О защите централизованных систем: заключительный пост Система мониторинга (в моём примере — Zabbix) — священный грааль любого администратора. Одна из немногих, которые разворачивают для себя: чтобы понимать, что происходит в инфраструктуре, и находить причину сбоя одним взглядом на экран. Поэтому к ней и относятся соответствующе — как к продолжению себя: ставят агентов повсюду, дают доступы любым желающим и подключают всё, до чего дотягиваются. Я не буду сейчас разбирать, как именно злоумышленники получают доступ к Zabbix. Важно другое: в атаках, где захватывается вся инфраструктура, система мониторинга очень часто становится ключевой точкой входа. Почему так происходит Потому что в системе «из коробки» уже достаточно возможностей, чтобы двигаться дальше по инфраструктуре. Можно: • читать файлы на серверах — вытащить пароль из конфига 1С или найти аутентификационные данные в логах PowerShell; • снимать параметры системы через WMI — получить список учётных записей и посмотреть их описание (иногда там лежит больше, чем должно); • использовать агентов для разведки сети — увидеть узлы в закрытых сегментах и проверить внутренние веб-сервисы. Часто этого уже достаточно, чтобы продолжить захват. А учитывая, что Zabbix по умолчанию работает без SSL, злоумышленнику даже не нужно взламывать сервер мониторинга. На практике почти всегда можно найти ещё и дополнительный тюнинг: мониторинг баз данных, интеграции, кастомные проверки. И тогда: • в системе появляются логины и пароли к SQL в открытом виде; • виден список баз данных; • в отдельных сценариях можно вытаскивать данные напрямую через Zabbix — например, получить список пользователей из базы 1С. А если на агентах разрешен system​.run, компрометация Zabbix = компрометация всей инфраструктуры. Что с этим делать 1. Ограничить права доступа к интерфейсу Zabbix. Администрирование — только под отдельной учётной записью с OTP. 2. Ограничить возможности агентов. Явно перечислить допустимые AllowKey и задать DenyKey=*, чтобы запретить всё остальное. 3. Использовать SSL. Связь между агентом и сервером или прокси должна быть защищена. 4. Проверить настройки Server / ServerActive — там должен быть прописан только ваш сервер Zabbix, а не всё подряд. Эту ошибку легко обнаружить и удобно эксплуатировать. 5. Ограничить сетевой доступ. Сервер мониторинга — не публичный сервис. 6. Постоянно обновлять систему и агентов. Ну это вообще БАЗА. Заключение Любая централизованная система — это удобный инструмент не только для администратора, но и для злоумышленника. Неважно, что это: антивирус, система обновлений, резервное копирование или мониторинг. Если система взаимодействует с большим числом узлов, она становится идеальной точкой для развития атаки. Поэтому, разворачивая централизованные системы, важно не только защищать саму систему, но и заранее ограничивать последствия её компрометации. Максимум, что должен выжать злоумышленник из системы мониторинга, — карта сети со списком текущих проблем. Ничего больше. Потому что если из системы мониторинга можно получить доступ к серверам — это уже не мониторинг, а система управления инфраструктурой. Просто вы об этом ещё не знаете.