Bezpieczeństwo podczas monitoringu sieci

Bezpieczeństwo podczas monitoringu sieci

Autor: Bartosz Dzirba

Od kilku lat tematyka monitoringu sieci, a w szczególności wydajności aplikacji jest jednym z najczęściej poruszanych tematów w rozmowach z ludźmi z branży IT . Bezpieczeństwo zawsze było ważnym tematem, a w świetle tego co się ostatnio wydarzyło (ataki na strony rządowe), stało się jeszcze bardziej istotne. Każdy system zarządzania i/lub monitoringu musi czerpać wiedzę z obecnej infrastruktury. Sprawdźmy zatem na co koniecznie trzeba zwrócić uwagę, żeby bezpieczeństwo nie zostało naruszone.

Systemy monitoringu wykorzystują kilka głównych źródeł danych. Najczęściej wykorzystywanym jest protokół SNMP. Pozwala on zarówno odczytywać szereg parametrów urządzenia, jak i zmieniać jego konfigurację. Większość z nas wykorzystuje SNMP w wersji 2/2c, która charakteryzuje się uwierzytelnianiem za pomocą parametru community, który jest ciągiem znaków przesyłanych w sposób jawny. Podobnie dane przesyłane w zapytaniach, jak i odpowiedziach SNMP będą czystym tekstem. Takie podejście ułatwia możliwość podsłuchu hasła, przechwycenia istotnych informacji dotyczących infrastruktury, czy też w skrajnych przypadkach zmianę konfiguracji urządzeń.

Jakie działania możemy podjąć aby nie narazić naszego bezpieczeństwa? Przede wszystkim wykorzystajmy SNMP v3 – obsługiwane jest w coraz większej liczbie urządzeń, zarówno tych z górnej półki, jak i skierowanych do mniejszych organizacji. Wersja 3 umożliwia nam bezpieczne uwierzytelnianie, ale też szyfrowanie transmisji z wykorzystaniem protokołów/mechanizmów takich jak AES czy MD5. Tym samym nie tylko nikt nie podsłucha transmisji, ale też nie da rady się zalogować naszymi uprawnieniami. Zwracam jednak uwagę na słowo „umożliwia”. Samo włączenie SNMPv3 jeszcze nie oznacza, że włączyliśmy szyfrowanie czy uwierzytelnianie. Często nie oznacza również automatycznego wyłączenia SNMPv2.

Pamiętajmy, by wykorzystywane uprawnienia były jedynie dla trybu read-only. Dodatkowo wiele urządzeń potrafi zdefiniować adresy IP urządzeń, które są uprawione do wykonania odpytań (np. poprzez ACL w Cisco). Możemy też na zaporach ogniowych wyraźnie blokować transmisje SNMP w kierunkach, gdzie taki ruch nie powinien się pojawić. Zwracajmy także uwagę na to by wyłączyć SNMP jeśli nie jest potrzebne lub zmienić domyślne community. W praktyce w każdej sieci nietrudno znaleźć urządzenia z domyślnym community „public/private”.

Zajmując się na co dzień szeregiem narzędzi wykorzystujących protokół SNMP, staram się dbać, żeby wszystkie te narzędzia wspierały SNMP v3. Szkoda jednak, że od strony sieci, w których działam tak dobrze już nie jest. Ogólnie dobrą i często stosowaną praktyką będzie też stosowanie dedykowanej wydzielonej podsieci dla zarządzania i monitoringu, do której zwykli użytkownicy nie będą mieli dostępu.

Drugim, głównym źródłem danych będzie podsłuch ruchu realizowany poprzez porty typu SPAN/mirror lub też dedykowane TAPy wpinane w łącza, kopiujące ruch na zewnętrzny system. Tutaj raczej nie mamy dużego pola manewru jeśli chodzi o precyzyjne ustalenie, co na takim podsłuchu się znajdzie. Zabezpieczenie fizyczne będzie najważniejsze. Od strony systemu monitoringu zwróćmy uwagę aby pozwalał na analizę danych bez zapisywania całych pakietów (np. tylko nagłówki bądź zdefiniowana liczba bajtów), lub gdy naszym celem jest nagrywanie całego ruchu – by nie był dostępny dla każdego.

Dodanie narzędzia do monitoringu w sieci nie powinno wymuszać wyłączania zabezpieczeń. Warto zwrócić uwagę czy pozwoli ono podłączyć się do sieci i działać wśród mechanizmów takich jak 802.1x czy port security. Samo narzędzie powinno również zabezpieczać przechowywane dane i dawać do nich dostęp jedynie po uwierzytelnieniu z odpowiednimi uprawnieniami.

Na koniec często popełniany błąd w świetle ciągłego mówienia o bezpieczeństwie. Dalej typowym widokiem jest logowanie się do urządzeń czy poprzez HTTP czy też telnet, podczas gdy większość z nich bez problemu od dawna pozwala na HTTPS/SSH. System będzie tak bezpieczny jak jego najsłabsze ogniwo.

Podsumowując, systemy monitoringu są potrzebne i nie obawiajmy się korzystania z nich. Zwróćmy jednak uwagę, żeby były bezpieczne same w sobie (dostęp, szyfrowanie danych), ale także aby ich wdrożenie nie wiązało się z naruszeniem zasad bezpieczeństwa, które już u nas funkcjonują. Kiedy tylko możemy starajmy się korzystać z istniejących i implementowanych nowszych/bezpieczniejszych wersji protokołów. Dzięki temu być może nie wyeliminujemy zagrożeń w 100%, ale znaczenie je zminimalizujemy.

PASSUS SA

Passus SA was established as a result of spin-off the Network and Security Department from Passus Ltd. operating in the IT industry since 1992. It hires 30 highly qualified employees: engineers, programmers and specialists.

 
 

Contact us