Förberedelser

av Stefan Pettersson

Scout som gör hälsning med USA:s flagga i bakgrunden.

Scouternas motto må vara lite obehagligt pretentiöst men det är ändå synnerligen viktigt i säkerhetssammanhang. Jag vet inte hur scoutkåren definerar det men jag skulle säga att huruvida man är redo eller inte beror på förberedelser.

Jag illustrerar med en kort historia:

Kommer tillbaka från lunchen, sätter mig ner, Adam sticker in huvudet genom dörren och frågar om det är något problem med mailservern. Tittar på skärmarna på väggen; Nagios visar att både mailservrar och namnservrar är gröna, MRTG visar att trafiken har kickat igång igen efter lunchnedgången. ”Nä, inte vad jag vet, hurså?”, frågar jag. Adam förklarar att varken han eller Bertil kan skicka mail till kund X eller Y.

Kund X och Y har inget med varandra att göra. Skickar ett mail till min privata adress, inga problem. Kontrollerar mailserverns utgående ip-adress i diverse blacklists på mxtoolbox.com. Hoppsan, blacklistad på två olika listor. Har vi skickat spam?

Just fan, Caesar höll ju på med den där Java-Tomcat-ärendehanterings-tjofset som behövde komma ut på internet över smtp. Snabb sökning i brandväggens regelfil visar att han lade till ”/24” efter sourceadressen av bara farten när han lade in regeln. Hela utvecklingsnätet får skicka mail förbi mailservern. Inte bra.

Ändrar regeln på brandväggen och laddar om. Kopierar de föregående dagarnas NetFlow-loggar från brandväggen och söker på flöden utgående från utvecklingsnätet mot 25/tcp. Shite, tusentals långa mailflöden, förmodligen reklam för diverse apoteksvaror, har runnit ut sedan gårdagen. En ip-adress är ansvarig för samtliga.

Loggar in på dhcp-servern, söker loggarna och hittar vilken hårdvaruadress som hade ip-adressen tilldelad vid tillfället. Söker på hårdvaran i inventeringslistan, naturligtvis är det arkitekt-Davids laptop… Går upp till våning fem, hyvlar av honom och blåser om hans dator.

Även om vår systemadministratör hittade felet lite onaturligt snabbt så är det överlag en verklighetstrogen berättelse. I den finns flera exempel på förberedelser som kraftigt underlättade problemlösningen:

  • Nagios och MRTG kunde direkt visa att det inte rörde sig om någon nertid eller funktionsfel på mailservern eller någon av dess beroenden. Om det hade rört sig om nertid hade det varit tydligt från vilken tidpunkt det hade skett. Kanske hade till och med vår administratör sett det redan när hon kom in genom dörren så att Adam kunde lugnas på en gång?
  • Möjlighet att söka bland reglerna i brandväggen; med Netfilter eller PF är det den naturligaste saken i världen, hur är det med din vägg? Det kanske måste lösas på något särskilt sätt?
  • NetFlow på brandväggen möjliggör trafikanalys i efterhand, det bästa som går att uppbringa näst efter full packet captures; vem har pratat med vem vid vilken tid, ungefär. Oavsett hur mailen hade lämnat företaget så hade det framgått i NetFlow.
  • Loggar från dhcp-servern är så viktigt att t o m EU skriver lagar om det. Eftersom ip-adresser ibland är väldigt lösaktiga och hänger med vem som helst så är det minsta man kan göra att åtminstone hålla reda på vilka de varit med. Oaktat att s k hårdvaruadresser går att spoofa så är dhcp-loggen klistret som håller ihop det logiska nätverket med de fysiska maskinerna.
  • En uppdaterad inventeringslista är betydligt bekvämare än att kontrollera undersidan på varje laptop på ett helt våningsplan. (Hörde jag någon nätverksadmin mumla något om switchportar och en dokumenterad patchpanel?)

Givetvis finns det andra förberedelser som kunde ha varit ännu bättre, så fort du börjar fundera på det så kommer du på flera stycken. Om du var vår hjältinna, vad hade du önskat att du gjort för förberedelser?

Annonser