corporate network security 101

Cazacu Bogdan, Network AdministratorDefCamp Iasi, 17 Decembrie 2011

Ce inseamna sa fii administrator de retea?Stat pe mess, pe facebook, ridicat un pix?

Interactiuneaza cu utilizatorul final, acolo unde este cazul;

Development/troubleshooting/service al infrastructurii retelei de care raspunde;

Responsabil primar de securitatea retelei de care raspunde dar si de comunicatiile in cadrul companiei atat cu alte puncte de lucru, cat si cu furnizorii de servicii;

Cele doua principii de ghidare al unui administrator de retea ar trebui sa fie:

KISS – Keep It Stupid and Simple (de ce?)si

APD – Awareness Prevention Detection (de ce?)

Odata compromisa integritatea sistemelor IT din cadrul companiei, un scenariu (de groaza pentru unii) este cel de DATA LEAKAGE

O parte din metodele de protectie in cazul unui atac pot fi:

Imbunatatirea/inlocuirea/reanalizarea politicilor de securitate ale sistemelor (firewalls, honeypots, SIEM [Security information and Event Management], etc) din cadrul retelei.

Din DGP (Domain Group Policy) se poate implenta prin registri pe unul sau mai multe statii, politica de dezactivare a porturilor USB dar si dezactivare a printscreen-urilor.

Userilor li se pot implementa solutii de privacy in serverul de exchange de care apartin, setat politica astfel ca mail-urile pe care le primesc/trimit sa nu poate fi forwardate spre o alta adresa din afara organizatiei, existand posibilitatea de a adauga exceptii ulterior.

Cand vine vorba de spionaj industrial lucrurile stau putin diferit, dar un SIEM ar trebui sa va dea un semnal de alarma.

Studiu de caz I - Basic brainf***(ing)Daca vrei sa-I faci o gluma proasta adminului de retea,

Transpune acest studiu de caz in realitate:

Efect tehnic: Broadcast stormEfectul simtit de user: “Nu mai functioneaza nimic; nici mail nici internet”

Cauze?Cablul de retea infipt in acelasi echipament … cu ambele capete!

De ce se intampla?Neatentie din partea administratorului de retea la interconectarea

echipamentelor de reteaAccesul utilizatorilor la echipamentele de retea(cabluri, routere)Rea vointa (vezi subtitlul paginii)

Prevenire:Securizarea accesului la echipamentele de retelistica (inclusiv cabluri

– unii o invata pe propria piele)Configurarea STP (Spanning Tree Protocol – IEEE 802.1d) – pot aparea

probleme sau nu la implementare din lipsa bugetului alocat proiectului sau al unei configurari incorecte

Studiu de caz II - Advanced brainf***(ing)Efect tehnic: Sistemele de comunicatii via internet sunt cazute (VPN, PPTP, IPSec)Efectul simtit de user: “Nu mai functioneaza nimic; nici mail nici internet”

Analiza:Sistemele de comunicatie au cazut toate intr-o fereastra de 3-5 minute la

nivel national.Firewall-urile nu raportasera nici o problema in aceasta privinta (?)Nici un calculator conectat sau nu la retea, fie fizic, fie prin WLAN nu se

putea atuntifica in AD.

Cauze???? Serverul de AD a crapat?? Dar de ce au picat conexiunile la retea? Si de ce toate in acelasi timp??

Pasi efectuati (luati aminte APD):

Awareness – cazul nu are logica…sau are?Prevention – daca nu are logica ce sa previn?Detection – Ceva s-a intamplat undeva…

Studiu de caz II - Advanced brainf***(ing)

Procedura:Instalare si configurare al unui SIEM (Security information and Event

Management) software pentru a vizualiza concret cat de raspandita e problema in cadrul retelei dar si pentru target-area sursei generatoare de problema.

Izolarea sursei prin deconectarea fizica din retea (unul din serverele de AD - pe care a fost localizata infectia primara prin analiza ratei de raspandire in retea si a infrastructurii prezente la acel moment)

Analiza comportamentului sistemului sursa intr-un mediu controlat deconectat de la reteaua principala.

Determinarea problemei: VIERME POLIMORFIC cu abilitate de ARP POISONING

(sursa: echipa tehnica Panda Romania)

Devirusarea statiilor de lucru si a serverelor, schimbarea parolelor de administrator si al userilor de domeniu a fost facuta dupa asigurarea ca backup-ul la care a fost readus serverul de AD de unde a originat problema, a fost “curat”.

Studiu de caz II - Advanced brainf***(ing)Analiza codului malitios:

Prezentand abilitati de ARP Poisoning initial s-a crezut a fi un atac in desfasurare detectat de catre SIEM-ul instalat.

In urma analizei amanuntite a catorva fisiere suspecte a fi infectate s-a determinat ca “atacul” era de fapt un vierme capabil de autopropagare in retea folosindu-se de share-ul administrativ. Analiza comportamentala a determinat ca toate calculatoarele infectate NU se reinfectau dar functionau ca hub-uri pentru ARP Poisoning si infectarea retelei.

Analiza tiparului de virulenta: Avand posibilitatea de a se copia fara nici o restrictie in toata reteaua folosindu-se de share-ul administrativ, impreuna cu unul din certificatele de securitate de pe serverul infectat, codul malitios a putut trece neobservat de av-ul instalat pe statii si pe servere.

Timp estimat de infectare completa a retelei, conform arhitecturii si raspandirii exponentiale al codului malitios: 30 de minute

Timp total de rezolvare (de la momentul t0 pana la ultimul calculator devirusat): 9 zile lucratoare.