Si tratta di un approccio ragionevole per il monitoraggio continuo della rete?

4

Attualmente sto implementando alcuni meccanismi per monitorare continuamente la nostra rete. La maggior parte di ciò avviene tramite OSSIM , ma l'ho esteso anche tramite alcuni script di monitoraggio autodidatti. Sto attualmente facendo quanto segue:

  • Scansioni di rilevamento host di tutte le subnet, incluso il rilevamento di servizi comuni (usando nmap)
  • Rilevamento host passivo permanente tramite monitoraggio broadcast (utilizzando tshark e packetfu)
  • Scansione oraria di tutti gli host per nic in modalità promiscua (usando nmap)
  • Scansione oraria di tutti gli host per l'inoltro ip attivato (usando nmap)
  • Scansioni vulnerabili quotidiane "non distruttive" di tutti gli host (utilizzando OpenVAS)

Questo è un concetto ragionevole o mi mancano alcuni punti importanti?

// Abbiamo effettuato una prima convalida delle vulnerabilità rilevate e le abbiamo corrette, se possibile. Alcuni di questi non erano patchable in quei casi abbiamo limitato l'accesso pesantemente. Ora stiamo verificando nuove vulnerabilità su base giornaliera. Abbiamo anche HIDS su tutti i server, ma l'ho lasciato qui perché non è realmente correlato alla rete.

    
posta davidb 12.05.2016 - 23:13
fonte

1 risposta

4

Gli approcci citati sono un po 'confusi e spiegherò perché. In un'infrastruttura opportunamente progettata, molti dei punti elenco elencati saranno trattati:

Scansioni di rilevamento host orario - Se implementa una protezione avanzata delle porte sugli switch e utilizzato NAC - PacketFence ( dal momento che hai menzionato l'open source, l'ho fatto anche io) non dovresti preoccuparti di cosa è stato collegato. Il contatore sarebbe qualcuno che commenta: " Beh sì, ma i MAC potrebbero essere falsificati " Dico: " Se qualcuno si trova sulla tua rete PHYSICAL a spoofing degli indirizzi MAC, hai cose più importanti di cui preoccuparti: il controllo degli indirizzi di rete eseguito correttamente riduce al minimo il lancio di qualcosa sulla rete.

Rilevamento host passivo permanente tramite broadcast - Questo è stato risolto con il commento NAC, ma anche se non fosse stato, non tutti gli host rispondono alla trasmissione.

Scansione oraria di tutti gli host per nic in modalità promiscua : si tratta di un problema di autorizzazioni / problema di sistema. Un utente normale non può mettere un'interfaccia in modalità promiscua. I sistemi correttamente corretti includono l'aggiornamento del software. Senza una vulnerabilità o autorizzazioni, un utente non sarebbe in grado di attivare la modalità promiscua, con NAC, non sarebbero in grado di installare la propria macchina.

Scansione oraria di tutti gli host per l'inoltro IP attivato : ulteriore overkill. Senza le autorizzazioni per il sistema e la rete, non vedo come si verificherà l'inoltro.

Scansioni vulnerabili quotidiane "non distruttive" di tutti gli host (usando OpenVAS) - Questo è un sacco di rumore.

Molto di ciò che hai scritto riguarda l'allineamento con l'approccio "castello" alla sicurezza. È qui che continui a costruire per impedire di entrare. In questo caso, invece di guardare ciò che hai e come usarlo, stai aggiungendo ulteriori problemi lungo la strada. L'auditing del conto (registrare i comandi sudo, controllare chi può fare ciò che è un amministratore) è un approccio migliore rispetto a chiedersi se qualcuno sta mettendo qualcosa in modalità promiscua. L'implementazione di NAC mantiene i sistemi non testati e non verificati dalla rete. È un due punch: "nessuna macchina casuale, nessuna macchina esistente può essere manomessa, non ci sono vulnerabilità". È un approccio più rapido, più efficace e più scalabile rispetto a quello che hai citato.

    
risposta data 13.05.2016 - 12:54
fonte

Leggi altre domande sui tag