Ciężkie grzechy bezpieczeństwa w architekturze sieci – zobaczcie przykłady z życia wzięte

18 lipca 2019, 13:16 | Aktualności | komentarzy 6
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Niedawno uruchomiliśmy nieco eksperymentalny wątek proszący Was o wskazanie jakie wiedzieliście w swojej karierze duże problemy bezpieczeństwa w architekturze sieci.

Książek o tym nie ma zbyt wielu – jest dość stara „Network Security Architectures” – perełka wydana przez Cisco Press (pokazująca problem w szerokiej perspektywie – również poza środowiskami Cisco) i… w zasadzie to tyle.

Trzy grzechy na początek, które sami podaliśmy:

jeden kabelek sieciowy idzie z serwera do firewalla (przez switcha). I mały bonusik – druga karta sieciowa, z której kabel wpada bezpośrednio do mocno zaufanej sieci. „bo nie chcieliśmy kłopotać kolegów od firewalli żeby zrobili odpowiednie reguły

otwarty dostęp z DMZ do LAN („bo trzeba było to jakoś pointegrować”

LAN – wszystko w jednej ogromnej sieci, bez żadnego filtrowania

Inni dodali m.in.:

Wymuszenie zmiany hasła co 30 dni

Dockeromania. Pakowanie w Dockera na pojedynczym serwerze wszystkiego co się da, włącznie z demonami w rodzaju Postfixa a potem brak aktualizacji „bo autor nie robił builda od pół roku”, wyłączanie iptables „bo psuje Dockera” albo jakieś koszmarki w rodzaju „wsadźmy do jednego containera 12 demonów pocztowych z konfiguracją generowaną sedem” (autentyk).

uzywanie VLAN’u 1

używanie nie swojej adresacji publicznej w LAN (już 2 takie firmy znam ;).

15 serwerów produkcyjnych w tym bazy danych. Każdy serwer z własnym routeromodemem dsl. Wystawiony w necie. Firewalle ? A po co to komu.

Drukarka na publicznym IP to jedyny słuszny sposób zrobienia możliwości „drukuj z domu”

Po co komu te organizery,labelki i patchpanele i dokumentacja w szafie rack przecież działa

a to rw community w SNMP nie może być standardowe?

Sieć wifi dla gości z tym samym hasłem co do intranetu firmowego

Backup robiony rozwiązaniem, które jest tak Znane i Sprawdzone, że nie trzeba go regularnie testować. A potem się okazuje, że backupy różnicowe rozjechały się dwa miesiące temu a ostatni pełny jest sprzed pół roku.

Uważanie, że 802.11X i WPA Enterprise są lekiem na całe zło

Konsultant z prawami administratora domenowego, zamiast lokalnego

Więcej ciekawostek zobaczcie tutaj. Jeśli macie jakieś swoje przemyślenia czy przypadki z życia wziętem, którymi możecie się pochwalić – piszcie w komentarzach.

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. adrb

    Widzę wszystko małe miki ;] Nie sądzę, że Wam ktoś opowie naprawdę ciekawe ackje na forum publicznym. Gdybyśmy usiedli przy piwie to może prędzej :)

    Odpowiedz
    • Spokojna głowa, robimy komercyjnie jakieś 300 pentestów rocznie – więc co nieco wiemy :-) Ale oczywiście mocne NDA (co jest standardem w tej branży).

      Bardziej tu chodzi o materiał do jakiegoś solidnego „ogólnego” poradnika niż wyliczanie konkretnych podatności.

      Odpowiedz
    • adasadasddsyghfvdkjrews

      Nikt nie każe ze zdjęciem i nazwiskiem.
      Napisałem na pajsie, napiszę i tu, choć nie do końca mowa o bezpieczeństwie:

      1. Mówienie, że nie da się zrobić sieci bez Cisco, następnie kupienie od nich dziesiątek przełączników po 20 tysi/szt. i używanie ich z konfiguracją jak dla switchy za 1000 zł (budżetówka za pieniądze z Waszych podatków).

      2. Brak kopii konfiguracji switchy, które nie są nawet zasilane z UPSów.

      3. Brak opisanych portów na switchach ani prowadzenia jakiejkolwiek dokumentacji. Każda praca, to odkrywanie na nowo „o co mogło mi chodzić rok temu?”.

      Odpowiedz
  2. Tomasz

    AP dla klientów wpięty do wewnętrznej sieci firmowej, zwykła mydelniczka tp-linka

    Odpowiedz
  3. Adam

    Pewna szkoła. Wszystko w jednej podsieci. Zero vlanów. Księgowość i sekretariat pracują na bazie i plikach z współdzielonego zasobu. Ten zasób, jak i drukarki i kamery ip na defaultowych hasłach dostępne są dla wszystkich uczniów na komputerach w pracowni oraz urządzeniach którymi się podpinają wszyscy do ogólnodostępnego wifi. A całe szczęście dzisiaj przyszło zlecenie na posprzątanie tego potwora

    Odpowiedz
  4. Alicja

    Większość instytucji w Polsce.

    1. Pracuje jeden informatyk, który posiada wiedzę na temat całej konfiguracji. Nie jest ta konfiguracja nigdzie spisana.

    2. Wszystko w vlan 1 (nawet jak są drogie switch’e Cisco).

    3. Ksero na korytarzu wpięte do LAN (brak vlan drukarkowego z ograniczeniami ruchu, brak port security).

    4. Nie ważne co w sprzęcie. Dokumenty od bezpieczeństwa muszą być ok, stan faktyczny jest drugorzędny.

    5. Rzadko ale trafia się. Wszystkie komputery pracują wpięte do jednego WIFI bez radiusa (samo WPA wystarczy, a budowa kablowej sieci LAN to koszty, mamy XXI wiek od kabli odchodzimy!).

    Odpowiedz

Odpowiedz