10 Schritte um Ihre BIG-IP zu sichern
Letztes Jahr wurde eine Sicherheitslücke innerhalb von F5-Produkten bekannt. Diese Sicherheitslücke hatte mit SSH-Schlüsseln zu tun und wurde schnell als „SSH-Schlüssel-Thema“ bekannt und als CVE-2012-1493 dokumentiert. Um alle Kunden schnell und umfassend zu informieren und aufzuklären, hat F5 alle möglichen Wege bestritten, aber es gibt wohl immer noch BIG-IP-Geräte mit den exponierten SSH-Schlüsseln, die über das Internet zugänglich sind. Um Ihr Unternehmen zu schützen, zeige ich Ihnen hier 10 Schritte zur Sicherung Ihrer F5-Infrastruktur.
1. Installieren Sie Hotfix. Hotfix ist nicht-invasiv und erfordert wenige Tests, da es keinen Einfluss auf die Funktionalität der Datenverarbeitung hat. Hier können Sie Schlüsseldateien autorisieren und den Zugang von ungewünschten Schlüsseln verhindern.
Kontrolle des Netzwerkzugriffs zu F5
2. Prüfen Sie Ihre BIG-IP-Management-Ports und Self-IPs. Natürlich sollte man besonderes Augenmerk auf öffentliche Adressen (nicht-RFC-1918) legen, aber man darf auch private Adressen nicht vernachlässigen, denn auch diese sind für interne Bedrohungen wie Malware, Rogue Wireless Access Points anfällig. Standardmäßig sind bei Self-IPs viele Ports offen – sperren sollten Sie diese nur, wenn Sie wirklich wissen, welche Sie brauchen und welche nicht.
3. Verschlüsseln Sie zumindest wichtige Netzwerke. Wenn Sie unbedingt routbare Adressen benötigen, dann verschlüsseln Sie zumindest Netze, bei denen es wirklich nötig ist. So sperren Sie SSH und GUI für eine Self-IP von einem bestimmten Netzwerk:
(tmos)# modify /sys sshd allow replace-all-with { 192.168.2.* }
(tmos)# modify /sys httpd allow replace-all-with { 192.168.2.* }
(tmos)# save /sys config
4. Per Definition stellen DMZ Maschinen im Netzwerk ein erhöhtes Risiko dar. Wenn eine DMZ-Maschine gefährdet ist, kann ein Hacker diese als Ausgangspunkt nutzen, um tiefer in das Netzwerk einzudringen. Um dies zu verhindern, sollten Sie Zugriffskontrollen zu und von der DMZ nutzen, um den Zugriff zu beschränken.
Hier eine Beispiellösung: Solution 13309
Für weitere Informationen nutzen Sie den Zugang zur Management-Schnittstelle.
Sperren des User-Zugriffs mit Appliance Mode
F5‘s iHealth System meldet konsequent, dass viele Systeme standardmäßige Passwörter für Root und Admin-Konten verwenden. Nach der Kontrolle des Zugangs zu den Management-Interfaces (siehe oben), ist dies der wichtigste Teil der Sicherung Ihrer F5-Infrastruktur. Hier sind drei einfache Schritte, um den Benutzer-Zugriff auf die BIG-IP zu sichern.
5. Der Appliance-Modus ist die einfachste Lizenz-Option. Wenn dieser aktiviert ist, sperrt er den Root-Nutzer und entfernt die Unix-Bash-Shell als Kommandozeilen-Option und fordert einen Root-Login. Dies ist ein Dienst, den viele F5 Power-User schätzen. Aber wenn sich ein Root anmeldet, heißt das noch nicht, dass Sie wissen wer dieser Benutzer wirklich ist! Das kann zu einem Problem werden. Wenn es für Sie aktzeptabel ist den Root zu sperren, aber nicht ohne Bash leben können, dann hilft Ihnen diese Einstellung die db Variable auf true aufzuteilen.
(tmos)# modify /sys db systemauth.disablerootlogin value true
(tmos)# save /sys config
6. Wenn Sie es nicht bereits getan haben, dann konfigurieren Sie die BIG-IP zur Remote-Authentifizierung gegen bestehendes Unternehmens-Userverzeichnis, wie z.B. den Acitve-Directory-Dienst von Microsoft. Machen Sie dies über System>User>Authentication, um sicherzustellen, dass die Standard-Rolle der des Application Editors entspricht oder weniger beträgt. Sie können den /auth Remote-role-Befehl nutzen, um eine etwas gröbere Berechtigung der Benutzer-Gruppen zu ermöglichen.
(tmos)# help /auth remote-role
7. Stellen Sie sicher, dass der oft vergessene „Admin“ Nutzer keinen Zugang zum Terminal hat.
(tmos)# modify /sys auth user admin shell none
(tmos)# save /sys config
Mit den Schritten 5-7 haben Sie die Sicherheit Ihrer BIG-IP-Geräte deutlich gestärkt. Keiner von den speziellen Accounts, Root und Admin, wird jetzt in der Lage sein sich anzumelden und das sollte sowohl die SSH-Schlüssel-Ausgabe, wie auch das automatisierte Brute-Force-Risiko beseitigen.
Halten Sie die Sicherheits-Updates, Hotfixes und Patches auf dem Laufenden
8. Wenn Sie es nicht bereits getan haben, dann gehen Sie auf https://f5.com/about-us/preferences und klicken Sie auf den Erhalt der F5 Security Alerts. Dadurch wird sichergestellt, dass Sie eine Mitteilung erhalten, sobald wir die Sicherheit gefährdet sehen.
9. Überprüfen Sie Ihre Konfiguration gegenüber Heuristiksystemen wie F5 iHealth. Wenn Sie Ihre Diagnose zu iHealth hochladen, werden Sie von fehlenden oder vorgeschlagenen Sicherheits-Upgrades informiert.
iHealth zu nutzen ist einfach. Eine Support-Datei zu generieren ist fast so einfach, wie das Drücken von ein paar Funktionen auf der GUI. Die einzelnen Schritte sehen Sie auf dem oben abgebildeten Screenshot. Danach gehen Sie mit Ihrem Browser auf ihealth.f5.com, melden sich an und laden die Support-Datei hoch. iHealth wird Ihnen dann anzeigen, worauf Sie achten müssen und Ihnen helfen, das System zu sperren.
Hier haben Sie die neun Stufen, um Ihre BIG-IP zu sperren und Ihre Infrastruktur zu sichern. Stopp! Ich hatte Ihnen ja 10 versprochen…
10. Folgen Sie uns auf Twitter: @f5networksde und besuchen Sie unseren NotizBlog, um immer auf dem Laufenden zu bleiben.