著者
Jim Palmer
カテゴリ
セキュリティ前回の記事では、ネットワーク機器への物理的なアクセスを保護するだけで、有線ネットワークのセキュリティを確保するために組織が実行できるいくつかのステップについて説明しました。それは非常に重要なステップのように思えるかもしれませんが、ハッカーの物語の数は、 \"だから、私は見て、オープンポート(USB、ネットワーク、何でも)があり、私はそれに接続し、それがライブだった\"で始まることは、そのステップに注意を払わなければならないほど重要です。
次に、有線ネットワークを論理的な観点から保護するために実行できる論理的なステップについて説明します。ベストプラクティスにはネットワークアクセス制御(NAC)ソリューションが含まれますが、管理すべきポートがたくさんあるとNACは高価になる傾向があります。また、給餌とサポートに多大な労力がかかることもあります。小規模の組織には、NACソリューションを導入する時間と専門知識がない場合があります。NACを運営するための専門知識を持つスタッフを配置できる大規模な組織は、コストと労力があまりにも大きすぎると感じるかもしれません。
これは、NACを使用したり、調べたりすべきではないという意味ではありません。すべての組織は、NACソリューションを使用する必要があります。しかし、これを読んでいるほとんどの人にとって、ベストプラクティスは現実世界の要件と日々の業務を満たすとしばしば苦しむことがわかっています。恥ずかしいことではありません。利用できるツールで、他のソリューションやオプションを提供して、自分の持っているものを安全にする努力です。
コンソールポート
前回の記事では、攻撃者が自分の塩に値するゲーム機のケーブルをトリックの袋に入れる方法について話しました。したがって、ネットワークデバイスのコンソールポートを安全に保つために、友人が誰も横たわっていないことを \"特別なコンソールケーブル\" に頼ることは悪い考えです。論理的には、組織内のすべてのスイッチのゴールド構成で、その構成スクリプトにコマンド enable aaa Console を含めます。この簡単なコマンドは、コンソールポート(複数可)が交換機の残りの認証、認可、および会計(AAA)サービスに含まれるようにします。AAAがコンソールポートで有効になると、攻撃者がネットワークギアにアクセスし、コンソールケーブルを差し込むと、ネットワークに無料でアクセスするのではなく、ハードウェアにアクセスするための認証情報を認証するよう求められます。
繰り返しになりますが、最も高度な防御ではありませんが、攻撃者が資格情報を持っていない場合、この単一の障害は、彼らが移動したり、トリップしてアラートをトリガーしたり、捕まるのに多くの時間を費やすのに十分なほど減速する可能性があります。
面白そうに聞こえるが、行為の違反を捕まえることは、実際には良いことだ。ネットワークを危険にさらすことは決して好きではありませんが、もし危険が起こったら、それがいつ起こったのか、誰が責任があったのかを正確に知ることは本当に良いことです。誰かを拾うと、後で聞かれる多くの質問に答えます。
制限付き VLAN の使用
誰もがVLANを使うべきだと知っています。これらの仮想ローカル・エリア・ネットワークは、ネットワークをセグメント化し、ブロードキャスト・ドメインと個別のトラフィックを削減するのに役立ちます。ここで取り上げない、これを達成できる方法(ACL、ファイアウォール)は複数ありますが、ネットワークに閉じ込められたVLANを導入するという基本的なIEEE VLAN基準を使用して、エンジニアが攻撃者をトリップするためにできるトリックがあります。
閉じ込められたVLANは、情報セキュリティ(InfoSec)の神々に犠牲を払うために指定されたVLAN IDです。これは有効な VLAN ID です。ネットワーク・チーム全体で指定し、周知する必要があります。IDが特定されると、この制限されたVLANの重要な要素は、IDがスイッチのアップリンクに表示されないようにすることです。VLAN は、交換機で使用されていないすべてのポートに適用されます。
制限付き VLAN 構成
これらのポートは、壁のジャックにつながっているケーブルから抜かれ、管理上も無効になっている必要がありますが、これらの手順が守られなかった場合(誰もポートを使用していないと言わなかったため)、この制限されたVLANをポートに割り当てることは、攻撃者が壁のジャックまたは部屋にいることでポートにアクセスできたとしても、これらの未使用のポートに差し込むとスイッチから抜けることはできません。DHCP がなく、スイッチから離れられないため、スイッチに閉じ込められます。
この制限された VLAN を使用する側面の利点は、VLAN の割り当てを見るだけで、ネットワーク・チームに未使用のポートを迅速に通知できることです。その制限された VLAN (上の例の 888) がポートに割り当てられている場合、そのポートは使用のために構成されていないことがわかります。有効にした場合、調査すべき問題です。接続が表示された場合は、調査が必要な問題が再度通知されます。
最小特権
最小特権の概念は、ほとんどのエンタープライズハードウェア内に存在するが十分に活用されていないセキュリティ構成です。次世代ファイアウォールやディープパケットインスペクションほどカラフルで派手なものではありませんが、最小権限の概念は、誰もがネットワーク構成へのスーパーユーザーアクセスを必要としているわけではなく、常にそれらを必要としているわけではないという考えです。最小権限には、ユーザーがタスクの実行に必要な最小限のアクセスを使用し、より機密性の高いタスクに必要なだけアクセスをアップグレードするために従うポリシーと手順も含まれます。
デバイスまたはデバイスのグループへのユーザーのアクセスを設定する場合、そのユーザーが必要とするアクセスレベルのみを持つ一意のユーザーアカウントを設定します。一般的なスーパー管理者の認証情報をネットワークへの唯一の認証情報として使用することで、そのパスワードが侵害された場合、攻撃者はネットワークへの完全なアクセスが可能になります。他のクールなセキュリティ機能はすべて、攻撃者が自分の好みに合わせて構成を変更できるかどうかは関係ありません。
一意の認証情報のもう1つの利点は、必要に応じて、監査ログの読み取りと解読がはるかに容易になることです。全員が管理者/パスワードと同じ一般的な認証情報を使用している場合、監査ログは誰がデバイスにアクセスしたかを示すことはできません。jpalmer/jimlikescookiesなどの一意の認証情報は、監査ログに、スイッチにアクセスして変更を行ったJimが表示されていることを意味します。これらの資格情報が構成の変更(最小特権)を許可されていない場合、変更を行うことはできません。また、変更を行うために必要な昇格された資格情報を表示することもできません。
最後に、一意の認証情報は、ジムが会社を退職する際に、全員ではなく、自分の認証情報だけをネットワークから削除する必要があることを意味します(共通の管理者ユーザー名とパスワードなど)。これは認証に一元化された AAA サーバーを使用するのが簡単ですが、それでも、その一元化された認証サーバーがなくても実行できます。
権限を必要に応じて昇格させ、別の一意のパスフレーズを使用することは、苦情を申し立てる可能性のある権限のあるユーザーにとって少し遅れる可能性があります。しかし、この2つのステップは、攻撃者がネットワークにアクセスできたとしても、攻撃者にとっては重要な壁となり得ます。
攻撃を阻止する最小の障害となる可能性があることを忘れないでください。攻撃者があきらめて先に進むのに十分な障害があることを確認してください。
リンクエラーの無効化
私がカバーしたい最後の論理的構成は、おそらく私のお気に入りです。攻撃者は一般的に、ネットワークに侵入する間、ステルスをしようとします。そうすれば、手遅れになるまで計画を止めることができません。そのため、通常、ネットワーク上でデバイスのダウンを警告する場合に備えて、アクティブなデバイスのプラグを抜くのは好きではありません。また、Wi-Fi®アクセス・ポイントなどの一部のデバイスは公共エリアにあり、これらのデバイスは頻繁に単独でダウン・アップする可能性があるため、無邪気にオフラインになったのか、悪意によってオフラインになったのかを判断するのは困難になります。したがって、ダウン/アップデバイスをチェックするだけでは不十分です。
アクセシビリティのため、攻撃者は Wi-Fi AP を、広く開かれたネットワークの玄関口と見なし、攻撃を好む。MACラーニングやNACなどを使用してこれらを保護するために取ることができるステップがありますが、NACは高価であり、MACアドレスは通常デバイスに印刷されます。RUCKUS Networks ICX® スイッチは、ネットワークへの広いフロントドアとしてこれらの AP を使用しようとする人から保護するために、無料で使用できるコマンドを備えています。
リンクエラー - トグルしきい値のサンプリング - 秒単位の待機 - 秒単位の待機 - 時間を無効にする
ポートごとに、一度に 1 つずつ、またはさまざまなポートに適用され、このコマンドは印象的のように見えますが、非常に簡単です。潜在的なターゲットとして識別されたネットワークデバイス(一般に公開されているロビーの AP とウォールジャックにアクセスできる場合など)の場合、構成は次のようになります。
device(config)# インターフェース イーサネット 1/1/1
device(config-if-e10000-1/1/1)# リンクエラー無効 1 1 0
このサンプル構成でスイッチが示すのは、スイッチのポート1が1秒間に1回(緑色の1)ダウンした場合(オレンジ色の1)、ポートはエラーにより無効になり(それ自体がオフになります)、決してオンになりません(赤色の0)。これらのパラメータは必要に応じて調整できます。たとえば、数秒または数時間だけ無効にしたり、数秒間にわたってポートを何回ダウンする必要があるか(例として5分間に10回)などです。しかし、脆弱であると特定された領域では、手動でリセットするまでポートを恒久的に無効にしておくことで、組織はハードウェアを物理的に検査して、それが改ざんされていないことを確認する技術者を派遣することができます。
時間がかかりますか?はい!
サービスに影響はあるのでしょうか。はい!
不便さでしょうか。はい!
組織のすべてのデータが盗まれ、オペレーティングシステムが暗号化され、身代金が暗号化解除されるのを待つことによる完全なネットワーク侵害よりも、時間がかかり、サービスに影響を与え、不便ですか?いいえ!
これらのアラートは他のプラットフォームに結び付けられ、メッセージや電子メールを送信して、このイベントがいつ発生したかを管理者に正確に知らせることができます。これは調査にとって重要な情報です。
最終思考
1,000 ページブックを埋めるためにネットワークを保護するのに十分な論理構成と製品があります。ここでの目標は、それらすべてを網羅することではなく、コストが高額になることなく実施できるいくつかの点を強調することでした。
間違ってはいけません。ITセキュリティにお金を費やし、ネットワークを保護するための他のステップを踏むつもりですが、私が概説したこれらのステップは、ネットワークを保護し、それが起こる前に攻撃を阻止するInfoSecプレイブックの1つの部分かもしれません。正直なところ、これらの簡単なステップは、0 0-Day 万ドルのセキュリティ投資ではなく、攻撃を防ぐのとほぼ同じかそれ以上です。
覚えておいてください。私たちは、ネットワークを保護するための小さなこと、そして私たちが読んだ大規模で複雑な、注目度の高い攻撃に焦点を当てる必要があります。攻撃者は、シンプルなオープンバックドアを使用できれば、極秘のエクスプロイトを暴露するリスクはありません。
次のパートでは、ワイヤレスセキュリティについてお話します。もし信じられるなら、無線セキュリティは有線セキュリティよりも実装と制御が簡単になります。
