Whitelist DNS vs. Firewall di filtraggio pacchetti

Naviga le tue risposte
2

Sono uno stagista della sicurezza delle informazioni per un MSP.

L'azienda è impostata per lavorare a distanza alcuni giorni alla settimana. Mentre stavo raccogliendo informazioni per la valutazione, ho scoperto che uno dei dipendenti non ha un firewall per il filtraggio dei pacchetti. Gestisce un agente Cisco Umbrella DNS e una VPN SSL quando lavora in remoto. È irremovibile nel dirmi che non ha bisogno di un firewall a causa dell'agente DNS e della VPN SSL.

Ho sempre saputo che era necessario avere un firewall perimetrale per gestire il traffico. Come posso spiegare perché ha bisogno di un firewall insieme agli altri controlli di sicurezza?

    
posta Angela Lipford 23.07.2018 - 17:08
fonte

3 risposte

2

Presumo che si aspetti che Umbrella la proteggerà da qualsiasi connessione in uscita non autorizzata, perché Umbrella autorizza i domini comuni e blocca i domini sospetti. Un firewall protegge anche la macchina dalle connessioni in uscita.

Il problema con Umbrella è che funziona solo su domini e non su IP. Se il malware sul suo computer è configurato per raggiungere un IP, Umbrella non farà nulla.

Umbrealla non la proteggerà anche dalle connessioni in entrata , sebbene tale rischio potrebbe essere minimo se non sta eseguendo alcun servizio a cui è possibile connettersi.

    
risposta data 23.07.2018 - 17:53
fonte
0

Poiché non abbiamo il quadro completo di come appare l'infrastruttura, non è banale rispondere.

Per chiarire la situazione, suggerirei di verificare come il tunnel VPN termina sull'infrastruttura aziendale. È molto probabile che si stia terminando direttamente su un firewall new-gen (che fa il packet ma anche l'ispezione stateful che agisce come IPS / IDS) o il flusso di traffico attraverso una DMZ nella rete aziendale con il menzionato IPS / IDS (firewall) nel mezzo. La presenza di Cisco Umbrella DNS è un indicatore del fatto che un firewall è presente da qualche parte nel flusso VPN remoto, ma è necessario chiarirlo con i rispettivi team della rete o della sicurezza.

    
risposta data 23.07.2018 - 17:23
fonte
0

Punto 1: se disponi di criteri organizzativi su "End Device Protection" e "Remote Access", è importante spiegare ai tuoi dipendenti e spiegare loro il mandato di seguire le politiche organizzative. Ad esempio, se la tua politica stabilisce che tutti i tuoi dispositivi utente devono essere installati con "Packet Firewall", tutti i dipendenti devono seguire la politica.

Quindi se la tua idea di implementare il Firewall è accettata dai tuoi responsabili delle politiche, ti preghiamo di inviarla ai tuoi criteri organizzativi.

Punto 2: l'impatto di avere un firewall sul dispositivo finale si basa sulla configurazione dell'infrastruttura che hai e sul modo in cui permetti la connettività remota. Quindi sarebbe una risposta soggettiva, ma potresti implementare i seguenti per mitigare i rischi:

  1. Implementare sensori IPS / sensori DDoS sul gateway in cui gli utenti remoti si connettono
  2. Controlla l'accesso degli utenti remoti a specifici host / accesso
  3. Monitora le attività di connessione remota tramite SOC
  4. Etc
risposta data 23.07.2018 - 18:56
fonte

Leggi altre domande sui tag

Si tratta di phishing? Come posso essere sicuro? E cosa si può guadagnare? La forza passphrase aumenta con questa strategia?