Rajavartiointi ja me – Uhka se sisäinenkin uhka on!
Usein, varsinkin onprem-yhteysmenettelyissä (VPN et al.), on tullut nähtyä, että organisaatio luottaa Lintukoto-Suomeen enemmän, kuin muuhun pahaan ulkomaailmaan. Eli sallitaan aktiiviset VPN-avaukset vain Suomen valtakunnan rajojen sisältä tai näihin avautuviin yhteyksiin kohdistetaan pienempää stressikerrointa, kuin banaanivaltioista.
Tämä ajatusmaailma on sitten saattanut lipsahtaa myös pilvimaailman puolelle Conditional Access (CA) -sääntöpattereihin. Ratsastetaan siis luotettujen verkkojen (trusted IPs) tai nimikoitujen lokaatioiden kanssa vähän turhan vaarallisesti ajatellen, ettei paha täällä Suomessa tai vielä vähempää täällä toimiston sisäverkossa[sic] asu. Nämä rajan passintarkistukset ovat nimittäin vasta ontuva alku kohti sitä paljon pöhistyä zero trust -arkkitehtuuria.
Papers please!
Poraudutaan vähän tarkemmin syihin, miksi Suomenkin lintukotomaisuus on alkanut pahasti rapautumaan.
Havainto: tammikuu 2023
Sign-in logeista tulkittu Helsinki, Uusimaa, Fi on perinteisesti tulkittu turvalliseksi lokaatioksi suorittaa onnistunut kirjautuminen M365-palveluihin.
Tämä, koska hyvin monet mobiililaajakaistakkeet liittyvät julkiverkkoon PK-seudun hurmoksesta, vaikka varsinainen käyttö tapahtuu ihan muualla Suomessa. Ilman tarkempaa möyhintää, tämä login rivi ei ole yleensä notkauttanut pääkäyttäjien kulmakarvoja ihan liiaksi.
Elävän elämämme tapahtumissa vastaavan rivin takaa löytyikin jotain ihan muuta, kuin hyvää tahtoa ja kultamokkaa.
NIMITTÄIN:
Katsaus onnistuneen Helsinki-kirjautumisen takana lymyilleeseen Autonomous system numberiin (ASN) ja verkkoon, josta kirjautuminen oli tapahtunut, paljasti anonyymia VPN-palvelua tarjoilevan yrityksen.
ASN on siis suomeksi verkkokokonaisuuksia omistavan tahon tunniste, jonka alla on sitten nippu verkkoja. Esim. Googlen osalta tilanne näyttää vähän tältä:
ASN number 15169
ASN name (ISP) Google LLC
IP-range/subnet
250.0.0/15
250.0.0 – 142.251.255.255
Nämä tiedot ovat ihan julkisesti sellaisinaan saatavilla. Tämä epistolan kirjoituksen yhteydessä en ole siis murtautunut mihinkään järjestelmään.
Palataan siis takaisin tuohon Helsinki-kirjautumiseen, jonka tunnisteet osoittivat sen tulleen anonyymia VPN-palvelua tarjoavan organisaation verkoista ja tosiaan Azure AD:n mielestä Suomen Helsingistä.
Eli sama suomeksi:
Perinteishenkinen geofencaus (eli hyödyntämisen rajaaminen vain esim. Suomeen) ei olisi päässyt väliin onnistuneen kalastelutilanteen jälkeiseen hyödyntämiseen.
Huikeaksi tämän anonyymi-VPN:n hyödyntämisen teki se, että palvelu oli naitettu muutoin hyvin HYVIN matalatekniseen identiteetin korkkaukseen, onnistuneen kalastelun jälkimainingeissa. Eli näyttäisi vahvasti siltä, että scriptikiddy -tason tekijöillä on nyt käytössään automatiikkaa, joka automaagisesti osaa vaihtaa yhteyspisteen korkatun identiteetin oletettuun kotimaahan.
Mitä mun sitten pitäisi tehdä?
Varmaan tässä kohden draaman kaarta olemme yhtä mieltä siitä, että geo-rajaukset eivät ole yksistään riittävä turva.
IP-rajauksien osalta tulee taasen käyttää suurta harkintaa, eli sinun pitää ihan oikeasti tuntea verkkosi ja siihen liittyvät julkiset IP-osoitteet. Esimerkiksi sinun organisaatiosi julki-NAT -osoite voi olla myös autentikoimattoman vieras-wifin hyödyntämä. Ja kas kummaa! Wifin kailotus ei pääty ihan aina toimistorakennuksesi ulkoseiniin.
Vaan ihan oikeasti haluamme ryhtyä arvioimaan yhteyksistä identiteettien ja laitteiden likaisuutta sääntöjämme mukaisesti (Azure AD Premium P2-planista irtoavalla Identity Protectionilla vaikkapa). Laskemme sisään vain mahdollisten matkojen päässä matkaavia, riskittömiä ja säännöt täyttäviä identiteettejä laitteineen.
Jos aika tai lisenssit eivät tunnu riittävän, niin MFA numero-mätchäyksellä ihan minimissään sitten.
Vasta tähän päälle kirsikkana ..ja vain Suomesta -pykälä. Jos liiketoiminta asian sallii.
Mutku meillä on tää palomuuri ja sisäverkko!
Hyvä homma! Harmi vain, että se likainen identiteetti ja mahdollisesti myös päätelaite pysyy siellä sisäverkossa ihan yhtä likaisina, vieläpä usein paremmilla mahdollisuuksilla levittäytyä pitkin ja poikin sisäverkon sisuksia.
Ai haluat muurata kunnolla pilveä säppiin, niin että sallitaan vain firman sisäverkon NAT:n kautta yhteydet? Aika kova, mutta tämä ajatus vie sitten vähän jalkoja alta hybridityön suorittamisesta, joka taasen kyseenalaistasi sitä, miksi haluat ylipäätään ajaa tuotantoa pilvessä.
Näihin kuviin ja tunnelmiin! Kohti seuraavia horinatuokioita.