Whalebone blog

Proč nestačí mít pouze firewall | Whalebone

Written by Whalebone | Jun 21, 2022 10:00:00 PM

Každý někdy slyšel o firewallech a většina organizací je i má. Trochu úsměvné je to, že některé společnosti ho mají i bez toho, aby o tom věděli (základní funkcionalita firewallu v dnešní době umí být součástí switchů a routerů, které už mají). Používají se k blokování nežádoucího a potenciálně škodlivého síťového provozu. V rámci síťových útoků jsou firewally první ochrannou vrstvou. Jsou efektivní a nezbytné pro každou společnost se síťovou infrastrukturou, teda za předpokladu, že chtějí ať jejich síť zůstane jejich.

Nabízí se otázka – pokud všichni mají firewall, jak je možné, že i tak dochází k tomu, že společnosti podlehnou útoku na jejich síťovou infrastrukturu? K tomu, abychom mohli tuto otázku zodpovědět, je nejprve nutné alespoň částečně chápat, jak firewally fungují – ukážeme si to na příkladu. Představte si kino – abyste se mohli jít podívat na film, potřebujete mít vstupenku. Nemáte vstupenku? Smůla, zejména pokud už se všechny lístky vyprodaly. Když to přeneseme na technický popis, firewally využívají pravidel popisujících síťovou komunikaci. Jejich administrátoři definují, která komunikace je povolená, a která nikoliv. Rozhodování funguje na úrovni IP adres, portů a směru síťového provozu (příchozí nebo odchozí).

Výše zmíněný popis platí pro stavovou kontrolu paketů, ale to není vše, co firewally dělají (alespoň ne v současné době). Jednoduše řečeno, máme 2 druhy firewallů – síťové (nyní označované jako Next Generation Firewally, nebo některými výrobci už jako Cloud Generation Firewally) a webové aplikační firewally (WAF). NextGen firewally jsou jako kontrolor vstupenek s vyššími pravomocemi – nejen že vás nepustí bez lístku dovnitř, ale také vás vyhodí, pokud se nebudete chovat ukázněně. Představte si vyhazovače z nočního klubu – pustí vás dovnitř, ale jakmile se s vašimi kamarády dostanete daleko za úroveň „hladinky“ alkoholu v krvi, tak vás všechny vyhodí. NextGen firewally také umožňují používat aplikační kontrolu (upravuje pravidla v závislosti na použité aplikaci) a Intrusion Prevention System (IPS), která se používá k blokování škodlivé komunikace.

Pojďme si rozebrat tři scénáře, kde si ukážeme, jak se v nich firewally typicky chovají.

 

Narušení síťového perimetru z pohodlí domova

Nové kritické zranitelnosti se zveřejňují celkem pravidelně, ale naštěstí pro nás, neděje se tak jak na denní, tak ani na měsíční bázi. Když útočník zneužije nějakou kritickou zranitelnost, může pak například vzdáleně spouštět konzolové příkazy na firewallu bez patřičného oprávnění. Jakmile tato situace nastane, vaše síť již nepatří vám, nýbrž útočníkovi. Samozřejmě ne všechny zranitelnosti se zveřejní. Mnoho hackerských skupin si udržuje databázi zranitelností, které sami odhalí, aby je mohli použít v případě potřeby vědouc, že je téměř nic nemůže zastavit. Alternativně, můžou zkusit získat interní přístup tak, že obelstí jednoho ze zaměstnanců, aby navštívil škodlivou doménu, otevřel infikovaný PDF soubor, nebo nainstaloval přímo malware na jeho počítač. Všechny tyto situace obchází firewall a pro něj se to jeví jako legitimní komunikace, protože žádosti pocházejí z interní sítě. Obecně vzato je tento druhý případ vnímán jako mnohem jednodušší způsob, jak získat přístup, což je snadno ověřitelné, protože když se podíváte na téměř libovolnou aktuální zprávu o kybernetickém útoku, tak můžete najít zmínku o sociálním inženýrství.

 

Obejití IT bezpečnosti díky fyzickému přístupu

Téměř v každém případě jsou bezpečnostní řešení méně omezující pro interní síťový provoz. Hackeři si tohle uvědomují také a občas je oběť příliš zajímavým cílem, že riskují osobní návštěvu. Zjednodušeně řečeno, všechny firewally blokují veškerou komunikaci nepocházející z chráněné sítě (z internetu), tedy pro úspěšný síťový útok (pro jednoduchost příkladu nebudeme zacházet do dalších možných útoků) je potřeba obejít firewall. V některých případech je jednodušší získat fyzický přístup do oblasti, kde se se útočník může připojit do chráněné síti, místo toho, aby se ji snažil prorazit zvenčí. Útočník se v tomto případě často obrací k sociálnímu inženýrství, aby získal víc informací, které následně použije na to, aby se zkusil dostat do budovy, ve které je chráněná síť – jeho cíl. Ve většině případů se stačí dostat do konferenční místnosti, ideálně o samotě, a v některých případech dokonce stačí i veřejná Wi-Fi v kantýně (pokud je síť špatně nastavená). Jakmile se útočník připojí k síti, může navázat vzdálené připojení zevnitř (například za pomoci DNS tunelů) a nechá spojení otevřené, čímž získá nerušený přístup dovnitř sítě bez toho, aby riskoval odhalení, ke kterému může dojít, když je v budově fyzicky přítomen, čímž snižuje riziko dopadení.

 

Hrozba vydávající se za pomoc

Mnoho společností v současné době podporuje takzvanou BYOD politiku (anglicky bring your own device – přineste si vlastní zařízení) při které zaměstnanci v práci využívají svoje osobní zařízení, jako jsou počítače, notebooky nebo telefony, a připojují je do interní sítě. Tato zařízení mají zpravidla nižší úroveň zabezpečení než zbytek interní infrastruktury. Když nejsou v pracovním prostředí, uživatelé si na zařízeních víceméně mohou dělat co se jim zlíbí, čímž zvyšují riziko zavlečení infekce do chráněné infrastruktury. Občas se stane, že uživatelé do práce přinesou již infikované zařízení, čímž malwaru nevědomky umožní šířit se tam, kam by se jinak nedostal. Firewall vidí pouze to, že se připojilo nové zařízení a že komunikuje s většinou dalších v rámci korporátní sítě.

Je nezbytné využívat firewall třídící komunikaci na perimetru, ale jak je vidět na příkladu výše, spoléhat se pouze na firewall nestačí. Neposkytuje 100% ochranu – má mezery, které je potřeba zaplnit.

 

Jak vyplnit bezpečnostní díry?

S dostatkem času a snahy lze prolomit zabezpečení libovolné sítě. Řešením není blokovat vše, protože nikdo by nebyl schopen vykonávat svou pracovní náplň v případě, že k tomu potřebuje využívat internet. Je nutné vědět, co se děje ve vaší síti – klíčová je vizualizace síťové komunikace. Téměř všechna je doprovázena provozem protokolu DNS, který překládá domény na IP adresy, které počítače potřebují k tomu, aby věděli, koho kontaktovat (podobně jako telefonní seznam – znalost domény je jako znalost jména, pod doménou najdete IP adresu a pod jménem najdete telefonní číslo). Díky tomu se můžete efektivně postarat o všechna zařízení připojená do vaší interní sítě, včetně těch BYOD, a následně blokovat škodlivou komunikaci, čímž zabezpečíte vaši síť a zároveň víte, co přesně se v ní děje. S kompletní a granulární viditelností dokážete jednoduše odlišit jednotlivé IP adresy a máte kompletní přehled o tom, co se u vás děje už v momentě, kdy to nastane. Díky tomuto můžete blokovat útoky předtím, než stihnou napáchat nějakou škodu, čímž si ušetříte peníze, reputaci, a mentální zdraví vašich IT techniků.

Firewally pokládají základy kybernetické bezpečnosti. Pokud je nemáte, tak nemusíte řešit ani nic dalšího, protože se kdokoliv může připojit do vaší sítě a dělat co se jim zachce, ale spoléhat se pouze na firewally také není rozumné. K tomu, abyste měli jistotu, že chráníte veškerá svá zařízení, i ta, nad kterými nemáte úplnou kontrolu (BYOD, IoT, IIoT, atd.), je potřeba zahrnout mezi svá bezpečnostní řešení i ochranný DNS resolver jako je Whalebone Peacemaker.