Dónde colocar un escáner de vulnerabilidades en un centro de datos

2

Actualmente hay un debate en mi oficina sobre la mejor ubicación para colocar un escáner de vulnerabilidades (un escáner distribuido: Rapid7 Nexpose, usando motores de escaneo) dentro de un centro de datos.

Veo dos opciones:

  • Coloque el dispositivo virtual en una VLAN segura, abra la ip del dispositivo a todas las direcciones IP en el DC para que podamos asegurarnos de que se puedan escanear todos los UDP y TCP.
  • Proporcione al dispositivo virtual una interfaz virtual para cada VLAN en el centro de datos

Me gusta la segunda opción, ya que no tengo que atravesar un firewall, ya que sé que los firewalls a veces pueden meterse con el escáner de vulnerabilidades. Sin embargo, ¿hay alguna razón por la cual la primera opción no funcionaría? Nuestro equipo de red se está inclinando hacia él y quiero asegurarme de que sea aceptable.

Editar: Este escaneo es interno, solo para sistemas de producción en nuestro centro de datos.

    
pregunta appsecguy 22.10.2014 - 21:52
fuente

3 respuestas

1

La pregunta es qué "vista" desea en la red desde el punto de vista del escáner de vulnerabilidades.

Si desea incluir la seguridad del firewall en su evaluación de vulnerabilidad, debe colocar el escáner sin acceso a Internet, pero en el lado "WAN" del límite de seguridad del firewall. Por lo tanto, su escáner de vulnerabilidades lo alertará si accidentalmente configura mal su firewall para exponer una vulnerabilidad en Internet. Por lo tanto, todos sus servidores y firewall simplemente considerarán su escáner de vulnerabilidades como algo que proviene de Internet. Bloquear el acceso a Internet en absoluto para el escáner de vulnerabilidades (en ambas direcciones) es importante para que su escáner de vulnerabilidades no sea pirateado y asumido para realizar exploraciones de vulnerabilidades en hosts que no pertenecen a su red.

Otra vista es, por ejemplo, si simplemente desea una evaluación de que Todo está tan bien configurado que puede eliminar completamente el firewall de la ecuación, luego coloque el escáner de vulnerabilidades en el interior, en el lado de LAN.

Un tercer uso de un escáner de vulnerabilidades es, por ejemplo, unirlo con un punto de acceso inalámbrico, para que pueda ver la red a partir del hacker que se conectaría con un cliente inalámbrico.

Entonces no hay una respuesta correcta en tu pregunta. Dependiendo de lo que desee ver, debe dejar que el escáner de vulnerabilidades atraviese el firewall (sin excepción) o el explorador de vulnerabilidades debería tener acceso completo.

Un explorador de vulnerabilidades es una herramienta de medición, y usted lo coloca, por supuesto, donde desea medir la seguridad. Si quiero saber la temperatura exterior, coloco el termómetro en el exterior. Si quiero saber la temperatura interior, pongo el termómetro en el interior. Aquí el aislamiento en la pared podría ser el "firewall".

Lo mismo aquí con su escáner de vulnerabilidad. En pocas palabras: colóquelo lógicamente en su red exactamente donde desea medir la seguridad.

    
respondido por el sebastian nielsen 22.10.2014 - 23:47
fuente
1
  

Coloque el dispositivo virtual en una VLAN segura, abra una ip desde el   dispositivo a todas las direcciones IP en el DC para que podamos garantizar que todos los UDP y   TCP puede ser escaneado.

     

Proporcione al dispositivo virtual una interfaz virtual para   cada VLAN en el centro de datos

Tal vez me esté perdiendo algo. Sus dos sugerencias le hacen colocar esto en algún tipo de espacio IP interno (no visible hasta cierto punto fuera de su empresa). Basado en su comentario (ambos mencionan estar en una vlan), su mejor apuesta es lanzarlo a CUALQUIER VLAN, las interfaces virtuales serían un desperdicio, ya que podría truncar el puerto que el escáner está conectado a todos los demás. VLAN.

Ahora, Sebastian respondió esto de una manera que yo habría respondido de manera similar si hubiera dicho: "Colóquelo fuera de mi red interna" (fuera de mi espacio IP normal) Habría dicho que lo coloque EN EL INTERIOR de su infraestructura . Y hay una razón clara para esto.

Colocación interna: con el escaneo con credenciales le dará el mejor rendimiento posible y una visión más efectiva de lo que es vulnerable. NO lo coloque fuera de su perímetro. Para empezar, la mayoría de los hackers no van a escanear su infraestructura con Nessus, Nexpose, ni siquiera dicen Metasploit, Core Impact, Canvas, etc. La mayoría de los hackers son los más experimentados. Estos escaneos, intentos de explotación son ruidosos, consumen demasiado tiempo, y la gran mayoría serán bloqueados por cortafuegos, etc. Lo que significa que usted también tendrá una visión limitada de lo que realmente es vulnerable. Los atacantes competentes a menudo van a utilizar un ataque del lado del cliente (archivo pdf, llave USB, documento Word, dropper (malware))

Las evaluaciones internas le brindan una visión concisa de lo que sería vulnerable si un pirata informático lograra atravesar su firewall (es muy poco probable). El proceso de enfoque / pensamiento al realizar este tipo de evaluación es el siguiente: Ejecute su escaneo de vulnerabilidades: salida = lo que un atacante puede atacar. Esto es más realista de lo que la mayoría de las empresas están probando, como el fiasco de PCI / DSS de ejecutar Qualys contra una IP de egreso.

La siguiente evaluación sería una evaluación CREDENCIAL. Para estas exploraciones, afino cualquier herramienta para decirme: "bueno, tengo al usuario John Smith, que no debería tener mucho acceso a las cosas que no necesita ver / saber / tocar ... ¿Qué podría hacer él (o alguien)? ¿Quién robó sus credenciales? ¿Podría escalar localmente, en cualquier máquina en particular, etc.?

Soy un gran fanático de realizar el tester de penetración del equipo rojo bajo la premisa de que "Pasé por delante de su puerta (firewall) ... ¿Y ahora qué?" Esto le dará una mejor orientación INMEDIATA sobre qué bloquear, aislar, mitigar, emitir controles correctivos para.

    
respondido por el munkeyoto 23.10.2014 - 00:25
fuente
1

Voto por la opción # 1, y tengo experiencia de primera mano con esto.

Estoy viendo mucha información errónea y / o consejos erróneos en algunos de estos comentarios y respuestas.

El escáner debería:

  • tener acceso de nivel de administrador a los activos.
  • tiene acceso a los activos en todos los puertos / protocolos.
  • estar en la lista blanca de sensores IPS / IDS y otros dispositivos de seguridad.

El propósito principal de un explorador de vulnerabilidades es encontrar la vulnerabilidad en la fuente para que pueda corregirla antes de que un atacante pueda encontrarla y explotarla.

Si no está otorgando el acceso de nivel de administrador del escáner a sus activos y está permitiendo que interfiera un IPS, entonces está haciendo un mal servicio.

    
respondido por el k1DBLITZ 30.10.2014 - 21:16
fuente

Lea otras preguntas en las etiquetas