“Suksessfulle hendelser skjer i tillatt trafikk, i teknologi, tillatt av mennesker, i teknologi!”
Slik er det gang på gang. Og hva kan vi gjøre med det?
Når jeg optimaliserer regelsett møter jeg mange forskjellige utfordringer. Ingen kunder er like. Noen har gjort mye, noen har gjort lite. En fellesnevner spesielt i forbindelse med adressering av VG testen er at servere går ut på internett via generelle og åpne regler uten referanser til noe som helst. Når man fra der skal begrense utgående kommunikasjon med Least Privilege tankesett må man begrense med forskjellige variabler:
- Er det ssl eller web-browsing, knytter man reglene sammen med hvilke URL’er serveren skal nå
- Er det ftp eller ssh vil man ikke ha noen URL å knytte tilgangskontrollen til.
- Utgående kommunikasjon med disse protokollene skjer typisk mot noen veldig få destinasjoner, men hvordan skal man lage gode regelsett for disse? Man ser gjerne kommunikasjonen mot en eller flere IP adresser, men å bruke IP adresse i regelsett er i utgangspunktet fyfy, så man ønsker heller å legge inn et gyldig FQDN som typisk allerede er brukt i applikasjonen.
Men hvordan skal man finne FQDN for en IP adresse uten å spørre applikasjonseierne? Og reverse DNS vil ikke svare på det, da det er noe annet. Det man må bruke er passiv DNS (les mer om det i denne artikkelen)!
Mnemonic har publisert en egen passiv DNS tjeneste som er åpen for alle. Denne gir ikke alle svar, men det hjelper mye: https://passivedns.mnemonic.no/
Jeg anbefaler derfor alle å sjekke ut denne tjenesten og se om den vil bidra til en bedret sikkerhet hos dere.
Destination IP adressen i eksempelet resulterte i FQDN ftp.normatic.no som nå ligger i regelsettet som tillater 10.100.250.20 ftp kommunikasjon mot internett, men bare mot ftp.normatic.no. Det er Least Privilege. Det er adressering av VG testen folkens.
Leave a Reply