Выбрать язык


Выбрать язык | Show only


Русский | English


среда, 7 июня 2017 г.

PHDays-2017. Противостояние глазами защитника. Часть 2. Объекты защиты

Итак, продолжаю свой рассказ о "Противостоянии" на PHDays-VII в 2017 году. Вводная часть, чуть менее пространная, чем прошлогодняя, была опубликована ранее. В этом году я не самый первый начал описывать процесс, и на просторах Интернета уже начались толки-перетолки. Буду потихоньку расставлять все на свои места.

http://img.politonline.ru/preview/article/8/0/2/22888802_four.jpeg

Наша команда You Shall Not Pass и в этом году играла на стороне телеком-защиты. Но, если по сценарию прошлого года наш фрагмент сети больше напоминал среднего размера офис с небольшой серверной, а от телекома были только околотелефонные сервера типа личного кабинета абонента, то в этом году инфраструктура стала реально похожа на сеть небольшого провайдера.
Вместо плоской сети, от которой ничего не зависело (2016), нам дали IP/MPLS-сеть, которая реально объединяла другие объекты, защищающие себя самостоятельно:
  • Банк
  • Офис 1
  • Офис 2
  • Нефтеперерабатывающая компания
  • Железнодорожная компания
  • Энергетическая компания
И собственно защищаемые нами сегменты:
  • Сетевое оборудование IP/MPLS
  • GSM (IP-интерфейсы управления)
  • Абоненты фиксированной сети
  • Сервера
  • Интернет вещей
  • Свои рабочие станции
Как я уже говорил, IP-сеть стала похожа на сеть, и работать с ней в этом году было на порядок интереснее, чем в прошлом. Активное сетевое оборудование L2-access нам не давали, только L3 и MPLS. Но в полном распоряжении, защищай-не-хочу, главное - не поломать. Сегментируй, властвуй, защищай. Защите IP/MPLS-сети на "Противостоянии" думаю посвятить отдельную заметку.
Вопреки ассоциациям со словом "телеком", защищать радиоэфир GSM-сети нам не давали ни в прошлом году, ни в этом. Не давали от слова "вообще". Максимум, что мы могли - снифать дамп трафика и определять в нем аномалии, а также видеть то же самое, что и хакеры. А это не синоним слову "защищать". Из околотелефонных вещей доступ для конфигурирования нам дали только к устройству IP-телефонии. И то потом с ним были отдельные свистопляски. Об этом я отдельно напишу.

http://ic.pics.livejournal.com/vova_55_ua/22518502/19144/19144_original.jpg

Пытались настоять, но ответ был один: не положено, такие условия, защищайте IP/MPLS. И мы защищали.

 http://nexthop.ru/wp-content/uploads/2013/02/dd.jpg


Как стало ясно потом из хроник: в SMS, по сценарию, бегала ценная информация, которую хакеры должны были проснифать и доложить организаторам. Дополнительные средства защиты от перехвата на GSM сделали бы участие хакеров совсем тяжким и унылым, заставив забить на эту сторону вопроса. Как ни крути, организаторам нужно превращать "Противостояние" в шоу, иначе никто не будет интересоваться. А шоу без резонансных событий, о которых можно потом заявить с трибуны и в прессе, не получится. Если применить средства защиты абсолютно на все системы, то "Противостояние" в глазах зрителей будет скучной онлайн-битвой задротов, вооруженных ноутбуками. Причем битвой с серьезным преимуществом со стороны защиты и нулевым драйвом для праздношатающихся. Зрелища не получится, внимание общества не привлечешь.
https://pp.userapi.com/c5495/u4030625/-14/x_7192f6ac.jpg


Поэтому без поддавков хакерам в "Противостоянии" никак. 

Абоненты фиксированной сети не были абонентами в полном смысле этого слова, с аутентификацией, авторизацией и учетом, домосвичиками, BRAS'ами, RADIUS-сервером, биллингом и т.п. Хотя, в этой связке тоже можно было сделать много интересного для хакеров и сложного для защиты. Абоненты просто получали IP-адрес и доступ в сеть Интернет. Нашей задачей было защитить их от взлома, при этом не нарушив функционирование предоставляемого сервиса.

После прошлогоднего взлома ГЭС и затопления города тема ИБ АСУ ТП резко поднялась в популярности и, конечно, бюджетировании. За последние полгода популярнее в ИБ, чем АСУ ТП, начал становиться только Интернет вещей. Именно Интернету вещей, насколько я понял, и собирались посвятить "Противостояние" 2017 года, но резонансного взлома IoT не произошло, причем очень сильно из-за наших мер защиты. Я несколько месяцев назад предположил несколько вариантов защиты IoT и искал возможность поэкспериментировать. Теме IoT в соревнованиях и наших действиях я уже посвятил выступление на Инфофоруме в Ханты-Мансийске, обязательно посвящу отдельную заметку в блоге. Уж очень удачно "Противостояние" подвернулось для тестирования архитектуры защиты IoT.

Сервера в нашем ведении делились на защищаемые и незащищаемые. Защищаемые - то, что мы админили (DNS, NTP, личный кабинет etc) и то, что мы якобы хостили (гитхаб локального разлива, еще пара серверов). Защищаемые сервера мы админили и были вольны делать с ними что угодно, что бы не нарушило их работоспособность. То, что хостили, по условиям, нельзя было защищать никак. Это были сервера, предназначенные для помощи хакерам. На них находилась либо ценная легкодоступная информация, либо учетные записи со слабыми паролями.

Наши рабочие станции, как и рабочие станции админов (организаторов) были недоступны из псевдоинтернета, поэтому особой защиты от хакеров не нужно было.

Вкратце такие у нас были объекты защиты. Продолжение следует.

Комментариев нет:

Отправить комментарий