Doporučení pro zabezpečení zařízení v síti MUNI

Divize kyberbezpečnosti a správy dat – Ústav výpočetní techniky Správci IT

Běží vám na zařízení více služeb pro různé skupiny uživatelů? Hlášení od našeho týmu varuje před zranitelností aplikace pod vaší správou, kterou ze specifických příčin nelze aktualizovat nebo vypnout? Nejen tyto případy představují vážné bezpečnostní riziko, na které je zapotřebí proaktivně reagovat.

Dva hlavní mechanismy pro zmírnění tohoto rizika jsou firewall na koncovém zařízení a segmentace sítě. Firewall nastavujete vy přímo na zařízení. Segmentaci vyřešíte ve spolupráci se správcem vaší sítě – tím může být CIT nebo oddělení sítí ÚVT (networks@ics.muni.cz) a to v případě že je daná síť v jejich správě nebo řešení přesahuje kompetence CITu.

Pro implementaci obou mechanismů je nutné zodpovědět následující otázky:

Jaké služby či aplikace na zařízení běží?
Kteří uživatelé mají mít přístup?

V závěru doporučení můžete posléze naleznout konkrétní situace řešené s našimi správci.

PRVNÍ KROK: identifikace služby

Firewall na síti a koncovém zařízení blokuje či filtruje nežádoucí komunikaci pro specifické aplikace a porty. Ideální konfigurace by tedy měla vycházet z politiky „deny all“, což znamená povolit jen porty nezbytné pro aplikace/služby a zbytek implicitně zakázat. K tomu, abyste takové nastavení byli schopni realizovat, je zapotřebí znát, co na stroji běží.

Pro usnadnění identifikace klíčových otázek jsme pro vás připravili následující checklist:

a) Přístup uživatelů na server

Potřebují uživatelé vzdálený přístup na zařízení (RDP, VNC)?
Potřebuje administrátor vzdálený přístup na zařízení (RDP, SSH, VNC)?
Přistupují uživatelé k nějakému webovému rozhraní, které na zařízení běží?
Přistupují uživatelé k nějaké speciální aplikaci na zařízení?
Potřebuje dodavatel přístup k zařízení?

b) Správa dat a přístup k datům

Ukládá server data, ke kterým přistupují uživatelé?
Ukládá server data do vlastního nebo síťového úložiště?
Mají uživatelé mapovaný síťový disk tohoto serveru? Pokud ano, jakým způsobem k datům přistupují (např. Samba, NFS, SSHFS)?

c) Ovládaná zařízení

Jsou ke stroji připojena zařízení, která lze ovládat jen tímto serverem?
Jsou v lokální síti nebo vzdálená?
Jaké protokoly jsou potřeba?

d) Řízení přístupu

Využívá stroj služby řízení přístupu? (např. Perun, Jednotné přihlášení, Kerberos, LDAP, Shibboleth, AD)?

e) Záloha dat, monitoring

Na jaký server a jakým protokolem se zálohují data?
Je na serveru zaveden monitoring služeb (např. Nagios nebo Icinga)?

f) Ostatní služby

Potřebuje server aktivně navazovat spojení (zahajovat) s externími službami (např. licenční servery, obnova certifikátů, stahování aktualizací)?
Potřebuje server nějaké další služby (např. NTP, DNS, tisk, odesílání mailů)?

S identifikací otevřených portů a běžících služeb vám můžeme pomoci i my skenováním vybraných strojů a síťových rozsahů. V případě zájmu nás kontaktujte na adrese csirt@muni.cz. Skeny jsme schopni provádět ze tří segmentů:

externí (mimo MUNI);
z adres MUNI;
privátního segmentu 10.0.0.0/8.

DRUHÝ KROK: identifikace uživatele

V předchozím kroku jste vytvořili seznam běžících služeb na vašem zařízení. Nyní je potřeba ke každé z těchto služeb přiřadit uživatele. Toho lze docílit zodpovězením následující série otázek:

Potřebujete, aby k zařízení/službě měli přístup pouze uživatelé MUNI?

Měli byste být tedy schopni určit alespoň jedno z následujících kritérií:

konkrétní IP adresy/rozsah;
celý síťový segment/VLAN.

Potřebujete, aby k zařízení/službě měli přístup i externí uživatelé (mimo síť MUNI)?

Mělo by být aplikovatelné jedno z následujících řešení:

VPN pro zaměstnance a studenty mimo síť MUNI;
jump host, a to např. pro vzdálenou správu/údržbu dodavatelem.

Při nastavení přístupových oprávnění a skupin uplatněte tzv. „Least Privilege principle“. Vymezte raději konkrétní pracoviště namísto celé fakulty nebo ústavu. Zajistíte tím, aby uživatel neměl zbytečná oprávnění ke službám, které již nevyužívá anebo je nepotřebuje mít. Například ponechání přístupu uživatelům ze sítě Eduroam způsobí, že k vašemu zařízení mohou proniknout potenciálně infikovaná zařízení externích studentů a zahraničních návštěvníků.

TŘETÍ KROK: nastavení lokálního firewallu a segmentace

Na základě odpovědí na výše položené otázky nyní můžete začít samostatně nastavovat firewally na svých spravovaných zařízeních. Nastavení firewallu na zařízení je však pouze začátek. Nezapomeňte posléze zdvojnásobit jeho ochranu pomocí segmentací sítí, která limituje tzv. attack surface. To nejenže omezuje potenciální útoky na váš segment, ale posiluje i celkové zabezpečení MUNI sítě.

Pozor! Mějte na paměti, že při segmentaci sítě je vhodné nastavit obecná a dlouhodobá pravidla. Úpravami záznamů v ACL na síti, v krátkých časových intervalech (např. co týden), do nich spíše zanesete chyby. Drobnější a časté změny je spíše vhodné provádět na lokálním firewallu zařízení. Připomínáme, že pro konfiguraci sítě je žádoucí kontaktovat správce vaší sítě (CIT nebo oddělení sítí ÚVT networks@ics.muni.cz).

PŘÍPADY Z PRAXE: situace řešené s našimi správci

Zranitelná služba vystavená do světa Internetu.

Ideální řešení: Ideálním řešením je aktualizace služby. Zranitelné služby jsou vždy zbytečným rizikem.
Alternativní řešení - zavedení adekvátních opatření: Pokud není možné službu v daném momentu aktualizovat, naší snahou by mělo být ji co nejvíce izolovat od zbytku světa.To znamená přesunout ji na samostatný server (ideálně virtuální) vymezený pouze pro běh této služby a spustit ji pod uživatelem s minimem možných oprávnění, například pouze "zapisovat do X konkrétních adresářů". Je také nutné pravidelně aktualizovat systém a jeho komponenty, na kterém služba běží. Naším cílem je zajistit, aby útočník v případě zneužití zranitelnosti nemohl proniknout dále, do jiných částí sítě MUNI. Tímto způsobem můžete službu provizorně provozovat, dokud za ni nenajdete odpovídající náhradu nebo dokud se vám nepodaří zranitelnost opravit, např. službu aktualizovat.

Je vaše situace složitější, a nelze snadno odpovědět na výše uvedené otázky? Nebo se článek vůbec nevztahuje na vaší situaci? Neváhejte nás kontaktovat na adrese csirt@muni.cz a domluvit si konzultaci při komplexnějších problémech.