Cazacu Bogdan, Network AdministratorDefCamp Iasi, 17 Decembrie 2011

Ce inseamna sa fii administrator de retea?Stat pe mess, pe facebook, ridicat un pix?

Interactiuneaza cu utilizatorul final, acolo unde este cazul;

Development/troubleshooting/service al infrastructurii retelei de care raspunde;

Responsabil primar de securitatea retelei de care raspunde dar si de comunicatiile in cadrul companiei atat cu alte puncte de lucru, cat si cu furnizorii de servicii;

Cele doua principii de ghidare al unui administrator de retea ar trebui sa fie:

KISS – Keep It Stupid and Simple (de ce?)si

APD – Awareness Prevention Detection (de ce?)

Odata compromisa integritatea sistemelor IT din cadrul companiei, un scenariu (de groaza pentru unii) este cel de DATA LEAKAGE

O parte din metodele de protectie in cazul unui atac pot fi:

Imbunatatirea/inlocuirea/reanalizarea politicilor de securitate ale sistemelor (firewalls, honeypots, SIEM [Security information and Event Management], etc) din cadrul retelei.

Din DGP (Domain Group Policy) se poate implenta prin registri pe unul sau mai multe statii, politica de dezactivare a porturilor USB dar si dezactivare a printscreen-urilor.

Userilor li se pot implementa solutii de privacy in serverul de exchange de care apartin, setat politica astfel ca mail-urile pe care le primesc/trimit sa nu poate fi forwardate spre o alta adresa din afara organizatiei, existand posibilitatea de a adauga exceptii ulterior.

Cand vine vorba de spionaj industrial lucrurile stau putin diferit, dar un SIEM ar trebui sa va dea un semnal de alarma.

Studiu de caz I - Basic brainf***(ing)Daca vrei sa-I faci o gluma proasta adminului de retea,

Transpune acest studiu de caz in realitate:

Efect tehnic: Broadcast stormEfectul simtit de user: “Nu mai functioneaza nimic; nici mail nici internet”

Cauze?Cablul de retea infipt in acelasi echipament … cu ambele capete!

De ce se intampla?Neatentie din partea administratorului de retea la interconectarea

echipamentelor de reteaAccesul utilizatorilor la echipamentele de retea(cabluri, routere)Rea vointa (vezi subtitlul paginii)

Prevenire:Securizarea accesului la echipamentele de retelistica (inclusiv cabluri

– unii o invata pe propria piele)Configurarea STP (Spanning Tree Protocol – IEEE 802.1d) – pot aparea

probleme sau nu la implementare din lipsa bugetului alocat proiectului sau al unei configurari incorecte

Studiu de caz II - Advanced brainf***(ing)Efect tehnic: Sistemele de comunicatii via internet sunt cazute (VPN, PPTP, IPSec)Efectul simtit de user: “Nu mai functioneaza nimic; nici mail nici internet”

Analiza:Sistemele de comunicatie au cazut toate intr-o fereastra de 3-5 minute la

nivel national.Firewall-urile nu raportasera nici o problema in aceasta privinta (?)Nici un calculator conectat sau nu la retea, fie fizic, fie prin WLAN nu se

putea atuntifica in AD.

Cauze???? Serverul de AD a crapat?? Dar de ce au picat conexiunile la retea? Si de ce toate in acelasi timp??

Pasi efectuati (luati aminte APD):

Awareness – cazul nu are logica…sau are?Prevention – daca nu are logica ce sa previn?Detection – Ceva s-a intamplat undeva…

Studiu de caz II - Advanced brainf***(ing)

Procedura:Instalare si configurare al unui SIEM (Security information and Event

Management) software pentru a vizualiza concret cat de raspandita e problema in cadrul retelei dar si pentru target-area sursei generatoare de problema.

Izolarea sursei prin deconectarea fizica din retea (unul din serverele de AD - pe care a fost localizata infectia primara prin analiza ratei de raspandire in retea si a infrastructurii prezente la acel moment)

Analiza comportamentului sistemului sursa intr-un mediu controlat deconectat de la reteaua principala.

Determinarea problemei: VIERME POLIMORFIC cu abilitate de ARP POISONING

(sursa: echipa tehnica Panda Romania)

Devirusarea statiilor de lucru si a serverelor, schimbarea parolelor de administrator si al userilor de domeniu a fost facuta dupa asigurarea ca backup-ul la care a fost readus serverul de AD de unde a originat problema, a fost “curat”.

Studiu de caz II - Advanced brainf***(ing)Analiza codului malitios:

Prezentand abilitati de ARP Poisoning initial s-a crezut a fi un atac in desfasurare detectat de catre SIEM-ul instalat.

In urma analizei amanuntite a catorva fisiere suspecte a fi infectate s-a determinat ca “atacul” era de fapt un vierme capabil de autopropagare in retea folosindu-se de share-ul administrativ. Analiza comportamentala a determinat ca toate calculatoarele infectate NU se reinfectau dar functionau ca hub-uri pentru ARP Poisoning si infectarea retelei.

Analiza tiparului de virulenta: Avand posibilitatea de a se copia fara nici o restrictie in toata reteaua folosindu-se de share-ul administrativ, impreuna cu unul din certificatele de securitate de pe serverul infectat, codul malitios a putut trece neobservat de av-ul instalat pe statii si pe servere.

Timp estimat de infectare completa a retelei, conform arhitecturii si raspandirii exponentiale al codului malitios: 30 de minute

Timp total de rezolvare (de la momentul t0 pana la ultimul calculator devirusat): 9 zile lucratoare.