Sjekke sikkerhet mot eget datanettverk

[Moskus]

Ref Dagbladets "Null CTRL" serie har jeg tenkt "Jøss, verden er full av idioter".

 

Men så begynte jeg å lure litt på meg selv. Kanskje jeg er idiot. Jeg vet faktisk ikke. Jeg har prøvd å beskytte meg så godt jeg kan, men hva vet jeg egentlig?

 

Som en som er over middels interessert i data og teknologi har jeg hauger av dingser som er koblet til mitt eget nettverk, og for deler av dette (bl.a. hjemmeautomasjon og kameraer) hadde det vært særdeles ubehagelig hvis andre fikk tilgang. Noe av det er jo også koblet opp mot internett, da selvfølgelig med brukernavn/passord.

 

Jeg vil altså vite hvor sikkert mitt eget system er.

 

Hvordan kan man teste sitt eget nettverk mot slikt?

Finnes det en programvare eller sjekkliste man kan følge for å iallfall ha sjekket for de mest vanlige feilene?

[xClaymanx]

Mener du har en rekke tester om du bruker pfSense. Muligens at disse kan implementeres på samme vis som ellers. At du laster ned en liksominfisert virusfil og tester denne opp imot nettverket ditt.

Du kan jo se på alternativene om du har noe tid til overs Mye morsomt som kan gjøres med pfsense for å si de sånn.

[Dromle]

Du kan se litt på Nessus.

[Moskus]

Takk for tips!

Nessus så jo lovende ut.

 

Kanskje jeg også skal leke litt med pfSense i en VM.

[Horrorbyte]

For å svare på det trådstarter spurte om: kjør portscanning fra utsiden av eget nettverk. Det er slik "the bad guys" finner tjenester de kan teste - enten ved å selv gjøre det, eller bruke tjenester som Shodan som har gjort det for dem og gjort informasjonen søkbar. Nmap kan avsløre mye, og så kan du videre sjekke om ting er sikret. For alle tjenester som er tilgjengelig gjennom Internett, er det også ekstremt viktig at programvaren er oppdatert. Det hjelper ikke nødvendigvis å kreve passord, om systemet har en kjent svakhet som enkelt kan utnyttes.

 

Merk at det kan være forskjell på det som er tilgjengelig for andre på samme subnet og AS enn fra øvrige deler av Internett. Dette avhenger av din ISP.

[Moskus]

For å svare på det trådstarter spurte om: kjør portscanning fra utsiden av eget nettverk. Det er slik "the bad guys" finner tjenester de kan teste - enten ved å selv gjøre det, eller bruke tjenester som Shodan som har gjort det for dem og gjort informasjonen søkbar. Nmap kan avsløre mye, og så kan du videre sjekke om ting er sikret. For alle tjenester som er tilgjengelig gjennom Internett, er det også ekstremt viktig at programvaren er oppdatert. Det hjelper ikke nødvendigvis å kreve passord, om systemet har en kjent svakhet som enkelt kan utnyttes.

 

Merk at det kan være forskjell på det som er tilgjengelig for andre på samme subnet og AS enn fra øvrige deler av Internett. Dette avhenger av din ISP.

 

Aha! Utmerket informasjon. Klart svakheter kan utnyttes, men den enkleste tabben å gjøre er jo å glemme en eller annen innstilling som "apply user restrictions" og tilsvarende jeg har på enkelte kameraer. Poenget mitt er å unngå slike "generalbrølere" som dagbladet rapporterer om, så skal jeg selv prøve å holde programvare oppdatert.

 

Men en fin sjekk på hva som er "åpent og tilgjengelig", Nmap og port scanning har jeg selvfølgelig hørt om, men risikerer jeg at ISPen min blir grinete hvis jeg kjører en scan?

[Horrorbyte]

Men en fin sjekk på hva som er "åpent og tilgjengelig", Nmap og port scanning har jeg selvfølgelig hørt om, men risikerer jeg at ISPen min blir grinete hvis jeg kjører en scan?

Ja. Hvis du scanner fra et annet AS (annen ISP) så kan det være at du blir kontaktet av den ISP-en du scanner fra, muligens etter en henvendelse fra ISP-en som eier den adressen du scanner. Selv om det ikke er ulovlig etter norsk lov, kan det være mot retningslinjene til den ISP-en du bruker til å scanne. Men i realiteten skal det vanligvis litt mer til enn å scanne én adresse før noen andre enn den som blir scannet (altså deg) reagerer. Kjører du grundig scanning mot en av DNB sine servere kan det være at DNB følger litt ekstra med på deg.

 

Får du spørsmål om hva du driver med, så er det jo bare å si at du scanner ditt eget nettverk. Eller ta en spansk en og si at antivirusprogrammet ditt nettopp fant et virus, så det kan muligens ha vært grunnen...

[process]

Selv har jeg brukt nmap en del mot servere, privatlinjer og bedrifter. Det skal nevnes at dette var med godartet hensikt og at det har vært innenfor mitt mandat i de enkelte tilfeller, men sjeldent eksplisitt klarert på forhånd. I de aller fleste tilfeller har dette vært fra adresser som jeg er RIPE/WHOIS registrert på og/eller står som mottaker av hostmaster@ og abuse@.

 

Jeg har ikke mottatt noen forespørsler om dette.

 

Selv har jeg heller ikke sendt noen slike eposter, men det flagger IP adressen din hos oss og i noen tilfeller blokkerer jeg IP-adresser som dukker opp gjentatte ganger, men da gjerne enten ved høy frekvens, det forekommer over et større nettsegment eller dersom det forekommer annen ondartet trafikk i tillegg.

 

Skanner du én enkelt IP-adresse (din egen) hos din ISP vil jeg tro at det skal gå helt bra. Vil du være litt mer høflig kan du bruke -T polite, dette tar da ca. 15 minutter.

 

Det er et godt utgangspunkt for å se hva som er tilgjengelig fra utsiden, men vær var på lokale brannmurer som kan være oppsatt til å filtrere fra innsiden. Deretter bør du identifisere de ulike tjenestene som du eksponerer mot verden og bekrefte at:

 

1) Dette er noe du må/ønsker å eksponere

2) Tjenestene er tilstrekkelig sikret og oppdatert (ikke standard passord, passordløse kontoer etc)

Endret 15. oktober 2013 av process

[Moskus]

Takk for innspill.

 

Skal jo ikke kjøre en scan på flere IPer, og ikke haugevis av ganger. Satser på at det går greit.