📬 ISN 184: Budowa szybkiej sieci szkieletowej

Kluczowe Zagrożenia Sieciowe z 2024

Cisco Talos 2024 Year in Review

In 2024, threat actors prioritized stealth, simplicity, and efficiency Cisco Talos’ Year in Review reveals insights into how cyber criminals carried out their campaigns, and what made an attack successful. Read about threat actor activities across topics including top targeted vulnerabilities, network-based attacks, email threats, adversary toolsets, identity attacks, multi-factor

Cisco Talos BlogCisco Talos

Rok 2024 przyniósł ewolucję taktyk cyberprzestępców. Zamiast zaawansowanego malware'u, skupili się na prostocie i efektywności. Ataki oparte na tożsamości i wykorzystanie znanych podatności dominowały krajobraz zagrożeń.

Atakujący nadal celują w niezałataną infrastrukturę. Wiele najczęściej wykorzystywanych podatności w 2024 roku to luki znane od lat. Szczególnie niepokojące są historyczne podatności, takie jak Log4Shell czy Shellshock w Bash. Wpływają one na powszechnie używane oprogramowanie i sprzęt. PHP, język używany przez większość stron internetowych, również był celem ataków.

Najczęściej Atakowane Podatności Ogólne:

• Luki Log4j (np. CVE-2021-44228)
• Luki PHP (np. CVE-2017-9841, CVE-2024-4577)
• Luki GNU Bash "Shellshock" (np. CVE-2014-6271)
• Luka w JetBrains TeamCity Server (CVE-2023-42793)

Szczególną uwagę należy zwrócić na podatności w urządzeniach sieciowych. Atakujący wykorzystują je do uzyskania dostępu, ruchu lateralnego i przejęcia kontroli nad siecią. Nie jest zaskoczeniem, fakt atakowania urządzeń End-of-Life (EOL), które nie otrzymują już łatek.

Najczęściej Atakowane Podatności Urządzeń Sieciowych (Przykłady 2024):

• CVE-2024-24919 (Check Point): Umożliwia odczyt wrażliwych danych.
• CVE-2024-3273/3272 (D-Link): Dotyczy urządzeń NAS EOL, pozwala na zdalne wykonanie kodu.
• CVE-2024-3400 (Palo Alto Networks): Umożliwia wykonanie poleceń z uprawnieniami root.
• CVE-2023-1389 (TP-Link): Pozwala na wstrzyknięcie poleceń jako root.

Ataki wykorzystujące skompromitowaną tożsamość cyfrową zdominowały 2024 rok. Stanowiły 60% wszystkich przypadków obsługiwanych przez Talos IR. Atakujący wykorzystują skradzione dane uwierzytelniające, tokeny sesji, klucze API czy certyfikaty cyfrowe. Pozwala im to ominąć zabezpieczenia i działać w ukryciu, podszywając się pod legalnych użytkowników.

Cele Ataków na Tożsamość:

• Active Directory (AD): Główny cel (44% ataków na tożsamość). Kompromitacja AD daje dostęp do kluczowych informacji o użytkownikach i uprawnieniach. Atakujący wykorzystują narzędzia takie jak ADExplorer do przeglądania i eksportowania bazy danych AD.
• Aplikacje Chmurowe / API: Drugi główny cel (20% ataków na tożsamość). Skompromitowane klucze API lub tokeny sesji umożliwiają dostęp do wrażliwych danych i funkcji w chmurze. Narzędzia takie jak ROADtools czy AAAInternals są używane do enumeracji środowisk Microsoft Entra ID.

Uwierzytelnianie wieloskładnikowe (MFA) jest kluczowe, ale jego słabości były najczęściej spotykanym problemem bezpieczeństwa w 2024 roku. Atakujący wykorzystują różne luki:

• Brak wdrożenia MFA: Nadal częsty problem.
• Brak MFA na usługach VPN: Krytyczny punkt dostępu.
• Ataki typu "MFA fatigue/exhaustion": Zalewanie użytkownika prośbami o akceptację logowania.
• Rejestracja złośliwych urządzeń: Dodawanie urządzenia atakującego do konta ofiary.
• Ominięcie MFA: Wykorzystanie luk lub technik jak kradzież tokenów sesji.

Najczęściej atakowanymi aplikacjami w kontekście MFA były systemy zarządzania tożsamością i dostępem (IAM), szczególnie rozwiązania SSO jak Shibboleth, CAS czy ADFS.

W obliczu tych zagrożeń, kluczowe jest wzmocnienie podstawowych mechanizmów obronnych:

• Zarządzanie Podatnościami: Regularne łatanie i wymiana sprzętu EOL to absolutna konieczność.
• Solidne Uwierzytelnianie: Wdrażaj MFA wszędzie, zwłaszcza na VPN. Używaj silnych haseł i unikaj domyślnych danych logowania.
• Segmentacja Sieci i Kontrola Dostępu: Ograniczaj powierzchnię ataku i potencjalny ruch lateralny.
• Bezpieczeństwo Active Directory: Wdrażaj najlepsze praktyki CISA. Monitoruj nietypowe zachowania i zmiany w konfiguracji. Ograniczaj nadmierne uprawnienia.
• Bezpieczeństwo Chmury i API: Zabezpieczaj klucze API i monitoruj ich użycie. Stosuj narzędzia do ochrony API.
• Monitorowanie i Rejestrowanie Zdarzeń: Aktywnie monitoruj logi systemowe, AAA i przepływy sieciowe (NetFlow). Zwracaj uwagę na nietypowe zmiany w ruchu i konfiguracji.
• Wzmocnienie MFA: Edukuj użytkowników na temat ataków typu "MFA fatigue". Ustawiaj limity prób logowania. Monitoruj rejestrację nowych urządzeń.

IPsec kontra WireGuard

https://hubandspoke.amastelek.com/the-rise-of-wireguard-why-ipsec-is-becoming-obsolete-in-modern-networking

W dynamicznym środowisku sieciowym technologie VPN ewoluują, a protokoły takie jak IPsec i WireGuard stają się coraz bardziej popularne. Przyjrzyjmy się bliżej obu protokołom z perspektywy technicznej.

IPsec to rozbudowany framework bezpieczeństwa, obejmujący protokoły AH i ESP oraz IKE (Internet Key Exchange). Kluczową zaletą jest ogromna elastyczność, ale wiąże się z nią złożoność konfiguracji. Wymaga ona zdefiniowania wielu parametrów, takich jak fazy IKE, propozycje szyfrów, funkcji skrótu, czasów życia kluczy i Perfect Forward Secrecy. Złożoność ta utrudnia debugowanie problemów z negocjacją SA.

Wydajność IPsec jest niższa niż WireGuard ze względu na enkapsulację, operacje kryptograficzne i potencjalną fragmentację. Ponadto, przechodzenie przez urządzenia NAT (NAT-T) może stanowić wyzwanie. Zarządzanie dużą liczbą tuneli IPsec jest skomplikowane i wymaga starannej konfiguracji.

WireGuard przyjmuje zupełnie inne podejście, stawiając na prostotę i wydajność. Jego kod źródłowy jest znacznie mniejszy niż IPsec, co ułatwia audyty bezpieczeństwa i redukuje potencjalne błędy.

Uproszczona architektura WireGuard działa jako interfejs sieciowy w warstwie 3, bez złożonej maszyny stanów jak IKE. Po początkowym handshake'u opartym na wymianie kluczy publicznych (Curve25519), komunikacja jest w zasadzie bezstanowa. Konfiguracja sprowadza się do definicji interfejsu i listy peerów.

WireGuard wykorzystuje nowoczesne algorytmy kryptograficzne, takie jak ChaCha20, Poly1305, Curve25519, BLAKE2s i SipHash24, które są wydajne obliczeniowo. Implementacja w jądrze systemu operacyjnego minimalizuje narzut związany z przełączaniem kontekstu, co przekłada się na wyższą przepustowość i niższe opóźnienia.

Stały zestaw algorytmów eliminuje ryzyko ataków związanych z negocjacją słabszych szyfrów. WireGuard wykorzystuje mechanizm cookie w trakcie handshake'u, zapewniając odporność na ataki DoS typu flood. Prostota zarządzania kluczami opiera się na modelu kluczy publicznych/prywatnych, podobnym do SSH, co ułatwia automatyzację i integrację z systemami zarządzania konfiguracją.

IPsec pozostaje potężnym i elastycznym narzędziem, ale jego złożoność konfiguracyjna i narzut wydajnościowy stanowią rosnące wyzwanie, szczególnie w kontekście szybkich łączy i dynamicznych infrastruktur.

WireGuard oferuje przekonującą alternatywę, łącząc silne bezpieczeństwo oparte na nowoczesnej kryptografii z wyjątkową prostotą i wydajnością. Jest atrakcyjnym wyborem dla nowych wdrożeń, gdzie liczy się szybkość, niskie opóźnienia i łatwość zarządzania.

Wizualizacja komunikacji kontenerów

Document

Edgeshark manual

Edgeshark wizualizuje komunikację między kontenerami oraz z otoczeniem, wspierając diagnostykę sieciową. Umożliwia odkrywanie "wirtualnego okablowania" kontenerów, szybki podgląd konfiguracji sieciowej (adresy IP, MAC, routing, DNS) oraz przechwytywanie ruchu sieciowego do Wiresharka za pomocą dedykowanego pluginu csharg.

Laboratoria do CCIE Service Provider

Setup | CCIE SPv5.1 Labs

CCIE SPv5.1 Labs

Autor stworzył ten zbiór ćwiczeń jako prywatne narzędzie do nauki podczas przygotowań do egzaminu CCIE-SPv5.1. Zamiast biernie robić notatki, postawił na aktywne powtarzanie poprzez rozwiązywanie laboratoriów, co znacznie ułatwia zapamiętywanie i utrwalanie wiedzy.

Budowa szybkiej sieci szkieletowej