» »

Backdoor-i v Cisco (in drugih) napravah

Backdoor-i v Cisco (in drugih) napravah

«
1
2 3 4

jukoz ::

Ker ima Cisco letos kar veliko veselja z najdenimi "unauthenticated access" dostopi (aka backdoori), me zanima kako se uporabniki/admini soočate s tem.
https://tools.cisco.com/security/center...
https://tools.cisco.com/security/center...
https://tools.cisco.com/security/center...
https://tools.cisco.com/security/center...
https://www.bleepingcomputer.com/news/s...

Nalagate popravke? Kako jih nalagate?
Izvozite obstoječe nastavitve, naložite nov firmware in nastavitve nato naložite nazaj? Kako vemo da se ti NSA accounti ne naložijo nazaj skupaj s shranjenimi nastavitvami?

Ali se zaradi tehle odkritij kaj planira zamenjava Cisco opreme? Se planira kakšni drugačni nakupi? Revizija obstoječega stanja? Moja predvidevanja so, da ostali proizvajalci niso popolnoma nič boljši, samo internih revizij (še) ne izvajajo.

Kako pa sploh izvajate nadgradnje. Nekatere od prizadetih naprav so precej kritične in ne omogočajo nadgradnje, ne da bi prekinili delovanje omrežij.

Kaj pa HP in njihov 29x"A" za dostop do iLO?
https://www.bleepingcomputer.com/news/s...

OK, iLO je načeloma na ločeni mreži, če ga nimaš pa kolikor razumem lahko dela preko primarne mrežne kartice. Nalaganje novega FW, če zahteva reboot mašin, po moje ni realno za pričakovat. Torej tudi reševanje te težave ne bo izvedeno v kratkem.

Kaj pa Intel ME? Nobena mrežna na matični plošči ni nikoli priklopljena v ne-varno omrežje?
Vsak proizvajalec strežniške opreme ima seveda še svojo obliko Intel ME/HP iLO. Kam to priklapljate in ali tem tehnologijam sploh zaupate?


Razumem da Avstralci ne želijo Huawei naprav na državnih omrežjih, ampak Cisco ni nič boljši. Glede na to da lahko realno pričakujemo backdoore v opremi vseh proizvajalcev, kakšne so politike podjetij kjer delate.
"Nobody ever got fired for buying Cisco" ne bo več držalo. Če ne na nižjih nivojih, pa prav gotovo na nivoju odločevalcev.
  • spremenilo: jukoz ()

tony1 ::

...čri ...čri ...čri

Kaj dosti več verjetno ne bomo slišali.

c3p0 ::

Eno so backdoori, drugo "0-day" undisclosed voulnerabilities, ki jih tajne službe poznajo, pa ne objavijo. Iz očitnih razlogov. Se pa marsikaj da kupit tudi na črnem trgu.

jukoz ::

HP-jev 29x"A" je backdoor. Kjerkoli je root account dodan s hardcoded pass je to backdoor. Lahko da je bil samo za testne namene in bi moral ven preden gre oprema na trg. Ampak te stvari se beležijo in sem povsem prepričan, da taka podjetja kot so HP in Cisco imajo specificirane načine, kako se root accounti dodajajo in pred produkcijo tudi odstranijo. Ne more biti vse to samo šlamparija.

Ampak resno - kako se soočate s tem? Ko je Snowden objavil svoje zadeve in sem vprašal admine v eni večji slovenski firmi, so rekli "company policy". Ko so prišli fortinet in juniper s svojimi backoori, je bil odgovor spet - company policy. Kdaj se pa policy spremeni? Tega je že nekaj let, je company policy še vedno enak? Kdo pa določa policy in ali se potem kdaj sploh spremeni =)

Zgodovina sprememb…

  • spremenilo: jukoz ()

tony1 ::

Hudič z backdoori je v tem, da se je "včasih" povsem regualarno tako razvijalo. Seveda se je vedelo, da je to bad security practice, ampak "vsi so tako delali". Ker pa smo na varnost vedno bolj pozorni je to danes popolnoma odsvetovana praksa. Preden jo bodo pa vsi vendorji potihem zmetali ven iz svoje kode bo pa gotovo še nekaj časa trajalo. Tukaj seveda govorimo z dobro voljo, češ da so bili ti backdoori nenamerni.

Kolikor pa že sam vidiš iz te teme, ljudi sama varnost kaj veliko ne zanima, rabijo prej občutek varnosti. In pravzaprav nihče ne bo šel svoje opreme vendorja A zmetati ven in dal noter vendorja B, ker (lepši odgovor) za to nima časa in denarja ali pa ker (grši odgovor) se noče naučiti delati z opremo vendorja B. Vedno je mogoče sproducirati še super izgovor, da gotovo vendor B ni nič boljši od prejšnjega.

In če predpostavimo, da 99% ljudi zaresnih izkušenj z več kot enim security vendorjem nima (in jih niti noče imeti) bi bilo logično, da niso niti slučano kompetentni presoditi, kaj je smiselno narediti v primeru, o katerem pišeš. Pač čakajo v svoji (državni, ker je velikih privat firm pri nas malo) službi da bo minilo, vsako leto bližje grobu... Vseeno, če so šefi ali operativci.

jukoz ::

tony1 je izjavil:


Kolikor pa že sam vidiš iz te teme, ljudi sama varnost kaj veliko ne zanima, rabijo prej občutek varnosti. In pravzaprav nihče ne bo šel svoje opreme vendorja A zmetati ven in dal noter vendorja B, ker (lepši odgovor) za to nima časa in denarja ali pa ker (grši odgovor) se noče naučiti delati z opremo vendorja B. Vedno je mogoče sproducirati še super izgovor, da gotovo vendor B ni nič boljši od prejšnjega.

In če predpostavimo, da 99% ljudi zaresnih izkušenj z več kot enim security vendorjem nima (in jih niti noče imeti) bi bilo logično, da niso niti slučano kompetentni presoditi, kaj je smiselno narediti v primeru, o katerem pišeš. Pač čakajo v svoji (državni, ker je velikih privat firm pri nas malo) službi da bo minilo, vsako leto bližje grobu... Vseeno, če so šefi ali operativci.


GDPR pa ne čaka. In nesposobnost ni izgovor - če admin ne ve da je Cisco/HP/kdorkoli izdal kritične popravke, pa jih pa ne naloži, bo podjetje (in posledično admin) plačal. Malomarnost, opuščanje dolžnega ravnanja, opuščanje dobrih praks iz stroke... Odgovarjal bo admin, ki se bo zgovarjal na vodjo IT, da ne pusti nadgradenj zaradi izpada delovanja. Vodja IT se bo zgovarjal na višjega šefa. Višji šef bo pa plačal kazni.

No ja, počakajmo še na par odgovorov. Mimogrede, kako se vi tega lotevate?

Pri nas in naših strankah, kjer skrbimo za varnost IT, Ciscotov ni, iLO/karkolidrugega pa je na svojem omrežju.
Intel ME se lotevamo tako, da ga vedno izklopimo v BIOSu in da nikoli ni Intelova mrežna (vsaj tista na matični) priključena direktno na internet. Smo pa zelo veselo nalagali popravke (tudi zaradi Spectre/Meltdown, ampak to je druga zgodba).

tony1 ::

Ah, pustimo GDPR ven iz te omake.

Seveda pa je jasno: ko pridejo varnostni popravki jih vsi namestijo v nekem razumnem roku. Več vendorjev da do njih tudi brezplačen dostop.

Ampak, če prav štekam, tebe zanima zaresna rešitev na dolgi rok? Tukaj pa pride v poštev moj prejšnji odgovor...

Zgodovina sprememb…

  • spremenil: tony1 ()

jukoz ::

GDPR je zelo pomembna začimba v tej omaki. Zelo pekoča. Jo bomo še občutili.

Zaresna rešitev za nas in naše stranke mi je že poznana in jo tudi implementiramo dolgo.

Kar me zanima je, kako se lotite nalaganja popravkov. Sploh Intel ME me zanima. Kako nadgradiš BIOS na 100 PCjih.

tony1 ::

Zanima te torej masovno nameščanje popravkov za luknjasto cedilo, ki mu pravimo UEFI? Ah, jaz sem pa mislil, da hočeš spremeniti svet.

Na je6o s klienti se žal ne spoznam kaj dosti (in nad HPjevimi laptopi sem tudi že obupal), Lenovo pa ima za Thinkpade krasen tool (pojma nimam, če pride tovarniško nameščen na laptopu ali pa ga je gor pushnil IT firme), ki sam javi, da je treba BIOS upgrejdati in da klikni accept, ko se ti bo dalo 2 minuti gledati v zrak (prijaznost do uporabnika, ki se je bo M$ ponovno naučil ravno nekje leta 2025). Nato sam potegne dol ustrezno verzijo BIOSa za tvoj laptop, reboota mašino, pofleša BIOS in čao. Seveda gre za vnaprej izgubljen boj, ker kritični popravki pridejo vsaka 2 meseca, ampak kaj čmo.

Aja, pojma nimam kaj se ob nadgradnji zgodi z nastavitvami s katerimi je bil v BIOSu ugasnjen oddaljen dostop do mašine. Morda so celo preživele vse nadgradnje.

Ne da se mi pogledati, ker je, glede na to, da je v procu zakopan Minix, ki ni bil nikoli mišljen za produkcijsko uporabo in še manj za v od varnosti, vseeno. GDPR? Lepo te prosim, šparaj živce.

Zgodovina sprememb…

  • spremenil: tony1 ()

crniangeo ::

Za hpje (windows) se uporablja sccm package = compaq tool. Lenovo ima neka svoja sranja v smislu da resetira bios na default po bios updatu. V kolikor je bil disk nastavljen na legacy ali karkoli izven default vrednosti zna bit po restartu napaka inaccessible boot device..
Convictions are more dangerous foes of truth than lies.

jukoz ::

@tony1

Svet se ne spreminja z nalaganjem popravkov za backdoore, ampak z menjavo take opreme. Ampak to je povsem druga zgodba.

OK, na PCje torej naložite popravke preko raznih proizvajalčevih toolov. Kaj pa FW za switche?

antrim ::

Resno? Če nisi paranoik nadgradiš OS za switch z novim po ustrezni proceduri. Če si paranoik nabaviš bare metal switchovje in daš gor nekaj takega nad čimer imaš več nadzora. Or roll your own.

tony1 ::

Če iščeš resen odgovor tudi za omrežno opremo: firewalle posodabljaj recimo na vsak drugi patch (recimo nekje 4-5 krat letno), stikala pa vsaj 1x letno.

Večina vendorjev ima kakšna orodja za spremljanje verzij omrežne opreme in nadgradnjo softvera, je pa odvisno kako uporabno je (HP, na primer, je nekoč imel IMC, ki je bil glomazen in prevelik tudi za največja Slo podjetja. Pa še slabo je delal s starimi switchi.)

Običajno srednje velika Slo okolja napišejo skripto in nato pač to uporabljajo.

Dobro je tudi spremljati release notese vse omrežne opreme, ki jo imaš, in v nujnih primerih (kot je bil npr. Heartbleed) narediti upgrade takoj.

Tudi pri pisanju release notesov so se standardi spremenili: včasih se je pogosto uporabljajo tehniko security through obscurity, kjer je vendor izdal patch sotftvera, v release notesih povedal za 10 napak, ki jih ta odpravlja, za 11. (ki je bila resen security flaw) pa sploh ne. Danes se tudi ta praksa opušča, kar je eden od razlogov, da si odprl to temo.

Še to: oprema, ki teče na Linux-based softveru ima malo prednost, za njegove ranljivosti se ve v vsej skupnosti in se vsaj ranljivosti OSa precej hitro tudi popravlja v napravah, ki ga uporabljajo. In se to tudi jasno napiše v relese notese.

Tudi z vidika upgrejdov je omrežna oprema popolnoma različno kakovostna, nekaterim se dogaja o čemer si pisal v 1. postu, drugim ne; lahko ima človeški sistem številčenja verzij (ali pa popolnoma sfukanega); upgrejd enega kosa opreme lahko traja minuto (ali pa več ur), imaš orodje za masovno nadgradnjo (ali pa ne), takšno kjer je softver zastonj (ali pa seveda ne).

jukoz ::

Super, hvala za konkretne primere. Kako pa to rešujete iz organizacijskega vidika. Lepo je sicer reči da nalagaš popravke 4x letno, kako je pa to v praksi? Kako to izvajate na bolj mission critical zadevah? Ali pa recimo patchanje VM serverja, ko je potrebno virtualke izklopit.

Kar bi rad vedel je sledeče:
- ali se popravki sploh nalagajo
- kako pogosto se nalagajo
- kaj vse se nadgrajuje in kaj ne

Naša praksa kaže bolj na to, kar je tony1 napisal v svojem odgovor - da se gre bolj za občutek varnosti. Kaj pa vaša?

c3p0 ::

Za nujne zadeve vsekakor HA, torej VM-je migriraš na drug server in prvega "šraufaš". Ni več ovir, da podjetje tega ne bi imelo, če je le znanje.

Zgodovina sprememb…

  • spremenil: c3p0 ()

tony1 ::

Se strinjam, zares mission critical stvari morajo biti ali podvojene tako, da sekundarne enote opreme nadgradnja ne zmoti ali pa moraš imeti možnost napovedati vzdrževalno okno, ko bo delovanje opreme moteno.

Meni se pravno ne zdi prav nič sporno zapisati: "strojno programsko opremo omrežne opreme, ki je dostopna z javnega interneta je treba nadgrajevati vsake tri mesece oz. po potrebi še pogosteje".

Seveda se upgrejda vso omrežno opremo, zakaj ne?

Verjamem, da nekdo, ki dela le v eni firmi teh izkušenj nima, lahko pa na trgu poišče integratorja, in ga vpraša: kako pogosto priporoča nadgrajevanje.

V resnem integratorju, ki vzdržuje vsaj nekaj sto (na primer) požarnih pregrad, bodo spremljali kakšne patche izdajajo vendorji, popravke najprej testirali na omejenem okolju (običajno kar na lastnih napravah, kjer je kakšnih 10 firewallov, na katerih se dnevno dela, čisto dovolj za preizkus pravilnega delovanja nove verzije), in nato čez slab teden brez posebnih skrbi začeli nadgrajevati vse naprave, ki jih vzdržujejo.

Seveda imaš posebne primere, kjer je treba vsaj za rutinske nadgradnje na vzdržavlno okno manj ali več počakati (jedrskih elektrarn ne ustavljajo ravno vsak mesec), večina firm pa v noči iz četrtka na petek ne počne kaj posebej pametnega.

jukoz ::

OK, potem je pri vama, tony1 in Sago, stanje urejeno. Nadgradnje se izvajajo, imate podvojene sisteme ki omogočajo zaustavitve itd. FW na požarnih zidovih in stikalih nalagata nov in naložita stare nastavitve.

Še kdo?

Ker naše izkušnje so bolj tako-tako. Na res kritičnih zadevah ja, se nalagajo popravki. Switchi, VM hosti,..., karkoli kar bi pomenilo downtime/preveč dela in ni popolnoma kritično... To pa ni ravno deležno popravkov. Pa je zelo veliko Cisco opreme naokoli =)

tony1 ::

Tale beseda: "downtime/preveč dela" preprosto pomeni, da tega dela (še) niste vajeni oz. z njim nimate dovolj izkušenj.

(Mimogrede, pri nadgradnji firmwara omrežne opreme seveda nastavitve (praviloma) ostanejo iste tudi po nadgradnji (če se z nadgradnjo sintaksa konfiguracije kaj spremeni, to porihta nova verzija softvera ob bootu avtomatsko).)

Če je interes zadeve poštimati, določite nekoga, ki bo to prevzel, ali tehnično (se dovolj izobrazi in te, relativno trivialne posege, dela sam) ali administrativno (uredi vzdrževalno okno, posege pa dela zunanji izvajalec).

Zgodovina sprememb…

  • spremenil: tony1 ()

jukoz ::

Mal se ne razumemo - mi smo ponudniki IT storitev in se pri našem delu srečujemo s precej različnimi situacijami. Na žalost prepogosto s precej slabim razumevanjem IT varnosti in zakaj je pomembna. No, vsaj do takrat ko kaj ne gre narobe in se ugotovi, da je IT povezan z vsem.

Kar bi rad ugotovil je, zakaj se pri večini strank ne nadgrajuje opreme, Eno je organizacijska plat. Drugo je razumevanje te tematike. Tretja je finančna, tako direkten strošek npr licenc, kot motnja v delovnem procesu.

Na vaših primerih bi rad videl, kako se soočate s tem. Rad bi razširil vzorec primerov in slo-tech je najprimernejše mesto za to.

Dpool ::

Bo treba razmisljati raje v smeri najema SOC storitve in ne se samo zanasati na End-point zascite. Predno kdo poskusa kaj manipulirati v vasem omrezju bo SOC ekipa zaznala groznjo in pricela s postopkom Incident Response, kjer se primer prepreci, sanira se skoda in povrne v delujoce stanje.

c3p0 ::

jukoz je izjavil:

OK, potem je pri vama, tony1 in Sago, stanje urejeno. Nadgradnje se izvajajo, imate podvojene sisteme ki omogočajo zaustavitve itd. FW na požarnih zidovih in stikalih nalagata nov in naložita stare nastavitve.


Od letos dalje, ja. Ne rabi bit vse podvojeno, dovolj je N+1 in kak shared storage.

Routerji in switchi (cisco) so pa žal last providerja in moraš njemu zaupat, da to počne.

AndrejO ::

c3p0 je izjavil:

jukoz je izjavil:

OK, potem je pri vama, tony1 in Sago, stanje urejeno. Nadgradnje se izvajajo, imate podvojene sisteme ki omogočajo zaustavitve itd. FW na požarnih zidovih in stikalih nalagata nov in naložita stare nastavitve.


Od letos dalje, ja. Ne rabi bit vse podvojeno, dovolj je N+1 in kak shared storage.

N+2

jype ::

jukoz ::

Hvala Jure za heads-up =)

tony1 ::

Pa lahko nekdo njegov Pitijski odgovor prevede v dva smiselna stavka?

Katere naprave so boljše od katerih in zakaj?

Kakšen pa je delež omrežnih naprav, ki sploh uporabljajo proce z MEjem?

jukoz ::

Nanaša se na Cisco.

Intel proci so zelo pogosti v mrežnih napravah. Pomisli koliko NASov je naokoli ki imajo nek Intel proc vgrajen. Matične za FWje imajo tudi pogosto nek intelov Celeron ali kaj podobnega.

Zgodovina sprememb…

  • spremenilo: jukoz ()

tony1 ::

Oba skupaj znata biti, kadar hočeta, ravno polpismena. Nehajta.

Začnita pisati, kot je rada rekla prfoksa v osnovni šoli, s celimi stavki, sicer vaju bom nehal brati.

Glej, v tej debati niso tako pomembni serverji in NASi, ker so v javni internet povezani prek firewallov.

Firewalli pa pogosto uporabljajo nekaj generacij stare proce, in vsaj 80% firewallov, ki so danes v produkciji, MEja nima. (Cel kup firewallov imam, ki uporabljajo 20 let star Celeron 300A. ME? Hi,hi,hi...)

Poleg tega od več deset kritičnih ranljivosti, ki so bile letos odkrite na Cisco firewallih sploh ne vem, če je katera povezana z MEji.

Poleg tega je fant podal link s popravki za ME ranljivosti (bogvekoliko jih še je, verjetno toliko kot ima hroščev povprečno velik travnik) in napisal, "da so druge naprave slabše"?

Kaj za vraga to pomeni?

jukoz ::

Hmmm, a ni Celeron 300A malo stara zadeva? Bi te vprašal kaj delaš z njimi, ampak je to precej off-topic s temo ki sem jo začel.

Glede na odgovore je bil tvoj drugi odgovor najbolj pravilen:

tony1 je izjavil:

...čri ...čri ...čri


Če ima še kdo kaj za napisati glede izvajanja IN neizvajanja nadgradenj naj prosim napiše. Vsaj SeMiNeSanja sem pričakoval da se bo oglasil.

Lahko pa temo seveda razširimo in sledimo samo naslovu - torej pišemo o backdoorih.

tony1 ::

Glede tega imaš prav, model s Celeronom 300A je šel EOS leta 2016...

Hotel sem samo plastično pokazati, da se v FW naprave ne daje najnovejše robe (v stikala pa sploh ne).

SeMiNeSanja ::

jukoz je izjavil:

Če ima še kdo kaj za napisati glede izvajanja IN neizvajanja nadgradenj naj prosim napiše. Vsaj SeMiNeSanja sem pričakoval da se bo oglasil.

No, tema je bila bolj na Cisco 'našpičena', pa nisem hotel prilivat olja....

Kar se WatchGuard-a tiče, novih naprav že v osnovi ne moreš kupiti brez vsaj enoletne podpore, ki vključuje tudi nadgradnje firmware-a.
V principu vse stranke, ki imajo vzdrževane naprave te tudi bolj ali manj redno posodabljajo.
Obstajajo 3 možni razlogi, zakaj nekdo ne posodablja zadeve:
1.) napravo nima pokrito z aktivnim vzdrževanjem (naročnina)
2.) strah, da z novo verzijo ne vnese neke težave (novi hrošči, ki jih sicer nebi imel..)
3.) lenoba admina.

Noben od treh razlogov ni ravno opravičljiv. Tudi če se izkaže, da ti je novi firmware prinesel neke probleme, ki jih prej nisi imel, si lahko v dobri minuti nazaj na predhodni verziji (seveda pod pogojem, da pri nadgradnji nisi preskočil backup-a...).

Razvoj pri požarnih pregradah je danes izredno hiter. Dodajajo se nove funcionalnosti, ki ti še kako prav pridejo. Seveda se tu pojavljajo tudi kakšni hrošči, ki se tekom beta testiranj niso odkrili. Vendar če ti povratek na preverjeno predhodno verzijo ne predstavlja problema, boš brez slabe vesti vsakomur priporočal, da stvari redno nadgrajuje. Če se kaj zatakne, se prijavi problem, vrne na staro verzijo in počaka na popravek.

Jasno pa je, da v primeru kakšnih hujših odkritih hroščev ne moreš kar v nedogled ostajat na ranljivi verziji, če ti popravljena dela težave. V tem primeru je najbolje malo naštudirat kaj je pravzaprav problem in poskusiti ogroženost minimizirati z drugimi ukrepi. Če je npr. problem na SSL VPN-ih, uporabnike začasno preseliš na IPSec ali L2TP. Večinoma se kar da najti nek workaround, s katerim nekako zmanjšaš izpostavljenost, dokler dejanski hrošč ni uspešno odpravljen.

jype ::

tony1 je izjavil:

Kaj za vraga to pomeni?
To pomeni, da industrija ne upošteva strokovnjakov za računalniško varnost - še slabše, trendi kažejo, da je vedno več naprav _načrtovanih_ tako, da je znatno stopnjo računalniške varnosti nemogoče doseči.

Če generične računalniške naprave za "profesionalno rabo" še nekako lahko stlačimo v "tako ali tako so v varovanih omrežjih", pri Ciscotu tega luksuza ni več, zato je seveda manj dopustno, da dizajn sploh omogoča izvedbo tako hude napake, kot je trenutno videti, da so - hkrati je pa jasno, da so te napake posledica "nove mode" v računalništvu, ki je v nasprotju z vsem, kar učimo ljudi, ko jih učimo "defenziven dizajn".

ME gor ali dol, vedno več naprav ima vgrajene sekundarne naprave, ki imajo dostop do reči, ki ni le nepotreben, temveč direktno škodljiv, pa se jih ne da izključiti. Zgolj zakrpati programska rezervna vrata je trivialno v primerjavi z masovno menjavo strojne opreme, ki bo zaradi teh trendov prej ali slej nujna.

Še kratko in jasno, ker je tole zgoraj še vedno klobasa: Cisco ni za v smeti, ker nima "management procesorja" z varnostno luknjo, ki ga ni mogoče izključiti, zato trenutno še vedno lahko zgolj s flashanjem popravi osnovnošolski zajeb "pozabljenih odprtih vrat na zadnji strani naprave".

Zgodovina sprememb…

  • spremenilo: jype ()

imagodei ::

antrim je izjavil:

Resno? Če nisi paranoik nadgradiš OS za switch z novim po ustrezni proceduri. Če si paranoik nabaviš bare metal switchovje in daš gor nekaj takega nad čimer imaš več nadzora. Or roll your own.

Bare metal switchovje? Do tell... Bi me zanimalo, kaj je uporabnega na trgu.

Za routerje dobiš dovolj bare metala, za switche pa še nisem našel nečesa ustreznega.
- Hoc est qui sumus -

jukoz ::

Dumb switchi to the rescue =)

SeMiNeSanja ::

jukoz je izjavil:

Dumb switchi to the rescue =)

Dumb? že že....samo kaj pa VLAN-i? Nekako ne delujejo najbolje na dumbo switchih, ne glede na to, kako velika ušesa imajo.

jukoz ::

VLANi? Dumb switchi to the rescue. Kolikor VLANov, tolko dumb switchev =)

Pameten FW/gateway in mnogo dumb switchev pa bo.

Invictus ::

jukoz je izjavil:

VLANi? Dumb switchi to the rescue. Kolikor VLANov, tolko dumb switchev =)

Pameten FW/gateway in mnogo dumb switchev pa bo.

DA ne govorimo o dumb adminih s takimi predlogi ;).
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

SeMiNeSanja ::

jukoz je izjavil:

VLANi? Dumb switchi to the rescue. Kolikor VLANov, tolko dumb switchev =)

Pameten FW/gateway in mnogo dumb switchev pa bo.

Potem rabiš še dumb accesspointe, da boš za vsak SSID postavil svojega in ga povezal na lastni dumb switch,.....
Na koncu se zaštrikaš v kabelsolati in padeš na nos.

Sploh pa smo še čisto v povojih, ko se gre za kakšen malo resnejši security na WiFi. Večinoma itak vlada prepričanje, da se pri WPA2 Enterprise konča, kar se da naresti za varnost (pa še tega ne vidiš tako pogosto implementiranega, kot bi se spodobilo).
Smola je samo, da vse skupaj tako hitro drago rata, če greš v malo resnejše zadeve....raja bi pa imela WiFi za max 30€/accesspoint.

A ne glede na to - treba je malo vtakniti nos v širše koncepte in iz njih potegniti kakšne nauke, stuhtat kaj od tega pa mogoče vendarle lahko porabim tudi v mojem omrežju z 30€ accesspointi.

Tudi sicer sem kar en malo hud na tiste, ki se z zaničljivim pogledom posmehujejo konceptu 'security trough obscurity'. Koneckoncev ni prav nič narobe s tem konceptom, če je vse ostalo 'po standardih'. V tem primeru predstavlja še eno dodatno oviro za potencialnega škodoželjneža.
Koncept je zgrešen edino v primeru, da predstavlja edino zaščito, ki jo imamo - ampak to bi moralo danes biti že za nami... (optimist?)

tony1 ::

Jure: Z vsem se lahko strinjam.

jukoz je izjavil:

Dumb switchi to the rescue =)


Ne, to je noro, ker že 20 let poznamo VLANe.

In ne tudi zato, ker za Private VLANe rabiš pametno stikalo.

jukoz ::

Kaj pomeni VLAN? Virtual LAN. Lahko maš fizične. Sploh na relativno majhnem omrežju. Situacija v 99%, da je vse razdeljeno po VLANih, switch pa v omarici, do katere ima vsak dostop =)

Ampak spet plavamo stran od osnovne teme.

SeMiNeSanja, kako zgleda omrežje preden postaviš kakšno svojo napravo notri? Kako pogost je scenarij, da se oprema ne nadgrajuje. Kaj je razlog?
Organizacijska plat? Razumevanje te tematike? Finančna, tako direkten strošek npr licenc, kot motnja v delovnem procesu?

Kaj srečuješ? Glede na tvoje zapise v drugih temah predvidevam da podobno. Kako pogosto pa je to?

Kaj pa ti imagodei? Kakšna je realnost?

jype ::

Problem fizičnih LANov je, da rabiš zelo drago robotsko roko, če hočeš imet remote job.

Potem moraš pa robotsko roko nonstop patchat, da ti Rusi ne odpirajo hladilnika z njo.

SeMiNeSanja ::

@jukoz -
Precej odvisno od omrežja. Najdeš prav vse.

Pri 'malih' uporabnikih imaš npr. klasične routerje, ki se jih ni nihče dotaknil od dneva, ko se ga je postavilo v omaro (razen za kak reset, ko so stvari zaštekale).

Pri srednje velikih se najdejo še vedno požarne pregrade prve generacije... no, PIX-a že nekaj časa nisem srečal, ampak starih ASA naprav pa še kar mrgoli tam zunaj. Pa niso samo ASA, imaš tudi razne druge 'security routerje' in kaj vem pod kerimi imeni se še vse prodaja raznorazne paketne filtre.
Tu v veliki meri ni ne pravega znanja o problematiki, niti posluha zanjo. 'Saj imamo firewall...kaj bi pa še rad?'. Vzdrževalci so ponavadi kakšni SP-ji, ki jim je firewall zadnja stvar, s katero bi se še ukvarjali. Če ga preveč 'priprejo' jim hitro težijo, izpadejo kot da niso dobro opravili svojega dela. Manj ko po njemu 'šraufajo' manj je možnosti, da bo kaj zaštekalo.
Grožnje? Se znajo izgovarjati, da takointako nobena požarna pregrada nič ne zadrži, škoda denarja (res, tudi takega vzdrževalca sem že srečal!). Z veliko nakladanja na koncu prikrijejo svoje nepoznavanje tematike.
V glavnem je kar precej tistega 'ne diraj lava dok spava'.

V večjih podjetjih pa je tudi vsega in swačega. Imaš vzorno pošlihtane, imaš popolnoma zanemarjene. Veliko ima tu veze tudi proračun, ki je na razpolago. Žalostno pa je, ko vidiš kdaj nekoga z veliko prevelikim proračunom metati denar skozi okno, na koncu pa nabavljeno nima niti po osnovnošolsko skonfigurirano.

Drugače pa je na splošno najbolj zanimivo, ko nekje postavljaš požarno pregrado na novo. Ne vidiš ravno kako je z posodabljanjem ostale krame - vidiš pa marsikero bedarijo pri konfiguraciji omrežja. Vidiš npr. uporabo najbolj obskurnih NTP serverjev in se sprašuješ, kje vraga so jih sploh našli. Bolj ko granularno konfiguriraš požarno pregrado, bolj se pokažejo napake administracije omrežja in strežnikov na njemu. Te napake pa so lahko še bolj nevarne, kot nenalaganje nujnih popravkov.

V zvezi z popravki ne smemo pozabiti predvsem na IoT kramo. Večinoma že po parih mesecih zanje ni več popravkov. Problem je, ker se pozablja na take IoT naprave kot tiskalnike, sploh današnje moderne multifunkcijske, ki imajo v sebi cel 'računalnik' - priklaplja pa se jih kar na glavno omrežje z dostopom do praktično vsega v hiši (in še na oddaljenih VPN lokacijah po možnosti).
Da so tiskalniki 'osvojljivi' ni nobena skrivnost. Da bi lažje nalagali popravke, pa jim običajno dajo kar polni dostop do interneta... Dejansko te potem čudi, da niso pogosteje odskočna deska za vdore v omrežje podjetij, saj bi teoretično že zadoščalo, da za nekaj sekund vanj vtakneš USB ključek (ali mi lahko prosim nekaj natisnete...?).

Je pa tudi treba razumeti, da je tipični admin vso kariero odraščal z nalogo, da mora poskrbeti, da stvari DELUJEJO. Zato jim je včasih težko osvojiti logiko, da naj deluje izključno to, kar res mora. Včasih potrebujejo nekoga, da jim pogleda pod prste in vpraša, če je res tako dobra ideja, da stvari delujejo 'predobro'. Žal pa kritika ni vedno dobrodošla.....

Invictus ::

Tipičen slovenski admin je nek faliran študent (po možnosti ne-računalniške smeri), ki je malo pofušal svoje finance s kakim delom v IT sektorju kake večje firme.

Ko so vsi normalni dali odpoved zaradi nizkih plač, je pač on ostal. In ker je fajn, da imamo enega "računalničarja" v firmi... ponavadi za kure, ki pozabijo, kako se kaj naredi v Wordu.

Ena "hiba" računalniške infrastrukture je, da zelo hitro deluje dovolj dobro, da nihče ne čuti potrebe po nečem boljšem.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

flbroker ::

Invictus je izjavil:

Tipičen slovenski admin je nek faliran študent (po možnosti ne-računalniške smeri), ki je malo pofušal svoje finance s kakim delom v IT sektorju kake večje firme.

Ko so vsi normalni dali odpoved zaradi nizkih plač, je pač on ostal. In ker je fajn, da imamo enega "računalničarja" v firmi... ponavadi za kure, ki pozabijo, kako se kaj naredi v Wordu.

Ena "hiba" računalniške infrastrukture je, da zelo hitro deluje dovolj dobro, da nihče ne čuti potrebe po nečem boljšem.


This.

Tile backdoori so v specificnih napravah in kolikor mi je znano programska oprema ki na njih tece prihaja iz istega softverskega oddelka iz ene izmed hcerinskih podjetjih v Cisco skupini. Sploh pa se Cisco firewalli kupujejo zaradi podpore in to vecinoma naprave ki stanejo tam od $150k naprej. Za vse ostalo enako zmogljivost ponuja x86 streznik z openbsd in pf ampak tezava je v tem kar je Invictus napisal, da presenetljivo ogromno stevilo sistemskih administratorjev nima blage veze kako z open source kjer je treba kaj sam postorit in kjer ne pride vse "out of the box". To pa dobimo ko se spara denar in se funkcije zdruzujejo tipa DevOps, DevSecOps...

SeMiNeSanja ::

Smo spet pri poveličevanju open source 'varnosti'?

Ne rečem - pri določenih nalogah lahko tudi Opensource zadovolji potrebam, zlasti tam, kjer nimaš 'rizičnega faktorja' - uporabnika na mreži.
Čim imaš na mreži uporabnike, pa na OpenSource nisi več dorasel problematiki, ki naj bi jo reševal.

Eden od vzrokov, da marsikdo meni, da se da tudi z OpenSource marsikaj naresti, je hype o kakovosti raznih brezplačnih signatur in varnostnih storitev.

Primer: Mnogi uporabniki OpenSource in drugih 'routerjev' (npr. Ubiquity Edgerouter, Mikrotik,...) uporabljajo OpenDNS oz. Cisco Umbrella v prepričanju, da se gre za vrhunsko dopolnilno varnostno storitev. Pa je res? Glede na enega zadnjih testov je brezplačna storitev Umbrella vse kaj drugega, kot 'vrhunska':

Winners and losers

The combined coverage statistics across the C2 and phishing sites are listed below. There is an unexpected victor in WatchGuard, and surprises around Cisco Umbrella and Quad9 coverage considering their pedigree.

    WatchGuard DNSWatch -- 61%
    Neustar Free Recursive DNS -- 40%
    SafeDNS -- 39%
    Safesurfer -- 34%
    Quad9 -- 27%
    Comodo SecureDNS -- 5%
    Norton ConnectSafe -- 5%
    Cisco Umbrella -- 2%


Morda je plačljiva Umbrella storitev bolj kakovostna, vendar te licenca zanjo stane toliko, da za ta znesek pri WatchGuardu dobiš kompletno požarno pregrado z vsemi vrhunskimi varnostnimi storitvami. Auč?

Naslednji hype je, da je IPS na OpenSource vrhunski. Pa je res vrhunski, če so brezplačne signature en mesec zastarele? Seveda lahko kupiš licenco za aktualne signature - ampak boš spet cenovno potegnil ta kratko in zadevo bistveno preplačal.

Kaj pa antivirus? Na OpenSource se običajno uporablja ClamAV....ki že dolgo ne velja več za vrhunsko rešitev. Medtem se komercialne rešitve že spogledujejo s strojnim učenjem in klasične antiviruse začenjajo podpirati z dodatnim inteligentnim AV brez signatur.

Potem je pa še cela vrsta problematik, ki jih OpenSource ne rešuje, ker je v bistvu sestavljenka kupa parcealnih rešitev, ki so v osnovi bile razvite kot samostojne rešitve - kar pa kasneje vedno lahko povzroči težave s kompatibilnostjo, zlasti pri nadgrajevanju posameznih komponent.

Tako imaš kar precej težav z raznimi pravili, ki bi se nanašali na avtenticirane uporabnike in skupine uporabnikov (AD? SSO?) ne pa na IP naslove.

Saj je impresivno, ko gledaš nek pfSense, kaj vse so natlačili vanj za nič denarja. Vendar se moraš malo tudi spoznat v to, kaj je na komercialnem področju na voljo in kako dejansko stojijo razmerja kakovosti in cene.

jype ::

V resnici moraš samo videt, kaj vse se da naredit s free software, pa "profesionalnih rešitev" sploh ne povohaš več.

Ni naključje, da so "deepfakes" v resnici open source machine learning.

SeMiNeSanja ::

jype je izjavil:

V resnici moraš samo videt, kaj vse se da naredit s free software, pa "profesionalnih rešitev" sploh ne povohaš več.

Ni naključje, da so "deepfakes" v resnici open source machine learning.

You still didn't get it....

Eno je software, povsem nekaj drugega pa so varnostne storitve in signature.
Software boš že nekako naštukal, če stvar obvladaš, pri signaturah si pa mrzel. Tu ti znanje in volja ne pomagata, odvisen si od tega, kaj ti nekdo podari. Podarjajo pa v glavnem komercialni ponudniki neke oskubljene variante v upanju, da boš mastno plačal za polnovredno storitev.

Če ti strankam nameščaš IPS z 30 dni starimi signaturami in jim to še zaračunaš....ne vem... a antivirus tudi poganjaš z 30 dni starimi signaturami?

Apak ja... če znaš krpat OpenSource kramo, si že security expert in brez sramu trdiš, da si stranki za polovico cene postavil enakovredno 'rešitev'....
Pa si upaš potem povedat stranki, da si jo dobro nategnil?

flbroker ::

Brez zamere SeMiNeSanja ampak ti si sistemsko in varnostno POLPISMEN in NIMAS POJMA kaj govoris, zato je bolje da nehas trosit svoje neznanje ker bo nekdo to vzel resno. Mene v podjetju v katerem sem veze NDA in ne smem razlagat, cetudi v Slovenscini, kako in kaj bi ti pa rade volje dokazal kako grdo se motis.

Lahko pa recem kaj drugega. Jaz sem omenil pf ti pa govoris o pfsense, to sta dve razlicni stvari!!!! pfsense je samo web interface za freebsd-jev pf ki pa nisto kot openbsd-jev pf. Cisco ASA za ?20k se ne more kosat z openbsd pf na stiri jedrnem Xeonu. Kot drugo bluzis o nekih antivirusih cisto na splosno in ne specificno in pravis kako je clamav shit, a eden izmed najvecjih ponudnikov programske opreme za mail filtriranje Roaring Penguin ima clamav kot engine za svoj CanIt sistem. Potem pa preberem Cisco Umbrella in mi takoj postane jasno da ti ne delas v IT podjetju ampak v podjetju z IT oddelkom kjer delajo "sistemski administratorji" taksni kot jih je Invictus zgoraj opisal.

SeMiNeSanja ::

flbroker - v čem se kdo ne more kosat? Stateful packet filtering-u? In kdo je potem tisti, ki nima pojma o pojmu?

In o katerem ASA sploh govoriš? Ti jih razločuješ samo po ceni, ali kako? Kaj sploh veš i ASA with Firepower? Kaj veš o kakšnem PA, Fortinet, SonicWall, WatchGuard?

Verjetno samo to, da je BSD WAUUUUUUUUUUUUUUUUUUU - ne veš pa točno zaradi česa že.

Pri tem pa sploh še nisi dojel da firewalling že 20 let ni več zgolj goli stateful packet filtering. Ampak ti si pameten. Bravo. Še dober da sem jaz butast.

flbroker ::

Stateless vs stateful ni boljse vs slabse amapak gre za dva razlicna namena uporabe, sploh pa ne vem zakaj to omenjas saj pf ravno tako omogoca stateful packet inspection. Znamke znam jaz tudi nastevat. Sem napisal zgoraj pa bom se enkrat, Cisco kupujejo podjetja ki rabijo ali podporo ali pa imajo specificen namen uporabe kjer se x86 pac ne more kosat z applianco firewallom. Ampak takih podjetjih ni veliko ker take naprave stanejo po ?100k, vecina SME ne rabi vec kot kak ASA 5545(-x). Vse mrezne naprave delujejo v dvojicah, torej moras kupit dva taka firewalla in to je ze ?20k, za taki denar si lahko postavis cel pf supermicro cluster. En tak stari Supermicro z stirimi jedri sprejme 15-20k pps brez da gre CPU gor cez 25% in je istocasno petkrat bolj fleksibilen kar se tice konfiguracije kot pa en ASA. Za isto stvar ce hoces kupit ASA moras odstet na tisoce funtov + za nadaljno podporo vsako leto pa po moznosti se za Cisco certifikate za osebje ce bi rad mel popust pri naslednjem nakupu, potem pa nekdo rece da je open source zanic. Sej nic ni popolno, vsaka stvar ima pomanjkljivosti ampak nekaj nastevat in trdit kar tako je brezveze. Mi smo skupina petih podjetij pod eno streho in eno izmed podjetij se izkljucno ukvarja z mrezami, ki med drugim ima tudi 4x 5585-X SPF+ w/ firepower, vsak od njih je stal cca ?120k ampak gre za zelo specificen namen uporabe. Take izdelke ne rabijo in ne kupujejo ljudje ki namescajo Kaspersky na racunalnike svojih strank in popravljajo tiskalnike ter obenem oblikujejo spletne strani. Toliko od mene.

jukoz ::

SeMiNeSanja, hvala za konkretnejši opis. Rant čez odprte rešitve je bil popolnoma nepotreben, prav tako čez druge ponudnike. Kot sem napisal v prvem sporočilu, Cisco je na tapeti samo za to, ker je šel delat revizijo. Če bi jo kadarkoli delal D-Link, bi že nehal obstajati.

Glede backdoorov v Cisco opremi se strinjam, večina je res za večje uporabnike. Ampak switche, ki so na seznamih Vault7 pa srečujemo vsepovsod. Ti switchi usmerjajo promet tako iz omrežja za goste kot drugih omrežij. In to opremo smo srečali že vsepovsod, verjetno tudi pri drugih uporabnikih slo-techa. Ima torej še kdo kakšne izkušnje? Ste jih posodobili? Zamenjali?

Ko smo že pri tem, kako velika pa je vaša zvestoba znamki. Pri PCjih je kar pogosto da so določena podjetja HP, Dell, IBM/Lenovo, ... shopi. Kaj pa pri mrežni opremi?
«
1
2 3 4


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Mikrotik T-2 IPTV IGMP Proxy

Oddelek: Omrežja in internet
218791 (433) Daniel
»

Spreminjanje HTTP prometa v HTTPS/SSL

Oddelek: Omrežja in internet
51002 (877) Vaseer
»

Intel GMA 3150 na Windows 8

Oddelek: Operacijski sistemi
6794 (530) rddezh9
»

[C#] Simobilov Glasnik

Oddelek: Programiranje
133407 (487) Mrch
»

Nemški ponudniki dostopa do interneta morajo na zahtevo izbrisati prometne podatke

Oddelek: Novice / Zasebnost
63330 (2841) SavoKovac

Več podobnih tem