Rilevazione e monitoraggio di eventi importanti sul server OpenVPN

3

Se un utente malintenzionato può stabilire una connessione VPN alla rete aziendale e avere accesso a risorse interne (ottenendo vari certificati e credenziali utilizzati per l'autenticazione sul server VPN), il che è piuttosto pericoloso, come possiamo rilevare e monitorare tali eventi propriamente?

Quali dovrebbero essere i criteri per rilevare tali aggressori a livello di VPN?

Quale strumento dovrebbe essere usato per questo tipo di monitoraggio?

Inoltre, mi piacerebbe che lo strumento di monitoraggio generasse le informazioni geografiche dell'attaccante su una mappa.

(Ambiente, il suo openvpn in esecuzione su centos linux, una macchina con entrambe le interfacce pubbliche e private)

    
posta Ijaz Ahmad Khan 03.01.2016 - 17:03
fonte

3 risposte

0

Sì, ho un'idea per i criteri di rilevamento, il tuo sistema di monitoraggio (come ELK) può inviare un avviso all'amministratore di sistema per rivedere l'accesso che proviene da tale posizione che è inaspettata (dove non ti aspetti il tuo dipendente da essere)

    
risposta data 08.01.2016 - 10:14
fonte
3

il corretto monitoraggio dipenderà dalla configurazione della tua rete e dall'ambiente in cui ti senti a tuo agio. seguendo lo scenario e come risposta rapida probabilmente vorresti fare uno studio approfondito di questi concetti e di come applicarli, in quanto le raccomandazioni degli strumenti saranno davvero specifiche per la tua rete e non hai dato molte informazioni sulla tua rete e sui tuoi servizi.

ID da wikipedia

An intrusion detection system (IDS) is a device or software application that monitors network or system activities for malicious activities or policy violations and produces reports to a management station

IPS da wikipedia

Intrusion prevention systems (IPS), also known as intrusion detection and prevention systems (IDPS), are network security appliances that monitor network and/or system activities for malicious activity. The main functions of intrusion prevention systems are to identify malicious activity, log information about this activity, attempt to block/stop it, and report it

l'uso di honeypot è davvero raccomandato,

In computer terminology, a honeypot is a computer security mechanism set to detect, deflect, or, in some manner, counteract attempts at unauthorized use of information systems. Generally, a honeypot consists of data (for example, in a network site) that appears to be a legitimate part of the site but is actually isolated and monitored, and that seems to contain information or a resource of value to attackers, which are then blocked. This is similar to the police baiting a criminal and then conducting undercover surveillance, and finally punishing the criminal.

Il protocollo SNMP da wikipedia

SNMP is widely used in network management systems to monitor network-attached devices for conditions that warrant administrative attention. SNMP exposes management data in the form of variables on the managed systems, which describe the system configuration. These variables can then be queried (and sometimes set) by managing applications.

    
risposta data 03.01.2016 - 17:38
fonte
1

If an attacker can establish a VPN connection to the company network

Il che significa che la tua VPN non è sicura in base alla progettazione, che le credenziali necessarie sono state rubate perché alcuni utenti remoti o simili sono stati violati o che l'hacker ha violato l'endpoint VPN remoto e si connette direttamente da lì.

how can we detect and monitor such events properly?

Il sistema degli attaccanti in questo caso di solito non è diverso da un sistema remoto legale, perché utilizza le credenziali di un sistema esistente o è il sistema (dirottato) stesso. Potresti scoprire che la connessione proviene da un insolito indirizzo IP sorgente o in un orario normale o che ci sono connessioni parallele con le stesse credenziali, ma non c'è molto altro da fare.

Alla fine devi affrontare questo problema come con qualsiasi altro tipo di compromissione del sistema. Non importa molto se l'aggressore è entrato attraverso la VPN, attraverso malware trasportati con posta phishing o download drive-by o attraverso altri modi. Ciò che importa è che l'attaccante si trovi all'interno della rete e causi danni. Se sai qual è il comportamento normale nella tua rete, puoi monitorare la rete per attività insolite usando IDS (Intrusion Detection Systems) o BDS (Breach Detection Systems) ecc. Ma se non capisci cosa è normale nella tua rete allora tutto tu potrebbe fare è monitorare per exploit comuni. Questo offre protezione contro gli attaccanti che usano strumenti comuni ma non di più.

Non esiste un sistema che puoi semplicemente inserire nella rete e che ti renderà completamente sicuro. IDS e BDS o sistemi simili ti aiuteranno ma funzionano meglio se conosci davvero la tua rete.

    
risposta data 03.01.2016 - 18:30
fonte

Leggi altre domande sui tag