Piccola configurazione di rete crittografata [chiusa]

2

Diversi partner e io abbiamo appena avviato una piccola impresa e vorremmo utilizzare una buona configurazione sicura sin dal primo giorno. Questo è un problema, visto che ci sono molti pacchetti frammentari, e sono bloccato bloccandoli insieme e sperando che non ci siano buchi.

Esistono documenti, esercitazioni, libri, ecc. che forniscono casi d'uso di sistemi completamente protetti? In particolare:

  • Il server Web sarà totalmente dedicato, nessuna connessione alla rete interna per sicurezza.
  • Il server principale viene utilizzato per la collaborazione interna, l'archiviazione di file, la gestione dei contatti, il server di posta elettronica e cose simili
  • Ogni persona ha un laptop e avrebbe bisogno di un modo per comunicare in modo sicuro con tutti gli altri e un modo per archiviare i file in modo sicuro.

Attualmente usiamo Linux per tutto. Ubuntu con case degli utenti crittografate e un file TrueCrypt per l'archiviazione sicura. Vorrei farlo su un'installazione Debian che richiede una passphrase nel boot loader poiché l'intera partizione è crittografata. Utilizziamo RetroShare per le comunicazioni in quanto ha integrato la sicurezza, ma è solo una misura temporanea e vorremmo imparare come configurare un server di informazioni centralizzato sicuro.

Ulteriori informazioni:

  • Il server web verrà ospitato fuori dal sito attraverso una terza parte. Non ha informazioni utili oltre ad alcuni indirizzi email.

  • I computer portatili stanno attraversando il confine USA / Canada, dovranno essere protetti dall'ingresso senza un mandato. Il modo in cui sto pensando di proteggerli è:

    • Chiavi USB Aegicorn Aegis (hanno una tastiera per sbloccare l'unità)
    • Thay avrà il laptop partizione di avvio, il file di chiavi, gli utenti PGP, SSH e qualsiasi altra chiave.
  • Il server sarà basato su Debian, non ho risolto alcun pacchetto perché non ho idea di quali possano funzionare con quali pacchetti di sicurezza. La posizione dei server è fisicamente sicura, quindi sono solo preoccupato dell'intrusione nella rete. L'ultimo sistema di rilevamento delle intrusioni che ho usato era BlackFin o qualcosa su Windows nei giorni di Blaster32.

    • SNORT per il rilevamento delle intrusioni
    • GnuPG, SSH
    • Accesso al file system remoto:

      1 - Gli utenti possono utilizzare VPN nel sistema tramite SSH

      2 - Gli utenti possono montare tramite SSHFS solo ciò di cui hanno bisogno

      3 - Presumibilmente la VPN è un'idea migliore.

posta uMinded 07.07.2013 - 03:42
fonte

1 risposta

1

Prima di tutto controlla questo fuori. Ha delle ottime linee guida sull'indurimento delle macchine Ubuntu. I miei consigli

  • Se possibile, il tuo server web può essere ospitato in un luogo diverso da quello dell'ufficio senza accesso o comunicazione con l'ufficio. Se questa non è un'opzione, assicurati che sia completamente separata dalla tua rete interna.
  • Per la rete interna, naturalmente, configurare un firewall, disporre di AV su tutte le macchine e configurare un IDS / IPS. Snort è un popolare id / ips per Linux.
  • Utilizza la crittografia completa del disco sui laptop. TrueCrypt non può fare la crittografia completa del disco su dispositivi Linux, non l'ho usato in un paio di anni, quindi forse è cambiato se TrueCrypt è la tua unica opzione, almeno assicurati che gli utenti sappiano come usarlo correttamente e non accidentalmente salva un database di SSN non crittografato.
  • Non consentire direttamente l'accesso a qualsiasi macchina nella rete interna. Se vuoi che le persone lavorino in remoto, l'opzione migliore è renderle VPN nella rete. Se vuoi essere al sicuro, puoi configurare la VPN con un telecomando o un certificato su una scheda SD che l'utente deve fisicamente possedere.
  • C'è molto altro che puoi fare, ma tutto dipende dalla quantità di tempo e denaro che sei disposto a mettere dentro.

Non esiste un "sistema completamente protetto" se si vuole indurire un server al punto in cui sarà quasi impossibile hackerarlo si dovrà riempirlo di cemento e lasciarlo cadere nella fossa più profonda del Oceano Pacifico e anche in questo caso direi che è sicuro solo al 96,2% ma è inutilizzabile al 100%.

Devi accettare il fatto che sei vulnerabile e che verrai attaccato. Determina il valore di tutte le risorse nell'organizzazione. Avere una politica di sicurezza di base per tutti i dispositivi sulla rete e concentrare le risorse sui sistemi mission critical.

I miei 2 centesimi. Spero che questo aiuti

    
risposta data 07.07.2013 - 04:52
fonte

Leggi altre domande sui tag