Очень часто можно услышать фразу:
«Этот сервер не доступен из Интернета, значит всё нормально».
На первый взгляд логика понятна. Если злоумышленник не может подключиться к серверу извне, то и опасаться вроде бы нечего.
Но современная информационная безопасность давно перестала ограничиваться только защитой периметра.
Любая сеть должна проектироваться исходя из того, что однажды злоумышленник всё-таки окажется внутри.
Неважно каким способом.
Через заражённое письмо, украденную VPN-учётную запись, скомпрометированный ноутбук подрядчика, уязвимость в каком-либо сервисе или обычную ошибку пользователя.
После получения первоначального доступа начинается следующий этап атаки — изучение инфраструктуры.
Злоумышленник ищет серверы, сетевое оборудование, базы данных, веб-интерфейсы, SSH, RDP и другие сервисы управления. После этого начинается подбор паролей и поиск систем, через которые можно получить более высокий уровень доступа.
Именно поэтому защита от перебора паролей нужна не только на внешнем периметре, но и внутри корпоративной сети.
Особенно это касается серверов и сетевого оборудования.
Многие организации тщательно защищают интернет-шлюз, устанавливают межсетевые экраны, VPN и системы обнаружения вторжений, но при этом позволяют любому компьютеру внутри сети обращаться к веб-интерфейсу коммутатора, маршрутизатора или сервера.
С точки зрения безопасности это серьёзная ошибка.
Если устройством управляют несколько администраторов, то доступ к нему должен быть разрешён только с административных рабочих мест или из специально выделенного сегмента управления.
Пользовательские компьютеры вообще не должны иметь возможности открывать интерфейсы управления серверов и сетевого оборудования.
Ещё одна важная мера — защита от перебора паролей.
Для Linux это могут быть Fail2Ban и аналогичные механизмы. Для Windows — политики блокировки учётных записей после нескольких неудачных попыток входа. Для сетевого оборудования — встроенные ограничения на количество попыток авторизации, ACL и другие средства защиты.
Несколько неверных попыток входа должны приводить к временной блокировке источника атаки или самой учётной записи.
Такая настройка занимает несколько минут, но способна предотвратить серьёзные проблемы.
Отдельное внимание стоит уделить сетевому оборудованию.
Коммутаторы, маршрутизаторы, контроллеры беспроводной сети и другие инфраструктурные устройства часто остаются без должной защиты. При этом именно они обеспечивают работу всей сети и содержат большое количество критически важных настроек.
Компрометация такого устройства может оказаться намного опаснее, чем взлом отдельного сервера.
Поэтому для сетевого оборудования хорошей практикой является:
- ограничение доступа по IP-адресам;
- использование ACL;
- отключение неиспользуемых сервисов;
- защита от перебора паролей;
- ведение журналов безопасности;
- использование отдельных учётных записей администраторов;
- применение многофакторной аутентификации там, где это возможно.
Не менее важна сегментация сети.
Если сотруднику бухгалтерии никогда не потребуется подключаться к коммутатору ядра сети, то такой доступ не должен существовать. Если принтеру не нужен доступ к серверу виртуализации, он должен быть запрещён.
Каждое лишнее разрешение создаёт дополнительную поверхность атаки.
Главная ошибка заключается в убеждении, что внутренние ресурсы по умолчанию безопасны.
На самом деле внутренний сервер без защиты от перебора паролей ничем принципиально не отличается от сервера, опубликованного в Интернет. Разница лишь в том, насколько быстро злоумышленник сможет до него добраться.
Поэтому защита от брутфорса, ограничение доступа к интерфейсам управления и сегментация сети должны рассматриваться как базовые требования безопасности, а не как дополнительные меры для крупных организаций.
Безопасность заканчивается ровно в тот момент, когда кто-то говорит: «Это внутренний сервер, его никто не увидит».
Добавить комментарий