Domande su IDS, IPS, VLAN e VPN [chiuso]

0

Ho una rete che ha un singolo punto di accesso alla WAN. La WAN espone circa 10 IP statici che si risolvono internamente ai server che si trovano nella stessa sottorete. Significa che se si esegue il RDP da 3389 a SQLPrimary1 da questo, è possibile eseguire il RDP su tutti gli altri dispositivi sulla rete. Ogni server ha il firewall disabilitato. Non c'è niente IPS, IDS, SPI. Tuttavia, eseguiamo Microsoft Security Essentials su tutti i server (FWIW). : Sigh:

Devo implementare una strategia per proteggere la rete dalle minacce in entrata, dalle minacce in uscita, dalle minacce zero-day, dalle vulnerabilità delle patch e da una buona euristica.

  1. Se eseguo IDS, ho bisogno che tutto il traffico scorra attraverso il firewall direttamente nel mio IDS (Security Onion su Linux) e poi nella mia rete. Giusto?

    • Se eseguo Security Onion non-stop aggiungerà una notevole latenza sulla mia rete? Penso che attualmente stiamo utilizzando circa il 2% della nostra rete. I sistemi ISS e IDS funzionano a tempo pieno?
  2. Le V-LAN sono sicure? Significando se isolare le cose critiche della mia missione su una VLAN e altre risorse su altre VLAN è quella più sicura? In caso contrario, in quale altro modo posso suddividere la mia rete in modo che i dati mission-critical siano ancora al sicuro da beta, server web e così via? Useresti più firewall? Quale sarebbe la migliore pratica?

  3. Abbiamo clienti in tutti i 48 stati e nel Regno Unito e ognuno di loro deve connettersi ai nostri dati e server web. Mi piacerebbe imporre connessioni VPN ai nostri clienti, ma mi chiedo:

    • È eccessivo?
    • In caso contrario i client VPN con licenza del mio fornitore di firewall potrebbero essere più sicuri e / o efficienti rispetto al software VPN di Microsoft?
    • La VPN creerebbe tonnellate di sovraccarico e congestione?
  4. Devo monitorare 2 datacenter server che dipendono l'uno dall'altro. Ne abbiamo uno nel Regno Unito e uno negli Stati Uniti. Penso che il modo più semplice per assicurarsi che entrambi i data center abbiano connessioni Internet è stabilire tunnel VPN site-to-site tra Stati Uniti e Regno Unito.

    • È un modo efficace per monitorare la connettività in ogni sito o qualcos'altro di più efficace?
  5. Se qualcuno ricorda il virus "ILOVEYOU" che ha distrutto i server SQL intorno al 2000/2001 o giù di lì. Il software antivirus di qualità corrente potrebbe bloccare questo tipo di attacco? Gli attacchi di questo tipo sono più rilevanti con i firewall IPS e SPI.

    • Quando si tratta di antivirus sui server di database, la protezione in tempo reale è un ottimo modo per andare perché non blocca i file .mdf e .ldf. Sarebbe saggio programmare i tempi di inattività per smontare gli indici .mdf / .ldf e full-text per scansionarli fisicamente alla ricerca di virus utilizzando il software AV?
  6. Esistono strumenti open source che è possibile utilizzare per eseguire i propri test di penetrazione e ottenere un elenco di elementi di azione insieme ai risultati?

Siamo un negozio di windows totale e mi piacerebbe sentire altri pensieri e idee su come affrontare questi problemi.

    
posta Rex Winn 09.12.2013 - 22:54
fonte

2 risposte

2
  1. Si indirizza il traffico pertinente attraverso il proprio IDS sì. La latenza dipende dalle prestazioni del tuo dispositivo.
  2. VLANS sono sicuri se implementati correttamente. Assicurati di utilizzare anche 802.1x (PNAC) per autenticare i dispositivi sul layer 2. Assicurati di non iniziare il routing tra i tuoi VLANS (se non appropriato)
  3. Dipende dal tipo di VPN che utilizzi, livello 3 o livello 2 VPN. Assicurati di utilizzare anche l'autenticazione a due fattori sulla tua VPN. Secondo me, non è eccessivo perché stai cercando di impedire l'accesso ai tuoi dati e servizi critici in modo controllato. Assicurati inoltre di registrare correttamente tutte le connessioni.
  4. Questo può essere fatto da un tunnel punto-punto. Se la macchina è disponibile su Internet, è possibile eseguire determinati controlli dalla WAN utilizzando un dispositivo di monitoraggio dedicato separato (ICMP, HTTP, ...). Dovresti solo consentire l'uso di protocolli di gestione come SSH e SNMP dal tuo tunnel point-to-point. Il tuo dispositivo di monitoraggio può verificare se la macchina è connessa alla WAN con i primi controlli e quindi può vedere se tutti i servizi funzionano regolarmente. Ciò anche per evitare uno scenario in cui il server di monitoraggio inizia a segnalare che la macchina è critica mentre il tunnel VPN è appena andato giù (che è anche fondamentale ma non necessariamente correlato al dispositivo).
  5. Usa sempre un AV. Ricorda che il virus ILOVEYOU era uno script VBS che è stato eseguito da un utente. Non dovresti utilizzare i tuoi server per navigare in Internet, scaricare o aprire file inviati da persone sconosciute. Dovresti eseguire solo script e binari già testati che possono essere considerati attendibili. (fonte affidabile). Assicurati di utilizzare anche EMET .
  6. Questo è fuori tema. Se sei seriamente interessato alla tua attività, dovresti investire in uno scanner di vulnerabilità come Nessus.
risposta data 10.12.2013 - 13:59
fonte
1

Questa è una risposta parziale:

re # 5: "ILOVEYOU" è stato un grosso problema per due motivi. Innanzitutto, i server SQL sono stati esposti direttamente a Internet. In secondo luogo, e altrettanto importante, un gran numero di amministratori ha completamente e completamente omesso di seguire qualsiasi tipo di best practice, come l'applicazione regolare di patch, che avrebbe impedito l'attacco. Sfortunatamente, incappo in un gran numero di amministratori che non hanno imparato questa lezione.

Per prevenire questo tipo di attacco: mantenere aggiornate le patch e non esporre i server a Internet. Inoltre, devo ancora vedere un prodotto AV creato per funzionare su un server di database. Il tipo di accesso ai file richiesto su tali macchine è tale che un tipico prodotto AV causerà molti più problemi di quanti ne proteggono.

Vedi link L'elenco di esclusione copre praticamente ogni directory e file che utilizza SQL Server; il che significa che l'unica ragione per cui dovresti avere software AV su di esso è se il server è mal configurato male e mal utilizzato. In altre parole, non consentire a nessuno di collegarsi a Internet e lavorare dal desktop e non consentire la condivisione di file o qualsiasi altro servizio OLTRE i servizi sql per essere accessibili. Quindi usa i tuoi punti di rete per monitorare il traffico che vi entra.

    
risposta data 09.12.2013 - 23:29
fonte

Leggi altre domande sui tag