Egészséges paranoia

Sokakat hallok panaszkodni arról, hogy a munkáltatójuk, vagy iskolájuk bizonyos weboldalak megtekintését letiltotta. Sőt, egyes szolgáltatások sem érhetőek el a belső hálózatról, tipikus példa erre az SMTP, vagy a POP3, FTP. Ilyenkor mindig azt mondom magamban: nagyon helyes!

Miért korlátoz a munkáltató vagy az iskola?

Röviden: Önvédelemből. Védi magát. Védi az értékeit. Védi az érdekeit. Azért, mert a titkait meg akarja őrizni saját magának. Azért, mert Ő fizeti az internet kapcsolatot amit használnak a felhasználók, és  Ő viseli a felelősséget a hálózati forgalomért.

Bővebben: Az üzleti titkait, illetve érdekeit védendő létrejön előbb-utóbb minden vállalatnál egy Informatikai Biztonsági Szabályzat és egy Elfogadható Használatról Szóló szabályzat. Ezekben benne van, hogyan kell az adatokkal bánni, mit szabad és mit nem szabad a számítógéprendszerben csinálni. Ezt a felhasználókkal elfogadtatják, majd elkezdik betarttatni velük. Mivel emberek vagyunk, szeretünk kibújni ezek alól a szabályok alól, ezért jönnek a korlátozások és letiltásra kerülnek többek között az alábbiak:

• SMTP (tcp/25), POP3 (tcp/110) , IMAP (tcp/143), nem munkával kapcsolatos webmail felületek azért, hogy ne az értékes munkaidőben nézegessék, intézzék a felhasználók a privát levelezésüket. Ezen kívül ezen a csatornán kijuttatható üzleti titok és bejuttatható ártó tartalom a hálózatra, pl. vírus, trójai, kémprogramok. Ezen kívül titkosítatlanul mennek át ezeken a protokollokon a jelszavak, emiatt könnyedén lehallgathatóak.
• FTP (tcp/21): Szintén titkosítatlan jelszavak + a tartalom szabad le-föltöltögetése szerzői jogot sérthet, ipari titok kerülhet ki.
• SSH (tcp/22): Ez nagyon érdekes, mert sok, egészen komoly helyen nincs letiltva. Ez hatalmas biztonsági rés, később visszatérek rá.
• HTTP (tcp/80): A közvetlen kifelé irányuló HTTP kapcsolatot letiltják, helyette egy belső proxy veszi át a HTTP kéréseket és az továbbítja kifelé. Ezáltal tartalomszűrés valósítható meg, csak olyan oldalak látogathatók, amelyek a munkához kellenek. Így az értékes munkaidő jobban kihasználható.
• Közkedvelt p2p illetve fájlmegosztó protokollok, IRC, stb.: Sok olyan alkalmazás van, ami a fenti kategóriák valamelyikének veszélyét rejti magában, ezért ezek sem kívánatosak egy munkahelyen.

Az infobiztonsági kérdésekben kevésbé járatos rendszergazdai ill. üzemeltető csoportok meg is elégednek ennyivel. Esetleg külön utasítás van arra, hogy a fentiek közül valamit nem szabad blokkolni, mert az üzletpolitika úgy diktálja. Minden esetre a fenti tiltások beállítása önmagában nem elég. Nézzük, miért…

Tipikus hibák

Minden engedélyezett, de néhány dolog tiltott.

Ez az a szituáció, amikor meghatározott protokollok, portok és forgalmak tiltva vannak, de minden más engedélyezve van. Két tipikus példa:

1. A www.tiltottoldal.hu a cég belső proxyján tiltva van, nem látogatható az oldal. Ugyanakkor a tiltottoldal.hu, elérhető. Villámgyorsan elterjed a felhasználók körében a jó hír, hogy kedvenc weboldaluk újra nézhető, csak a www-t kell elhagyni. Tapasztalatból mondom, előfordul az ilyen. A hiba oka, hogy explicit URL van megadva a tartalomszűrőnek, nem regex, illetve nincs súlyozott kiértékelés.

2. Bár az SSH forgalom (tcp/22) tiltva van a hálózatról kifelé, egy tetszőleges porton, pl. 50505-os porton szabadon lehet kifelé TCP kapcsolatot létesíteni. Elég egy hozzáértő kolléga, aki az otthoni gépére felrak egy SSH szervert úgy, hogy az ne tcp/22-n fogadja a kapcsolatokat, hanem tcp/50505-on.  Amint van kifelé SSH kapcsolata, már ütött is egy jókora lyukat a tűzfalon és azt juttat be, visz ki amit csak akar.

Megoldás: Első lépésben a tűzfalon MINDEN forgalmat tiltani kell. A szabályrendszer végén mindenképp legyen egy explicit vagy implicit “deny any any” szabály. Ez elé kell beszúrni azokat a szabályokat, amelyek bizonyos forgalmakat engedélyeznek. Így elérhető, hogy amire nincs szabály, az tiltott, amire van, csak az engedélyezett.

Nincs alkalmazás-szintű analízis

Van tűzfal, jó a szabályrendszer is, csak az van engedélyezve, amire szükség van. Így már nem érhet minket meglepetés… vagy mégis? Tegyük fel, hogy az előző kolléga nem tud már tetszőleges porton kifelé kapcsolódni, helyette az engedélyezett portok felé fordul:  megpróbálja a 443-ast, ami gyakran engedélyezve van, mert ezen kommunikál a HTTPS protokkoll. Az SSH szerverét otthon átállítja a 443-as TCP portra, majd bentről kapcsolódni próbál.  A tűzfal átengedi, mert HTTPS forgalom az engedélyezett, így megint sikerült lyukat ütni a tűzfalon.

Megoldás: Alkalmazás-proxy-k illetve behatolásérzékelő rendszer alkalmazása, RFC-megfelelőségi ellenőrzés. Ilyen esetben a hálózati eszköz nem bután nyitogatja a sorompót attól függően, hogy ki hova akar menni, hanem belenéz a csomagokba is, mint a repülőtéren a biztonsági ellenőrzés röntgen gépei. Ha az úticél engedélyezett és a tartalom megfelel az úticélnak, akkor átengedi a forgalmat, ellenkező esetben elutasítja azt és riasztást küld.

A jéghegy csúcsa

Ez csak a jéghegy csúcsa abban a macska-egér játékban, amelyet a biztonsági szakemberek és a leleményes alkalmazottak vívnak egymással.  Számtalan egyéb módszerrel próbálják a korlátokat ledönteni a felhasználók, többnyire sikerrel, mert az informatikai biztonságra fordított összeg teszi ki a legkisebb részt egy vállalat IT költségvetéséből. A hazai kkv szektor informatikai biztonsági szempontból többnyire rémes állapotban van, ami előbb-utóbb megbosszulja magát adatvesztés, hacker támadás, vagy belső visszaélés képében.

A Megelőzés

Az alábbi eszközök, módszerek együttes alkalmazásával csökkenthető a kockázat:

• Hálózati Biztonsági Szabályzat, Elfogadható Használatról Szóló Szabályzat megléte,
• A fentiek betartása és betartatása megfelelő informatikai eszközökkel (tűzfal, IDS/IPS, syslog szerver),
• Motivált, kompetens, proaktív rendszergazda(i csapat), napi szintű naplóelemzéssel, a felügyeleti konzolok monitorozásával,
• Szükség esetén külön infobiztonsági csoport felállításával,
• A szabálysértők szankcionálásával,
• Rendszeres auditokkal, etikus hackeléssel (számos cég kínál ilyen szolgáltatást). A szabályok pontosításával, biztonsági rések megszüntetésével.
• Folyamatos koordinációval az IT üzemeltetés és a HR részlegek között. (Elbocsátott alkalmazott jogosultságai azonnal kerüljenek visszavonásra!)

Ha Ön cégtulajdonos és a vállalatánál mindez megoldott, akkor nyugodtabban alhat…

Ha Ön felhasználó, vagy alkalmazott, akkor már tudja, miért vannak a korlátozások. Ha a cég egy adatvesztés, vagy visszaélés miatt csődbe megy, az Ön állása is veszélybe kerül. Ezért kell betartani a szabályokat…