[KV/VPN] Megint látszik, hogy nincs elég szakképzett IT-s az országban...

Fórumok

Sziasztok,

Ma minimum két olyan témát láttam itt a HUP-on, ami azt kérdezte, hogy hogy lehet a VPN-t úgy használni, hogy csak a céges hálózat felé menő tartalom menjen a cég rendszerei felé...

Azt hiszem, ebben a vészhelyzetben a legtöbb rendszergazda csak kiguglizta a legelső VPN konfigot és még annyi fáradtságot sem vett, hogy megértse, miről is van szó... Így persze aztán most nem egy helyen a teljes forgalmat átküldik a céges szervereken...

F*sza...

Nektek mi a véleményetek?

Hozzászólások

Ha csak most tűnik fel a HUP topikok alapján, hogy mennyi professzionális (<- mármint: valszeg ezért kap fizut) környezetben dolgozó, RTFM-képtelen amatőr (<- nem pejoratív értelemben) is van, akkor vagy 1) kevés HUP-ot olvasol vagy 2) te is közéjük tartozol :)

(nem akarok senkit megsérteni, de tényleg volt jó pár topic, amire inkább nem válaszoltam, mert az egyetlen tanácsom az lehetett volna, hogy fizess meg valakit, aki tudja, hogy mit csinál)

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Az az igazság, hogy már én sem Magyarországon dolgozom... És a HUP-ot csak néha nézem... De nekem is feltűnt ez a változás...

És teljesen igazad van, rendesen meg kell fizetni azokat, akik értenek is a dolgokhoz...

Főleg az ilyen helyzetekben látszik meg, hogy nem elég a "szomszéd Pistike" tudása...

Debian Linux rulez... :D
RIP Ian Murdock

Biztonsági szempontból én pont az mellett lennék, hogy a teljes forgalom a céges hálózaton menjen keresztül. Privát szórakozásra használjon külön gépet, a munkahelyit pedig munkára használja.

Persze lehet olyan szempont is, hogy ne terheljük az infrastruktúrát, mérlegelni kell, hogy mi a fontosabb.

Én is azt gondolom, hogy a privát dolgokra privát eszközt kell(ene) használni. De egy kicsit had kötözködjek...

1. Elfogadom, hogy céges gépen megkötöd, hogy a teljes forgalom menjen keresztül egy olyan rendszeren, ahol lehetőséged van arra, hogy monitorozd, szabályozd a hozzáféréseket.
De van-e olyan eszközöd, amivel monitorozod az eszközök tevékenységét? Készítesz-e naplókat?

2. Szerintem az adatszivárgást (főleg emberi oldalról) nagyon nehéz megoldani. (Nem beszélve arról, hogy a legtöbb céges gépben nincsenek letiltva a külső tárolóegységek elérései.)
Így azt hiszem, hogy a legfőbb indok (mármint hogy mindent látni akarsz a rendszerben) nem teljesül, ugyanis ezekről nem lesz információd.
Mint például arról sem, ha valaki egy fontos dokumentumot lefényképez a monitorról...

Szóval Neked mi a fontos szempontod amiért átküldenél minden adatot a céges rendszeren?

Debian Linux rulez... :D
RIP Ian Murdock

1. Igen, persze. A céges hálózat alkalmazásszintű tűzfallal védett, webszerverek DMZ-ben, több száz szabály, alap esetben teljes tiltás, minden logolva van. A külső internet csak azonosítás után proxy-n keresztül érhető el, ott is van monitorozás, logolás. A hálózaton honeypotok folyamatos monitorozással, logolással. Bármilyen szokatlan forgalom/terhelés esetén riasztások. Rendszeres belső sérülékenységvizsgálatok, stb.

2. Nem a dolgozói adatlopástól védjük a rendszereinket, külső adathordozók engedélyezve vannak.

Ez az infrastruktúra védett már meg többek között olyan dropperektől is amik felhasználói közreműködéssel indultak el, de nem értek el egy letöltő szervert sem ahonnan kártékony kódjaikat letölthették volna. Továbbá olyan malware-t is elkaptunk még időben ami c&c szervereit próbálta elérni. Belső felhasználók között is találtunk már próbálkozót.

Tehát adott egy nagyjából megfelelően védett infrastruktúra, amit jól meg kerülünk azzal, hogy a forgalom egy részét korlátozás/szűrés/monitorozás/logolás nélkül szabadon engedjük. Kérdem én, hogy belső céges hálózaton megengeditek, hogy a céges gépbe mobil sticket dugjon alaki és azon keresztül netezzen?

A céges tűzfal, proxy folyamatosan naplóz. Az adatszivárgást valóban nehéz megoldani, lehet, hogy teljes egészében sehogy sem lehet. Nyilván ha a user rosszindulatú, akkor sok mindent meg tud tenni, de azért sok minden ellen lehet védekezni. Pl. a külső adathordozók ugyan nincsenek letiltva, de írni nem lehet rájuk, csak akkor, ha a cég szoftverével titkosítottad.  Olvasni tudsz, programot futtatni nem. A proxy természetesen szűri azt is, hogy mit érsz el, a letöltött tartalmat is (ssl felbontás van).

Nagyjából azt lehet elérni, hogy ha a felhasználó nem különösebben rosszindulatú, akkor ne kerülhessen ki ellenőrizetlenül fontos információ, illetve ne tudjon elszabadulni malware. Mindkét cél könnyebben elérhető, ha nincs split-tunnel.

Az adatszivárgást valóban nehéz megoldani, lehet, hogy teljes egészében sehogy sem lehet

A szandekos szivarogtatast nem, de a hibazas lehetoseget minimalisra lehet csokkenteni. Persze nem a halozati forgalom szuresevel, vannak erre kifinomultabb modszerek is. (Azure AIP, peldaul)

Valahol pl. az egyszeri programozo nem tud bejelentkezni StackOverflow-ra, nehogy kimenjen az info. A management es a CISO kipipalta, hogy vedekezunk, de attol meg egy baromsag az egesz. Mikozben a blackhat tamado gyakorlatilag email csatolmanykent ki tudja kuldeni az egesz git repot bezippelve.

Lehet ez egy tudatos (bár nem feltétlenül jó) döntés eredménye, és nem véletlenül (vagy a gazda hozzá nem értése miatt) van úgy beállítva, ahogy.

Lehet ciki, de nálunk sincs vpn. Okunk sincs rá. Én ssh-n járok be és weben, mindenki más weben.

Ha kellene most vpn, akkor én is google default konfiggal kezdenék.

A helyzet az, hogy egy csomó VPN konfig nem véletlenül zavar át mindent (is) a céges hálón, mert ezek céges notira és relatív kevés kollégára tervezettek, tehát dedikáltan "csakdolgozunk" gépre. Ha kényszerűség az otthoni gépen állítják be és sebtiben, akkor az ilyen. Windows vonalon épp egy hete kűzdök, hogy rendesen legyen beállítva, lásd a fentit ráadásul egészen más okból kell...

Az az igazán durva, hogy olyan "állapotot" örököltünk meg, amit fél éve bogozunk (a napi ügyek mellett) és pont úgy jött a vájrusz, hogy a nagylevegős 2-3 dolog előtt voltunk startra készen.

Sok éve dolgozok home oficce-ban, mindig is így volt beállítva. Privát böngészést privát gépen. plíz. Aki ezt nem ért, az ne akorjon otthonról dolgozni.

Persze ha a rendszergazda nem hallott még a split tunnelingről, az nagyon szomorú.  A mondás szerint: ha banánnal fizetsz, ne csodálkozz, ha csak majmok akarnak veled dolgozni.

Szerkesztve: 2020. 03. 21., szo - 12:00

Azt, hogy IT-sként egy hete nem tudok elhelyezkedni.

Szerkesztve: 2020. 03. 21., szo - 15:57

Van, csak nem hajlandók megfizetni a szakképzett munkaerőt.
Például én egy rakás VPN hálózatot építek/építettem, de mikor KKV meghallja, hogy nem 50e Ft egy ilyet kiépíteni, sőt még esetleg ehhez eszközt is kellene venniük, akkor fordulnak Bélához, aki jön olyan kérdésekkel, amelyekről azonnal látszik hogy fogalma sincs semmiről.

Egyszer egy állami intézménynél voltam szakértőként hálózatot felmérni, megbíztak vele, hogy tegyem rendbe a hálózatot. Vizsgálat után elmondtam, hogy nem a hálózattal van a baj, hanem az alkalmazott régi számítógépekkel és szoftverekkel, beállításaikkal. Nem fizettek (!), mert szerintük nem végeztem munkát. A cégvezetőnek (akik adták a munkát) mondtam többet nem végzek nekik semmit. Végül a cég adott valami jelképes dolgot, de az időmet senki sem fizette meg.

Szerkesztve: 2020. 03. 21., szo - 22:23

Jogosan megy át minden a céges kijáraton.

Jó esetben az rendesen szűri a te ki és beáramló forgalmadat.

Ellenkező esetben (nézzük a legrosszabb esetet) te közvetlenül netre csatlakozol router nélkül (NAT sem véd), tűzfal nélkül windowsos gépen és a géped tagja a céges hálózatnak. Olyan átjáróház lehet, öröm nézni. Fut a gépeden valami adatlopó csodaprogram, kidumál mindent. Látja a windowsodra felcsatolt céges meghajtókat, szépen küldi haza. GDPR, érzékeny adat védelme, ipari titkok, stb. Aha, köszi, de nem. Ha valami, akkor ez az amatőr.

Kezdve azzal, hogy a default gw átirányításával minden aktiv kapcsolatod felszakad (kártékony program által kezelt rejtett reverse tunnel is, ugye megvan mi ez?) és ettől kezdve szabályozott keretek között létezel a neten, nem olyan rossz dolog az. Enélkül sajnos sok ráhatásod nincs.
Aztán lehetne még ezt tovább bonyolítani: VPN csak bevizsgált céges gépre, ahol központi authentikáció és telepítés kezelés van. Az, hogy te céges VPN-t saját sufni gépedre felrakod, ki van zárva.

Az, hogy mostantól full-time otthonról kell nyomni, ez egy kihívás mindenkinek. Ahol kevés a sávszél, ott mérlegelni kell, de ez alapesetben lehetett egy tudatos döntés a múltban.

Nem tudom hány féreggel, cryptolockerrel, keyloggerrel, vírussal találkoztál mostanában, valamint hány valós katasztrófát láttál..
Ezeknek nem szükséges aktív net kapcsolat, már nem úgy működnek, mint a régi szép időkben, nem kell távirányítás (jó öreg Back Orifice:) ). Ezek megfertőzik a gépedet, aztán várnak a megfelelő alkalomra, hogy tovább fertőzzék a többit. Tehát például bekap magánfelhasználás alatt egy cryptolockert, aztán mikor majd felmegy céges VPN-re, csatolja a meghajtókat, akkor azokat is titkosítja. Ugyanúgy keylogger is tárolja a leütött billentyűket (valójában ma már ennél sokkal többet), majd ha valamikor ki tud jutni netre, akkor továbbítja a megfelelő helyre. Sőt valójában az új eszközök a tárolt jelszavakat, kulcsokat is továbbítják azonnal, így a VPN elérését is. Ha esetleg jelszavazott a kulcs feloldása (ahogy lennie kell), akkor pedig a keylogger majd lelopja a megfelelő időben és megy a többi adat után. Magukat a beágyazott eszközöket is megfertőzik, a szoftverüket felülírják backdooron vagy exploiten keresztül, aztán azok is adják tovább a fertőzést. Mindezt teljesen autonóm módon, beavatkozás nélkül. Hol vannak már a régi szép idők, Cain and Abel, Astalavista.box.sk.. Régen én is írtam droppert, 2 KB volt összesen, még a fejlécet is felhasználtam (MASM32-ben, ha jól emlékszem). Ma már nincs semmi izgalom, senkiháziak kezében van a popszakma :)

Igen, a lista eleje megvan, a manapság divatosak, szerencsére ritkán kell velük találkozni. A régi idők szép emlékei kevésbé, később csöppentem bele. De köszi, rálesek majd ezekre a hőskori vívmányokra :)
Az offline adatgyüjtés; online távvezérlős arány nincs nálam fejben meg. Létezik egyáltalán erről stat(?). Pár éve még találkoztam folyamatosan hazadumálós programmal. Oké, offline ellen nem így védekezel, de az aktív kapcsolatot használó ellen igen. Ha 2-ből 1 megvan, már bentebb vagy. Szemben a másikkal. Még mindig többnek érzem, amit nyersz, ha a cégnél ez a része jól le van korlátozva.

Vagy ha úgy megy, mint a Samsungnál, hogy addig nem tudod használni a géped, míg VPN-re fel nem mész, tehát végig a céges infra védelme alatt vagy, akkor ilyen férgeket sem könnyen szív be az ember.

A VPN kulcs+jelszó lopás viszont egy érdekes kérdés. Megvolt a jelenség, de elmaradt a védelem implementálása. GeoIP alapú VPN szűrés mellett van egyéb megoldás rá, ha már admin jogot szerzett a kártékony program?

A válasz az, hogy ha admin joga van a programnak, akkor halottnak a csók bármi. Ezért kellene dolgozóknak céges laptop, amit nem lehet magáncélra használni (lásd Samsung). Durvább helyeken gépen matrica van, hogy lássák fizikailag szétszedted-e + úgy le van korlátozva, hogy még egy pendrive-ot sem ismer fel.

Én meg arra próbáltam célozni, hogy tereljük már szakmaibb vizekre, eléggé híján van ebből a hup mostanában.
De eddig egy szakmai érv sem jött elő nálad, így nehéz veled szakmai vitát folytatni.

Idézted tőlem: a default gw átirányításával minden aktiv kapcsolatod felszakad

Majd megcinkelted egyelőre érv nélkül.

Tehát azt mondod, hogy ha a céges tűzfalon van egy connection tracking established & related, és utána csak proxyval szűrt, netán fehérlistás URL-ek mennek, 80/443-ra csak úgy vaktában kicsatlakozni nem lehet, nem hogy random portokra, akkor a default gw-s vpn felcsatlakozás egy kliens gépen indított aktív kapcsolatot nem szakit meg?

 

">> Az, hogy te céges VPN-t saját sufni gépedre felrakod, ki van zárva"

Ennek idézését nem is értem. Nem hiszem, hogy hihetetlen kategória bárki fejében is. Ha nem is teljesen tipikus, de több helyen így működik. Magam is láttam ill. része/elszenvedője voltam.

>> Idézted tőlem: a default gw átirányításával minden aktiv kapcsolatod felszakad

és volt előtte malicsusz static route?

 

>> Magam is láttam ill. része/elszenvedője voltam.

egy másfél óráig jómagam is. aztán megpatcheltem a klienst

> és volt előtte malicsusz static route?

Oké, na ez jó. Ha admin jogot tudott szerezni, bukta van. Főleg, ha ügyes user eleve admin userrrel netezik.

Na de erre már is talán akad megoldás: openvpn pl. tud felcsatlakozáskor scriptet futtatni. Ez törölheti a static route-okat. HA a kártékony kód rá nem keres a .ovpn fájlban és már előtte át nem írja a scriptet. Rabló-pandúr hajsza, de egy réteget lefedtél.

> egy másfél óráig jómagam is

Ha 1.5 órán belül felmondtál, vettem. Ha módosítottad a route szabályokat, akkor azoknál kevésbé járható, ahol nincs usernek kiadva az admin pass. (Oké, megkerülhető, de azt egy másik papír tíltja hivatalból.)

Fut a gépeden valami adatlopó csodaprogram, kidumál mindent. Látja a windowsodra felcsatolt céges meghajtókat, szépen küldi haza. GDPR, érzékeny adat védelme, ipari titkok, stb. Aha, köszi, de nem. Ha valami, akkor ez az amatőr.

Szerintem erre manapsag nem a VPN es a forgalom szurese a megoldas. Tobb, mint a semmi, de 2020 van, lehet ezt jobban.

Persze, hogy nem a VPN a megoldás. Azzal max egy olyan csatornába tereled, aminek a végén ez megoldott(abb).

Gondolom szerencsés, ha ezt egy endpoint seucurity vagy hasonló program megoldja/tompítja, de itt felmerült munkavállaló saját laptopja is, amit én alapból aggályosnak tartok vállalati környezetben.