните нам. Опытные специалисты учтут все что нужно, закроют дыры в безопасности и выстроят мощный барьер на пути кибер атак.