Come si può proteggere una rete dagli attacchi provenienti dall'interno?

5

(aggiornato (si spera) meno ampio)

Indipendentemente dal livello di protezione di una rete, c'è sempre la possibilità che un utente malintenzionato ottenga l'accesso. In una rete condivisa di home + home office (ad esempio per un lavoratore in remoto e la loro famiglia) vi è un rischio considerevole da parte di amici e familiari che utilizzano la rete in modo non sicuro o su dispositivi potenzialmente compromessi.

Per mancanza di una terminologia migliore farò riferimento a due tipi di utenti della rete:

  • Ospiti - (in genere transitori) utenti che hanno solo bisogno di accedere a WAN, non a LAN.
  • Utenti / dispositivi privilegiati: utenti coerenti / persistenti e che devono comunicare con altri dispositivi sulla LAN. Ad esempio, un lavoratore remoto e la loro famiglia diretta.

Ora, assumiamo quanto segue:

  • Gli insider "fare canaglia" non sono un problema.
  • Suppongo che l'autore dell'attacco non abbia quindi alcuna conoscenza preliminare della configurazione di rete oltre a ciò che è possibile ottenere prima di intervenire.
  • Il WiFi è utilizzato sia dagli ospiti che dagli utenti privilegiati per dispositivi mobili e laptop.
    • I dispositivi privilegiati su WiFi vorrebbero poter comunicare in modo sicuro con altri dispositivi privilegiati (sia cablati che wireless) e viceversa.
  • A volte gli ospiti si connettono tramite la connessione cablata (ad esempio utilizzando una porta Ethernet in una stanza degli ospiti).
  • Il Wi-Fi non può essere considerato affidabile per essere crittografato poiché non tutti gli utenti privilegiati possono essere considerati attendibili per non perdere inavvertitamente la password.
  • La rete include alcuni servizi LAN come stampanti condivise, un file server / NAS, ecc. Supponiamo che abbiano un'autenticazione / un'autorizzazione appropriate abilitate (password, chiavi SSH, ecc.)
  • La rete non include servizi accessibili pubblicamente (ad esempio nessun server web accessibile da Internet).

Vedo due modi in cui un utente malintenzionato può accedere alla rete:

  • Tramite un dispositivo a cui hanno accesso per essere aggiunti come dispositivo ospite (ad esempio rompendo il WiFi o compromettendo il dispositivo di un ospite). In questo caso presumibilmente non hanno (ancora) ottenuto l'accesso a dispositivi privilegiati o password o segreti utilizzati da dispositivi privilegiati o comunicazioni LAN.
  • Compromettendo un dispositivo privilegiato. In questo caso, presumibilmente ora hanno o possono accedere a qualsiasi segreto usato sul o dal dispositivo.

Quali minacce presentano questi scenari e come possono essere mitigati tramite l'impostazione della rete? (Mitigarli tramite antivirus, ecc. è una lattina completamente diversa di worm)

Nota: il caso d'uso a cui sono interessato è per i lavoratori remoti che eseguono reti condivise home + home office - le soluzioni che possono essere implementate da qualcuno che è competente tecnicamente ma non necessariamente in rete sarebbe preferibile.

    
posta mayhewluke 19.03.2016 - 16:23
fonte

4 risposte

3

Uno dei modi più semplici per proteggersi dagli attacchi interni è isolation : in altre parole, avere più sottoreti. Ad esempio, (funziona anche in una piccola rete domestica), la rete wifi potrebbe essere 10.0.1.0/24 e potrebbe esserci un'altra rete interna in cui risiedono i desktop e i server cablati, forse chiamata 10.0.2.0/24. Ora, anche se qualcuno si intrufola nella rete wireless, è limitato ai computer nello spazio 10.0.1.X e non sarebbe in grado di accedere a desktop e server. Potresti persino avere percorsi specifici in modo che entrambe le reti possano condividere una stampante che si trova in una delle reti (o in una terza rete), senza esporre altro.

Per quanto riguarda lo sniffing del traffico cablato sulla stessa rete, questo non è un problema a meno che la rete utilizzi hub piuttosto che switch. Con gli switch il traffico viene inviato solo attraverso le porte del dispositivo del destinatario, quindi altri dispositivi non possono "annusare" quel traffico. (Questa è una semplificazione eccessiva, ma il concetto generale dovrebbe essere chiaro.) Affinché qualcuno possa annusare il traffico in circostanze normali, dovrebbe avere l'accesso di amministratore a uno switch con capacità promiscue.

Si noti che con questi concetti di base, non è necessario preoccuparsi di crittografare il traffico cablato all'interno di una rete interna, perché è già (generalmente) sicuro. Questo è il motivo per cui quando parli di crittografia, di solito è nel contesto del traffico sull'Internet pubblico.

Al di fuori di queste nozioni di base, è difficile entrare nei dettagli perché questo è un argomento enorme. Ma questo dovrebbe almeno chiarire i tuoi pensieri iniziali e portarti sulla strada giusta.

    
risposta data 19.03.2016 - 17:10
fonte
1

Prima di tutto, non permetteresti mai agli ospiti di accedere alla tua rete. Per loro dovrebbe essere creata una rete separata. Ma andiamo con quello. Quindi hai una rete piatta di sistemi (non importa se sono server, desktop, ecc., Tutto è piatto). Hai una rete documentata? Significato, sai quali sistemi dovrebbero interconnettere con cosa? Avere questo livello di informazioni consente di accedere a tali sistemi e creare policy per quanto riguarda l'accesso tramite la modalità di nomi utente e le regole del firewall. Se si dice una cartella condivisa su un sistema, è possibile isolare le connessioni a tale macchina utilizzando regole firewall, ACL, ecc., Tutto si riduce a ciò che si sta tentando di realizzare. La soluzione migliore è l'isolamento senza le spiegazioni / diagrammi aggiunti / ecc.

    
risposta data 20.04.2016 - 23:00
fonte
1

Ci sono alcune ottime risposte sull'architettura e già una corretta progettazione di una rete, quindi non le affronterò. Quello che non ho visto menzionato sta guardando i metodi di estrazione dei dati. Se qualcuno è all'interno della tua rete, apparentemente cercano altri host che possono compromettere e dati che potrebbero essere utili a loro. (Carte di credito, dati relativi all'autenticazione, discariche di database, email)

Nella maggior parte dei casi, ciò che si desidera cercare sono i dati inviati tramite porte non standard. Un buon sistema di rilevamento delle intrusioni analizza i dati inviati su quelle porte e attiva un avviso se le intestazioni / contenuti del pacchetto non corrispondono a quanto previsto. Ad esempio, dal momento che il DNS è una necessità per l'accesso a Internet, la maggior parte delle aziende consente il DNS in uscita. Per questo motivo, esistono alcuni metodi di estrazione dei dati che utilizzano la porta 53. Alcuni strumenti utilizzeranno anche le porte TCP 80 o 443 poiché spesso sono anche aperte, ed è relativamente facile rilevare il traffico non HTTP / HHTPS su tali porte .

La sicurezza funziona meglio nei livelli ... rafforza e aggiorna i tuoi host, segrega la tua rete, applica regole firewall affidabili, monitora l'exploit e l'estrazione dei dati, verifica l'autenticazione e l'uso di account con privilegi, ecc. possibile e renditi un obiettivo poco attraente.

    
risposta data 20.04.2016 - 23:10
fonte
1

La domanda che mi chiedi è un po 'ampia per i miei gusti visto che ci sono più fattori di quanti non potresti immaginare con le poche informazioni fornite, ma farò del mio meglio per aiutarti!

Il problema ovviamente quando affermi in un modo non è tanto l'ingresso di attacchi, ma più cosa possono fare una volta che sono qui ...

La cosa che suggerirò è VLAN, questo è simile al suggerimento già fatto qui, ma con alcune piccole differenze è possibile taggare il traffico di rete proveniente dalle interfacce (come wireless, Ethernet o WiFi multiplo). Usare VLANS (secondo me) è molto più facile da gestire. Proseguendo su ciò che hai detto sulla tecnologia aziendale come una non preferenza, questo sarebbe probabilmente più facile da ottenere con attrezzature di base che vanno di pari passo con il fatto che questa domanda è stata posta non hai molta esperienza con il networking. Quindi questa sarebbe una strada semplice da prendere e più facile da configurare rispetto a più sottoreti con meno tecnologia.

PERCHE '?

La segregazione è la migliore linea di difesa sul traffico interno, senza sapere molto altro del tuo set Non riesco a indovinare cosa devi proteggere.

hai dei server? I server principale di entrata (server VPN)? cosa stai proteggendo?

prendi in considerazione i firewall e anche le VPN e il traffico vlan .. dovresti avere una VLAN per ogni tipo di connessione di rete.

Traffico LAN = nuova vlan

WiFi = nuova vlan

VPN in bound = new vlan

Tenendo tutto segregato puoi tenere ogni sezione protetta e monitorare anche ogni sezione. l'utilizzo di firewall può anche impedire alle persone di utilizzare i protocolli che desiderano all'entrata.

Inoltre, quando si protegge una rete, è importante ricordare anche il tempo di risposta.

    
risposta data 19.03.2016 - 17:38
fonte

Leggi altre domande sui tag