Il dipendente infetto che utilizza la VPN dell'ufficio faceva parte di un attacco DDoS

Naviga le tue risposte
1

Recentemente, la nostra VPN in ufficio è stata rimossa dal nostro ISP dopo aver scoperto un attacco DDoS. Apparentemente un dipendente collegato alla nostra VPN è infetto. Non c'erano registri al momento dell'evento.

Oltre a consigliare a tutti di utilizzare un AV, quali sono le soluzioni per mitigare o risolvere questo problema dal lato server / client? Un'idea è di chiedere loro di non utilizzare la nostra VPN come gateway predefinito, in modo che il traffico dannoso non passi attraverso il nostro server VPN.

    
posta Julian J 12.06.2015 - 21:26
fonte

2 risposte

3

Come accennato, dovresti assolutamente impostare VPN "split tunnel", in cui il traffico attraversa la VPN solo quando è necessario: l'altro traffico passa su Internet. Questa è probabilmente la soluzione più semplice al tuo problema. Tuttavia, l'avvertenza è che questi computer infetti possono ancora essere utilizzati come punto di partenza per accedere alle risorse sulla VPN; quindi puoi avere un problema di sicurezza e non essere a conoscenza di quella soluzione.

Esistono molti altri modi più complessi per affrontare il problema. Ovviamente, non solo consigliare ma richiede che gli utenti VPN siano attivi, fino ad oggi AntiVirus è importante. Molti concentratori di VPN (Cisco, Juniper, ecc.) Dispongono di funzionalità nei loro client VPN che consentono di verificare la conformità a un profilo host, ad es. vedere se gli aggiornamenti sono installati, l'antivirus è aggiornato, ecc.

Salire di un ordine di grandezza, un sistema IPS (Intrusion Prevention System) è la soluzione ideale a questo problema; se il budget lo consente, poiché questi sistemi sono proibitivi e spesso richiedono risorse significative per l'installazione. Un IPS configurato correttamente revocherà immediatamente l'accesso alla VPN se viene rilevata un'attività seriamente anomala - un attacco DDOS lo farà quasi certamente.

In questo caso, puoi comunque utilizzare una VPN "full tunnel" con tutto il traffico Internet utilizzando la VPN come gateway predefinito, se preferisci. Mentre la velocità potrebbe risentire di una connessione VPN tunnel completa, sarà più sicura in quanto tutto il traffico dovrà attraversare il sistema IPS.

    
risposta data 12.06.2015 - 21:47
fonte
1

Suggerisco quanto segue:

  1. Gestione centralizzata di Antivirus / Malware (Endpoint Security)

  2. Una sorta di appliance fisica per la gestione delle minacce, come un Dell Sonicwall. Abilita la protezione Syn Floom come minimo. Utilizza questo dispositivo per l'accesso VPN protetto. Abilita il flusso netto per raccogliere la visualizzazione del traffico Internet sulla LAN.

  3. Se possibile, controlla tutti i sistemi sulla rete, registra quali porte sono aperte, chiuse e tiene traccia delle applicazioni utilizzate.

  4. Usa un tipo di utente A e un meccanismo come Active Directory o LDAP.

  5. Accertati che tutti i sistemi sulla rete siano ripresi in un processo ripetibile simile. Scopri sempre quali aggiornamenti sono presenti sulle macchine e disponi di un processo documentato per tutto ciò che si trova in mezzo.

L'idea è di capire quali lacune esistono, abilitare la sicurezza in profondità e affinare nel tempo. Non lasciare che qualcosa nella tua rete diventi uno zombi di bot net.

    
risposta data 12.06.2015 - 21:51
fonte

Leggi altre domande sui tag

Lavora con net nanny [chiuso] Cosa succede se un resolver non supporta DNSSEC?