Detección y monitoreo de eventos importantes en el servidor OpenVPN

3

Si un atacante puede establecer una conexión VPN a la red de la empresa y tener acceso a recursos internos (al usar varios certificados y credenciales para autenticarse en el servidor VPN), lo cual es bastante peligroso, ¿cómo podemos detectar y monitorear tales eventos? ¿correctamente?

¿Cuáles deberían ser los criterios para detectar tales atacantes en el nivel vpn?

¿Qué herramienta se debe utilizar para este tipo de monitoreo?

Y, también me gustaría que la herramienta de monitoreo genere la información geográfica del atacante en un mapa.

(Environment, su openvpn se ejecuta en centos linux, una máquina con interfaces públicas y privadas)

    
pregunta Ijaz Ahmad Khan 03.01.2016 - 17:03
fuente

3 respuestas

0

Sí, tengo una idea para los criterios de detección: su sistema de monitoreo (como ELK) puede enviar una alerta al administrador del sistema para que revise el inicio de sesión que proviene de una ubicación inesperada (donde no espera su empleado para ser)

    
respondido por el Ijaz Ahmad Khan 08.01.2016 - 10:14
fuente
3

la supervisión adecuada dependerá de la configuración de su red y del entorno en el que se sienta cómodo. siguiendo el escenario y como respuesta rápida, es probable que desee hacer un estudio profundo de estos conceptos y cómo aplicarlos, ya que la recomendación de la herramienta será realmente específica para su red y no proporcionó mucha información sobre su red y sus servicios.

IDS de wikipedia

  

Un sistema de detección de intrusos (IDS) es un dispositivo o aplicación de software que supervisa las actividades de la red o del sistema en busca de actividades maliciosas o infracciones de políticas y genera informes a una estación de administración

IPS de wikipedia

  

Los sistemas de prevención de intrusos (IPS), también conocidos como sistemas de detección y prevención de intrusos (IDPS), son dispositivos de seguridad de red que monitorean las actividades de la red y / o del sistema para detectar actividades maliciosas. Las funciones principales de los sistemas de prevención de intrusos son identificar actividades maliciosas, registrar información sobre esta actividad, intentar bloquearla o detenerla e informarla

el uso de honeypots es realmente recomendable,

  

En terminología de computadora, un honeypot es un mecanismo de seguridad de computadora configurado para detectar, desviar o, de alguna manera, contrarrestar los intentos de uso no autorizado de sistemas de información. En general, un honeypot consiste en datos (por ejemplo, en un sitio de red) que parece ser una parte legítima del sitio pero en realidad está aislado y monitoreado, y que parece contener información o un recurso de valor para los atacantes, que luego son obstruido. Esto es similar a la policía que ataca a un criminal y luego realiza una vigilancia encubierta, y finalmente castiga al criminal.

El protocolo SNMP de wikipedia

  

SNMP se usa ampliamente en los sistemas de administración de red para monitorear dispositivos conectados a la red en busca de condiciones que requieran atención administrativa. SNMP expone los datos de administración en forma de variables en los sistemas administrados, que describen la configuración del sistema. Estas variables se pueden consultar (y, a veces, establecer) mediante la gestión de aplicaciones.

    
respondido por el Sarastro 03.01.2016 - 17:38
fuente
1
  

Si un atacante puede establecer una conexión VPN a la red de la empresa

Lo que significa que su VPN es insegura por diseño, que las credenciales necesarias fueron robadas porque un usuario remoto o similar fue hackeado o que el atacante ha secuestrado el punto final de la VPN y se conecta directamente desde allí.

  

¿Cómo podemos detectar y monitorear tales eventos correctamente?

En este caso, el sistema de atacantes generalmente no es diferente de un sistema remoto legal, ya sea porque usa las credenciales de un sistema existente o es el sistema (secuestrado) en sí mismo. Podría descubrir que la conexión es de una dirección IP de origen inusual o en un horario habitual o que hay conexiones paralelas con las mismas credenciales, pero no hay mucho más que pueda hacer.

Al final, tienes que lidiar con este problema como con cualquier otro tipo de compromiso del sistema. No importa mucho si el atacante ingresó a través de la VPN, a través de malware transportado con correo electrónico de phishing o por medio de otras formas. Lo que importa es que el atacante está dentro de la red y causa daño. Si sabe cuál es el comportamiento normal en su red, puede monitorear la red para detectar actividades inusuales utilizando IDS (Sistemas de detección de intrusos) o BDS (Sistemas de detección de fallas), etc. Pero si no entiende lo que es normal en su red, entonces todo Lo que podría hacer es monitorear las vulnerabilidades comunes. Esto ofrece protección contra los atacantes que utilizan herramientas comunes pero no más.

No hay un sistema que pueda poner simplemente en la red y que lo haga completamente seguro. IDS y BDS o sistemas similares lo ayudarán, pero funcionarán mejor si realmente conoce su red.

    
respondido por el Steffen Ullrich 03.01.2016 - 18:30
fuente

Lea otras preguntas en las etiquetas