Ho una piccola rete aziendale di ca. 15 dispositivi, alcuni switch e due router. Recentemente mi è venuto in mente che tutte le misure di sicurezza che ho fatto non sono molto produttive: blocco alcune porte (o per essere più specifico, tutte le porte tranne alcune) o monitoro retro-attivamente ciò che sta accadendo nella rete. / p>
Ad esempio, ho un dispositivo NAS che normalmente non ha alcuna comunicazione con Internet. Sono l'unico che lo registra (che potrei anche confermare dai log del server). Tuttavia, utilizzando gli strumenti di monitoraggio del traffico nel mio Ubiquiti EdgeRouter Lite ho potuto vedere che il dispositivo aveva comunicazioni SSL con qualcosa / qualcuno da qualche parte. Poiché non ho alcun traffico permanente che annusa, non ho idea né modo di scoprire perché o con chi sia successo.
Esiste una soluzione fattibile per una piccola impresa per gestire meglio questo tipo di situazioni, ad es. impostare alcuni modelli di comportamento abituali per i dispositivi di rete e iniziare a monitorarli e creare avvisi quando il comportamento osservato si discosta dai modelli abituali presunti? Ad esempio, vorrei specificare che se il server 192.168.199.100 comunica con qualsiasi dispositivo in Internet, dovrei ricevere un messaggio di posta elettronica, o se il server 192.168.199.101 utilizza qualsiasi protocollo eccetto FTP con un server al di fuori di un paese specifico dovrebbe essere bloccato dalla comunicazione con Internet.