Progetta raccolta centralizzata di registri tramite unità flash USB utilizzando la sicurezza basata su hardware per i computer host

Naviga le tue risposte
-1

Devo centralizzare la raccolta dei registri da diversi computer diffusi su cui posso solo collegare chiavette USB. Questi computer non dovrebbero essere raggiungibili dalla rete in ogni caso per impedire qualsiasi attacco di rete.

Deve essere protetto a livello hardware dalla progettazione per i computer host contro l'accesso remoto (il sistema di registrazione potrebbe bloccarsi ma i computer host non potrebbero essere compromessi in ogni caso) e dovrei essere in grado di dimostrarlo. Le unità flash USB sono gli unici dispositivi autorizzati per motivi di sicurezza e certificazione (anche se una chiavetta USB può ancora essere infettata :(). Quindi non ho molta scelta.

Ho pensato di progettare un dispositivo che funge da flash drive USB su un lato collegato a un'interfaccia Ethernet sull'altro lato. Qualsiasi log scritto sull'unità flash USB verrebbe inviato al modulo Ethernet, il modulo Ethernet invierà automaticamente tutti i dati in arrivo a un IP di destinazione (sistema di registrazione dei dati centralizzato). Il collegamento tra il modulo USB ed Ethernet sarebbe semplice (progettazione hardware) in modo che nessun attacco al modulo Ethernet potesse compromettere l'unità flash USB collegata su ciascun computer.

Ho postato una domanda simile su link ma non abbiamo trovato una soluzione, forse perché ho proposto una soluzione sovradimensionata.

Potrebbe esserci una soluzione molto più semplice. Devo trovare una soluzione economica con comprovate garanzie di sicurezza (computer host irraggiungibile anche se il modulo USB è compromesso)

Grazie mille per il tuo aiuto

PS: non riesco a utilizzare l'interfaccia seriale (che avrebbe potuto essere una buona soluzione)

    
posta doxav 08.01.2016 - 00:29
fonte

3 risposte

1

Prima di tutto, la sicurezza al 100% è un mito ed è qualcosa che non dovresti mai chiedere o promettere.

Se mi trovassi in una situazione in cui ci sono più host che non sono connessi a una rete, prenderei in considerazione le seguenti cose:

  1. Crea una LAN interna (di gestione) per tutti gli host.
  2. HIPS / HIDS - Sistema di prevenzione / rilevamento delle intrusioni basato su host.
  3. Proteggi gli host da iptables (ad esempio non consentire le connessioni in entrata).
  4. Proteggi gli host.
  5. Server di registro centralizzato.
  6. Disattivazione fisica porte USB / lettori di schede.
  7. Implementa Network Access Control (NAC).
  8. Monitoraggio degli eventi di sicurezza.

Ricorda che quando qualcuno ha accesso fisico a qualsiasi macchina Linux, la macchina potrebbe essere facilmente compromessa eseguendo il boot nel livello 1 (modalità utente singolo) e reimpostando la password di root.

    
risposta data 08.01.2016 - 07:49
fonte
0

La connessione USB via Ethernet non violerebbe la regola secondo cui il sistema non dovrebbe essere collegato alla rete? Potresti dividere i capelli che i servizi di rete non sono raggiungibili, solo l'interfaccia USB. Indipendentemente da ciò, se i dati memorizzati sono abbastanza importanti, qualcuno troverà un modo. Il modo in cui descrivi il problema sembra che tu stia tentando di giustificare una soluzione alternativa, ma la stessa affermazione non è chiara.

Se l'USB è l'unico modo per raccogliere i log, allora purtroppo dovrai fare affidamento sul lavoro manuale e su sneakernet. Un paio di script di shell possono aiutarti ad automatizzarne alcuni, ma non rimuoverà la necessità di andare fisicamente al computer.

    
risposta data 08.01.2016 - 02:34
fonte
0

L'approccio USB non è scalabile e nemmeno sicuro. Puoi utilizzare l'ultima pratica del server di log centrale utilizzando lo stack ELK.

E = > ElasticSearch: registra archiviazione e indicizzazione (ricercabile)

L = > LogStash: filtra i registri in entrata in base ai tuoi requisiti

K = > Kibana: interfaccia web che si integra con ElasticSearch

Puoi proteggere l'accesso a Elastic Search eseguendolo su IP privato non instradabile, con Https e autenticazione strong.

    
risposta data 08.01.2016 - 08:35
fonte

Leggi altre domande sui tag

Strumenti o script per analizzare le credenziali e i dati del browser? Durante un test di penetrazione, quando è preferibile utilizzare il payload HTTP inverso e il carico utile TCP inverso? [chiuso]