Come proteggere la mia rete e la configurazione del sistema? [chiuso]

1

Ho 2 severs e 12 sistemi (tutti con UBUNTU) connessi tra loro tramite LAN. I 12 sistemi utilizzano più database (Redis / Postgres ecc.) Ospitati sui 2 server tramite LAN. Ora, ho bisogno di connettere il sistema a Internet poiché questi sistemi e server chiamano di volta in volta alcune API esterne e database basati su cloud.

Dal mondo esterno (su Internet) ho solo bisogno di accesso SSH ai sistemi per scopi di monitoraggio ecc.

La mia configurazione ha tutto il sistema 14 (2 + 12) connesso alla LAN usando l'IP statico tramite uno switch e 1 connessione dallo switch a un router (che ha una connessione a Internet).

All'interno del router, ho inoltrato 14 porte, alcune oscure (intervallo 20000 e superiore) e reindirizzate singolarmente alla porta 22 di ciascun IP LAN.

Ho già attivato gli aggiornamenti automatici per la sicurezza silenziosa nei sistemi.

Le domande sono:

a) Devo bloccare le porte inutilizzate (a parte quelle usate da loro per uso interno) nei 14 sistemi via UFW o non è necessario data la mia situazione?

b) Devo occuparmi di qualsiasi altra cosa dal punto di vista della sicurezza, che potrei aver perso?

Sono totalmente nuovo a questa parte di sicurezza e configurazione. Si prega di avvisare.

    
posta Ravi Krishan 30.03.2017 - 13:22
fonte

3 risposte

0

A) Userei la tecnica inversa ufw negando tutte le porte come predefinite e consento quelle che usi.

B) Bene, puoi sempre farlo ... avendo cura della sicurezza del tuo sistema. Penso che tu abbia una configurazione decente, forse l'installazione e la configurazione di Snort sull'interruttore sarebbero una grande idea. Raccomanderei anche Tripwire ma, a causa degli aggiornamenti regolari di Ubuntu, avresti molti falsi positivi.

L'altra cosa che puoi sempre fare è testare la tua configurazione con strumenti di scansione e penetrazione, molti dei quali puoi ottenere installando Kali linux.

    
risposta data 30.03.2017 - 18:10
fonte
0

Vado a votare per chiuderlo, è troppo ampio, ma già sento squilli di allarme.

From outside world (over the internet) I only need SSH access to the systems

OK

I have forwarded 14 ports, some obscure ones (range 20000 and above) and redirected them individually to port 22 of each LAN IP.

Questo è disordinato. Non sono contrario all'uso di porte non standard per ssh, ma se fossi in me, farei con un paio di jump box dietro il router e solo 2 porte inoltrate (puoi collegare le connessioni ssh).

Presumo che tu stia utilizzando il masquerading sul router (se usi SNAT, DNAT statico o masquerading NAT è piuttosto importante per il modo in cui fornisci il resto della sicurezza)

I only need SSH access to the systems for monitoring purpose

Sarebbe così difficile pubblicare le informazioni di monitoraggio? Per investigare / sistemare cose hai bisogno di un protocollo interattivo, ma non è adatto per il monitoraggio.

Do I need to block unused ports

Dovresti certamente limitare le porte usate alla LAN dove possibile. E se usi le caselle di salto puoi impostare il percorso predefinito sulla maggior parte degli host in un buco nero. Se si debba applicare una gestione speciale alle porte inutilizzate e se si eliminino o rifiutino i pacchetti è una domanda più complessa (ma probabilmente poco utile se si sta utilizzando il masquerading).

Do I need to take care of anything else from security perspective, that I might have missed

Se questa è la misura dei passaggi che hai preso per proteggere il tuo ambiente, allora sì, ci sono probabilmente un sacco di cose che ti sei perso.

    
risposta data 24.07.2018 - 11:14
fonte
-1

Secondo me, hai stabilito la maggior parte dei concetti di sicurezza.

Devi disabilitare tutte le porte e i servizi non utilizzati in modo da ridurre la superficie di attacco. Inoltre, ti suggerirei che ogni volta che si desidera controllare i sistemi da una rete esterna, utilizzare una VPN per connettersi alla rete interna e quindi utilizzare SSH per gestire i dispositivi individualmente.

Inoltre, la regola del pollice, usa sempre password complesse per qualsiasi accesso alla rete che usi.

Se hai un router che ha un buon hardware, puoi anche provare ad implementare il firewall baisic su di esso in modo da mitigare alcuni DDOS o attacchi correlati.

    
risposta data 30.03.2017 - 16:53
fonte

Leggi altre domande sui tag