CISA: firewall die uitgaand verkeer blokkeert had SolarWinds-aanval gestopt
Een firewall die was ingesteld om uitgaand verkeer te blokkeren had de SolarWinds-aanval bij organisaties gestopt, zo stelt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security op vragen van de Amerikaanse senator Ron Wyden.
Bij de aanval wisten aanvallers toegang te krijgen tot systemen van softwarebedrijf SolarWinds. Vervolgens werden updates voor het Orion-platform van SolarWinds voorzien van een backdoor, die met verschillende domeinen verbinding maakte. Via deze backdoor konden de aanvallers aanvullende malware bij een selecte groep slachtoffers installeren. Tijdens een briefing over de aanval liet de directeur van SolarWinds weten dat er geen reden was om Orion-servers verbinding met willekeurige servers op het internet te laten maken.
Wyden vroeg het CISA of de SolarWinds-malware kon worden geneutraliseerd wanneer getroffen organisaties een firewall gebruikten die uitgaande verbindingen van de Orion-servers naar het internet blokkeerde. Dat is inderdaad het geval, aldus de Amerikaanse overheidsinstantie in een antwoord op de vraag van de senator (pdf). Het CISA is bekend met verschillende netwerken van getroffen organisaties waar de firewall uitgaande verbindingen van de backdoor blokkeerde en zo er geen aanvullende malware werd geïnstalleerd.
Wel waarschuwt de overheidsinstantie dat het gebruik van een firewall die uitgaand verkeer blokkeert niet bij alle inbraken op systemen van toepassing is. Daarnaast kan het instellen van een firewall op deze manier mogelijk niet haalbaar zijn gegeven de operationele vereisten van sommige overheidsinstellingen.
hierbij moet je wel denken aan bedrijven met veel onderzoek gegevens of de NSA ofzo
Om controle te houden.
'k Ben eigenlijk wel blij dat vb. Barracuda firewalls dat doen. Natuurlijk staan de gebruikelijke poortjes open naar buiten toe (mail, http, https, ...) . Maar voor bijvoorbeeld whatsapp moeten er regeltjes komen.
selectief uitgaand verkeer blokkeren!
Het punt is dat stateless firewall beheer heel veel tijd kost, alles en iedereen moet voor een kwartje op de 1e rij en dus stel je je firewall statefull in. dat houdt in dat sessies die van binnenaf wordt opgezet worden bijgehouden in de firewall states tabel en dat terugkomend verkeer, whatever protocol (established, of related) altijd wordt toegestaan.
Als ICT baas van een bedrijf zeg je dan eigenlijk, full control dat is niet nodig.
Als je full control wil dan moet je niet voor statefull gaan!
Inkomend verkeer is logischer, daar komen de meeste bedreigingen vandaan. Uitgaande regels zijn ineens reuze zinvol als men eenmaal je netwerk is binnengedrongen. Dan heeft malware geen vrije uittocht naar buiten.
Het is heel makkelijk om verkeer naar buiten te laten gaan over alle poorten en voor alle devices, het zo gehete any/any/any principe, maar dit maakt je netwerk enorm onveilig.
Door selectief poorten en services open te zetten voor specifieke netwerken/hosts in de firewall, kun je 99% van de aanvallen al tegen gaan. Zeker met specifieke monitoring software, is het ten alle tijden verstandig om specifieke regels voor uitgaande verkeer te maken en dit in een gesloten baan te laten leiden zodat er geen additionele software geïnstalleerd kan worden of het monitoring pakket wordt doorverwezen naar een malafide farm van servers.
Dit is overigens 'best practice' voor vrijwel alle firewalls en/of services.
Meer informatie, zie het volgende artikel:
https://securityskeptic.typepad.com/the-security-skeptic/firewall-best-practices-egress-traffic-filtering.html
Dat staat letterlijk in 2e stukje van het artikel. Of mis ik zelf iets?
selectief uitgaand verkeer blokkeren!
Het punt is dat stateless firewall beheer heel veel tijd kost, alles en iedereen moet voor een kwartje op de 1e rij en dus stel je je firewall statefull in. dat houdt in dat sessies die van binnenaf wordt opgezet worden bijgehouden in de firewall states tabel en dat terugkomend verkeer, whatever protocol (established, of related) altijd wordt toegestaan.
Als ICT baas van een bedrijf zeg je dan eigenlijk, full control dat is niet nodig.
Als je full control wil dan moet je niet voor statefull gaan!
Jij moet nog even terug naar school! met een statefull firewall kun je je zaakjes juist veel beter regelen dan stateless.
Stateless firewalls zijn er de oorzaak van dat je zoveel inkomende connecties ziet met "well known ports" als sourceport.
Anders is het nog dat je aan de grens de chauffeur van de Combi op z'n blauwe
ogen geloofd zonder even in z'n laadbakkie te spieken wat ie echt bij zich heeft.
even in Jip en Janneke taal
Anders is het nog dat je aan de grens de chauffeur van de Combi op z'n blauwe
ogen geloofd zonder even in z'n laadbakkie te spieken wat ie echt bij zich heeft.
even in Jip en Janneke taal
Maar wil je dat voor alle verkeer doen dan? Dan ben je wel erg lang mee bezig en heb je heel veel personeel nodig dat zich alleen met het inspecteren bezig houdt.
Het is net een douane, als de douane iedereen tegenhoudt is er geen stroming en ontstaat er file en op een gegeven moment is schiphol vol en kunnen geen nieuwe patiënten in naar binnen. Omdat 1 passagier wellicht drugs mee heeft.
Om controle te houden.
'k Ben eigenlijk wel blij dat vb. Barracuda firewalls dat doen. Natuurlijk staan de gebruikelijke poortjes open naar buiten toe (mail, http, https, ...) . Maar voor bijvoorbeeld whatsapp moeten er regeltjes komen.
Waarom zou je whatsapp blokkeren? Whatsapp draait ook in een browser (https) trouwens en mensen kunnen hun eigen DNS instellen. Stel je het dan ook zo in dat ze alleen via eigen DNS server hostnames kunnen resolven?
De discussie statefull vs, stateless heeft IMHO meer betrekking op inkomend verkeer.
Om controle te houden.
'k Ben eigenlijk wel blij dat vb. Barracuda firewalls dat doen. Natuurlijk staan de gebruikelijke poortjes open naar buiten toe (mail, http, https, ...) . Maar voor bijvoorbeeld whatsapp moeten er regeltjes komen.
Het hangt van de organisatie , maar in enterprises is 'mail' standaard open naar buiten (smtps ? imap/pop ? ) niet gebruikelijk .
Het is helemaal niet normaal/gebruikelijk dat op kantoorwerkplekken andere mailservers gebruikt worden dan de 'eigen' .
Overigens is voor praktisch alle malware en gewone clients 'http/https open' voldoende .
Omdat er op firewalls zo vaak andere poorten dicht staan is 'alles over http' de norm geworden.
Ik denk dat ook bij de Solarwinds exploit alleen "helemaal niet naar buiten" geholpen zou hebben .
En het is een vervelende keuze met alle software waarbij updates of plugins gedownload worden om dat volledig met de hand naar de servers te brengen.
Liefst wil je inderdaad goed controleren wat/waar je servers verbinding mee maken.
Maar in de situatie "server haalt (zelf) software updates (en AV updates, etc ) op , dan wordt het al heel erg snel een any/443 en any/80 open . En voor het later binnenhalen van malware payload is dat al voldoende.
Omdat ontzettend veel update servers op een CDN gehost worden - dan is het bijhouden van regels erg veel werk , plus dat ze zo breed worden dat het amper meer zin heeft .(alle prefixen van amazon, azure, akamai ).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
