Capire la sicurezza della mia rete domestica

1

Con così tanti dispositivi che dispongono di connettività internet, voglio davvero mettere qualcosa che mi avvisi se un'applicazione o un dispositivo comunicano in modo non sicuro. Come potrei usare qualcosa come OSSIM o Snort o qualcosa per essere in grado di determinare se le credenziali vengono passate.

Dal mio punto di vista, sembra che quello che dovrei fare è in qualche modo posizionare qualcosa tra il router e tutto il resto, così posso intercettarlo.

Modifica : ecco un mockup molto semplice dei dispositivi sulla mia rete domestica. Il mio obiettivo è quello di trovare un modo per far funzionare Security Onion VM sul mio PC per poter monitorare tutto il traffico attraverso la rete. Non sono sicuro se ho bisogno / come configurare un TAP sulla rete. Ho bisogno di un interruttore gestito piuttosto che non gestito? Ecco il mockup: link

    
posta appsecguy 04.10.2014 - 06:05
fonte

3 risposte

3

Modifica: ho completamente perso la parte della rete domestica. L'acquisto di un tocco di rete in questa situazione sarebbe eccessivo. Nel tuo caso, Snort o Suricata potrebbero funzionare. In particolare, è possibile creare regole per cercare i pacchetti per le stringhe che indicano una comunicazione non sicura. È possibile perfezionarlo ulteriormente rimuovendo tutte le regole non pertinenti a ciò che si sta cercando, credenziali di testo non crittografato. Maggiori dettagli sulla creazione di regole Snort personalizzate qui: link

Soluzione aziendale: ho visto persone che eseguono Suricata o Snort sui loro sistemi, ma che non sembrano scalare così bene se si utilizza una larghezza di banda elevata. Hai ragione che un tocco di rete potrebbe essere utile nella tua situazione. Non sono sicuro che tu abbia a che fare con fibre o rame, ma potresti ottenere un rubinetto adatto e inserire i dati dalle porte di monitoraggio in altri strumenti. Questi strumenti, che potenzialmente potrebbero essere Snort o Suricata, possono eseguire la scansione dei dati a pacchetto per stringhe specifiche, come si vedrebbe nell'autenticazione LDAP. Potrebbero esserci anche strumenti DLP che potrebbero funzionare per questo caso d'uso.

    
risposta data 04.10.2014 - 11:42
fonte
3

In questo caso potresti voler ottenere una rete toccare o impostare port mirroring se il tuo router lo supporta. Da lì puoi installare un IPS (o creare manualmente un'immagine o utilizzare sicurezza cipolla ).

Potresti desiderare uno stile di distribuzione simile a quello seguente. Tuttavia nel tuo caso il firewall sarà probabilmente il tuo modem internet e la tua LAN sarà il tuo router .:

Osesiimpostailmirroringdellaportapotrebbeesseresimileaquesto:

    
risposta data 04.10.2014 - 22:41
fonte
2

Se hai un po 'di hardware in più, consiglio di provare Security Onion.

Ha già installato snorby e suricata e può essere eseguito in alcuni stili di distribuzione diversi (una macchina, post di ascolto, ecc.)

Potrebbero essere solo sufficienti informazioni per te.

Ovviamente potresti anche spostare la tua rete domestica e tcpdump / wireshark il tuo traffico e vedere.

    
risposta data 04.10.2014 - 18:03
fonte

Leggi altre domande sui tag