Podkast 23T1 3 Kroki Bezpiecznego Dostępu Administracyjnego – Radius Tacacs+

WERSJA TEKSTOWA

Cześć. Witam Cię w dzisiejszym podkaście. Dzisiejszy temat to 3 kroki bezpiecznego dostępu administracyjnego. Jakie to są kroki? Po pierwsze scentralizuj swój system identyfikacji administratorów. Po drugie wydziel całą sieć zarządzania dla urządzeń i umieszczenie tego centralnego systemu uwierzytelniania. No i trzeci krok ustal silne hasło. Skoro będziesz miał jedno konto do wszystkich urządzeń administracyjne to możesz łatwo zapanować nad silniejszym hasłem. No i teraz po kolei jak wykonać te kroki.

Po pierwsze jeżeli chodzi o scentralizowanie tych haseł to mamy do wyboru dwa systemy: system Radius lub system Tacacs+. Czym one się różnią? W zależności od możliwości urządzeń sieciowych jakie używasz możesz wykorzystać Radiusa do uwierzytelnienia czyli po prostu przekazania komunikacji, że dany użytkownik ma takie uprawnienia i ewentualnie przypisania na urządzeniu, że taki poziom uprawnień dla danego użytkownika będzie przypisany. Jeżeli masz urządzenie, które potrafi bardziej szczegółowo rozróżniać poziomy dostępu czyli np. per komenda to wtedy możesz również rozważyć użycie Tacacs+.

Pierwotnie Tacacs+ został wymyślony przez CISCO. Tak naprawdę wymyślony był Tacacs a potem ten +o oznacza, że ten protokół został zestandaryzowany. Generalnie chodziło o to, że możemy rozróżniać do jakich konkretnie komend ma dostęp dany użytkownik administracyjny. Dodatkowym jeszcze ulepszeniem (w pewnych sytuacjach jest to wadą) jest pełne szyfrowanie Tacacs +. Czyli jeżeli chciałbyś w pełni zabezpieczyć tą komunikację między urządzeniem sieciowym a systemem centralnym to oczywiście Tacacs + to zapewnia. Tyle tylko, że jak już wspomniałem wcześniej w tych głównych punktach dobrą praktyką jest umieszczenie w osobnej sieci zarządzania tego systemu uwierzytelniania administratorów.

W związku z tym to szyfrowanie też nie ma wtedy wielkiego znaczenia. Jeżeli chodzi o system Radius to tutaj standardowo szyfrowane są tylko hasła, cała reszta komunikacji przekazywania atrybutów jest jawna. Więc jeżeli chcesz np. wykonywać Truble-shutting, czyli znajdowanie problemów, analizować co tam za komunikaty się dzieją np. użyć Wiresharka to nie ma problemu, będziesz widział w tym narzędziu wszystkie poszczególne kroki wymiany komunikacji pomiędzy urządzeniami i atrybuty, które są wysyłane ze strony systemu Radiusowego. Więc tutaj w zależności od tego jakie są Twoje preferencje. Jeżeli chodzi o dostępność narzędzi to oczywiście są bezpłatne, płatne, open source oraz komercyjne.

W przypadku open source nie spotkałem się z jakąś szerszą implementacją Tacacs + natomiast Free Radius – najbardziej popularny system Open Source w tym zakresie jak najbardzej można wykorzystać do małych instalacji do swoich sieci. W mojej opinii nie ma tu żadnego problemu jeżeli masz małą sieć i chciałbyś po prostu sobie podwyższyć poziom bezpieczeństwa to to jest dobra droga i dobra taktyka. Jeżeli wydzielisz jeszcze, że dostęp do tego systemu i komunikacja między urządzeniami od strony administracyjnego interfejsu będzie ograniczona tylko do konkretnej sieci zarządzania to zupełnie wystarczająco zabezpieczysz tą komunikację w oparciu o Radius.

Kolejna rzecz – opowiadałem w jednym z poprzednich odcinków, że można różnie separować te sieci zarządzania, czyli możemy Access listy zapisać np. na konkretne podsieci, konkretne hosty. Możemy zrobić stację przesiadkową do tej sieci zarządzania lub możemy zrobić osobnego VRF’a. Też pokazywałem w jednym z odcinków jak stworzyć taki osobny VRF do zarządzania urządzeniami i tylko dedykowana tablica routingu służy wtedy do komunikacji z taką siecią. Tak czy inaczej jaki sposób nie wybierzesz w Twojej topologii – czy zewnętrzny Firewall czy będziesz to sobie ograniczał na MikroTiku, czy masz to jakkolwiek inaczej zorganizowane ważne jest, żeby ten punkt wejścia do sieci zarządzania był dobrze chroniony i najczęściej to jest właśnie wykonanie jakiegoś Jump Hosta do którego się logujemy, ewentualnie jeszcze ograniczamy adresy IP i z tego hosta możemy dalej działać.

Co więcej, jeżeli chodzi o tą koncepcję ograniczania sieci zarządzania to jest jeszcze plus taki, że gdy wykorzystasz osobną przesiadkową stację do logowania się do urządzeń to nie ma takiego wysokiego ryzyka zainstalowania jakiegoś malware, keyloggera, innych rzeczy, które mogą ze stacji końcowej mieć dostęp do tych systemów zarządzania. Co jest niewątpliwie też elementem, który podwyższa poziom bezpieczeństwa. Od razu warto zaznaczyć, że też pewien poziom utrudnienia wprowadza do codziennej pracy administratora ale jak zawsze to jest jakiś kompromis pomiędzy podwyższeniem poziomu bezpieczeństwa a naszą łatwością korzystania. Da się to w każdym razie zorganizować w taki sposób, żeby to było używalne i żeby była stacja przesiadkowa, żeby ona służyła tylko do zarządzania, miała ograniczony dostęp. Tylko określone osoby mogą się wtedy do takiego systemu logować i najlepiej jeszcze jak to nie jest system domenowy. Ponieważ jak już wspomniałem wielokrotnie w poprzednich odcinkach jeden z pierwszych celów ataku, jeżeli ktoś dostaje się do sieci wewnętrznej to jest poszukanie sposobu na przejęcie konta domenowego admina. Jeżeli masz już takie konto to możesz zobaczyć jakie systemy domenowe są podpięte i jakie mają poszczególni użytkownicy uprawnienia, czy w jakich grupach istnieją.

Więc jeżeli chodzi o takie krytyczne elementy jak system dostępu do sieci zarządzania zdecydowanie bym zalecał nie konto domenowe. Lepiej by było pomyśleć, jeżeli Ty lub Twoja firma ma taką możliwość, to o systemie Identity Managera albo Identity governance jak to się ostatnio też spotykam z nową nomenklaturą. Generalnie chodzi o to, że jest to system nie domenowy, który potrafi trzymać centralnie informacje o wszystkich kontach. Ponieważ nie jest to domena, to już jest trochę większa różnorodność tych systemów, które możesz wybrać od różnych producentów i dzięki temu możesz trochę lepiej się zabezpieczyć czyli zwiększyć bardziej trudność przejęcia ewentualnie dostępu do takiego centralnego systemu.

Gdy zdecydujesz się na lokalne konta z takiej stacji przesiadkowej, też to jest możliwe. Wszystko zależy od Twojej skali, od tego ile administratorów ma mieć dostęp do tej stacji przesiadkowej, jak zarządzać tymi uprawnieniami. Jeśli to jest jedna osoba, dwie osoby i mała jest rotacja tych pracowników to lokalne konta są spokojnie dobrym rozwiązaniem. Jeżeli jest to większa firma i administratorów może być więcej z różnymi uprawnieniami lepiej jest zrobić zewnętrzny dodatkowy system, który zarządza dodawaniem tych kont nawet lokalnych, to dodawaniem, usuwaniem jeśli użytkownicy administracyjni się pojawiają albo znikają z naszej firmy.

Na koniec trzeci krok czyli hasła. W przypadku jak mamy mało tych kont, powinniśmy dążyć do tego aby było ich jak najmniej to wtedy możemy ustawić silne hasło i miejmy nadzieje, że Ci użytkownicy administracyjni będą bardziej świadomi, czyli nie zapisywać na karteczkach tych haseł, ewentualnie w password managerach i można wtedy podwyższyć ten poziom złożoności hasła czy długości hasła. Alternatywnie można jeszcze rozwinąć ten mechanizm o dodatkowe mechanizmy czyli Multi -factor authentication co jest zdecydowanie też polecane, że możemy oprócz podawania hasła dodać pewien dodatkowy element uwierzytelniania np. podawanie kodu z telefonu, czyli tokeny. Można też rozważyć inne systemy. Pierwszy przykład z brzegu – WhatsApp. Zobacz, jeśli chcesz sobie takiego WhatsApp’a uruchomić na komputerze to tam nie ma logowania użytkownika i hasła tylko z aplikacji mobilnej musisz zeskanować kod QR, który wyświetla się na ekranie. Dzięki temu jesteś uwierzytelaniany w aplikacji komputerowej na swoim laptopie czy PC.

Dokładnie tak samo można też zrobić w konktekście tej stacji przesiadkowej czyli można uzależnić jeszcze ten dostęp tylko od loginu i hasła ale również od zewnętrznego czynnika. Mogą być dodatkowe, może być jedyny w zależności od tego jak wysoko chcesz postawić tą poprzeczkę czyli balans pomiędzy użytecznością a poziomem bezpieczeństwa. Oczywiście możesz użyć dlatego również certyfikatów, również jest taka możliwość, nie ma żadnego problemu żeby się łączyć przez certyfikaty czy po RDP’ie czy innym systemem. Generalnie chodzi o to, żeby się efektywnie uwierzytelnić i żeby można było powiedzieć jaki poziom dostępu może mieć dana osoba. Jeżeli mówimy o stacji przesiadkowej tylko dla administratorów to tu jest troszeczkę łatwiej bo w zasadzie jeżeli nie rozróżniamy tych administratorów to jeden poziom uprawnień nam wystarczy. Jeżeli mówimy o kontekście np. tylko urządzeń sieciowych.

Natomiast jeśli taką stację przesiadkową byśmy chcieli stosować do różnych grup administracyjnych np. administratorzy systemów, administratorzy sieci, administratorzy Firewalli czy jakkolwiek jest to podzielone u Ciebie to już jest kwestia wtedy dobrania tej koncepcji jak rozróżniać te grupy. Ja bym raczej szedł w stronę, żeby stworzyć osobne stacje przesiadkowe bo na wypadek kompromitacji to tylko dana grupa urządzeń ma ekspozycje czyli ewentualnie można próbować coś dalej atakować co oczywiście w kontekście uzyskania dostępu do sieci zarządzania już jest bardzo nieciekawą sytuacją no ale lepiej mieć ograniczony zakres tego ataku niż do wszystkich urządzeń i całego zarządzania, które mamy.

Dlaczego się centralizuje może jeszcze na koniec powiem. Dlatego, że z praktyki wychodzi, że łatwiej jest panować nad bezpieczeństwem jednego sposobu dostępu do sieci zarządzania, czyli możesz sobie wyobrazić, że to jest jakby zamek i do tego zamku prowadzi jedna brama i ta brama jest silnie strzeżona, jest to dużo łatwiej zrobić niż jakbyś tych bram miał sto albo w ogóle nie miał muru i z dowolnej łąki mógłby ktokolwiek przyjść do tego zamku. To jest mniej więcej powód dla którego stosuje się te różne stacje przesiadkowe, Firewalle, sieci zarządzania, separacje i uwierzytelnianie poszczególnych osób. Tak to należy robić i tak to należy implementować czego Tobie również życzę. Na dzisiaj Ci dziękuję i do usłyszenia już za tydzień.