image

VS verplicht instanties om interface routers, firewalls en vpn's offline te halen

dinsdag 13 juni 2023, 17:18 door Redactie, 34 reacties

Federale Amerikaanse overheidsinstanties zijn opgedragen om alle beheerinterfaces van routers, switches, firewalls, vpn's, loadbalancers en proxies die vanaf internet benaderbaar zijn offline te halen. Het bevel is afkomstig van het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Dat stelt dat aanvallers steeds vaker via verkeerd geconfigureerde netwerkapparaten organisaties weten te compromitteren.

De afgelopen maanden zijn in netwerkapparatuur allerlei kwetsbaarheden gevonden die bijvoorbeeld via de beheerinterface zijn te misbruiken. Ook komt het voor dat de apparaten verkeerd zijn geconfigureerd of op andere wijze slecht zijn beveiligd. "Het risico wordt verder vergroot als beheerinterfaces direct vanaf het publieke internet benaderbaar zijn. De meeste beheerinterfaces zijn ontwikkeld om vanaf aparte fysieke interfaces of managementnetwerken te worden benaderd en zouden niet vanaf het publieke internet benaderbaar moeten zijn", aldus het CISA.

Het CISA heeft de mogelijkheid om federale overheidsinstanties via een "Binding Operational Directive" tot het uitvoeren van bepaalde acties te verplichten. De nieuwste Binding Operational Directive, met het nummer "23-02", heeft als doel om de risico's van "internet exposed management interfaces" weg te nemen. Het gaat dan om beheerinterfaces voor routers, switches, firewalls, vpn-servers, proxies, load balancers en out of band server management interfaces, zoals iLo en iDRAC.

Als voorbeeld noemt het CISA interfaces die via http, https, ftp, snmp, telnet, tftp, rdp, rlogin, rsh, ssh, smb en vnc toegankelijk zijn. In het geval het CISA of ander agentschap een overheidsinstantie over dergelijke interfaces inlicht, krijgen die veertien dagen de tijd om de interface offline te halen, zodat die alleen via een intern enterprise netwerk toegankelijk is, waarbij het CISA aanraadt een apart beheernetwerk te gebruiken.

De Amerikaanse overheidsinstantie geeft aan dat het bij federale overheidsinstanties op toegankelijke interfaces gaat scannen. Verder moeten instanties zelf al hun bestaande en nieuwe interfaces alleen vanaf het interne netwerk toegankelijk maken en de interface beveiligen als onderdeel van een Zero Trust Architecture.

Reacties (34)
13-06-2023, 17:27 door _R0N_
Wat een land is dat toch ook. Er moeten dus regels komen omdat beheerders van overheids instanties zelf niet na kunnen denken.
13-06-2023, 17:49 door Anoniem
Door _R0N_: Wat een land is dat toch ook. Er moeten dus regels komen omdat beheerders van overheids instanties zelf niet na kunnen denken.
Ik denk niet dat het in veel andere landen beter is.
13-06-2023, 18:00 door Anoniem
Door _R0N_: Wat een land is dat toch ook. Er moeten dus regels komen omdat beheerders van overheids instanties zelf niet na kunnen denken.
Dat is in Nederland toch niks beter? Hier lees je ook om de haverklap hoeveel tienduizenden exemplaren van een of
ander device wat net weer vulnerable gebleken is bij openstaande management interface er actief zijn...
13-06-2023, 18:12 door Anoniem
Er moeten dus regels komen omdat beheerders van overheids instanties zelf niet na kunnen denken.
Eh... Dat is toch gewenst gedrag? Niet nadenken, maar protocol en procedure volgen. Wordt er al jaren lang in geramd.
Zie: het is gelukt. Zelf nadenken doen we niet meer.
13-06-2023, 18:49 door Anoniem
Door _R0N_: Wat een land is dat toch ook. Er moeten dus regels komen omdat beheerders van overheids instanties zelf niet na kunnen denken.

Nou dat zou hier ook geen slecht idee zijn als je ziet wat er allemaal aan het internet hangt...
13-06-2023, 19:44 door Anoniem
Door _R0N_: Wat een land is dat toch ook. Er moeten dus regels komen omdat beheerders van overheids instanties zelf niet na kunnen denken.
je vergeet dat beveiliging niet altijd nodig is, bij security leer je risico + impact analyse te maken, en als je er realistisch naar kijkt is de gemiddelde kosten van security vaak hoger dan kosten gedeeld door kans dat het fout gaat. Kans dat er iets gebeurd wat daadwerkelijk probleem is, is vrij klein. Oplossing is vaak goedkoop.
13-06-2023, 20:26 door karma4
Door _R0N_: Wat een land is dat toch ook. Er moeten dus regels komen omdat beheerders van overheids instanties zelf niet na kunnen denken.

Niet veel anders dan open source fanatici die beweren dat omdat het open source is, beheerinterfaces via publiek internet geen probleem zou zijn.
Gebrek aan netwerksegmentatie is een terugkerend fenomeen.
13-06-2023, 21:06 door Anoniem
Door karma4:
Door _R0N_: Wat een land is dat toch ook. Er moeten dus regels komen omdat beheerders van overheids instanties zelf niet na kunnen denken.

Niet veel anders dan open source fanatici die beweren dat omdat het open source is, beheerinterfaces via publiek internet geen probleem zou zijn.
Gebrek aan netwerksegmentatie is een terugkerend fenomeen.
Het gaat voornamelijk om closed source spullen, niet over whataboutism
13-06-2023, 21:15 door Anoniem
Door karma4:
Door _R0N_: Wat een land is dat toch ook. Er moeten dus regels komen omdat beheerders van overheids instanties zelf niet na kunnen denken.

Niet veel anders dan open source fanatici die beweren dat omdat het open source is, beheerinterfaces via publiek internet geen probleem zou zijn.
Gebrek aan netwerksegmentatie is een terugkerend fenomeen.

nou het zijn anders wel heel vaak de windows RDP die powned worden....
13-06-2023, 22:03 door Anoniem
Door karma4:
Door _R0N_: Wat een land is dat toch ook. Er moeten dus regels komen omdat beheerders van overheids instanties zelf niet na kunnen denken.

Niet veel anders dan open source fanatici die beweren dat omdat het open source is, beheerinterfaces via publiek internet geen probleem zou zijn.
Gebrek aan netwerksegmentatie is een terugkerend fenomeen.

Nee Karma4, je zit er weer falikant naast. Er is niemand die zegt dat een beheerinterface aan het internet een goede keuze is, de enige die beweert dat voorstanders van opensource dat zouden willen/beweren ben jij.
14-06-2023, 07:20 door Anoniem
Nou dan gaat men op shodan het nog druk krijgen met in beeld brengen wat er allemaal open staat.
Veel plezier op scannen met IntelliTamper etc.

Het is net als met het bestrijden van de narcostaat.
Dat gebeurt ook niet, omdat de bovenwereld er een zeer goed leven door heeft,
zelfs als ze hun hele leven geen gram hebben aangeraakt.
Ze krijgen een jaarsalaris maar dan per maand - het mag wat kosten.

Net zo kansloos als alles digitaal monitoren en totale surveillance van alle burgers.
Helpt ook (cyber)crime de wereld niet uit.
Chaos creëren is veel profijtelijker.
Dus zit op je handen en laat de verloedering en afstomping toenemen.

Waarom komt de hele maatschappij niet tot bovenstaande conclusie?

#webproxy
14-06-2023, 07:30 door karma4
Door Anoniem: Nee Karma4, je zit er weer falikant naast. Er is niemand die zegt dat een beheerinterface aan het internet een goede keuze is, de enige die beweert dat voorstanders van opensource dat zouden willen/beweren ben jij.

Ik beweer dat open source fanatici blind zijn voor gedegen security by design. Gezien de reacties wordt dat prima onderbouwd.

De hele lijst met tools welke je voor beheer niet open met zetten op publiek internet betreft open source tools. Natuurlijk ook andere siftware aanduidingen. De supply chain is voor het afschuiven van verantwoordelijkheden kwetsbaar.

Een apart intern beheernetwerk betreft netwerk segmentatie. Zie artikel. Je zou verwachten dat zoiets normaal is. Waarom.niet?
14-06-2023, 07:49 door Anoniem
Door karma4:
Door Anoniem: Nee Karma4, je zit er weer falikant naast. Er is niemand die zegt dat een beheerinterface aan het internet een goede keuze is, de enige die beweert dat voorstanders van opensource dat zouden willen/beweren ben jij.

Ik beweer dat open source fanatici blind zijn voor gedegen security by design. Gezien de reacties wordt dat prima onderbouwd.

De hele lijst met tools welke je voor beheer niet open met zetten op publiek internet betreft open source tools. Natuurlijk ook andere siftware aanduidingen. De supply chain is voor het afschuiven van verantwoordelijkheden kwetsbaar.

Een apart intern beheernetwerk betreft netwerk segmentatie. Zie artikel. Je zou verwachten dat zoiets normaal is. Waarom.niet?

Fanatici zijn sowieso blind binnen waar ze fanatiek in zijn. Is een open deur.

Net zo'n open deur: netwerksegmentatie en het beheersegment ver van internet houden.
Dat mensen dat niet doen heeft niets te maken met open- of closed-source, maar met onwetendheid of verkeerde risico-voordeel-afweging.

Dat de lijst met tools veel open-source bevat is niet zo gek. Een fabrikant van apparatuur heeft geen enkel belang bij een spiffy beheerapplicatie die ook het beheer van een apparaat van de concurrent prima uitvoert.
14-06-2023, 09:13 door _R0N_
Door Anoniem:
Door _R0N_: Wat een land is dat toch ook. Er moeten dus regels komen omdat beheerders van overheids instanties zelf niet na kunnen denken.

Nou dat zou hier ook geen slecht idee zijn als je ziet wat er allemaal aan het internet hangt...

Lijkt me toch we handig dat routers,switches en firewalls aan het internet hangen
14-06-2023, 09:15 door _R0N_
Door karma4:
Door _R0N_: Wat een land is dat toch ook. Er moeten dus regels komen omdat beheerders van overheids instanties zelf niet na kunnen denken.

Niet veel anders dan open source fanatici die beweren dat omdat het open source is, beheerinterfaces via publiek internet geen probleem zou zijn.
Gebrek aan netwerksegmentatie is een terugkerend fenomeen.

Nee, dat heeft niets met OS/CS te maken maar met clue loze engineers.
14-06-2023, 09:16 door _R0N_
Door Anoniem:
Door karma4:
Door _R0N_: Wat een land is dat toch ook. Er moeten dus regels komen omdat beheerders van overheids instanties zelf niet na kunnen denken.

Niet veel anders dan open source fanatici die beweren dat omdat het open source is, beheerinterfaces via publiek internet geen probleem zou zijn.
Gebrek aan netwerksegmentatie is een terugkerend fenomeen.

nou het zijn anders wel heel vaak de windows RDP die powned worden....

Dat valt op zich ook wel mee, Apache servers worden vaker te grazen genomen dan RDP ;-)

#nuttelozeinfo
14-06-2023, 09:26 door Anoniem
Dit lijkt me helemaal prima, alleen nog zuur voor de reeds gehackte Forti SSL VPNs, daarlangs kunnen ze gewoon bij alle interne beheerinterfaces
14-06-2023, 09:36 door Anoniem
Door Anoniem: Dit lijkt me helemaal prima, alleen nog zuur voor de reeds gehackte Forti SSL VPNs, daarlangs kunnen ze gewoon bij alle interne beheerinterfaces

Je moet ook geen Fortinet aan het internet hangen, dat is vragen om problemen.
14-06-2023, 09:46 door Anoniem
Door _R0N_:
Door Anoniem:
Door karma4:
Door _R0N_: Wat een land is dat toch ook. Er moeten dus regels komen omdat beheerders van overheids instanties zelf niet na kunnen denken.

Niet veel anders dan open source fanatici die beweren dat omdat het open source is, beheerinterfaces via publiek internet geen probleem zou zijn.
Gebrek aan netwerksegmentatie is een terugkerend fenomeen.

nou het zijn anders wel heel vaak de windows RDP die powned worden....

Dat valt op zich ook wel mee, Apache servers worden vaker te grazen genomen dan RDP ;-)

#nuttelozeinfo

nope :

https://www.zdnet.com/article/fbi-and-cisa-warn-this-ransomware-is-using-rdp-flaws-to-break-into-networks/
https://www.malwarebytes.com/blog/news/2021/02/rdp-the-ransomware-problem-that-wont-go-away
https://www.paloaltonetworks.com/blog/2021/07/diagnosing-the-ransomware-deployment-protocol/
14-06-2023, 10:12 door Anoniem
Als alles al uit Mainland China komt, gaat je infrastructuur en surveillance maatschappij ook steeds meer op Mainland China lijken. Waarom heeft men zich zo afhankelijk gemaakt?

Nu is er nogal wat Kung Fu nodig om hieruit te geraken.
Wat is het geluid van 1 klappende hand?

#webproxy
14-06-2023, 10:14 door Anoniem
En hoe moet je dan toch remote beheer doen?
14-06-2023, 10:42 door Anoniem
Door _R0N_:
Door Anoniem:
Door _R0N_: Wat een land is dat toch ook. Er moeten dus regels komen omdat beheerders van overheids instanties zelf niet na kunnen denken.

Nou dat zou hier ook geen slecht idee zijn als je ziet wat er allemaal aan het internet hangt...

Lijkt me toch we handig dat routers,switches en firewalls aan het internet hangen

Begrijp je nou echt niet wat er bedoeld wordt?
Waar dit artikel over gaat is dat als je routers, switches en firewalls hebt die een poort op internet hebben, je NIET moet
enablen dat de management/configuratie user interface ook via die poort toegankelijk is.
Dus alleen "van binnenuit", niet "vanaf internet".
14-06-2023, 10:48 door Anoniem
Door _R0N_:
Door Anoniem:
Door karma4:
Door _R0N_: Wat een land is dat toch ook. Er moeten dus regels komen omdat beheerders van overheids instanties zelf niet na kunnen denken.

Niet veel anders dan open source fanatici die beweren dat omdat het open source is, beheerinterfaces via publiek internet geen probleem zou zijn.
Gebrek aan netwerksegmentatie is een terugkerend fenomeen.

nou het zijn anders wel heel vaak de windows RDP die powned worden....

Dat valt op zich ook wel mee, Apache servers worden vaker te grazen genomen dan RDP ;-)

#nuttelozeinfo

Je hebt natuurlijk een prima onderbouwing voor je bewering?
14-06-2023, 11:15 door -Peter-
Door Anoniem:
Door _R0N_:
Door Anoniem:
Door karma4:
Door _R0N_: Wat een land is dat toch ook. Er moeten dus regels komen omdat beheerders van overheids instanties zelf niet na kunnen denken.

Niet veel anders dan open source fanatici die beweren dat omdat het open source is, beheerinterfaces via publiek internet geen probleem zou zijn.
Gebrek aan netwerksegmentatie is een terugkerend fenomeen.

nou het zijn anders wel heel vaak de windows RDP die powned worden....

Dat valt op zich ook wel mee, Apache servers worden vaker te grazen genomen dan RDP ;-)

#nuttelozeinfo

nope :

https://www.zdnet.com/article/fbi-and-cisa-warn-this-ransomware-is-using-rdp-flaws-to-break-into-networks/
https://www.malwarebytes.com/blog/news/2021/02/rdp-the-ransomware-problem-that-wont-go-away
https://www.paloaltonetworks.com/blog/2021/07/diagnosing-the-ransomware-deployment-protocol/

Wat wil je hiermee zeggen? Dit zijn allemaal artikelen over ransomware. Niemand zegt dat Apache gebruikt wordt om ransomware te verspreiden.

het is wel jammer dat dit soort fanatici een slechte indruk achterlaten.

Peter
14-06-2023, 11:18 door -Peter-
Door Anoniem: En hoe moet je dan toch remote beheer doen?

VPN

Bij voorkeur heb je zelfs een aparte VPN omgeving voor beheer. Zodat je je gebruikers kunt helpen.

Als de beheer-VPN uitvalt, kunnen je gebruikers gewoon doorwerken in de tijd dat het jou kost om naar de site te gaan om je eigen VPN weer op te brengen. Duurt dat te lang (of kost dat te veel) dan zul je andere maatregelen moeten nemen.
Een beheer-beheer-VPN?

Peter
14-06-2023, 12:23 door karma4
Door _R0N_: Nee, dat heeft niets met OS/CS te maken maar met clue loze engineers.
Dat zeg ik toch. Wat dat betreft zijn we het eens.
14-06-2023, 12:30 door Anoniem
management access-class console-only
copy running-config startup-config
reload
14-06-2023, 12:47 door Anoniem
Door Anoniem: En hoe moet je dan toch remote beheer doen?
Via een VPN verbinding met MFA en als mogelijk remote beheer beperken door bijv. bij 5 foute inlogpogingen het account te blokken en beheer alleen mogelijk maken vanaf één remote IP-adres en gebruikmaken van een landentabel. Als beheer alleen vanuit Nederland is dan alle andere landen blokken.
14-06-2023, 14:58 door _R0N_
Door Anoniem: En hoe moet je dan toch remote beheer doen?

als je die vraag moet stellen gewoon niet
14-06-2023, 15:30 door Anoniem
Door _R0N_:
Door Anoniem: En hoe moet je dan toch remote beheer doen?

als je die vraag moet stellen gewoon niet
Dat is niet altijd mogelijk omdat remote beheer/support nodig kan/moet zijn.
Remote beheer moet alleen niet via de WAN kant van de router/firewall/UTM en deze zal altijd permanent afgesloten moeten zijn.

Zorg dat je op een veilige manier kunt inloggen op een achterliggend systeem wat daar speciaal voor is ingericht, en dan;
Via een VPN verbinding met MFA en als mogelijk remote beheer beperken door bijv. bij 5 foute inlogpogingen het account te blokken en beheer alleen mogelijk maken vanaf één remote IP-adres en gebruikmaken van een landentabel. Als beheer alleen vanuit Nederland is dan alle andere landen blokken. Aanvullend alles permanent loggen.
14-06-2023, 17:00 door Anoniem
VS verplicht instanties om interface routers, firewalls en vpn's offline te halen

Hoe eerder ook Nederland een vergelijkbare verordening afkondigd, des te beter.
14-06-2023, 18:10 door Anoniem
Door Anoniem: En hoe moet je dan toch remote beheer doen?
Je belt met de bewaking en vertelt hen wat ze moeten doen. :)
15-06-2023, 08:40 door Anoniem
Door Anoniem:
Door _R0N_: Wat een land is dat toch ook. Er moeten dus regels komen omdat beheerders van overheids instanties zelf niet na kunnen denken.
je vergeet dat beveiliging niet altijd nodig is, bij security leer je risico + impact analyse te maken, en als je er realistisch naar kijkt is de gemiddelde kosten van security vaak hoger dan kosten gedeeld door kans dat het fout gaat. Kans dat er iets gebeurd wat daadwerkelijk probleem is, is vrij klein. Oplossing is vaak goedkoop.

Die mentaliteit is exact waarom het zo vaak fout gaat! all bij ug bedrijven gezien.
Ja maar het gaat al x jaar goed zonder ook maar iets van beveiliging. als het een keer x kost hebben we al die jaren niets doen er uit.

Daarnaast denk ik dat de US een mooi voorbeeld is voor regels met betrekking tot security.
Gezien veel It-ers het wel goed willen doen maar het management / directie het te veel geld vindt kosten.
Wordt er tegen beter weten in, Niets gedaan.

Enige manier om het op orde te krijgen is het afdwingen hier van.
15-06-2023, 16:32 door Anoniem
Door Anoniem:
Door _R0N_: Wat een land is dat toch ook. Er moeten dus regels komen omdat beheerders van overheids instanties zelf niet na kunnen denken.
je vergeet dat beveiliging niet altijd nodig is, bij security leer je risico + impact analyse te maken, en als je er realistisch naar kijkt is de gemiddelde kosten van security vaak hoger dan kosten gedeeld door kans dat het fout gaat. Kans dat er iets gebeurd wat daadwerkelijk probleem is, is vrij klein. Oplossing is vaak goedkoop.
Dus je maakt een risico + impact analyse waarbij je aangeeft dat de risico vrij klein is, zo'n bedrijf heeft dus zijn automatisering zeker niet op orde aan de hand van deze analyse.

Laat me je één ding verzekeren, zo'n bedrijf is gezien de praktijk ervaringen binnen 2 jaar failliet als deze gehackt wordt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.