Bezpečnostný audit siete nielen v NRSR ale celej štátnej infraštruktúry

Updated: Nov 5

Hneď vedľa prežívajú peklo v podobe reálnej vojny a my sa tupo prizeráme na barbarskú bezpečnosť našej infraštruktúry.


Z voľne dostupných informácií čítam a usudzujem, že bezpečnosť v NRSR je fatálne až barbarsky zanedbaná. Obávam sa, že identický stav je aj na ministerstvách, úradoch, školách, samosprávach, mestách, či ostatných štátnych inštitúciách.


Hľadať chyby, či ako zomri vysmievať sa poslancovi je chybný úsudok. Každý človek by urobil to čo on, našiel kábel a vrátil do zásuvky. Čo sa udialo? Spustil broadcastovú búrku, alebo loopback, čiže obe konce jedného kábla sa strčili do toho istého zariadenia/systému a nenakonfigurované zariadenia nevedeli správne vyhodnotiť ethernetové pakety, ktoré blúdili donekonečna v kruhu bez akejkoľvek ochrany, zahltili systém až do jeho znefunkčnenia. Bohužiaľ, toto je základná až primitívna ochrana každej siete, ktorá musí byť pri odovzdaní systému nakonfigurovaná. Pre laikov povedané, ako keby som sa snažil ráno naštartovať autobus MHD do práce, ale prevádzkovateľ by mi nenatankoval palivo a čakal v kancli, kedy dôjde nafta s vedomosťou, že určite raz dôjde.


Základné zabezpečenia L2 siete:

  • Loopback detection = ochrana proti zakruhovaniu

  • DAI dynamic arp inspection = ochrana proti zneuzitiu ARP

  • MAC address flooding = znefunkčnenie siete veľkou záplavou MAC adries

  • DHCP snooping = ochrana zneužitia cudzej IP

  • Broadcast storm control = zabezpečenie proti broadcastovej búrke

  • BPDU filter/guard = ochrana proti STP paketom

  • Root guard = ochrana pred prebratím STP stromu

  • ISPG = základná ochrana zviazanie IP a MAC

Toto sú najnákladnejšie ochrany, ktoré si žiaden svedomitý prevádzkovateľ siete nedovolí vynechať. Ja osobne Vám viem do 10 sekúnd cez týchto 8 spôsobov odstaviť akúkoľvek sieť, pokiaľ presne týchto 8 ochrán naraz nie je aplikovaných na sieti.

Upozorňujem, že Slovensko v budúcností bude čoraz viac čeliť dvom druhom útokov. Prvý bude vo vojenskom význame, budú napadané akékoľvek siete, ktoré oslabia bezpečnostnú celistvosť krajiny a funkčnosť akejkoľvek infraštruktúry (zatiaľ sme pre Rusov nezaujímavý, inak by nás do 24h zrušili) a druhý, je útok z pohľadu kriminálu, organizovaného zločinu z vnútra. Teda polícia nebude vedieť a ani nevie týmto krokom čeliť. Môžu vyšetrovať mesiace koľko chcú, keď daný útok sa deje v ten daný moment a nie je po ňom žiadna dôkazná stopa.


Predstavte si tu absurditu, že niekto nechce schváliť kľúčový zákon za 1 miliardu eur, tak poprosí Jožka Mrkvičku "oľe udzej toten kabel tam" a je po miliarde.

Naša spoločnosť, v ktorej pracujem, sa 20 rokov venuje takejto bezpečnosti a musím zhrnúť, že množstvo štátnych organizácii je úplne zúfalo rovnako na tom ako NRSR.


Riešením je začať povinne v každej jednej štátnej, krajskej, mestskej, obecnej či inej sieti myslieť v prvom rade na jej bezpečnosť. Veď ide priamo o ochranu našej krajiny, našich sietí, našej infraštruktúru, bez ktorej krajina či samospráva nedokáže fungovať.


Každá jedna verejná súťaž musí obsahovať okrem zabezpečenia samotných zariadení v čo najnižšej cene aj ďalšie dve podmienky. Prvá: krajina dodávateľa s ohľadom na bezpečnosť NATO, druhá: súbor prác na zabezpečenie siete proti hore spomínaným útokom, s následným bezpečnostným auditom. A na záver, verejné siete by nemali za žiadnych okolností byť bez neregistrovaného neautorizovaného prístupu.


Bohužiaľ, tí, ktorí tieto súťaže pre NRSR, ministerstvá, či samosprávy píšu, nemajú ani šajn o bezpečnosti sietí a preto je potrebné to riešiť globálne, celistvo, organizovane z vrchu. Prečo by aj mal nejaký 70 ročný starosta v dedine toto ovládať. Práve naopak, mal by to dostať nariadením s manuálom.

10 views0 comments

Recent Posts

See All