¿Es este un enfoque razonable de monitoreo continuo de la red?

4

Actualmente estoy implementando algunos mecanismos para monitorear continuamente nuestra red. La mayor parte de esto se hace a través de OSSIM pero también lo extendí mediante algunos scripts de monitoreo autoguiados. Actualmente estoy haciendo lo siguiente:

  • Exploraciones de descubrimiento de host cada hora de todas las subredes, incluida la detección de servicios comunes (mediante nmap)
  • Descubrimiento de host pasivo permanente a través de monitoreo de difusión (usando tshark y packetfu)
  • Exploración por hora de todos los hosts para nic's en modo promiscuo (usando nmap)
  • Exploración por hora de todos los hosts para el reenvío de ip activado (usando nmap)
  • Análisis de vulnerabilidad "no destructivos" diarios de todos los hosts (mediante OpenVAS)

¿Es este un concepto razonable o me faltan algunos puntos importantes?

// Hicimos una validación inicial de las vulnerabilidades encontradas y las parchamos si es posible. Algunos de ellos no eran parcheables en esos casos, limitamos mucho el acceso. Ahora estamos verificando nuevas vulnerabilidades diariamente. También tenemos HIDS en todos los servidores, pero lo dejé aquí porque no está realmente relacionado con la red.

    
pregunta davidb 12.05.2016 - 23:13
fuente

1 respuesta

4

Los enfoques que mencionas son un poco confusos, y explicaré por qué. En una infraestructura adecuadamente diseñada, se abordarán muchos de los puntos de referencia que enumeró:

Exploraciones de descubrimiento de host cada hora : si implementa una seguridad de puerto sólida en sus switches y utiliza NAC - PacketFence ( ya que mencionó el código abierto, también lo hice) no tendría que preocuparse por lo que estaba enchufado. El contador sería alguien que comentara: " Bueno, pero los MAC podrían estar falsificados " Yo digo: " Si hay alguien en su red FÍSICA que falsifica las direcciones MAC, tiene cosas más importantes de las que preocuparse. El control de la dirección de la red minimiza adecuadamente a las personas que lanzan algo a la red.

Descubrimiento de host pasivo permanente a través de la difusión : esto se abordó con el comentario NAC, pero incluso si no hubiera sido así, no todos los hosts responden a la transmisión.

Exploración por hora de todos los hosts para nic en modo promiscuo : este es un problema de permisos / problema del sistema. Un usuario normal no puede poner una interfaz en modo promiscuo. Los sistemas correctamente parcheados incluyen software de actualización. Sin una vulnerabilidad o permisos, un usuario no podría activar el modo promiscuo, con NAC, no podría instalar su propia máquina.

Exploración por hora de todos los hosts para el reenvío de ip activado : más exageración. Sin permisos tanto para el sistema como para la red, no veo cómo se produciría el reenvío.

Análisis de vulnerabilidad "no destructivos" diarios de todos los hosts (utilizando OpenVAS) : esto es mucho ruido.

Gran parte de lo que ha escrito se alinea con el enfoque de "castillo" para la seguridad. Aquí es donde se sigue construyendo para que no entren. En este caso, en lugar de mirar lo que tienes y cómo usarlo, estás agregando más problemas en el futuro. La auditoría de cuentas (registrar los comandos sudo, controlar quién puede hacer qué como administrador) es un enfoque mejor que preguntarse si alguien está poniendo algo en modo promiscuo o no. La implementación de NAC mantiene los sistemas no confiables y no probados fuera de su red. Es un golpe dos: "no hay máquinas aleatorias, y ninguna máquina en existencia puede ser manipulada. No hay vulnerabilidades". Es un enfoque más rápido, más eficaz y más escalable que lo que mencionó.

    
respondido por el munkeyoto 13.05.2016 - 12:54
fuente

Lea otras preguntas en las etiquetas