Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

Transkript

1 Revision af firewall Jesper B. S. Christensen Sikkerhed og Revision 6/7 September 2018

2 Jesper B. S. Christensen Senior Consultant Deloitte, Risk Advisory, Cyber Secure (dem I ikke har hørt om før) IT-Ingeniør, Etisk Hacker Kernekompetencer: IT sikkerhed Web og interne netværk Penetration Testing Netværk Wifi Infrastruktur Angreb på webapplikationer Speciale i ransomware

3 Hvad er en firewall? Definition Et system til monitorering og styring af indkommende og udgående netværkstrafik. Formål Firewall en beskytter mod ondsindet eller uhensigtsmæssig trafik. Producenter Juniper, FortiGate, Cisco, pfsense, Check Point og mange flere. 3

4 Hvad er en firewall? Definition Et system til monitorering og styring af indkommende og udgående netværkstrafik. Formål Firewall en beskytter mod ondsindet eller uhensigtsmæssig trafik. Producenter Juniper, FortiGate, Cisco, pfsense, Check Point og mange flere. 4

5 Typer af firewalls Typisk benyttes der tre typer firewalls: 1) Web application, 2) Host based og 3) network based. 1. Web application firewall, benyttes på web applikationer og analyserer trafikken for identificerer potentielle angreb og trusler som eksempelvis SQLi, XSS, med mere. 2. Host based er på enheder som eksempelvis en arbejds-pc og monitorer trafikken til og fra arbejds-pc en. (F.eks. Windows Defender) 3. Network based er sat op på netværket og overvåger og kontrollere trafikken der går til og fra netværks segmenter, f.eks. en organisations interne netværk og internettet. 5

6 Typer af firewalls Typisk benyttes der tre typer firewalls: 1) Web application, 2) Host based og 3) network based. 1. Web application firewall, benyttes på web applikationer og analyserer trafikken for identificerer potentielle angreb og trusler som eksempelvis SQLi, XSS, med mere. 2. Host based er på enheder som eksempelvis en arbejds-pc og monitorer trafikken til og fra arbejds-pc en. (F.eks. Windows Defender) 3. Network based er sat op på netværket og overvåger og kontrollere trafikken der går til og fra netværks segmenter, f.eks. en organisations interne netværk og internettet. Der findes forskellige metoder for hvordan en firewall operer: Packet filtering: hvor kommer trafikken fra og hvor skal den hen? Stateful inspection: er kommunikationen startet fra organisationens netværk? Application layer: Stemmer applikations dataen overens med protokol og port? En web application firewall foretager kun dette tjek og kan normalt gøre det bedre end en network based firewall 6

7 Hvorfor skal en firewall revideres løbende? 7

8 Hvorfor skal en firewall revideres løbende? Den er et kritisk element af infrastrukturen Sikre og dokumenterer perimetersikkerheden Vigtigt ekstra lag for en holistisk beskyttelse af en organisation Der er ofte flere/mange personer med adgang som løbende foretager ændringer (stor risiko for fejl) Vigtigt at holde fingeren på pulsen for at opretholde sikkerhedsniveauet Kontrollere om der er opstået sikkerhedshuller siden sidst (der opdages hele tiden nye) Der laves måske ofte ændringer, som ved forkert udførelse kan kompromittere sikkerheden. (ANY-ANY-ANY incidents sker ) Kontroller at firewallens opsætning stemmer overens med organisationens sikkerhedspolitik Kan hjælpe business continuity i tilfælde af cyber incidents ved at have foretaget reviews af processer og procedurer Kan benyttes til kunder til ved potentielle databreaches vil en korrekt firewall ofte være et minimumskrav for beskyttelse personoplysninger. 8

9 Revisionen Forskellige elementer i revisionen Indhent dokumentation for nuværende setup sikkerhedspolitik, interne procedurer, netværksdiagrammer, IP oversigter, oversigt over fysiske lokationer, information om patch niveau og hardware etc. 9

10 Revisionen Forskellige elementer i revisionen Indhent dokumentation for nuværende setup sikkerhedspolitik, interne procedurer, netværksdiagrammer, IP oversigter, oversigt over fysiske lokationer, information om patch niveau og hardware etc. Gennemgå kontroller omkring firewall en Kontroller for adgangsstyring (logisk/fysisk, brugeroprettelser (brugere tildeles kun adgang på baggrund af godkendte arbejdsbetingede behov etc.), opsætning og styring kodeord, logs etc.), kontroller for ændringsstyring (change management, alle ændringer til firewall en bør være underlagt risikovurdering, godkendelse, test, planer for fallback, dokumentation) 10

11 Revisionen Forskellige elementer i revisionen Indhent dokumentation for nuværende setup sikkerhedspolitik, interne procedurer, netværksdiagrammer, IP oversigter, oversigt over fysiske lokationer, information om patch niveau og hardware etc. Gennemgå kontroller omkring firewall en Kontroller for adgangsstyring (logisk/fysisk, brugeroprettelser (brugere tildeles kun adgang på baggrund af godkendte arbejdsbetingede behov etc.), opsætning og styring kodeord, logs etc.), kontroller for ændringsstyring (change management, alle ændringer til firewall en bør være underlagt risikovurdering, godkendelse, test, planer for fallback, dokumentation) Gennemgå opsatte regler Alle opsatte regler skal gennemgås, godkendes og dokumenteres med forretningsmæssigt behov, risikovurdering, ejer/brugere der anvender den pågældende regel, hvilke enheder i netværket påvirkes af reglen, hvilke porte etc. omfatter den enkelte regel, er reglerne i den korrekte rækkefølge?. Tilpasning af den faktiske opsætning på baggrund af resultatet 11

12 Revisionen Forskellige elementer i revisionen Indhent dokumentation for nuværende setup sikkerhedspolitik, interne procedurer, netværksdiagrammer, IP oversigter, oversigt over fysiske lokationer, information om patch niveau og hardware etc. Gennemgå kontroller omkring firewall en Kontroller for adgangsstyring (logisk/fysisk, brugeroprettelser (brugere tildeles kun adgang på baggrund af godkendte arbejdsbetingede behov etc.), opsætning og styring kodeord, logs etc.), kontroller for ændringsstyring (change management, alle ændringer til firewall en bør være underlagt risikovurdering, godkendelse, test, planer for fallback, dokumentation) Gennemgå opsatte regler Alle opsatte regler skal gennemgås, godkendes og dokumenteres med forretningsmæssigt behov, risikovurdering, ejer/brugere der anvender den pågældende regel, hvilke enheder i netværket påvirkes af reglen, hvilke porte etc. omfatter den enkelte regel, er reglerne i den korrekte rækkefølge?. Tilpasning af den faktiske opsætning på baggrund af resultatet Test og scanning Sårbarheds scan af firewall og host etc., kontroller resultatet op imod forventningerne/godkendte regler, opfølgning på resultater 12

13 Revisionen Forskellige elementer i revisionen Indhent dokumentation for nuværende setup sikkerhedspolitik, interne procedurer, netværksdiagrammer, IP oversigter, oversigt over fysiske lokationer, information om patch niveau og hardware etc. Gennemgå kontroller omkring firewall en Kontroller for adgangsstyring (logisk/fysisk, brugeroprettelser (brugere tildeles kun adgang på baggrund af godkendte arbejdsbetingede behov etc.), opsætning og styring kodeord, logs etc.), kontroller for ændringsstyring (change management, alle ændringer til firewall en bør være underlagt risikovurdering, godkendelse, test, planer for fallback, dokumentation) Gennemgå opsatte regler Alle opsatte regler skal gennemgås, godkendes og dokumenteres med forretningsmæssigt behov, risikovurdering, ejer/brugere der anvender den pågældende regel, hvilke enheder i netværket påvirkes af reglen, hvilke porte etc. omfatter den enkelte regel, er reglerne i den korrekte rækkefølge?. Tilpasning af den faktiske opsætning på baggrund af resultatet Test og scanning Sårbarheds scan af firewall og host etc., kontroller resultatet op imod forventningerne/godkendte regler, opfølgning på resultater Vedligeholdelse og overvågning Når firewall en er skåret til kræves der stram styring af change management fremadrettet. Der bør foretages realtidsmonitorering af trafikken for at identificerer mistænkelig opførsel, eller som minimum indsamling af log filer som løbende analyseres. Sikre at der disaster recovery/backup planer for firewallen i tilfælde af nedbrud, f.eks. Redundant/hotswap firewall eller SLA med leverandør. 13

14 Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere 14

15 Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser 15

16 Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) 16

17 Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) 17

18 Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) Tilladt adgang til management af Firewallen (ekstra slemt når det er over HTTP eller Telnet og der mangler Brute Force beskyttelse) 18

19 Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) Tilladt adgang til management af Firewallen (ekstra slemt når det er over HTTP eller Telnet og der mangler Brute Force beskyttelse) Reglerne uden logning og manglende opsamling (og analyse) af Logfiler fra firewallen. 19

20 Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) Tilladt adgang til management af Firewallen (ekstra slemt når det er over HTTP eller Telnet og der mangler Brute Force beskyttelse) Reglerne uden logning og manglende opsamling (og analyse) af Logfiler fra firewallen. Adgang fra Gæstenetværk ind i på produktions- eller administrative netværk. 20

21 Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) Tilladt adgang til management af Firewallen (ekstra slemt når det er over HTTP eller Telnet og der mangler Brute Force beskyttelse) Reglerne uden logning og manglende opsamling (og analyse) af Logfiler fra firewallen. Adgang fra Gæstenetværk ind i på produktions- eller administrative netværk. Ubegrænset adgang mellem interne netværkssegmenter (Ransomware udnytter det effektivt!) 21

22 Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) Tilladt adgang til management af Firewallen (ekstra slemt når det er over HTTP eller Telnet og der mangler Brute Force beskyttelse) Reglerne uden logning og manglende opsamling (og analyse) af Logfiler fra firewallen. Adgang fra Gæstenetværk ind i på produktions- eller administrative netværk. Ubegrænset adgang mellem interne netværkssegmenter (Ransomware udnytter det effektivt!) Fuld adgang ud af netværket på TCP og UDP (og ICMP og DNS men disse er næsten kun for hackere) 22

23 Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) Tilladt adgang til management af Firewallen (ekstra slemt når det er over HTTP eller Telnet og der mangler Brute Force beskyttelse) Reglerne uden logning og manglende opsamling (og analyse) af Logfiler fra firewallen. Adgang fra Gæstenetværk ind i på produktions- eller administrative netværk. Ubegrænset adgang mellem interne netværkssegmenter (Ransomware udnytter det effektivt!) Fuld adgang ud af netværket på TCP og UDP (og ICMP og DNS men disse er næsten kun for hackere) Reglerne mangler dokumentation og kommentarer 23

24 Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) Tilladt adgang til management af Firewallen (ekstra slemt når det er over HTTP eller Telnet og der mangler Brute Force beskyttelse) Reglerne uden logning og manglende opsamling (og analyse) af Logfiler fra firewallen. Adgang fra Gæstenetværk ind i på produktions- eller administrative netværk. Ubegrænset adgang mellem interne netværkssegmenter (Ransomware udnytter det effektivt!) Fuld adgang ud af netværket på TCP og UDP (og ICMP og DNS men disse er næsten kun for hackere) Reglerne mangler dokumentation og kommentarer Any regler 24

25 Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) Tilladt adgang til management af Firewallen (ekstra slemt når det er over HTTP eller Telnet og der mangler Brute Force beskyttelse) Reglerne uden logning og manglende opsamling (og analyse) af Logfiler fra firewallen. Adgang fra Gæstenetværk ind i på produktions- eller administrative netværk. Ubegrænset adgang mellem interne netværkssegmenter (Ransomware udnytter det effektivt!) Fuld adgang ud af netværket på TCP og UDP (og ICMP og DNS men disse er næsten kun for hackere) Reglerne mangler dokumentation og kommentarer Any regler Manglende eller forkert konfigureret anti-spoofing 25

26 Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) Tilladt adgang til management af Firewallen (ekstra slemt når det er over HTTP eller Telnet og der mangler Brute Force beskyttelse) Reglerne uden logning og manglende opsamling (og analyse) af Logfiler fra firewallen. Adgang fra Gæstenetværk ind i på produktions- eller administrative netværk. Ubegrænset adgang mellem interne netværkssegmenter (Ransomware udnytter det effektivt!) Fuld adgang ud af netværket på TCP og UDP (og ICMP og DNS men disse er næsten kun for hackere) Reglerne mangler dokumentation og kommentarer Any regler Manglende eller forkert konfigureret anti-spoofing Firewalls blokerer for meget (business impact) 26

27 Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) Tilladt adgang til management af Firewallen (ekstra slemt når det er over HTTP eller Telnet og der mangler Brute Force beskyttelse) Reglerne uden logning og manglende opsamling (og analyse) af Logfiler fra firewallen. Adgang fra Gæstenetværk ind i på produktions- eller administrative netværk. Ubegrænset adgang mellem interne netværkssegmenter (Ransomware udnytter det effektivt!) Fuld adgang ud af netværket på TCP og UDP (og ICMP og DNS men disse er næsten kun for hackere) Reglerne mangler dokumentation og kommentarer Any regler Manglende eller forkert konfigureret anti-spoofing Firewalls blokerer for meget (business impact) Åben for DNS alt for mange steder. (En af Hackernes fortrukne måder at lave C2 på) 27

28 Så er firewallen alt? Det korte svar: Nej. 28

29 Så er firewallen alt? Det korte svar: Nej. Det længere svar: Firewallen er overhovedet ikke alt. 29

30 Så er firewallen alt? Det korte svar: Nej. Det længere svar: Firewallen er overhovedet ikke alt. Firewallen giver et ekstra lag sikkerhed. 30

31 Så er firewallen alt? Det korte svar: Nej. Det længere svar: Firewallen er overhovedet ikke alt. Firewallen giver et ekstra lag sikkerhed. Der eksisterer stadig problemer som: Awareness, f.eks. Phishing og låsning af arbejds PC er Målrettede Phishing angreb. (Meget effektive) BEC/CEO fraud Netværks og domæne konfigurationer Sikring og overvågning af de enkelte maskiner og servere Wi-Fi opsætning Kodeordspolitikker Patch management procedure Manglende SIEM Exfiltrering af data Generel fysisk sikkerhed 31

32 Så er firewallen alt? Det korte svar: Nej. Det længere svar: Firewallen er overhovedet ikke alt. Firewallen giver et ekstra lag sikkerhed. Der eksisterer stadig problemer som: Awareness, f.eks. Phishing og låsning af arbejds PC er Målrettede Phishing angreb. (Meget effektive) BEC/CEO fraud Netværks og domæne konfigurationer Sikring og overvågning af de enkelte maskiner og servere Wi-Fi opsætning Kodeordspolitikker Patch management procedure Firewallen er ofte bare et mindre bump på vejen under et Red Team men hvis de har segmenteret det interne netværk rigtigt puha, så bliver det en lang nat - Deloitte, Red Team Manager Manglende SIEM Exfiltrering af data Generel fysisk sikkerhed 32

33 Jesper B. S. Christensen