שירות LogMeIn - הפרת מדיניות האבטחה הארגונית
[ how to block logmein - נושא ]
למי שלא מכיר את שירות LOGMEIN , מדובר בשירות מצויין המאפשר גישה פשוטה מרחוק לצורך השתלטות מרחוק על מחשב , ועל ידי התקנת תוכנת קצה קלת משקל. התוכנה לאח מכן פותחת בעצמה פורט 443 אשר פתוח אצל כולנו בFW , ואז בעצם יוצרת קשר מוצפן עם האתר של LOGMEIN.COM .
לאחר מכן , המשתמש יכול לגשת לאותו אתר LOGMEIN.COM ולהכניס את המשתמש והסיסמה , ובעצם להשלים קישור בינו לבין מחשב המרוחק. יתרה מכך , לשירות LOGMEIN יש תוספת שנקראת LOGMEIN-BACKUP אשר מאפשר גיבוי נתונים מרחוק , כלומר המחשב בארגון עלול לשפוך מידע החוצה לשרת או אתר חיצוני , אותו שרת יעביר מידע הלאה והלאה , והנה יש לכם זליגת מידע לפי הספר.
תחשבו על זה , אתם לא מרשים גישה מרחוק לארגון שלכם , אבל תוכנה כזו לא דורשת שתפנו ישירות למחשב, אלא היא פונה בעצמה לאתר , ואתם בעצם ניגשים לאותו אתר - ולכן בצורה פשוטה וברורה -הFW אינו רלוונטי בתמונה.
אגב , שירות LOGMEIN משתמש בשיטת CIPHER BLOCK CHAINING - CBC , בכדי לאפשר לשירות לעבוד בתצורה קרובה לSTREAMING ככל האפשר תוך שמירה על הצפנה - או במילים אחרות - ממש כמו כן שירות VPN שאנחנו מכירים - ולכן אכן מדובר בפתיחת ערוץ VPN מוצפן לארגון ללא רשות או הסכמה של מדיניות אבטחת המידע והגורם האמון עליה.
שאלת השאלות היא כמובן - איך חוסמים LOGMEIN בארגון.
ובכן מדובר במתודולוגיה פשוטה ליישום. החסימה אינה מבחוץ פנימה , אלא מבפנים החוצה
אסביר כיצד יש לטפל בנושא לארגונים שרואים בך איום - ברמה רשתית וברמה אפליקטיבית , שכן התמודדות נכונה אינה יכולה להסתמך רק על הרשת , או רק על בסיס התוכנה המותקנת . ולכן בכדי לעטוף פיתרון - יש לבצע את שניהם.
קודם כל ברמה רשתית
למעשה יש ליצור חוק חסימה בFW מעלה אותו חוק שמאפשר גישה החוצה
ופירוטו יהיה כדלקמן:
Source : Internal Networks
Destination : (72.5.76.0 - 72.5.77.255) , (77.242.192.0 - 77.242.193.255)
Port : 443,80
Action : Block
Log : Yes
Time : Always
אני הייתי גם מגדיר ALERT ספציפית לחוק שכזה ...
החסימה היא בעצם לטווח הכתובות השמור שרכשה חברת LOGMEIN מארגון IANA.
תנסו את זה , זה עובד.
ניתן ומומלץ גם לחסום את הFQDN המתאים של חברת LOGMEIN - שהוא - secure.logmein.com
כך בעצם שינוי כתובות יחסם גם כן ( לא להקטין ראש , לחסום בשתי הדרכים ) למעשה גם אותו ACTIVEX אשר מדבר עם LOGMEIN יושב תחת הכתובת הזו , ולכן חשוב לחסום
אגב , אני אישית מעדיף להטמיע את החוק הזה במערכות IPS ולא במערכות FW , מאחר ושם אני גם יכול לצפות בדפוסי התנהגות , למשל - אם התוכנה מתעדכנת וכעת מנסה לגשת לכתובות אחרות וכדומה . מה גם שהדינאמיות לשינוי היא קלה יותר , כי גם המשתמש עצמו לא מרגיש בפעולת הIPS ולכן אם אני רוצה לתפוס על חם - קל יותר מאשר עם FW.
עכשיו ברמה אפליקטיבית
במידה ובארגון מוטמעת מערכת בקרת אפליקציה על תחנות הקצה והשרתים , כמו למשל מערכת Cisco CSA או Integrity של Checkpoint , ואפילו בתצורה קצת פחות מכוונת אבטחה - Microsoft GPO - ניתן ליצור הגנה חלקית על המערכת על ידי בדיקת קיום הקבצים הבאים :
[C:\Program Files\LogMeIn\x86\LogMeIn.exe]
[C:\Program Files\LogMeIn\x86\RaMaint.exe]
[C:\Program Files\LogMeIn\x86\LogMeInSystray.exe]
כמו כן יש לאתר בתקית הTemporary Internet Files וברגיסטרי את קיום הקישור ל -
( שווה גם להריץ חיפוש לקבצים אלו במידה ומותקנים בתיקיה אחרת )
במידה וקיימים , יש להסיר אותם או לסגור את הService שלהם במערכת
שימו לב - אם יש לכם מערכת כגון BigFix מוטמעת בארגון , אפילו קל יותר - ניתן להסיר את האפליקציה בצורה מסודרת ברגע שהיא מתגלה - ולהתריע על קיומה למנהל אבטחת המידע
יש לזכור בכל מקרה שקיום תוכנה כזו בארגון דורש פיקוח קפדני , ואם הוא אסור על ידי מדיניות , מה שאני מאמין שיקרה בכל ארגון שהCSO מודע לקיום האפליקציה הזו - יש לדווח לגורם האמון על מדיניות אבטחת המידע , על הפרתה , ולהרתיע את אותו גורם שהפעיל את האפליקציה בארגון.
חשוב לציין שישנן חברות אשר הטמיעו אלמנט חסימה כבר במערכות האבטחה הקיימות שלהן , לדוגמא , חברת CHECKPOINT הטמיעה חתימה במערכת הSmartDefense שלה , שהוא חלק מפתרון הUTM-1 , אשר מאפשר לחסום בדיוק בשיטה שציינתי את LOGMEIN , ללא צורך בהגדרות מסובכות - אלא רק סימון V ( לינק לעמוד בצ'קפוינט - כאן ) הפתרון קיים אצלם החלק מהעדכון שבוצע למערכות מנויים בסוף אפריל 2007 , כך שלמי שיש שירות עדכוני תוכנה פעיל על הFW - ההגנה קיימת - רק להפעיל.
למי שלא מכיר את שירות LOGMEIN , מדובר בשירות מצויין המאפשר גישה פשוטה מרחוק לצורך השתלטות מרחוק על מחשב , ועל ידי התקנת תוכנת קצה קלת משקל. התוכנה לאח מכן פותחת בעצמה פורט 443 אשר פתוח אצל כולנו בFW , ואז בעצם יוצרת קשר מוצפן עם האתר של LOGMEIN.COM .
לאחר מכן , המשתמש יכול לגשת לאותו אתר LOGMEIN.COM ולהכניס את המשתמש והסיסמה , ובעצם להשלים קישור בינו לבין מחשב המרוחק. יתרה מכך , לשירות LOGMEIN יש תוספת שנקראת LOGMEIN-BACKUP אשר מאפשר גיבוי נתונים מרחוק , כלומר המחשב בארגון עלול לשפוך מידע החוצה לשרת או אתר חיצוני , אותו שרת יעביר מידע הלאה והלאה , והנה יש לכם זליגת מידע לפי הספר.
תחשבו על זה , אתם לא מרשים גישה מרחוק לארגון שלכם , אבל תוכנה כזו לא דורשת שתפנו ישירות למחשב, אלא היא פונה בעצמה לאתר , ואתם בעצם ניגשים לאותו אתר - ולכן בצורה פשוטה וברורה -הFW אינו רלוונטי בתמונה.
אגב , שירות LOGMEIN משתמש בשיטת CIPHER BLOCK CHAINING - CBC , בכדי לאפשר לשירות לעבוד בתצורה קרובה לSTREAMING ככל האפשר תוך שמירה על הצפנה - או במילים אחרות - ממש כמו כן שירות VPN שאנחנו מכירים - ולכן אכן מדובר בפתיחת ערוץ VPN מוצפן לארגון ללא רשות או הסכמה של מדיניות אבטחת המידע והגורם האמון עליה.
שאלת השאלות היא כמובן - איך חוסמים LOGMEIN בארגון.
ובכן מדובר במתודולוגיה פשוטה ליישום. החסימה אינה מבחוץ פנימה , אלא מבפנים החוצה
אסביר כיצד יש לטפל בנושא לארגונים שרואים בך איום - ברמה רשתית וברמה אפליקטיבית , שכן התמודדות נכונה אינה יכולה להסתמך רק על הרשת , או רק על בסיס התוכנה המותקנת . ולכן בכדי לעטוף פיתרון - יש לבצע את שניהם.
קודם כל ברמה רשתית
למעשה יש ליצור חוק חסימה בFW מעלה אותו חוק שמאפשר גישה החוצה
ופירוטו יהיה כדלקמן:
Source : Internal Networks
Destination : (72.5.76.0 - 72.5.77.255) , (77.242.192.0 - 77.242.193.255)
Port : 443,80
Action : Block
Log : Yes
Time : Always
אני הייתי גם מגדיר ALERT ספציפית לחוק שכזה ...
החסימה היא בעצם לטווח הכתובות השמור שרכשה חברת LOGMEIN מארגון IANA.
תנסו את זה , זה עובד.
ניתן ומומלץ גם לחסום את הFQDN המתאים של חברת LOGMEIN - שהוא - secure.logmein.com
כך בעצם שינוי כתובות יחסם גם כן ( לא להקטין ראש , לחסום בשתי הדרכים ) למעשה גם אותו ACTIVEX אשר מדבר עם LOGMEIN יושב תחת הכתובת הזו , ולכן חשוב לחסום
אגב , אני אישית מעדיף להטמיע את החוק הזה במערכות IPS ולא במערכות FW , מאחר ושם אני גם יכול לצפות בדפוסי התנהגות , למשל - אם התוכנה מתעדכנת וכעת מנסה לגשת לכתובות אחרות וכדומה . מה גם שהדינאמיות לשינוי היא קלה יותר , כי גם המשתמש עצמו לא מרגיש בפעולת הIPS ולכן אם אני רוצה לתפוס על חם - קל יותר מאשר עם FW.
עכשיו ברמה אפליקטיבית
במידה ובארגון מוטמעת מערכת בקרת אפליקציה על תחנות הקצה והשרתים , כמו למשל מערכת Cisco CSA או Integrity של Checkpoint , ואפילו בתצורה קצת פחות מכוונת אבטחה - Microsoft GPO - ניתן ליצור הגנה חלקית על המערכת על ידי בדיקת קיום הקבצים הבאים :
[C:\Program Files\LogMeIn\x86\LogMeIn.exe]
[C:\Program Files\LogMeIn\x86\RaMaint.exe]
[C:\Program Files\LogMeIn\x86\LogMeInSystray.exe]
כמו כן יש לאתר בתקית הTemporary Internet Files וברגיסטרי את קיום הקישור ל -
[https://secure.logmein.com/activex/RACtrl.cab]
שהינו DPF , ולוודא שהוא מוסר ומדווח למנהל המערכת.( שווה גם להריץ חיפוש לקבצים אלו במידה ומותקנים בתיקיה אחרת )
במידה וקיימים , יש להסיר אותם או לסגור את הService שלהם במערכת
שימו לב - אם יש לכם מערכת כגון BigFix מוטמעת בארגון , אפילו קל יותר - ניתן להסיר את האפליקציה בצורה מסודרת ברגע שהיא מתגלה - ולהתריע על קיומה למנהל אבטחת המידע
יש לזכור בכל מקרה שקיום תוכנה כזו בארגון דורש פיקוח קפדני , ואם הוא אסור על ידי מדיניות , מה שאני מאמין שיקרה בכל ארגון שהCSO מודע לקיום האפליקציה הזו - יש לדווח לגורם האמון על מדיניות אבטחת המידע , על הפרתה , ולהרתיע את אותו גורם שהפעיל את האפליקציה בארגון.
חשוב לציין שישנן חברות אשר הטמיעו אלמנט חסימה כבר במערכות האבטחה הקיימות שלהן , לדוגמא , חברת CHECKPOINT הטמיעה חתימה במערכת הSmartDefense שלה , שהוא חלק מפתרון הUTM-1 , אשר מאפשר לחסום בדיוק בשיטה שציינתי את LOGMEIN , ללא צורך בהגדרות מסובכות - אלא רק סימון V ( לינק לעמוד בצ'קפוינט - כאן ) הפתרון קיים אצלם החלק מהעדכון שבוצע למערכות מנויים בסוף אפריל 2007 , כך שלמי שיש שירות עדכוני תוכנה פעיל על הFW - ההגנה קיימת - רק להפעיל.
Labels: access, hazard, software, thesis, vulnerability
| Link 
אוקיי, חסמת את logmein.
איך אתה, כאיש האבטחה של הארגון, מונע ממני להקים שרת שיהווה פרוקסי לתוך השרתים של logmein, או גרוע מכך, להקים שירות דומה על המחשב הביתי למטרות מוצהרות של גניבת ידע מהארגון?
Posted by
Anonymous |
10:01 PM
אכן מדובר בבעיה , אך עם זאת , במידה והקמת PROXY שכזה , עליו להגיע עדיין לשירות LOGMEIN , ואם חסמתי גישה אליו - כיצד יעזור לך קיומו של פרוקסי בארגון ?
אם הפרוקסי בעצמו לא מגיע לLOGMEIN , הבעיה פתורה.
בנוסף - גם אם אתה מקים מחשב מרוחק , נניח בבית , עם LOGMEIN , ואני חוסם גישה לשם מהארגון - עדיין לא תוכל להתחבר הביתה ולהעביר החוצה לשם מידע בדרך זו.
Posted by
barry |
10:53 PM
אם כבר מתחכמים..
ומה אם אני מקים בבית TUNNEL לשרתי LOGMEIN שיענה בפורט 80.
כל מה שעלי לעשות הוא להפנות את השירות שרץ במחשב במשרד אל הבית ונגמר הסיפור.
ניתן לבצע את זה די בקלות.
בתחלס - אין סוף למשחקי החתול והעכבר האלה.
אם מישהו בארגון רוצה להוציא מידע - הארגון בבעיה.
Posted by
Anonymous |
7:04 AM
אני מסכים ,לכן אין ברירה אלא לבצע חסימה גם ברמת האפליקציה. כמו גם מסכים שזה לא יספיק , אבל בהיעדר ציפור שיר ...
אחד השיטות האולי יותר מעניינות ,תהיה לבצע בדיקת קלט ללא לחיצה פיזית או קבלת אות מהמקלדת...
Posted by
barry |
5:30 PM
Hi,
Although it partially agree with barry, i must point out some advantages of logmein,
Indeed when the IT department compleatly ignores the logmein service presence it might allow unauthorized users to bypass the security perimiter and gain access to computers inside a lan, however, Logmein supports several security and usability features that when properly used can gain on both sides:
1) You can contact logmein from thier website and request they will block your IP range so no access to thier service will be allowed.
2) They provide a simple utility that will scan your network and locate any installation of logmein client and other RATs.
3) You can download an ADM for GPO that will control any logmein client that is installed on a domain member. you can control all aspects of the logmein client including whether it can be used to control this computer from the internet or only as a clinet to control a computer outside the lan. etc..
4) You can productivly use logmein to handle your emploees or supported customers remote help calls... you can also find lost computers, wipe all data from stolen computers, keep track of your laptop inventory - etc... so why block it compleatly if you can tame it? :-)
Regards,
Lior Pollack
CTO
2BSecure LTD
Posted by
Anonymous |
2:47 PM