Már NAS-okat is támadnak a zsarolóvírusok?

Jelen cikkünket az otthonitól a céges felhasználóig mindenkinek figyelmébe ajánljuk, aki NAS-t használ szerverként vagy éppen arra készül. Okos ember más kárából tanul és egy ügyfelünk NAS egysége nemrég számtalan tanulságot szolgáltatott számunkra, ami komoly intő jel azokra nézve, akik minden adatukat egy ilyen hálózati adattároló egységre bízzák. Ahogyan az alábbi cikkből kiderül majd nem is kell hozzá, hogy a gyártón kívül bárki komoly hibát vétsen, úgy is teljes adatvesztés lehet a történet vége.

Néha tűnhet majd úgy, hogy ez egy NAS ellenes cikk, de ezt az elején szeretném leszögezni, hogy erről szó sincs. Azt szoktuk mondani, hogy minden eszköznek, szoftvernek megvan a maga felhasználási területe. Ugyanígy igaz ez a NAS-okra is, vagy magyar nevén hálózati adattárolókra. Otthoni környezetben például egy ideális megoldás lehet média anyagok streamelésére, torrentezésre, de akár bizonyos biztonsági szempontok figyelembevételével fontosabb fájlok redundáns tárolására is kiválóan alkalmas lehet. Mivel vállalati környezetben éppen ez utóbbi a jellemző terület amire használják, így vagy nem felel meg egyáltalán a célnak vagy úgy nem, ahogy a felhasználása történik. Rengeteg olyan céget látunk, ahol fájl szerverként alkalmaznak ilyen eszközt, a legtöbb esetben mindenféle biztonsági óvintézkedést nélkülözve. Jellemzően két okból szokott ez történni, vagy sajnálja a cég a rendszerétől azt a minimális többlet költséget, hogy egy normális fájl szervere legyen vagy olyanra hallgat, jellemzően egyszemélyes BT-k vagy botcsinálta informatikusok tanácsaira, akiket bottal kéne elkergetni a számítógépek közeléből is. Aki ilyet ajánl anélkül, hogy legalább elmondaná milyen előnyei vannak egy normális fájl szervernek az nem ért ahhoz, amit csinál. Bármelyik eset is áll fenn az ügyfélnek mindkettő nagyon sokba kerülhet.

Egy szerződéssel nem rendelkező ügyfelünkkel esett meg nemrég az alábbi eset. Korábban egy igazi egyszemélyes Bt-t futtató IT szaki ajánlott neki egy remekül sikerült D-Link NAS-t, hogy tökéletes lesz nekik fájl szervernek. Egy ilyen eszközt csak ki kell kapni a dobozból, hálózatba kötni és pár alapbeállítás után könnyedén pár perc alatt akár már el is lehet kezdeni használni. Minimális munkával látványos eredményt lehet elérni és így egész szép pénzt is el lehet kérni érte. Nem tudjuk, hogy itt is ez volt-e a szándék vagy csak a hozzá nem értés hozta így, de ettől még sajnos ez így van. A lemezeket sikerült redundánsan RAID-be beállítani hozzá, így a hardver hibától már védve voltak az adatok, de az USB-s mentést, ami az egyetlen szóba jöhető helyi alternatíva volt (a felhőn kívül ugye) már nem állították be, az egy kicsit macerásabb volt. Amikor először találkoztunk az ügyfél rendszerével akkor egyből felmerült kérdésként, hogy miért nincs rendes fájl szerver, főként ha már több olyan funkció is felmerül (pl. biztonságos távelérés), amihez jellemzően szervert szokás használni. Ez volt az egyszerűb és olcsóbb, korábban ezt javasolták, így hát maradt ez. A mentés hiányára vonatkozó javaslat legalább elfogadásra került, így egy külső USB-s lemezre beállítottunk egy külső USB-s winchestert, amire a NAS egy gombos mentő funkcióját is konfiguráltuk. (Csak meg kell nyomni a NAS elején lévő gombot és mentést készít USB-re.) Aztán karbantartás és szerződés nem lévén magára maradt a NAS, amikor nyomkodták a gombot végezte a mentéseket. Illetve csak egy darabig csinálta, de ne szaladjunk ennyire előre…

Zsarolóvírus
Zsarolóvírus már NAS-ra is létezik!

Idén februárban megjelent egy új zsarolóvírus, ami egy teljesen új fejezetet nyit és egy egészen új módját mutatja be a támadási lehetőségeknek. A D-Link DNS-320-as széria NAS eszközeit támadja meg, nem is akármilyen módon. Egy szoftveres hibát kihasználva a NAS-on magát az eszköz firmware-ét fertőzi meg és szépen csendben minden rajta tárolt adatot titkosít. A fájlkiterjesztéseket sem változtatja meg, amikor végzett szimplán nem lehet a fájlokat többé megnyitni és a fertőzésre csak egy minden mappában elhelyezett TXT fájl hívja fel a figyelmet, amiben arra kérik a pórul járt felhasználót, hogy vegye fel velük chat üzenetben a kapcsolatot, ahol majd elmondják hogyan és mennyit kell fizetni az adatok visszaszerzéséért. Mentésre visszatérve, ilyenkor az utolsó szalmaszál lehetne, de mivel USB-vel fixen van csatolva jellemzően így a fertőzés azt is elintézi, ha esetleg nincs fixen csatolva akkor pedig a NAS-on garázdálkodó vírus tesz majd róla, amikor csatlakoztatják. Így a kör bezárult. Külön pikáns a történetben, hogy egy óriási biztonsági hibát elkövető, amúgy nagy nevű gyártó olyan szoftverrel ad ki egy ilyen eszközt, ami még a mentést sem tudja stabilan biztosítani. Beállítási lehetőség ugyanis nem sok van benne és miután néhány teljes mentést követően a külső lemez betelik szimplán nem fut le a mentés, amire semmi nem figyelmeztet. Igaz is, jelen esetben hiába, mert az ellen, hogy maga a NAS vírust kap már ez sem védene meg.

Felmerül a kérdés is, hogy hogyan kaphat vírust egy ilyen eszköz. Természetesen valamilyen szinten kint kell legyen az interneten, ha bármilyen távelérést vagy a nagyon népszerű felhős/privát felhős megoldásokat használjuk legalább a webes felület elérését biztosító protokollnak elérhetőnek kell lennie a neten. Normál esetben a gyártók folyamatosan adják ki a firmware frissítéseket a sebezhetőségek ellen, amiket ajánlatos is sűrűn telepíteni, jelen esetben viszont egyrészt nemrég adtak csak ki egy ilyet, azt sem minden modellhez, egyes modelleknek ugyanis több éve nincs már terméktámogatása sem. Ez tehát az első megjegyzendő tanulság, hogy nem elég beüzemelni egyszer, de a rendszeres karbantartás sem árt neki, a szoftverfrissítéseket érdemes időnként telepíteni, illetve a régóta nem támogatott eszközöket lecserélni, ha fontosak az adataink. Ezekkel a modellekkel kapcsolatban egyébként rengeteg cikk született a neten, különösen gyengére sikeredtek, maga a vírus is a webfelület sebezhetőségének segítségével jutott be root jogokkal, aminek súlyára nincsenek is szavak.

Egy NAS és egy Windows-os fájl szerver összehasonlításáról egy különálló, terjedelmes cikket lehetne írni, amire most nem szeretnék külön kitérni, de ígérem hamarosan egy külön cikkben ezt pótolni fogom. Gondolatébresztőnek most legyen elég annyi, hogy mindenki tegye fel a kérdést melyik rendszer a biztonságosabb, ahol a megosztott mappák eléréséhez a gépen le van tárolva egy könnyen visszafejthető jelszó és sok esetben minden gépen ugyanazt a név/jelszó párost használják vagy ahol a rendszer indításakor egy központi azonosítást követően jelszótárolás nélkül minden gép saját hozzáféréssel jelentkezik be. Azt hiszem nem kérdés, hogyha NAS-t akarunk fájl szerverként használni, akkor az leginkább egy otthoni hálózatot feltételez és nem vállalatit. Ha már vállalati felhasználás, kiegészítésként biztonsági mentés céljára egy rendes fájl szerver mellé remek megoldás lehet, amivel a fizikai elkülönítést is könnyedén meg lehet valósítani.

Végezetül lássuk pontokba összefoglalva milyen tanulságokat szolgáltatott nekünk a fentebb leírt eset, illetve miknek az együttállása kellett ahhoz, hogy a probléma létrejöjjön:

  • karbantartás hiánya (firmware frissítések elmaradása, a biztonsági mentés rendszeres ellenőrzésének hiánya*)
  • a feladatára nem megfelelő eszköz használata, illetve olyan NAS használata, amire már nincsen technikai támogatás (régi modell)
  • valamelyik támadható szolgáltatás (pl. webes felület) elérhető az internet felől – ezt gyakran nem lehet megúszni, de amit nem muszáj nem kell kitenni a netre
* A jelen problémára sajnos nem szolgáltatott volna ez sem megoldást.

Azért a cikk végére meghagytam a happy endet, mert bár a cégnek minden adata ráment a NAS hibájára végül a legnevesebb magyar adathelyreállító cég minden bitjét képes volt még visszahozni. Így mindössze néhány munkanap esett ki a cég életéből, amíg nem tudtak dolgozni és elköltötték egy rendes fájl szerver árának többszörösét a helyreállításra. Most van egy vírusos NAS-uk, de fájl szerverük még továbbra sincs. Az adatok viszont megvannak és a bűnözők sem jutottak bevételhez. Azért mindenki tegye fel a kérdést magának, hogyha egy ilyen most vele történik meg és netán a drága helyreállítás sem vezet eredményre, akkor mihez kezd utána?

Bővebb olvasnivaló a témában, angol nyelven: https://cybersguards.com/d-link-nas-devices-are-infected-by-new-cr1ptt0r-ransomware/

Ügyfelek, akik a mi tűzfalmegoldásainkat választották

A PfSense tűzfalmegoldásokkal kapcsolatos cikk kiegészítéseként szerepeljen itt ez a rövid esettanulmány gyűjtemény, a benne szereplő cégek megnevezése nélkül, a kialakított infrastruktúrák főbb jellemzőivel.

PfSense

Egy igazi nagyvállalati infrastruktúra

Kezdjük mindjárt a legnagyobb művünkkel. 2017. végén kaptunk megbízást egy vidéki cégtől, hogy megoldást találjunk a szerver rendszerük gondjaira. Egy hatalmas projekt részeként egy komoly nagykapacitású Dell szervert vásároltak, ami a vidéki internet sávszélességek miatt egy budai szerver parkba került elhelyezésre. Itt alakítottuk ki a központi szerver rendszert, tartományvezérlőt és fájl szervert, SAP adatbázis szervert és egy terminal server kiszolgálót (RDS-t), aminek eléréséhez elengedhetetlen volt egy nagy megbízhatóságú és magas biztonsági szintet nyújtó tűzfal megoldás. A választás ezúttal is a PfSense-re esett, a pesti központban szorítottunk neki helyet a nagy Dell szerveren virtuális gép formájában, ami Hyper-V alapokon fut immáron közel másfél éve, megbízhatóan. A központi telephelyre aztán IPSec alapú site-to-site VPN megoldással összekapcsoltuk a hálózatokat, így elérhetővé vált a címtár, az SAP és néhány tűzfalas trükknek, illetve DNS beállításnak köszönhetően a terminal server szolgáltatásait is kizárólag az IPSec kapcsolaton keresztül érik el. A rendszerbe becsatlakozó bolt hálózat mind a 4 telephelyére beszerzésre került egy Dell Optiplex desktop gép, új i3-as processzorral (a hardveres kriptográfiai képességei miatt), 4GB memóriával és az elérhető legkisebb, 500GB-os merevlemezzel. A központban gigabites sávszélesség áll rendelkezésre, a telephelyeken jellemzően 20-50MBit közötti kapcsolatok, így a központi tűzfal és a telephelyeken lévők is megbírkóznak a legmagasabb AES típusú titkosítás mellett is a feladatokkal. Mivel egy telephely kivételével (ahol a másodlagos domain controller lakik) nem áll rendelkezésre a címtár, ezért az üzletek telephelyein különféle DNS trükköket (feltételes továbbítás, host és domain override, stb.) kellett alkalmazni, hogy mindenhol működőképes legyen a tartományi bejelentkezés.

Telephelyek közti VPN megoldás

A második legnagyobb

Nemrégiben kaptunk felkérést szintén egy nagyobb vidéki cégünktől, ahol a rekord 640 napos uptime-mal rendelkező tűzfalunk üzemelt eddig, hogy építsünk nekik valami hasonlót, mint a másik ügyfélnél, mert több telephelyes céggé alakulnak. A megoldásuk nagyon hasonló a másik vidéki cégéhez, egy pesti szerver parkban elhelyezett gépen virtualizálva található meg a központi PfSense rendszer, ahova a többi telephely tűzfalai csatlakoznak be IPSec megoldással, a központban lévő szerverek pedig szintén egy virtuális Hyper-V LAN-on találhatóak, ahol csak a PfSense tűzfalon keresztül lehet őket elérni. Emellett náluk még jelen van kétféle OpenVPN konfiguráció is, illetve a másik cikkben már részletezett geográfiai szűréseket is alkalmazzuk.

Tűzfal URL szűréssel

Egyik ügyfelünknél a már megszokott geográfiai szűrés mellett szerették volna a felhasználók gépein a netezést is szigorítani, letiltani például a közösségi oldalakat és egyéb nem kívánatos szolgáltatásokat. Mivel már korábban is fix IP-vel rendelkeztek a hálózaton a gépek, ezért a squid+squidguard csomagok használata mellett döntöttünk, amivel egy transzparens proxy megoldást alkottunk. Ezen beállításra került egy VIP és egy nem VIP csoport, amikbe belepakoltuk a fix IP címeket és ez alapján legyártottuk az ügyfél kérésére az URL szűrési szabályokat.

Vidéki önkormányzat törvényi megfeleléssel

Egy vidéki hivatalban a korábban kiadott törvényi előírásoknak megfelelően kellett kialakítani a hálózat biztonságát. Természetesen a PfSense rendszer tudásában minden szigorú feltételnek meg tudott felelni, még ha nem kevés munkaidőt is igényelt egy ilyen bonyolult rendszer kialakítása. Köszönhetően a számos VLAN-nak, a nagyon szigorú tűzfalszabályoknak, a Radius-alapú WIFI hálózat követelményeinek, a pluszban beszerelt 4db hálózati kártyán futó összesen kb. 8 hálózati szegmensnek.

Komoly OpenVPN szerver hardveres tűzfal mellett

Szintén egy vidéki ügyfelünknél került beüzemelésre egy komoly titkosítással bíró OpenVPN szerver, ahol a PfSense Hyper-V virtuális gépként fut, rajta összesen 5db VPN konfigurációval. Ezek közül 2 a régi mobileszközök komptibilitásának biztosítására lazább titkosítással, helyi adatbázisból történő hitelesítéssel működik. A másik 3 esetében LDAP alapú hitelesítést alkalmaztunk, ahol az Active Directory címtárban lévő különböző biztonsági csoportok tagsága alapján dönti el a rendszer egy-egy felhasználóról, hogy engedélyezi-e számára a hálózathoz való hozzáférést. A csatlakozást követően mind az 5 OpenVPN elérés esetében külön hálózati szegmenseket hoztunk létre, amelyekből a forgalom korlátozásra került, aszerint hogy melyik hálózatból érkezik a kliens csak a neki szükséges szervereket és portokat éri el.

Boldog ügyfél

A legtöbb ügyfelünk tehát sima csomagszűrő tűzfalként, vagy OpenVPN szerverként használja ezt a megoldást, ugyanakkor a fentiekből is látszik, hogy komoly, nagyvállalati megoldásokat is lehet belőle építeni némi szaktudás birtokában. Gyakran felesleges pénzkidobás megvenni a méregdrága nagyvállalati megoldásokat, mert a szükséges vagy a használandó szolgáltatások ugyanolyan minőségben elérhetőek ingyenes, Unix alapú tűzfalrendszereken is. Forduljon hozzánk bizalommal hogyha olcsó, de megbízható és biztonságos megoldásra vágyik vagy csak szeretné cégének megtalálni a legoptimálisabb megoldást.

Profi vállalati tűzfal fillérekért a FlashCom-tól

PfSense

Jelenlegi cikkemet annak apropóján írom, hogy nemrégiben egy ügyfelünknél hatalmas szerveres fejlesztési munkákat végeztünk el, ennek részeként pedig a 2017. májusában beüzemelt tűzfalukat időszerű volt már frissítenünk. Ritkaság ilyet látni, hogy egy rendszer ilyen stabil legyen, a 640 napja egy vidéki ügyfélnél hagyott linuxos (FreeBSD alapú) tűzfalrendszerünk, ami nagyon sok ügyfélnél bizonyított és bizonyít jelen pillanatban is egyetlen újraindítás nélkül élt meg közel 2 évet! Számos konfigurációs feladat merült fel rajta az elmúlt 2 évben, de ezeket mindet átvészelte újraindítás nélkül, ami hatalmas teljesítmény a 21. század hardver és szoftver hibákkal tarkított mindennapjaiban.

PfSense tűzfal uptime

Természetesen hiába a linuxos alaprendszer híres megbízhatósága, ehhez a teljesítményhez megbízható hardver megoldás is kellett. Jelen esetben egy belépőszintű, gyakorlatilag a desktop gépek kategóriájához sorolható Dell PowerEdge T20-as szerver adta a “vasat” a rendszer alá, amely korábban szerverként már néhány évet üzemelt náluk, így legalább akkora dícséret illeti ezért, amekkora a rajta futó tűzfalrendszert.

Dell T20 szerver

Nagyon sok ilyen tűzfal gépünk fut kint jelenleg is ügyfeleknél, ezekhez nagyon sok esetben vagy egy ügyfél által korábban kiselejtezett, de még megbízható gépet használtunk, vagy egy megbízható brand desktop gépet (Dell vagy HP) rendeltünk számukra két (vagy több) hálózati kártyával. Erre kerül rá aztán a sokak számára ismerősen hangzó PfSense alaprendszer, amihez társul 25 év szakmai tapasztalata és a végeredmény egy 20-25 ezer forintból felépülő vállalati tűzfalmegoldás, ami tudásában még nagyobb vállalatoknak is megfelelő választás lehet. Néhány kompromisszummal még a nagy IT biztonsági multik által kínált céleszközök szintjét is el lehet vele érni. Azért csak kompromisszumokkal, mert azért mégis csak egy ingyenes tűzfalrendszer, aminek nyilván vannak gyengéi is, mint például a kliens oldali vírusvédelem hiánya vagy a spam-ek elleni védelemhez, illetve a profi URL szűrésekhez használható tudásbázis, amit a nagy gyártók kemény díjakért kínálnak nekünk készen. Még ez is elérhető itt, de nem annyira profin, nem annyira naprakészen és nem annyira konyhakészen. Emellett egyes gyártók (mint pl. Fortinet vagy Sonicwall) nem Unix alapú rendszerekkel dolgoznak, illetve nem Intel alapú hardvermegoldásokkal, ami szintén szűkíti a támadási lehetőségek körét. Itt jelen esetben a FreeBSD-hez vagyunk kötve, ami abban az esetben lehet érdekes, hogyha az alap operációs rendszer miatt válik valami törhetővé. Ne feledjük azért, hogy a nagy brand gyártók legtöbb terméke (pl. Cisco) is Unix alapokon nyugszik. Így ezek a termékek ugyanúgy tartalmazzák az esetleges Unix sérülékenységeket. A hátrányok ezzel nagyjából el is fogytak, nézzük azt mit tud adni nekünk.

Egyrészt lehetőségünk van vastag VPN (erősen titkosított) megoldások használatára, akár komoly titkosítású OpenVPN szerverről, akár telephelyek közti IPSec-ről legyen szó, de nem kell lemondanunk a különböző malware-ek elleni védelemről sem, mert a feketelista alapú szűrések mellett lehetőségünk van geográfiai alapú IP szűrésre is, de letöltehetőek különböző proxy modulok, vírusvédelem, URL szűrés, vagy éppen behatolás érzékelő rendszerek is. Szinte csak a képzelet szab határt, na meg persze a hardver, az alap modulok használatához ugyanis egy ősrégi PC is elég akár, de ha komoly titkosítással bíró VPN rendszert akarunk üzemeltetni, akkor a sávszélesség, illetve a redundancia igény függvényében akár egész komoly hardverre is szükségünk lehet. Ahogyan a bevezetőből is látszik, ha rászánunk egy kis extra keretet, akkor egy brand szerver segítségével bármelyik nagy gyártó tűzfal megoldásával vetekedő rendszerünk lehet, annak az árnak a töredékéből.

A megfelelő hardver kiválaszása, a szoftver megfelelő telepítése és konfigurálása természetesen nem egyszerű feladat, de kellő tapasztalattal és szakértelemmel bárki számára elérhető megoldás lehet. A korábbi, IT biztonsággal foglalkozó cikkeinkben (Gondolatok az IT biztonságról – Social engineering, Gondolatok az IT biztonságról 2. – egy majdnem bekövetkezett katasztrófa története) mindben szóba került már ez a megoldási alternatíva. Sok cég életében akkor jött el egy ilyen rendszer bevezetésének ötlete, amikor már egy katasztrófán vagy nehéz helyzeten átestek. Érdemes ezt megelőzni és ajánlatot kérni a kialakításra, mert rengeteg bajtól tud minket megóvni.

Milyen egyéb hozzáadott értékeket nyújtunk mi?

Természetesen a felvázolt szerepkörök, a nyújtandó szolgáltatások alapján segítünk kapacitást tervezni és kiválasztani a feladathoz a megfelelő hardvert. A hálózat kialakításnál ezt követően lehetőség szerint két hálózati kártyát (WAN és LAN) használunk, ahol a megfelelő hálózati eszköz ellátottság esetén VLAN-okkal növeljük tovább a biztonságot. A legtöbb tűzfalunkon kialakításra kerül megfelelő titkosítású OpenVPN elérés, illetve adott esetben site-to-site VPN megoldásként IPSec VPN megoldások. Egy külön tűzfalcsomag telepítésével megvalósítjuk a legtöbb helyen a malware szűrést feketelisták alapján, illetve a geográfiai szűrést az ügyféllel egyeztetve. Itt érdemes megállni pár szóra. Ennek a szűrőnek az a lényege, hogy akár országokra bontva tudjuk IP cím alapján korlátozni a bejövő kapcsolatokat. Vannak ún. illegális tevékenységektől erősen fertőzött országok a világban, ha ezek teljes kikapcsolására lehetőségünk van, akkor töredékére tudjuk csökkenteni egy sikeres támadás esélyét. Tehát például ha lekapcsolható teljes Dél-Amerika, Afrika, Oroszország és Ázsia nagy része, akkor ezzel önmagában harmadára szorítottuk vissza a lehetséges támadások számát. Innentől semmilyen hálózati kapcsolatot nem engedélyez a tűzfalunk a hálózatunk irányába. A szabályokat ügyfeleinkkel közösen szoktuk meghozni, mivel ebben az esetben a rendszer távoli elérése sem lesz lehetséges később ezekből az országokból, hacsak az oda utazó felhasználó ezt külön nem kéri az utazás előtt.

PfSense tűzfalrendszer virtuális gépen? Miért ne?

Ugyan sokan félnek ettől a fajta kialakítástól, de nem kell. Több ügyfelünknél évek óta futnak Microsoft Hyper-V alapú virtualizáció segítségével ilyen tűzfal gépek, amelyekre ugyanúgy igaz, hogy sosem kell őket újraindítani, csak ha nagy release frissítést végzünk rajta. Ez esetben viszont hardvert sem kell külön vásárolni a célra, mindössze szorítani neki helyet egy nagyobb “vason”.

PfSense

Tűzfalrendszereinket rengetegen használják a legkülönbözőbb feladatokra, a legösszetettebbtől az egyszerű csomagszűrésig. A legtöbb ilyen tűzfalunkról, a cégek megnevezése nélkül ebben az esettanulmányunkban olvashat részleteket.