Rajavartiointi ja me – Uhka se sisäinenkin uhka on!

Usein, varsinkin onprem-yhteysmenettelyissä (VPN et al.), on tullut nähtyä, että organisaatio luottaa Lintukoto-Suomeen enemmän, kuin muuhun pahaan ulkomaailmaan. Eli sallitaan aktiiviset VPN-avaukset vain Suomen valtakunnan rajojen sisältä tai näihin avautuviin yhteyksiin kohdistetaan pienempää stressikerrointa, kuin banaanivaltioista.

Tämä ajatusmaailma on sitten saattanut lipsahtaa myös pilvimaailman puolelle Conditional Access (CA) -sääntöpattereihin. Ratsastetaan siis luotettujen verkkojen (trusted IPs) tai nimikoitujen lokaatioiden kanssa vähän turhan vaarallisesti ajatellen, ettei paha täällä Suomessa tai vielä vähempää täällä toimiston sisäverkossa[sic] asu. Nämä rajan passintarkistukset ovat nimittäin vasta ontuva alku kohti sitä paljon pöhistyä zero trust -arkkitehtuuria.

Papers please!

Poraudutaan vähän tarkemmin syihin, miksi Suomenkin lintukotomaisuus on alkanut pahasti rapautumaan.

Havainto: tammikuu 2023

Sign-in logeista tulkittu Helsinki, Uusimaa, Fi on perinteisesti tulkittu turvalliseksi lokaatioksi suorittaa onnistunut kirjautuminen M365-palveluihin.

Tämä, koska hyvin monet mobiililaajakaistakkeet liittyvät julkiverkkoon PK-seudun hurmoksesta, vaikka varsinainen käyttö tapahtuu ihan muualla Suomessa. Ilman tarkempaa möyhintää, tämä login rivi ei ole yleensä notkauttanut pääkäyttäjien kulmakarvoja ihan liiaksi.

Elävän elämämme tapahtumissa vastaavan rivin takaa löytyikin jotain ihan muuta, kuin hyvää tahtoa ja kultamokkaa.

NIMITTÄIN:

Katsaus onnistuneen Helsinki-kirjautumisen takana lymyilleeseen Autonomous system numberiin (ASN) ja verkkoon, josta kirjautuminen oli tapahtunut, paljasti anonyymia VPN-palvelua tarjoilevan yrityksen.

ASN on siis suomeksi verkkokokonaisuuksia omistavan tahon tunniste, jonka alla on sitten nippu verkkoja. Esim. Googlen osalta tilanne näyttää vähän tältä:

ASN number 15169

ASN name (ISP) Google LLC

IP-range/subnet

250.0.0/15

250.0.0 – 142.251.255.255

Nämä tiedot ovat ihan julkisesti sellaisinaan saatavilla. Tämä epistolan kirjoituksen yhteydessä en ole siis murtautunut mihinkään järjestelmään.

Palataan siis takaisin tuohon Helsinki-kirjautumiseen, jonka tunnisteet osoittivat sen tulleen anonyymia VPN-palvelua tarjoavan organisaation verkoista ja tosiaan Azure AD:n mielestä Suomen Helsingistä.

Eli sama suomeksi:

Perinteishenkinen geofencaus (eli hyödyntämisen rajaaminen vain esim. Suomeen) ei olisi päässyt väliin onnistuneen kalastelutilanteen jälkeiseen hyödyntämiseen.

Huikeaksi tämän anonyymi-VPN:n hyödyntämisen teki se, että palvelu oli naitettu muutoin hyvin HYVIN matalatekniseen identiteetin korkkaukseen, onnistuneen kalastelun jälkimainingeissa. Eli näyttäisi vahvasti siltä, että scriptikiddy -tason tekijöillä on nyt käytössään automatiikkaa, joka automaagisesti osaa vaihtaa yhteyspisteen korkatun identiteetin oletettuun kotimaahan.

Mitä mun sitten pitäisi tehdä?

Varmaan tässä kohden draaman kaarta olemme yhtä mieltä siitä, että geo-rajaukset eivät ole yksistään riittävä turva.

IP-rajauksien osalta tulee taasen käyttää suurta harkintaa, eli sinun pitää ihan oikeasti tuntea verkkosi ja siihen liittyvät julkiset IP-osoitteet. Esimerkiksi sinun organisaatiosi julki-NAT -osoite voi olla myös autentikoimattoman vieras-wifin hyödyntämä. Ja kas kummaa! Wifin kailotus ei pääty ihan aina toimistorakennuksesi ulkoseiniin.

Vaan ihan oikeasti haluamme ryhtyä arvioimaan yhteyksistä identiteettien ja laitteiden likaisuutta sääntöjämme mukaisesti (Azure AD Premium P2-planista irtoavalla Identity Protectionilla vaikkapa). Laskemme sisään vain mahdollisten matkojen päässä matkaavia, riskittömiä ja säännöt täyttäviä identiteettejä laitteineen.

Jos aika tai lisenssit eivät tunnu riittävän, niin MFA numero-mätchäyksellä ihan minimissään sitten.

Vasta tähän päälle kirsikkana ..ja vain Suomesta -pykälä. Jos liiketoiminta asian sallii.

Mutku meillä on tää palomuuri ja sisäverkko!

Hyvä homma! Harmi vain, että se likainen identiteetti ja mahdollisesti myös päätelaite pysyy siellä sisäverkossa ihan yhtä likaisina, vieläpä usein paremmilla mahdollisuuksilla levittäytyä pitkin ja poikin sisäverkon sisuksia.

Ai haluat muurata kunnolla pilveä säppiin, niin että sallitaan vain firman sisäverkon NAT:n kautta yhteydet? Aika kova, mutta tämä ajatus vie sitten vähän jalkoja alta hybridityön suorittamisesta, joka taasen kyseenalaistasi sitä, miksi haluat ylipäätään ajaa tuotantoa pilvessä.

Näihin kuviin ja tunnelmiin! Kohti seuraavia horinatuokioita.

– Pilvipalvoja Kai Kolima

Cookie	Kesto	Kuvaus
_wpfuuid	11 years	Tätä evästettä käyttää WPForms WordPress -laajennus. Evästettä käytetään mahdollistamaan laajennuksen maksullisen version yhdistäminen saman käyttäjän merkintöihin, ja sitä käytetään joihinkin lisäominaisuuksiin, kuten lomakkeen hylkäämiseen.
cookielawinfo-checkbox-advertisement	1 year	GDPR Cookie Consent -laajennuksen asettama evästettä käytetään tallentamaan käyttäjän suostumus "Mainonta"-luokan evästeille.
cookielawinfo-checkbox-analytics	11 months	Tämän evästeen asettaa GDPR Cookie Consent -laajennus. Evästettä käytetään käyttäjän suostumuksen tallentamiseen kategoriaan "Analytiikka" oleville evästeille.
cookielawinfo-checkbox-functional	11 months	Eväste asetetaan GDPR-evästeen suostumuksella tallentamaan käyttäjän suostumus evästeille kategoriaan "Toiminta".
cookielawinfo-checkbox-necessary	11 months	Tämän evästeen asettaa GDPR Cookie Consent -laajennus. Evästeitä käytetään tallentamaan käyttäjän suostumus evästeiden luokkaan "Välttämättömät".
cookielawinfo-checkbox-others	11 months	Tämän evästeen asettaa GDPR Cookie Consent -laajennus. Evästettä käytetään tallentamaan käyttäjän suostumus evästeiden käyttöön kategoriassa "Muut".
cookielawinfo-checkbox-performance	11 months	Eväste asetetaan GDPR-evästeen suostumuksella tallentamaan käyttäjän suostumus evästeille kategoriaan "Suorituskyky".
viewed_cookie_policy	11 months	Evästeen asettaa GDPR Cookie Consent -laajennus, ja sitä käytetään tallentamaan, onko käyttäjä suostunut evästeiden käyttöön vai ei. Se ei tallenna henkilötietoja.

Cookie	Kesto	Kuvaus
_ga	2 years	Google Analyticsin asentama eväste, joka laskee vierailija-, istunto- ja kampanjatiedot ja seuraa sivuston käyttöä analytiikkaraporttia varten. Eväste tallentaa tiedot anonyymisti ja määrittää satunnaisesti luodut numerot yksilöllisten vierailijoiden tunnistamiseksi.
_gat_gtag_UA_122574882_1	1 minute	Googlen asettama eväste käyttäjien erottamiseen.
_gid	1 day	Tämä Google Analyticsin asentama eväste tallentaa tietoja siitä, kuinka vierailijat käyttävät verkkosivustoa, ja luo samalla analytiikkaraportin verkkosivuston tehokkuudesta. Jotkut kerätyistä tiedoista sisältävät vierailijoiden määrän, niiden lähteen ja sivut, joilla he vierailevat nimettömänä.
CONSENT	2 years	YouTube asettaa tämän evästeen upotettujen youtube-videoiden kautta ja rekisteröi anonyymejä tilastotietoja.

Cookie	Kesto	Kuvaus
VISITOR_INFO1_LIVE	5 months 27 days	YouTuben asettama eväste mittaamaan kaistanleveyttä, joka määrittää, saako käyttäjä uuden vai vanhan soittimen käyttöliittymän.
YSC	session	YSC-eväste on Youtuben asettama, ja sitä käytetään YouTube-sivuilla olevien upotettujen videoiden katselukertojen seuraamiseen.
yt-remote-connected-devices	never	YouTube asettaa tämän evästeen tallentamaan upotettua YouTube-videota käyttävän käyttäjän videoasetukset.
yt-remote-device-id	never	YouTube asettaa tämän evästeen tallentamaan upotettua YouTube-videota käyttävän käyttäjän videoasetukset.
yt.innertube::nextId	never	Tämä YouTuben asettama eväste rekisteröi yksilöllisen tunnuksen tallentaakseen tietoja siitä, mitä YouTube-videoita käyttäjä on nähnyt.
yt.innertube::requests	never	Tämä YouTuben asettama eväste rekisteröi yksilöllisen tunnuksen tallentaakseen tietoja siitä, mitä YouTube-videoita käyttäjä on nähnyt.

Cookie	Kesto	Kuvaus
ClientId	1 year	Ei kuvausta saatavilla.
OIDC	6 months	Ei kuvausta saatavilla.
OutlookSession	session	Ei kuvausta saatavilla.

Rajavartiointi ja me – Uhka se sisäinenkin uhka on!