Přejít k obsahu | Přejít k hlavnímu menu

Doporučení pro zabezpečení zařízení v síti MUNI

Běží vám na zařízení více služeb pro různé skupiny uživatelů? Hlášení od našeho týmu varuje před zranitelností aplikace pod vaší správou, kterou ze specifických příčin nelze aktualizovat nebo vypnout? Nejen tyto případy představují vážné bezpečnostní riziko, na které je zapotřebí proaktivně reagovat.

Správci IT

Běží vám na zařízení více služeb pro různé skupiny uživatelů? Hlášení od našeho týmu varuje před zranitelností aplikace pod vaší správou, kterou ze specifických příčin nelze aktualizovat nebo vypnout? Nejen tyto případy představují vážné bezpečnostní riziko, na které je zapotřebí proaktivně reagovat.

Dva hlavní mechanismy pro zmírnění tohoto rizika jsou firewall na koncovém zařízenísegmentace sítě. Firewall nastavujete vy přímo na zařízení. Segmentaci vyřešíte ve spolupráci se správcem vaší sítě tím může být CIT nebo oddělení sítí ÚVT (networks@ics.muni.cz) a to v případě že řešení přesahuje kompetence CITu.

Bez popisku

Pro implementaci mechanismů je nutné zodpovědět otázky: Jaké služby či aplikace na zařízení běží? Kteří uživatelé mají mít přístup?

První krok: identifikace služby

Firewall na síti a koncovém zařízení blokuje či filtruje nežádoucí komunikaci pro specifické aplikace a porty. Ideální konfigurace by tedy měla vycházet z politiky „deny all“, což znamená povolit jen porty nezbytné pro aplikace/služby a zbytek implicitně zakázat. K tomu, abyste takové nastavení byli schopni realizovat, je zapotřebí znát, co na stroji běží.

Pro usnadnění identifikace klíčových otázek jsme pro vás připravili následující checklist:
  • a) Přístup uživatelů na server
    • Potřebují uživatelé vzdálený přístup na zařízení (RDP, VNC)?
    • Potřebuje administrátor vzdálený přístup na zařízení (RDP, SSH, VNC)?
    • Přistupují uživatelé k nějakému webovému rozhraní, které na zařízení běží?
    • Přistupují uživatelé k nějaké speciální aplikaci na zařízení?
    • Potřebuje dodavatel přístup k zařízení?
  • b) Správa dat a přístup k datům
    • Ukládá server data, ke kterým přistupují uživatelé?
    • Ukládá server data do vlastního nebo síťového úložiště?
    • Mají uživatelé mapovaný síťový disk tohoto serveru? Pokud ano, jakým způsobem k datům přistupují (např. Samba, NFS, SSHFS)?
  • c) Ovládaná zařízení
    • Jsou ke stroji připojena zařízení, která lze ovládat jen tímto serverem?
    • Jsou v lokální síti nebo vzdálená?
    • Jaké protokoly jsou potřeba?
  • d) Řízení přístupu
    • Využívá stroj služby řízení přístupu? (např. Perun, Jednotné přihlášení, Kerberos, LDAP, Shibboleth, AD)?
  • e) Záloha dat, monitoring
    • Na jaký server a jakým protokolem se zálohují data?
    • Je na serveru zaveden monitoring služeb (např. Nagios nebo Icinga)?
  • f) Ostatní služby
    • Potřebuje server aktivně navazovat spojení (zahajovat) s externími službami (např. licenční servery, obnova certifikátů, stahování aktualizací)?
    • Potřebuje server nějaké další služby (např. NTP, DNS, tisk, odesílání mailů)?

Druhý krok: identifikace uživatele

V předchozím kroku jste vytvořili seznam běžících služeb na vašem zařízení. Nyní je potřeba ke každé z těchto služeb přiřadit uživatele. Toho lze docílit zodpovězením následující série otázek:

Potřebujete, aby k zařízení/službě měli přístup pouze uživatelé MUNI? 
Měli byste být tedy schopni určit alespoň jedno z následujících kritérií:
  • konkrétní IP adresy/rozsah;
  • celý síťový segment/VLAN.
Potřebujete, aby k zařízení/službě měli přístup i externí uživatelé (mimo síť MUNI)?
Mělo by být aplikovatelné jedno z následujících nabízených řešení:
  • VPN pro zaměstnance a studenty mimo síť MUNI;
  • jump host, a to např. pro vzdálenou správu dodavatelem.
Při nastavení přístupových oprávnění a skupin uplatněte tzv.Least Privilege principle. Vymezte raději konkrétní pracoviště namísto celé fakulty nebo ústavu. Zajistíte tím, aby uživatel neměl zbytečná oprávnění ke službám, které již nevyužívá anebo je nepotřebuje mít. Například ponechání přístupu uživatelům ze sítě Eduroam způsobí, že k vašemu zařízení mohou proniknout potenciálně infikovaná zařízení externích studentů a zahraničních návštěvníků.

Třetí krok: nastavení lokálního firewallu a segmentace

Na základě odpovědí na výše položené otázky nyní můžete začít samostatně nastavovat firewally na svých spravovaných zařízeních. Nastavení firewallu na zařízení je však pouze začátek. Nezapomeňte posléze zdvojnásobit jeho ochranu pomocí segmentací sítí, která limituje tzv. attack surface. To nejenže omezuje potenciální útoky na váš segment, ale posiluje i celkové zabezpečení MUNI sítě.

Případ z praxe: situace řešené s našimi správci - zranitelná služba vystavená do světa

a) Ideální řešení: Ideálním řešením je aktualizace služby. Zranitelné služby jsou vždy zbytečným rizikem.

b) Alternativní řešení - zavedení adekvátních opatření: Pokud nelze službu aktualizovat, je vhodné ji izolovat. To znamená přesunout ji na samostatný server (ideálně virtuální) a spustit ji s minimálními oprávněními pro uživatele, například jen "zapisovat do konkrétních adresářů". 

Bez popisku

V případě alternativního řešení je cílem zajistit, aby útočník v případě zneužití zranitelnosti nemohl proniknout dále, do jiných částí sítě MUNI. Tímto způsobem můžete službu provizorně provozovat, dokud za ni nenajdete odpovídající náhradu nebo dokud se vám nepodaří zranitelnost opravit, např. službu aktualizovat.

Napište nám

Je vaše situace složitější, a nelze snadno odpovědět na výše uvedené otázky? Nebo se článek vůbec nevztahuje na vaší situaci? Rádi s vámi zkonzultujeme komplexnější problémy. Napište nám na csirt@muni.cz.

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.

Další info