La separazione tra attività su Internet e attività offline protegge un host?

Naviga le tue risposte
0

Lascia che il diagramma sottostante sia una rappresentazione di una LAN.
- Sia R l'interfaccia tra la LAN e Internet.
- H essere ospite connesso alla LAN.
- F essere un firewall implementato utilizzando una macchina virtuale controllata da H.
- V essere una macchina virtuale controllata da H.
- F è anche l'interfaccia tra LAN e V.
- F blocca anche tutto il traffico da V destinato a H. 

    R
    |
 +--+--+
 |     |
 F     H
 |
 V

Si consideri:
- H usa V per tutte le attività internet insicure / occasionali - H svolge tutte le attività protette / private da solo (ad es. Bancario)

Quanto è sicuro questo?

So che l'utente sarà in gran parte responsabile della maggior parte delle violazioni, come il riutilizzo di password o l'estrazione di file da V o l'utilizzo di una VM che V può sfuggire; ma, a parte l'errore dell'utente, è più sicuro?

Dato che V farà la maggior parte delle cose insicure, posso vedere solo gli attaccanti che puntano a V perché V è l'unico che è là fuori che possono identificare. Qualsiasi virus / attacco di V sarebbe completamente bloccato da F se F è impostato per bloccare tutto il traffico sulla LAN tra di loro. Quindi, sì, vieni a interrompere questa configurazione.

Voglio sapere se la separazione di attività non sicure con quelle sicure può rendere un host più sicuro.

--- modifica

Quindi, sondare la rete rivelerà H. In termini di infezione da V, tuttavia, una delle sue infezioni può raggiungere H?

E sì, H dovrebbe essere protetto da un firewall proprio.

    
posta user2738698 21.03.2014 - 17:54
fonte

2 risposte

1

No, penso che V sia più sicuro di H. Per H stai andando per l'approccio di sicurezza attraverso l'oscurità, che è sempre scoraggiato.

Questo perché, a mio parere, la tua ipotesi che gli attaccanti che hanno come bersaglio V non si imbattano in H è difettosa. Ad esempio, la maggior parte degli ultimi worm non solo attacca un singolo sistema di destinazione ma tenta anche di scoprire la topologia delle reti di destinazione e gli host adiacenti. Quindi secondo me sarebbe meglio se prendi anche H dietro il firewall e non esporlo direttamente a Internet.

    
risposta data 21.03.2014 - 18:10
fonte
1
Consider:
- H uses V for all insecure/casual internet activity
- H does all secure/private activity by itself (ie. banking)

Potresti avere questo pensiero / teoria invertito. Su una linea piatta assomiglia a questo: 

Host (does all secure/private activity) --> router --> internet

Qui non sono menzionati firewall. Dove se fossi in me, lo farei: 

Host --> proxy server (locked down w/IPS, AV, etc) --> router --> internet

Quindi dichiari: 

Host --> Virtual (casual) --> gets firewalled here? --> back to host --> or gets firewalled here? --> router --> Internet

Se V non è importante, perché perdere tempo e risorse a fare il filtraggio?

Se sei che preoccupato di dire bancari, perché non usare un cd Linux avviabile ogni volta che farai qualcosa che consideri fondamentale per la tua missione. O ... Basta lanciare un server proxy che esegue IDS, IPS, dire Squid e un firewall. Non capisco la tua logica.

--- MODIFICATO BASATO SULLA RISPOSTA DELL'OP:

Penso che stai andando un po 'fuori bordo qui. Se disponevi di un proxy strong, non dovresti preoccuparti di molti attacchi, dal momento che saresti in grado di rimuovere i dati non appena entrano nella rete, prima ancora che siano eseguiti.

Ad esempio, con Squid utilizzato come proxy Web, è possibile eseguire re-write per rimuovere java, javascripts, iframes, flash, ecc., ciò riduce notevolmente il vettore di attacco Web. Puoi anche usare YARA per minimizzare ulteriormente. Che porta in alto un'altra domanda / commento. Se V non è così importante e usato per cose occasionali, perché non usare solo una versione di Linux / BSD avviabile per THAT machine? Questo di per sé rimuove una superficie di attacco LARGE .

    
risposta data 21.03.2014 - 18:48
fonte

Leggi altre domande sui tag

OID per data / ora di creazione (campo certificato X509) Come posso bypassare il meccanismo di blocco ip?