INGEN System-administration igennem firewall

Jeg stillede i mit forrige blog-indlæg spørgsmålet om hvordan man gennemhuller en firewall. Det gav en glimrende og varieret diskussion af dette med god opfindsomhed med løsninger baseret på SSH, OpenVPN, Nabto, og lignende.Lad mig så tillade mig at vende bøtten rundt. Vi kan nok hurtigt blive enige om hvilken sikkerhedsrisiko det involverer hvis brugerne på et firma-netværk åbner huller i firewallen på denne måde.
Jeg forventer ikke, at alle brugere, der kunne finde på at åbne en tunnel "hjem" samtidig kan garantere 100% for sikkerheden. Det er oplagt at et firma kan true med bortvisning, tvanginstallation af Windows Me eller værre ![Eksternt billede](http://www.version2.dk/uploads/smil3dbd4d6422f04.gif" alt=")
Men hvad kan det firma reelt gøre, som ikke vil have at brugerne åbner firewallen som det nu blev beskrevet i kommentarerne til mit blog-indlæg?
/pto

Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Yoel Pedersen

Man lukker ned for alle services og åbner explicit for dem, man har 100 % styr på.

Fx: Firewall blokerer for alt undtagen trafik på port 80 til en udvalgt og på forhånd godkendt adresse (fx en leverandørs webshop). E-mail, 3G-telefon o.l. er naturligvis strengt forbudt.

Hele løsningen kombineres med en ny variant af det velkendte storrumskontor: Alle medarbejdere med PC sidder i en cirkel med ryggen mod hinanden, og i midten af cirklen sidder chefen på en platform, der roterer med variende hastighed, således at ingen medarbejdere kan vide sig sikre på, hvornår de mon bliver kigget over skuldrene.

Michael Nielsen

Jeg arbejde en gang et sted, hvor de ville havde de bedste folk med de bedste tekniske kvalifikationer. Hvad der den gang hed "hackere" - altså de gode slags, før medierne misforstod ordet, dem der var på forkant med teknologi, og var enormt gode til at bruge den. Problemet er bare at en hacker er nogen der finder noget interessant, og undersøger det til bunds. Til dem skal du ikke sige - "du må ikke", eller værre "du kan ikke".

Virksomheden var så paranoid med sikkerheden, at det var forbudt feks. at hente post fra andet en virksomhedens post server, samt mange andre forbud.

Der var sat proxy firewalls op til at blokere næsten alt traffik, således at virksomheden følte sig sikker.

Men samtidigt, ville de havde de gode hoveder med de gode tekniske evner. Efter at jeg havde været der i nogle uger, opdagede jeg noget sjovt, at lige som jeg selv havde gjort - skrevet en tunneling applikation til at omgå firewallen - havde samtlige andre udviklere gjort det samme, så virksomheden - hvis den havde opdaget det - ville skulle fyre samtlige af deres teknikere og programmøer. Der ud over, hvis man ikke havde lavet sådan en applikation, så blev der grinet af dig, fordi du åbenbart ikke var så god som du selv gik og troede.

Så det eneste en meget restriktiv sikkerhedspolitik medfører i et miljø med mange gode kreative programmøere, og it teknikere - dem du helst vil havde - er at de omgår sikkerheden, ved at bruge hjemmestrikket programmer - det er endnu nemmere nu, hvor der er mange standard tunneling applikationer, så selv mindre gode it folk kan gøre det samme.

Dette underminere sikkerheden mere, end hvis man indførte en kontrolleret tilgang til det som folk ønskede. Der findes mange måder at beskyttet netværket internt, men stadigvæk tillade folk at få adgang til deres eget og ting som er af tvivlsomt karakter.

Feks for at få tilgang til deres hjemme maskine, fra deres arbejde, kunne man tillade folk at køre i virtuelle maskiner, som så begrænser skaden, hvis noget skulle komme igennem.

For at give folk adgang den anden vej, fra hjemmet til arbejde, kan man udstede hardware tokens, feks digital signatur baseret, m.v. der kan tillade folk at bruge feks VPN for windows, til at komme ind på deres arbejdsplads, og SSH for unix folk, til at komme igennem til deres arbejdsplads. Men lad være med at sige det kan/vil vi ikke tillade, da det til skynder bare folk til at bryde reglerne, når det irritere dem nok, og dem der først bryder reglerne, er nok de folk du helst ikke vil af med.

Det samme er med brugen af facebook, osv, at forbyde det er ikke vejen frem, men at lave en policy (Sammen med medarbejderne), hvor medarbejderne forpligter sig til kun at bruge dem i det omfang det ikke genere deres arbejde, så vil man komme meget længere, og havde bedre sikkerhed. Altså man giver frihed til medarbejderne, men gøre det klart at den frihed kræver at den bruges ansvarligt. Som Chef, kan du sådan set være ligeglad med at din medarbejder bruger 90% af sin tid på facebook, bare deres arbejde er udført hurtigt, effektivt, til tiden, og med god kvalitet, altså så længe virksomheden får "value for money", kan den jo være ligeglad.

Moralen er, hvis du vi havde de bedste folk, så kan du glemme alt om at kontrollere dem - det er jo dem der har nemmest ved at omgå dine kontrol foranstaltninger. Om så du køber de bedste firewalls, og mest restriktive security policies, så har du ikke en chance. Nej, snak med dine folk, lav en strategi sammen med dem, hvor de får indflydelse, og er med til at strikke sikkerheden sammen, således at alle føler et ansvar for at sikkerheden virker.

Sikkerheden skal være noget som alle er enig om, og som ikke ødelægger fleksibiliteten for medarbejderne, da virksomhedens mangel på fleksibilitet, i sikkerhedens navn, fjerner medarbejderens muligheder for at være fleksible over for virksomheden. "It cuts both ways"

Michael Nielsen

@Yoel Pedersen

Jeg håber du mener det ironisk/sarkastisk.

Jeg ville sige nej tak til at arbejde sådan et sted.

Da hvis virksomheden viser så stor en mangel på tillid til sine medarbejder, at jeg ville aldrig drømme om at tage et arbejde hos sådan en virksomhed.

Alle steder jeg har arbejdet har jeg udført mit job til fuld tilfredshed fra mine chefer (above and beyond the call of duty), mens jeg har af og til brudt regler (som beskrevet oven for).

Tro mig, der er mange måder uønsket aktiviteter kan skjules, og alt kan tunnels igennem port 80. Samt jeg tvivler på du kan lave et filter på port 80, som ikke gør internettet ubrugeligt, og blokere alle tunneling mulighederne.

Michael Nielsen

Lol, jeg kan nemt lave dig en tunneling protocol, der tillader dig at bære alt igennem en standard http forbindelse, hvor jeg overholder samtlige HTML/HTTP standarder, og du kan ikke se forskel fra normal web aktivitet og tunnelingen.

Peter Makholm Blogger

Hvis du kan forbinde til en IP som du har kontrol over, så kan du også lave en tunnel.

Og hvis man ikke kan forbinde til en sådan IP, så må man nøjes med IP over DNS.

Man kan teknisk forhindre en masse muligheder, men i sidste ende er det ikke et teknisk problem. Hvis virksomheden har en klart formuleret politik om at visse typer brug af internettet er uønsket, så skal medarbejderne rette sig efter den eller bortvises.

Poul Pedersen

Det er præcist som al anden sikkerhed, stram den nok og brugerne skal nok sørge for at virksomheden samlet set får skudt sig i sikkerhedsfoden.
Længden af passwords er sjovt nok også proportional med antallet af gule lapper under tastaturerne.

Henrik Størner

I min tid som sikkerheds-tester blev firewalls spøgefuldt omtalt som "fart-bump": De generer nogle, men er reelt ikke en forhindring for at bryde igennem.

I praksis kan man ikke forhindre folk i at bruge nettet når de er på arbejde - og det er heller ikke i virksomhedens interesse (økonomisk og medarbejdertilfredsheds-mæssigt) at afskære medarbejderne fra al den information der findes derude. Så i stedet for at gøre net-adgang så besværlig som mulig med firewalls, proxyer og andre mærkelige skabninger bør man konstatere at folk bruger nettet, og så sørge for at det kan foregå på nogenlunde sikker vis.

Det er ligesom sex - du kan ikke forhindre folk i at have sex, så i stedet må man opdrage dem til at opføre sig fornuftigt. Og så i øvrigt gøre det så let som muligt at være fornuftig.

Så det handler om alt det kedelige: Hold software nogenlunde ajour med patches, få filtreret den værste spam på mailserveren inden den havner hos brugeren, og giv dem et 10-minutters kursus i hvordan man gebærder sig nogenlunde fornuftigt. Udvid firmaets licens til anti-virus så medarbejdernes hjemme-pc'ere også er dækket.

Og husk så i øvrigt at det største problem tit kommer fra laptops der tages med ud til kunder eller privat, og kobles på alle mulige obskure netværk. Og derefter kommer hjem i firmaet, bag firewallen, med alle godterne på ...

Anonym

Problemet er reelt at firewalls er dumme regelsystemer som agerer på alt for lavt niveau.

Det er et reelt sikkerhedsproblem både at udenforstående kommer ind og det forkerte går ud.
Herunder er det nativt at tro at det indre net er "sikkert", men det er blot et spørgsmål om hvilket lag i onion, man fokuserer på.

Løsnignen er at få semantiske firewalls, dvs. firewalls og sikkerhedspolicies som er mere intelligente og kan afkræve tilladelser og verificere/validere mere.

Hvad den kokrete sikkerhedspolicy siger er så et andet spørgsmål.

Ligesom browserne begynder at arbejde med "blanke" sessioner (og kalder det "privacy"), så bør det f.eks. også gælde privat traffik. Det kan være fint nok at du kører privat traffik ud, det skal måske bare være på din egen tid og sikkerhedsmæssigt isoleret fra alt andet.

Anonym

Det er et reelt sikkerhedsproblem både at udenforstående kommer ind og det forkerte går ud.

Det er jo netop dét, men nok mere 'udenforstående' kommer ind.

Humlen er så at adskille de interne systemer, evt. med mikrosegmentering, så man ikke har adgang til 'alt'.

Desværre virker det som om bagsiden (LAN) skal være eet stort aht nemhed, så man dermed kompromitterer sikkerheden, og dermed åbner uanede muligheder for 'svineørerne'.

Blot nogle generelle betragtninger baseret på 'lidt' erfaringer.

Michael Nielsen

Det er en af grundene jeg anbefaler imod at lave strikte sikkerhedsprotokoller, som bliver tvunget ned over folks hovedet, da des mere besværligt man gør livet for folk, des større er chancen for at folk vil omgå sikkerheden.

Derfor er sikkerheden største fjende rent faktisk sig selv, kombineret med menneskelig adfærd.

Den bedste måde at få en fungerende sikkerhed på, er at havde en dialog, og være åben over for brugen af nettet, og andre services. Acceptere at folk vil gøre som folk vil, og inkludere det i beregningen og justere system sikkerhed derefter.

Det samme gælder ting som facebook brug m.v. at forbyde det, gør ikke at det bare går væk, og brugen ophører, det betyder bare det skjules bedre, og der bruges meget mere tid på det, da det nu også skal skjules.

Den bedre policy er netop uddannelse i hvordan man agere sikkert på nettet, hvordan man sørge for at man ikke trækker problemer ind i virksomheds nettet. Samt at kombinere dette med en aftale om at man ikke sinker arbejdsopgaver, for private aktiviteter skyld, men at så længe arbejdet er gjort, og er færdigt, så tolerere man en hvis omfang af privat aktivitet.

Forbud har aldrig hjulpet noget, folk har altid fundet en vej til at omgå forbudet. Men i det her tilfælde er dialog, og aftaler om grund regler det bedste.

Helge Svendsen

@Henrik Jess

Hvis du så din laptop bliver kompromiteret, eller du på anden måde har slået routing til på din lappie, så har du effektivt punkteret hele firmaets sikkerheds setup. Så er der direkte hul igennem ude fra nettet og ind bag firewalls og andet.

Det er ok at bruge en GPRS dongle, men husk at pille ledningen til det interne net ud først :-)

Henrik Jess

@Nikolaj Hansen,

Jeg giver dig fuldstændig ret, og personligt var jeg imod denne løsning.

Jeg har ofte ment at den største sikkerhed ligger hos brugeren selv. Det er sider som jeg vil sige er "ok" er bruge andre som er no-go i enhvert firma hensene.

Jeg vil endag påstå at når man blokere for fx. sociale netværk så er det eksempelvis at brugerne bliver dygtige til at finde alternative løsninger, men så længe man har dem "under kontrol" ville jeg sige det er ok - så kan man stadig overvåge trafikken.

/~ Henirk

Klavs Klavsen

De giver deres medarbejdere 2 computere - en til arbejdesnetværket - og en til internet/privat - begge på samme skrivebord - men på hver sit net.

Så er der mindre incitament til at få arbejdscomputeren til at kunne komme igennem til alt muligt.

For som alle siger - så er det nærmest umuligt (og iøvrigt ikke specielt ønskværdigt at lukke helt af til internettet) - og den idé mange firmaer har - med at bare de har en strengt opsat firewall - så kan de have alt på et stort net - uden lokale firewall regler på de enkelte servere - er fuldstændig absurd.

Faktum er at alle lag kan brydes og nogen gange helt mangle, pga. en menneskelig fejl - så det gælder om at have så mange lag som praktisk muligt - så en fejl i et lag, ikke giver noget brugbart. f.ex. LAN segmentering - så servere og afdelinger er opdelt som relevant (så afdelinger med f.ex. kritisk R&D viden ikke har arbejdspc'ere på samme LAN som andre og ditto mht. servere) - og som minimum personlig firewall opsætning på serverne - så de ikke kan angribe hinanden og dermed bare "sikrer" den opsætning firewall'en også har mht. adgang fra andre net.

Al den slags kan sagtens styres centralt (bruger helst selv puppet - til Unix miljøer) - og så er det ikke svært at vedligeholde og så skal man SELVFØLGELIG huske at logge korrekt og have et system op til at se på sine logs - så de uventede beskeder kommer videre til de rigtige folk ;)

Michael Nielsen

Lidt drastisk løsning men ganske funktionelt, med 2 PC'er på hvert sit net.

Jeg advokeret en lidt anden strategi, samtlige brugere/medarbejder sidder i et meget begrænset DMZ, hvor der basalt set ikke er adgang til andet end fysisk hardware, exit, ud af huset, og entry ind i huset er ikke per automatik på plads.

Hver PC computer er fuld virtualiseret, et miljø køre mod det interne net, uden mulighed for adgang til det ekterne net - over hovedet.

Det andet miljø er koblet igennem til at kunne komme uden for, på internettet, og gå hvor brugeren har lyst.

Host miljøet er låst til kun at kunne bevæge sig i DMZen, så man skal aktivere klienter til internet/intra net. Det er ganske nemt, bare at clickke på et ikon så åbner det virtuelle miljø, til det ene eller det andet.

Der ud over kan man så ligge divs krypto adgangs krav for at komme ind i det indereste inde.

Det er en del billiger end løsningen med 2 maskiner, og administrations mæssigt trivielt, da de virtuelle klienter bare er en stor fil, fra en vedligeholdelssynspunkt, og da hardwaren i de virtuelle miljø er 100% ens, er de nemme at styre, administrere og konfigurere.

Koster noget Ram, Disk plads burde ikke være et stort problem, med de fleste maskiner med over 180Mb.

Da hvert virtuelt miljø er isoleret - lige så meget som 2 fysiske computere, med deres interne firewalls m.v. er den eneste angreb ind i huset kun muligt ved at en medarbejder hjælper til (bevidst eller ubevidst), altså skal nogen fysisk flytte data fra extern til intern før noget kan komme ind.

Det væreste er at det ikke er specielt svært eller dyrt at gøre, samt det giver mulighed for at bruge heterogene miljøer, feks hosten kunne være en mac/linux/freebsd/windows maskine, og det samme med gæst miljøet. Derfor skal en hacker finde ud af at bridge miljøer, før det overhovedet kan bryde ind, altså forudsat at miljøerne ikke er ens, så er sikkerhedshullerne heller ikke ens.

Det bedste ved sådan et setup, er supporten, en eller anden har installeret noget, og nu virker det ikke mere - bed dem trykke på et par knapper, og hele miljøet er nulstilt.

Jan Nielsen

Udover fw filtre der kan håndtere store dele af de brugere der måtte have misforstået hvad deres beføjelser er i firmaregi, kunne et forslag være at få styr på det software der findes på ens maskiner og styre hvad der kan smides på maskiner med adgang til netværket, og så sørge for at kun ens egne maskiner rent faktisk kan komme på ens netværk så godt teknikken nu tillader det (NAC/8021x). Derudover mener jeg altid at man bør forklare de regler man laver for brugererne, og lytte til brugeres "krav", og prøve at finde en sikker måde hvorpå de kan anvende deres yndlingssites/applikationer på, uden at kompromittere firmadata.

Log ind eller Opret konto for at kommentere