Проверь свой периметр

Статья: Дэвид Флетчер 23 марта 2020 г. (https://www.blackhillsinfosec.com/check-your-perimeter/)

Сейчас, когда многие организации переходят на удаленную работу в связи с COVID-19, хотелось бы коснуться некоторых элементов конфигурации, которые следует учитывать при обеспечении должной безопасности сетевого периметра. Удаленный доступ сотрудников часто привлекает злоумышленников, которые пытаются получить доступ к внутренней сети организации. С авторизованным удалённым доступом нарушитель может в короткие сроки получить информацию о ней.

Многофакторная аутентификация

По мере того, как сотрудников переводят на работу из дома, возникает острая необходимость применения многофакторной аутентификации (MFA) везде, где предоставляется доступ к корпоративной информации. В отчете Verizon от 2019 года об инцидентах информационной безопасности (DBIR) использование украденных учетных данных было в топе методов взлома.

Злоумышленники часто используют инструменты, позволяющие собирать имена сотрудников, преобразовывать результаты в учетные записи и осуществлять различные атаки, такие как подбор пароля к открытым сервисам для получения доступа. Без MFA нарушителю достаточно просто угадать верный пароль и все – доступ открыт. Поскольку естественно, что количество людей, работающих удаленно, увеличивается по мере распространения COVID-19, поверхность атаки также растет. Следовательно, повышается и риск от НЕПРИМЕНЕНИЯ MFA.

Кроме того, беспокоиться следует не только об очевидных точках входа. Изучите результаты сканирования на уязвимости и исследуйте все сервисы, требующие внешней аутентификации. Особое внимание уделите хостам и приложениям, запрашивающим аутентификацию NTLM через HTTP. Мы часто успешно получаем доступ с помощью различных приложений, кроме Webmail и VPN.

MFA, конечно, не серебряная пуля, особенно при существовании множества прозрачных прокси-серверов (например, CredSniper и Evilginx). Но она позволит увеличить показатель трудозатрат злоумышленника при попытке получения доступа к вашей сети. Безопасность можно повысить еще, если запрашивать клиентские сертификаты на подключаемые устройства. Однако, если вы этого еще не сделали, будет довольно трудно внедрить такой уровень защиты в сжатые сроки.

Цифровая гигиена

Головы людей сейчас забиты цифровой гигиеной. Однако в VPN и других технологиях удаленного доступа было обнаружено множество уязвимостей, которые нужно проверить.

Многие из недавно обнаруженных уязвимостей могут быть использованы без каких-то обширных познаний в теме или скомпрометированных учетных записей. Что хуже – незащищенные устройства, как правило, не оснащены средствами контроля защиты, которые обычно развернуты на рабочих станциях (например, антивирус и средства обнаружения вторжения). Кроме того, повышение эффективности использования позволит затруднить обнаружение с использованием сгенерированных устройствами файлов журнала.

При сканировании устройств убедитесь, что включены соответствующие проверки на обнаружение известных уязвимостей. Вы также можете воспользоваться одним из опубликованных скриптов сканирования или эксплуатации уязвимостей для выполнения целевой проверки вашего сервиса. Просто убедитесь, что берете скрипт из проверенного надежного источника и понимаете, что конкретно он делает: зачастую такие скрипты просто создают HTTP-запросы к предоставляемым устройством ресурсам.

Конфигурация VPN

Агрессивный режим IKE

Другой важный аспект безопасности – конфигурация вашего VPN-концентратора. В ходе внешнего пентеста мы часто регистрируем старую уязвимость «IKE в агрессивном режиме с предварительным общим ключом (PSK)». При подтверждении установления связи в агрессивном режиме IKE предоставляет достаточно информации, чтобы попытаться восстановить предварительный общий ключ, используемый для защиты туннеля VPN. Чтобы этого избежать, устройство VPN можно настроить на прием подтверждений установления связи только в основном режиме. Подтверждение установления связи в основном режиме не раскрывает те же данные, которые могут использоваться для восстановления PSK.

В действительности, использовать это условие довольно трудно, поскольку злоумышленнику обычно необходимо знать имя группы для соединения. После взлома PSK нарушителю возможно придется иметь дело еще и с внутренней аутентификацией. Это может предоставить дополнительные возможности для взлома паролей. В любом случае рекомендуется обратить внимание на данный элемент конфигурации.

Раздельное туннелирование

Другим проблемным элементом конфигурации VPN является разрешение раздельного туннелирования. Раздельное туннелирование формируется, когда сотруднику разрешено открыто просматривать страницы в Интернете в обход соединения VPN, будучи к нему подключенным. В туннеле VPN обрабатываются только запросы к корпоративным ресурсам.

Это хорошо для сохранения полосы пропускания, но идет в обход той инфраструктуры, которая используется для соблюдения корпоративной политики информационной безопасности (прокси-серверы, изолированные программные среды, устройства контроля SSL/TLS, устройства полного захвата пакетов и т.д.). Использование раздельного туннелирования может затруднить расследование вторжения, а в некоторых случаях – сделать его невозможным. Теперь респонденты должны учитывать трафик, который не пересекает корпоративную сеть и может снизить видимость сотрудника в сети.

Перед разрешением раздельного туннелирования организации должны серьезно подойти к рассмотрению вопросов уровня безопасности, связанных расходов и последствий изменения конфигураций.

Если говорить о плюсах, существуют различные облачные средства защиты с подпиской, которые могут снизить риски. Такие технологии, как Cisco Umbrella и Zscaler предлагают несколько возможностей для организации внутренней инфраструктуры вне зависимости от того, каким способом устройство выходит в Интернет.

Конфигурация корпоративной беспроводной сети

Какое отношение безопасность конфигурации корпоративной беспроводной сети имеет к безопасности удаленного доступа? Как отмечалось выше, использование украденных учетных данных – номер один в списке излюбленных приемов хакеров. Конфигурация корпоративной беспроводной сети может стать еще одним каналом утечки учетных данных сотрудников.

Инфраструктура беспроводной сети дает некоторую защиту, когда вы находитесь в офисе. Некоторое оборудование может обладать даже активными средствами защиты для предотвращения различных атак. Злоумышленнику зачастую нужно передать сигнал, обладающей большей мощностью, нежели у разрешенной точки доступа. Это требуется для выполнения атаки «злой близнец» (evil twin attack).

Выполняя такую атаку, злоумышленник объявляет идентичный SSID в надежде, что устройства к нему присоединятся. В тот момент, когда упомянутые устройства проходят аутентификацию домена активного каталога, точка доступа атакующего запрашивает учетные данные, и компьютер автоматически их отправляет. Соединение как правило не требует взаимодействия с пользователем, поскольку злоумышленник копирует известную сеть. При обнаружении SSID затронутое атакой устройство просто подсоединяется к нему.

Проблема возникает тогда, когда корпоративное оборудование (и другие устройства, использующие аутентификацию домена) находится за пределами инфраструктуры компании. В таком случае, злоумышленник может мешать клиент подключениям.

Следовательно, организации следует убедиться, что беспроводные сети настроены так, чтобы выполнять взаимную аутентификацию клиента и инфраструктуры. Это значит, что клиент должен проверять сертификат AP и наоборот.

Кроме того, не помешает следить за мобильными устройствами. В нескольких протестированных нами организациях был развернут сегмент мобильной сети, но он использовал доменную аутентификацию для минимизации количества учетных данных, которые пользователь должен держать в голове. Злоумышленник может перехватывать корпоративные учетные данные с таких устройств, даже если на них не развернуты клиентские сертификаты.

После получения учетных данных атакующий может попытаться использовать их на порталах для выхода в Интернет или физически украсть устройство, с которого могут успешно пройти аутентификацию.

Защита домашней сети

Последнее, что стоит учесть – разделение рабочей и домашней среды сотрудников. Современные домашние сети часто переполнены IoT-устройствами, смартфонами и игровыми консолями. Организация просто не может оценить безопасность таких устройств или самой сети.

Идеальный вариант защиты довольно сложен в исполнении, поскольку в этом случае организациям нужно убедиться, что корпоративные устройства в сети отделены от личных. Возможно в дальнейшем, мы вернемся к этому вопросу отдельно и более подробно.

Более приемлемой альтернативой может быть развертывание на корпоративных устройствах постоянно включенной конфигурации VPN. В таком случае сотруднику разрешено проходить аутентификацию с использованием кэшированных учетных данных, а затем подключаться к беспроводной сети. VPN-клиент подключается автоматически при каждом доступе к сети.

Указанные меры ограничивают доступ к устройству при подключении к домашней сети сотрудника и предотвращают локальное взаимодействие при соединении через туннель.

Заключение

Поскольку все организации меняют условия взаимодействия сотрудников с инфраструктурой в условиях COVID-19, важно делать это не за счет снижения сетевой безопасности. Обеспечение безопасной настройки удаленного доступа – важный этап, который нельзя упускать на пути массового перехода к удаленной работе. Надеемся, что данный пост поможет вам очертить круг аспектов, подлежащих проверке, перед тем, как приступать к большим преобразованиям.