» »

Juniper odkril podtaknjena stranska vrata v svojih napravah

1
2
»

aleksander10 ::

V tej debati vsi vidijo varnost kot samo FW/NGFW, kar pa je samo en majhen delček varnosti. Za varnost je potrebno poskrbeti na vseh točkah in to nenehno testirati in odpravljati napake. Več ali manj se tega zaradi časovne stiske ali premalo IT ljudi ali neznanja ali lenobe ne dela. Zelo malo ljudi poznam, ki to počne. Varnost gledaš nenehno v treh korakih:
1. kako zaštititi - na tem koraku vsi porabijo večino časa
2. zgodi se napad/vdor - ko se napad zgodi, kaj narediti, kako odreagirati - na tem koraku so večinoma zmedeni, ker nimajo napisanega in treniranega postopka, kaj naredimo če se to in to zgodi.
3. vdor se je konča - kako ugotovit kaj se je zgodilo in kako popraviti 1 korak. S tem se pa skoraj ne ukvarjajo.

Žal je tako stanje in ne samo v Slo tu di drugod po Evropi.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

SeMiNeSanja ::

90+% podjetij sploh ni v stanju ugotoviti, da je prišlo do kakšne kompromitacije omrežja. Če kaj odkrijejo, se to zgodi bolj po naključju, kakor pa kot posledica nekih uveljavljenih procedur in varnostnih politik.

FW/NGFW definitivno ni rešitev problema. Je zgolj eno od orodij, s pomočjo katerih lahko nazdiramo varnostno politiko, katero smo definirali na papirju in jo po potrebi tudi 'vsilimo'. Vendar se to nanaša zgolj na del varnostne politike izmenjave prometa med omrežji. Poleg te politike imamo še vrsto drugih, za nadzor katerih pa so bolj primerna kakšna druga orodja.

Dokler nekdo ne razume, da ima opravka z orodjem, se tudi ne bo poglabljal v to, kaj mu to orodje omogoča. Lahko imaš lovski nož ali pa švicarski nož s kopico orodij. Morda s švicarskim nožem ne boš najbolje rezal, boš pa vsekakor lahko z njim počel veliko več, kot z lovskim nožem.

Toda kaj, ko ljudjem tega ne moreš dopovedat. Zato potem tudi nihče ne preverja, kakšne možnosti ponujajo različni proizvodi. Dvorni dobavitelj jih prepriča, da bo najdražja rešitev rešila vse težave, pobaše maržo in ponikne. Kupec pa kot papagaj naokoli govori, da ima najboljšo rešitev, kar jih je - ne da bi sploh vedel, kaj dejansko omogočajo ostale, ki so še na voljo na trgu.

Od tod tudi Hype, da samo PaloAlto, Cisco in CheckPoint kaj veljajo - koliko teh, ki to govorijo, je sploh preizkusilo še kaj drugega, kaj v praksi omogoča?

Koliko vas, ki imate veliko za povedati o FW/NGFW, je v praksi preizkusilo vsaj 5-6 različnih rešitev? Koliko vas je preizkusilo vsaj 3 rešitve, ki niso PA, Cisco, CheckPoint ali Juniper? Si na osnovi tega upate trditi, da ste poznavalci tega področja?

aleksander10 ::

Če poznaš tehnologijo (ne vezano na vendorja), potem ti je dejansko vseeno katerio vendor. Pri vendorjih je pomemben drug espekt. Pomembna je podpora (support), ki ga vendor nudi. V Sloveniji ponavadi te zadeve "namerno" izpustijo, ker razni "znalci" znajo vse in nihče noče plačevati za podporo, čeprav ko je nekaj narobe plačujejo višje zneske, samo da se zadeve reši.

Za FW/NGFW testiranje potrebuješ, če imaš kakšne specifične zahteve. Za prvi občutek lahko uporabiš NSS teste, ki so zelo profesionalno narejeni. NSS povabi vendorje, da nastavijo svoje naprave po dobri praksi in potem na vseh teh napravah delajo napade/teste, ki so dokumentirani in glede na to oceni vendorje. Vse to je lepo dokumenitirano. To je za začetek že dobra smer.

CPOC bi pa po mojem morali delati vsi, ker papir prenese vse in veliko vendorjev laže oz. prireja svoje rezultate oz. zavaja s svojimi rezultati. Nekaj takih testov sem dal čez in lahko z dobro verjetnostjo rečem, da se vsaj malo spoznam na ta podpročje. Nikoli pa ne vemo vsega in vsak dan se kaj novega naučimo.

Malo smo šli že offtopic. :D
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

SeMiNeSanja ::

Če poznaš tehnologijo (ne vezano na vendorja), potem ti je dejansko vseeno katerio vendor.


Ravno ČE poznaš tehnologijo, potem bi moral vedeti, da njene implementacije lahko segajo od obupno pa do porazno, s kakšno svetlo izjemo sem pa tja. Kako potem ni pomembno, kateri vendor?


Za FW/NGFW testiranje potrebuješ, če imaš kakšne specifične zahteve

Specifična zahteva, ki jo mora imeti VSAK uporabnik je dobra upravljivost rešitve.
Trditev, da ne potrebuješ testiranja, je popolnoma zgrešena, saj brez testiranja nikoli ne boš vedel, katera rešitev ti omogoča lažje, bolj pregledno in logično upravljanje. Taka trditev gre na roke kvečjemu dvornemu dobavitelju, ki stranki rine rešitev, pri kateri bo sam imel največji zaslužek, pa ga je strah, da stranka nebi slučajno ugotovila, da lahko za pol manj denarja dobi rešitev, ki ji je celo bolj na kožo napisana, s katero bo bolj neodvisna od 'ekspertne podpore', katero ji nudi dvorni dobavitelj (seveda ne brezplačno).

Dajte že enkrat nehat vse rešitve metat v isti koš. Različne rešitve imajo različne prednosti in slabosti. Brez testiranja, te lahko vsak dvorni dobavitelj na suho nategne, da je njegova 'tista ena in edina', katero moraš vzeti. Naivnih kupcev pa je kot plevja, ki temu nasedejo, na koncu pa še naokoli govorijo, da je njihova rešitev alfa in omega - ne da bi kdajkoli sploh preizkusili katero drugo.

Dajte malo pogledat, kaj svojim strankam ponujajo 'ta veliki' - SRC, SNT, Astec, Nil,...
Ugotovili boste, da ponujajo izključno najdražje rešitve, pri katerih največ zaslužijo.

Dell SonicWall, Fortinet in WatchGuard so po NSS labs testih med top rešitvami - pa vam jih NOBEDEN od 'velikih' ne bo ponudil - ker premalo zaslužijo z njimi! Prodajalci so pač plačani po doseženi realizaciji, pa jim je bolj v interesu prodati škatlo za 20.000€, čeprav bi lahko ekvivalentna rešitev za 5.000€ od kakšnega 'manj imenitnega' proizvajalca, kupcu nudila celo več!

Ves ta 'nateg' pa si lahko privoščijo ravno zato, ker naivni kupci sami ne testirajo rešitev, da bi se prepričali, kaj dejansko katera ponuja.

Presneto - še z avtom greste na probno vožnjo pred nakupom, za hightech rešitev, pa svetujete, da ni potrebna nobena 'testna vožnja'?

aleksander10 ::

Vse, ki si jih naštel so super rešitve, a so samo ena točka v omrežju. Če ne gre vse promet čez to točko, ti skoraj nič ne pomaga. Če gre ves promet skozi in znalci bi radi imeli line rate, potem pa to ni več poceni rešitev, ampak stane, neglede kateri vendor je.Tako kot sem ti že povedal, varnost se dela na vsem deli omrežja in to mora delovati kot celota. Tega pa žal nišni vendorji ne znajo naredit. Žal tako je.

Mislim, da malo veš koliko lahko s katerim vendorjem zaslužijo. Največ bi morali zaslužiti z njihovo dodano vrednostjo (znanjem,podrpora, načrtovanje, itd) ne z maržo na sami škatli. Žal je tistih drugih več kot teh prvih, zato pa je stanje v Slo IT takšno kot je.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

SeMiNeSanja ::

aleksander10 je izjavil:

Največ bi morali zaslužiti z njihovo dodano vrednostjo (znanjem,podrpora, načrtovanje, itd) ne z maržo na sami škatli. Žal je tistih drugih več kot teh prvih, zato pa je stanje v Slo IT takšno kot je.

TO tudi jaz že leta pridigam!

Ampak očitno prodajniki ne dojamejo, da bi morali prodajati storitve, ne pa škatle. Ko bodo v prvem planu storitve oz. 'dodana vrednost', se bodo pričeli spogledovati tudi z ugodnejšimi rešitvami, s katerimi bi si 'odprli vrata' do novih strank, ki nimajo proračun v višini več desettisoč € samo za škatlo.

Seveda imaš problem z prodajo storitev, če je stranka porabila celotni predvideni proračun zgolj za škatlo. Stranka bo na koncu sama nekaj 'improvizirala', vse skupaj pa ne bo niti približno to, kar bi moralo biti.

Pozabljamo pa še na eno področje, ki se mu reče 'audit'. Karkoli nekdo nastavi, bi moral nekdo tretji pregledat. Žal je resen audit inf. sistemov precej zahtevna in draga zadeva. Imaš en kup 'penetracijskih testerjev', kar pa je spet čisto druga zadeva. Manjka se ponudbe nekih 'osnovnih' auditov, ki bi bili dovolj poceni, da bi si jih lahko vsakdo privoščil, nebi pa šli v nevem kakšne globine. Toliko, da te opozorijo na zadeve, ki se jih vidi že iz aviona, če so ti stvari šlihtali šalabajzerji.

Če nimaš strokovnega kadra, ne moreš sam preceniti, kakšno konfiguracijo ti je nekdo postavil. Postavljalcu ne boš verjel, da bi nujno potreboval še 3 dni dela, da bi vse skupaj optimiziral. Lahko mu celo plačaš 3 dneve dela, pa na koncu implementacija ne bo na nivoju najosnovnejših dobrih praks, kaj šele standardov. Kupuješ mačka v žaklu.

Na slovenskem se je v zadnjih letih razpaslo en kup podjetij, ki prevzamejo 'skrbništvo' nad omrežjem. Večinoma 'obvladajo' vse po vrsti. Vprašanje pa je, na katerem nivoju stvari 'obvladajo' in koliko se dejansko posvečajo 'nepomembnim podrobnostim'. Saj je lepo, če zaupaš takemu izvajalcu. Še bolje pa je, če si lahko privoščiš nekoga, ki zadevo periodično pregleda in opozori na morebitne pomanjkljivosti. Če so te manjše, jih bo skrbnik odpravil in se morda še sam kaj naučil. Če so pa velike, pa vsaj veš, da je skrajni čas, da zamenjaš skrbnika.

pegasus ::

SeMiNeSanja je izjavil:

Ko bodo v prvem planu storitve oz. 'dodana vrednost',
Zato eni že 15+ let furamo samo linuxe, pfsense in mikrotike ;) Ker če se res osredotočiš na dodano vrednost, potem zelo zelo težko prikažeš smisel v dragih branded škatlah.

SeMiNeSanja ::

pegasus je izjavil:

SeMiNeSanja je izjavil:

Ko bodo v prvem planu storitve oz. 'dodana vrednost',
Zato eni že 15+ let furamo samo linuxe, pfsense in mikrotike ;) Ker če se res osredotočiš na dodano vrednost, potem zelo zelo težko prikažeš smisel v dragih branded škatlah.

Saj to je problem, da se prenapihuje ekstremno visoke cene 'branded' škatel.

To je tako, kot če bi trobil naokoli, da se je treba voziti s kolesi, ker so vsi 'branded' avtomobili dragi kot žafran - pogovarjali pa bi se ves čas samo o cenah luksuznih avtomobilov, pozabili pa da obstaja tudi nek srednji razred, ki te ravno tako prepelje z mesta A na mesto B, le z malo manj blišča in zavistnih pogledov.

Kolo ali luksuzna limuzina sta dve skrajnosti. Ja, tudi s kolesom boš prišel kamorkoli boš hotel - celo okoli sveta so se že pripeljali s kolesom. Pa bi priporočil kolo svojemu kolegu za pot okoli sveta? Kaj če nimaš ustrezne kondicije? Kaj če začne padati dež? Poleti najbrž res ne boš pogrešal klime, ki jo imaš v avtu. Kaj pa gretje pozimi?

Kot rečeno, se neprestano pogovarjamo o dveh cenovnih skrajnostih, tisto zlato sredino pa se lepo spregleda, ker se ljudje samoiniciativno ne pozanimajo, kaj je sploh na voljo. Marketing 'velikih' pa jih prepričuje, da so najdražje rešitve edine učinkovite.

Če greva definirati neko napredno varnostno politiko in jo bova poskusila implementirati vsak na svoji platformi - ti na Linuxu/pFsense/Mikrotik, boš hitro moral priznati poraz, ker določene stvari na teh platformah sploh ne boš mogel implementirat, za druge pa boš potreboval BISTVENO več časa (strankini €€€). Pri tem pa boš po precej veliki verjetnosti TI edini, ki bo vedel, kaj si sploh 'implementiral' in bo stranka v resnih težavah, če bi se iz kateregakoli razloga razšla s teboj. Tvoj nasledik, verjetno sploh nebi raziskoval zadevo, ampak bi vse skupaj implementiral na novo.

Seveda imaš različne scenarije. V nekatere paše tudi Linux/pFsense/Mikrotik - umetnost pa je pravilno presoditi, kdaj še delaš uslugo stranki, da ji svetuješ takšno rešitev, kdaj pa bi bilo bolje predlagati nekaj drugega.

Jupito ::

pegasus je izjavil:

Nisem vedel, da imamo tudi v net-sec svetu toliko fanboisma ...


Čakaj, da šele kakšnega trgovca srečaš tule. Wink. Wink.
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

SeMiNeSanja ::

Jupito je izjavil:

pegasus je izjavil:

Nisem vedel, da imamo tudi v net-sec svetu toliko fanboisma ...


Čakaj, da šele kakšnega trgovca srečaš tule. Wink. Wink.

Ne gre se za fanboyizem, temveč za silni razkorak med teorijo in prakso.

Če si vsaj malo strokovnjaka, ne boš delal za manj kot 50€/uro. SPODOBNO Linux/pFsense zaščito, ki bi bila funkcionalno vsaj približno ekvivalentna eni sodobni z vsemi moduli boš postavljal in konfiguriral na kožo stranki najmanj en teden, pa še bo kje štekalo.

Če stvar postaviš na eno skromno mašino za 200€, boš tako že na 2200€.

3/4 strank potem zadevo ne bo znalo posodabljati, naresti kakšno prilagoditev, nadzirati dogajanja, kaj šele, da bi imela na voljo kakšna poročila.
Torej bo odvisna od implementatorja, ki je edini, ki se mu sanja, kako se pedena zadevščino. Škatla bo nekaj delala, ampak kdo bo stranko opozoril, če se dogaja kaj nenavadnega na mreži? Bo morala torej plačati še mesečno vzdrževanje? Koliko?

Kje je potem prihranek za stranko?

V teoriji seveda vsi trdite, kakšne super variante se da sestaviti na Linux/pFsense. Ko pa hočeš videt to super implementacijo, pa na koncu nima praktično nihče kaj dosti več za pokazat kot goli pFsense z peščico firewall pravil. Če kje naletiš na kakšno RESNO konfiguracijo, je to že pravi čudež. Dejansko vsi nakladajo, kaj se DA naresti, ZNA pa le redko kdo.

Poleg tega stranka, ki se odloči za pFsense, se ne odloči zanj zaradi njegove tehnične superiornosti, temveč zato, ker meni, da ji proračun kaj več od tega ne dovoli. S tem je potem tudi jasno, da ji proračun ne bo prenesel kakšne resne napredne konfiguracije.

Potem pa še ostane odprto vprašanje performans takšne na kup znešene rešitve, ki bi imela funkcionalnost na nivoju komercialne UTM/NGFW rešitve. Gledaš pFsense stran, na kateri ponujajo fancy škatle - pri nobeni pa ne zmorejo napisat, kakšno prepustnost ti bo dejansko omogočala. Potem pa izberi ta pravo...?

čuhalev ::

Koliko mi lahko UTM/NGFW pomaga, če gre promet večinoma preko TCP 443. Kakšne podrobne analize se lahko ugotovi? Zaenkrat vidim, da lahko pregleduje, ali gre za SSL promet ali ne. V primeru SSL podrobnejša analiza ni možna ...

Ima kdo kakšen seznam/smernice na kaj je potrebno biti pozoren pri nadzoru omrežja?

SeMiNeSanja ::

čuhalev je izjavil:

Koliko mi lahko UTM/NGFW pomaga, če gre promet večinoma preko TCP 443. Kakšne podrobne analize se lahko ugotovi? Zaenkrat vidim, da lahko pregleduje, ali gre za SSL promet ali ne. V primeru SSL podrobnejša analiza ni možna ...

Ima kdo kakšen seznam/smernice na kaj je potrebno biti pozoren pri nadzoru omrežja?

Današnje rešitve večinoma znajo nadzirati https promet enako kot http.
Seveda pa moraš na kliente naložiti certifikat požarne pregrade, sicer ne vidiš, katere povezave so zaupanja vredne, katere pa ne.

'Slep' si samo za https povezave, kjer imaš obojestranski certifikat (sigenca, nlb, poštarca na klientu). Tu vidiš domeno, kam gre promet, kar gre tudi v statistiko. Ker pa se pri teh domenah običajno gre za 'zaupanja vredne' in občutljive destinacije, takointako nebi izvajal DPI-ja na teh povezavah.

Za običajni https, pa lahko izvajaš od filtriranja spletnih strani po vsebini, prepoznavo aplikacij, AV preverjanje, IPS,...

Seveda to ne velja za prav vse rešitve. Zato je toliko bolj pomembno, da se prepričaš, kaj pravzaprav kupuješ (testiranje!!!).

Matthai ::

Kot prvo to ne deluje za primere, kjer se uporablja certificate pinning.

Poleg tega je to slaba praksa. S tem dejansko uničuješ osnovni koncept SSL/TLS šifriranja in odpiraš možnosti za napad na šifrirane seje. Če certifikata ne namestiš (pogosta praksa, prisotno tudi v omrežjih za goste), uporabniki dobivajo obvestila o lažnem certifikatu (in jih s tem navajaš, da sprejmejo vsak certifikat). Če pa certifikat namestiš, ti ga pa lahko ciljan malware ukrade in imaš spet problem.

Ampak ja, kupil si škatlo za veliko denarja in sedaj si "varen". Občutek je pač neprecenljiv.
All those moments will be lost in time, like tears in rain...
Time to die.

deadbeef ::

čuhalev je izjavil:

Koliko mi lahko UTM/NGFW pomaga, če gre promet večinoma preko TCP 443. Kakšne podrobne analize se lahko ugotovi? Zaenkrat vidim, da lahko pregleduje, ali gre za SSL promet ali ne. V primeru SSL podrobnejša analiza ni možna ...

Ima kdo kakšen seznam/smernice na kaj je potrebno biti pozoren pri nadzoru omrežja?


Rabiš SSL intercept škatlo še :D kakšen F5 :) Kakšni UTM/NFGW pa sami podpirajo SSL decrypt, da lahko pregledujejo kaj je v SSL prometu.

Zgodovina sprememb…

  • spremenil: deadbeef ()

SeMiNeSanja ::

Matthai je izjavil:

Kot prvo to ne deluje za primere, kjer se uporablja certificate pinning.

Poleg tega je to slaba praksa. S tem dejansko uničuješ osnovni koncept SSL/TLS šifriranja in odpiraš možnosti za napad na šifrirane seje. Če certifikata ne namestiš (pogosta praksa, prisotno tudi v omrežjih za goste), uporabniki dobivajo obvestila o lažnem certifikatu (in jih s tem navajaš, da sprejmejo vsak certifikat). Če pa certifikat namestiš, ti ga pa lahko ciljan malware ukrade in imaš spet problem.

Ampak ja, kupil si škatlo za veliko denarja in sedaj si "varen". Občutek je pač neprecenljiv.

Ponavadi se ne dela DPI na 'Guest' omrežjih, ampak zgolj na domenskih. Nekako težko si predstavljam, da bi npr. hotelskemu gostu vsiljeval nalaganje nekega 'hotelskega certifikata'.

Opevani 'Certificate pinning' je razmeroma redko uporabljen. Jaz imam vse svoje HTTPS povezave nadzorovane preko DPI, pa nimam prav nobenih težav s takimi lokacijami. V skrajnem primeru pa še vedno lahko dodam exception.

Kraja certifikata? Vsaj dokler sem znotraj mojega omrežja, se certifikat oddaljene lokacije preveri že na sami požarni pregradi na njegovo veljavnost. Ukraden certifikat bi tako hitro rezultiral v blokadi zlonamerne destinacije.

Pozabljaš, da nekateri proizvajalci že desetletje izpopolnjujejo te tehnologije, tako da jih ne more zlorabiti ravno vsak mulc, ki ima 5 minut viška. Bolj problematične so rešitve, ki so tovrstno tehnologijo šele pričele uvajati, ali pa jo sploh še nimajo.

'Za veliko denarja'? Kaj je zate veliko denarja? Definiraj.
Jaz imam te zadeve implementirane tudi na škatli, ki jo dobiš že za 500€....

_commandos_ ::

Zgodovina sprememb…

Glugy ::

_commandos_ je izjavil:

gdo stoji za stranskimi vrati
https://cryptome.org/2015/12/gchq-junip...

https://theintercept.com/2015/12/23/jun...


O tem bi se splačal napisat novico.

AC_DC ::

gdo stoji za stranskimi vrati

Kdo, grammar nazi out.

Presenečenje za koga sploh ?

Zgodovina sprememb…

  • spremenilo: AC_DC ()
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Locky Virus (strani: 1 2 )

Oddelek: Informacijska varnost
8815816 (12832) Manna
»

Sumljive podrobnosti o Juniperjevih stranskih vratih

Oddelek: Novice / Varnost
84197 (1731) SeMiNeSanja
»

Juniper odkril podtaknjena stranska vrata v svojih napravah (strani: 1 2 )

Oddelek: Novice / NWO
6716421 (11965) AC_DC
»

Podrobnosti o Juniperjevih stranskih vratih

Oddelek: Novice / Varnost
123802 (2226) čuhalev
»

Pregled kode TrueCrypta za zdaj ni našel stranskih vrat (strani: 1 2 )

Oddelek: Novice / Varnost
5317590 (14592) bobby

Več podobnih tem