Co se děje za Firewallem Máte zajištěna data a funkce systémů před útokem z vnitřního segmentu sítě?
Odkud hrozí útok?
Internet
Vnitřní LAN
Vnitřní LAN
Vnitřní LAN
Mám firewall – jsem klidný … opravdu?
?
Kdy firewall neochrání vnitřní síť? - dva příklady za všechny. Uživatel přijme a spustí soubor přes šifrovaný kanál. Uživatel klikne na https odkaz v okně chatu.
Uživatel neuváženě potvrdí zavádějící dotaz aktivní části webové prezentace a stane se obětí sociálního inženýrství.
Není lepší prověřit, zda je vnitřní síť skutečně odolná aktuálním hrozbám?
Co může být ve vnitřní síti ohroženo?
Typický stav • Do sítě jsou připojena nepovolená zařízení (notebooky, AP), na kterých nejsou vynucena stanovená bezpečnostní pravidla. • Zařízení nejsou správně konfigurována (otevřené porty, přístupné soubory, povolena nevyužívaná volání web serveru, atp.). • Nejsou použity poslední verze SW nebo aplikovány poslední opravy na všech zařízeních.
Aktuální stav zranitelnosti elementů v síti lze ověřit jejich otestováním.
?
Test zranitelnosti
Podstata • Pozorování a analýza provozu v síti • Zjištění zranitelností • Provedení simulovaných útoků • Vygenerování reportu
Metody použité pro identifikaci hostů: ICMP, TCP ports, UDP ports, DNS, Reverse DNS, DNS zone transfer, TCP RST, Traceroute, Other protocols
Provedení • Sonda v síti samostatně provede vybrané úlohy • SW vygeneruje reporty
Penetrační test vs. vulnerability scan
Penetrační test
Test zranitelnosti
Úplnost, složitost
velká
omezená
Časová náročnost
týdny
dny
Automatické skenování
ano
ano
Využití široké palety testovacího SW
ano
jeden
Manuální práce
ano
minimální
Práce mnoha bezpečnostních specialistů
ano
ne
Položka
Cena
n x 100.000 Kč
od 8.000 Kč*
* Provedení základního testu, předání reportu se základním komentářem
Výhody testu zranitelnosti • Rychlé získání přehledu o stavu sítě za minimální náklady. • Možnost opakování testů. • Většinu nedostatků opravíte sami podle doporučení. • Můžete se zaměřit na kritické aplikace a objednat si penetrační test zaměřený jen na ně. • Více než 2500 známých otisků (signatur) útoků lze využít nejen k identifikaci a zastavení útoků, ale i k simulaci útoků a kontrole odolnosti elementů v síti. • Test zranitelnosti bude prováděn na základě všech aktuálně známých zranitelností. FND (FortiGuard Distribution Network) = aktualizace signatur virů a známých útoků v reálném čase. • Vazby na jiné zdroje • • • •
FortiGate Vulnerability Encyclopedia Vazba na CVE (Common Vulnerabilities and Exposures): http://cve.mitre.org Vazba na Bug Traq Kategorizace hrozeb podle pravidel PCI DSS (Payment Card Industry Data Security Standard)
Průběh testu zranitelnosti
1. Seznámení s LAN (topologie sítě, adresní plán, …) 2. Vhodné umístění/zapojení sondy 3. Vhodný typ testu • jen scan nebo i simulovaný útok? Certifikovaný test? • stupeň agresivity, a další …
4. Konfigurace konkrétního nastavení úloh v testu • čas spuštění, vyřazení některých prvků z testu, atd.
5. Průběh testu • Network Discovery > Scanning > Simulovaný útok > Reporting
6. Předání reportů, diskuse
Ukázka reportu – summary report
Kategorizace: aplikací, provozu, služeb
Ukázka reportu – detail Systém detekuje OS na strojích
Ukázka reportu – detail Systém detekuje běžící služby
Další dělení na TCP/UDP
Ukázka reportu – detail Detail služeb pro konkrétní stroj
Ukázka reportu – detail zranitelnosti a doporučení Detailní reporty obsahují doporučená nápravná opatření dle FortiGate Vulnerability Encyclopedia. Postupy na opravu zranitelností, které byste hledali hodiny, máte k disposici pod aktivním odkazem v reportu.
Vypořádání rizik a další časté otázky Q: Nenakazí se moje síť během testu? Nezpůsobí test kolaps mých síťových prvků vlivem nestandardní zátěže? A: K nákaze dojít nemůže. Ke kolapsu dojít může, ale jedná se o plánovaný kolaps, doporučujeme provádění testů mimo exponované/kritické pracovní období. Je možné určit stupeň „agresivity“ testu a tím ovlivnit míru zátěže. Test je vzdáleně monitorován. Q: Mohu v případě jakýchkoliv problémů test ukončit? A: Ano. A to jak vypnutím sondy, tak dohodou s administrátorem testu. Q: Jak dlouho bude test probíhat? A: To závisí na počtu elementů v síti a na zvoleném typu testu a jeho parametrech. Průměrně jde o několik hodin až několik desítek hodin. Průběh testu je možné sledovat a určit fázi, ve které se aktuálně nachází. Q: Jak je zabezpečeno, že nedojde k úniku citlivých informací po provedení testu? A: Právně (závazek ve smlouvě, možnost uzavřít separátní NDA), procesně (pravidla pro chování techniků provádějící test), technicky (zařízení, které je k testování využito, je certifikované a bezpečné). Q: Jak rychle po objednání je možné test spustit? A: V řádu dnů od objednání, v případě dostupnosti specialisty, který testy provádí, v řádu hodin.
Návaznost testu odolnosti na produkty GTS
Děkuji za pozornost Prezentoval Václav Molík Ředitel úseku zákaznických projektů
[email protected] +420 777 794 334 Další (obchodní) kontakty Tomáš Pfeffer Ředitel pro státní správu
[email protected] GTS Czech s.r.o. Přemyslovská 43 130 00 - Praha 3 Tel: 800 990 990
Michal Ruda Ředitel strategických projektů
[email protected] +420 606 661 162
One Region – One Network – One Offer
Viktor Pleštil Manažer pro státní správu
[email protected] +420 602 108 222
WWW.GTS.CZ
