Lista blanca de DNS frente a filtrado de paquetes Firewall

2

Soy un interno de seguridad de la información para un MSP.

La empresa está configurada para trabajar de forma remota algunos días a la semana. Cuando estaba recopilando información para la evaluación, descubrí que uno de los empleados no tiene un firewall de filtrado de paquetes. Ella está ejecutando un agente de Cisco Umbrella DNS y una SSL VPN cuando trabaja de forma remota. Ella está convencida de decirme que no necesita un firewall debido al agente de DNS y SSL VPN.

Siempre aprendí que era necesario tener un firewall perimetral para administrar el tráfico. ¿Cómo puedo explicar por qué necesita un firewall junto con los otros controles de seguridad?

    
pregunta Angela Lipford 23.07.2018 - 17:08
fuente

3 respuestas

2

Supongo que ella espera que Umbrella la proteja de cualquier conexión de salida no autorizada porque Umbrella enumera dominios comunes y bloquea los dominios sospechosos. Un firewall también protege la máquina de las conexiones salientes.

El problema con Umbrella es que solo funciona en domains y no en IPs. Si el malware en su máquina está configurado para alcanzar una IP, Umbrella no hará nada.

Umbrealla tampoco la protegerá de las conexiones entrantes , aunque ese riesgo podría ser mínimo si no está ejecutando ningún servicio al que se pueda conectar.

    
respondido por el schroeder 23.07.2018 - 17:53
fuente
0

Como no tenemos una imagen completa de cómo se ve la infraestructura, no es trivial responderla.

Para aclarar la situación, sugeriría verificar cómo termina el túnel VPN en la infraestructura de la empresa. Es muy probable que termine directamente en un firewall de nueva generación (que hace paquetes pero también en una inspección de estado que actúa como IPS / IDS) o que el tráfico fluya a través de una DMZ a la red corporativa con el mencionado IPS / IDS (firewall) en medio. La presencia de Cisco Umbrella DNS es un indicador de que un firewall está presente en algún lugar del flujo de VPN remoto, pero tendría que aclarar con los respectivos equipos de red o seguridad.

    
respondido por el bfloriang 23.07.2018 - 17:23
fuente
0

Punto 1: Si tiene políticas organizativas sobre 'Protección de dispositivos terminales' y 'Acceso remoto', se trata de explicar a sus empleados y explicarles el mandato de seguir las políticas organizativas. Por ejemplo, si su política establece que todos los dispositivos de sus usuarios deben instalarse con 'Packet Firewall', todos sus empleados deben seguir la política.

Por lo tanto, si sus creadores de políticas aceptan su idea de implementar Firewall, indíquelo en las políticas de su organización.

Punto 2: El impacto de tener un Firewall en el dispositivo final se basa en la configuración de la infraestructura que tiene y en la forma en que permite la conectividad remota. Por lo tanto, sería una respuesta subjetiva, pero puede implementar lo siguiente para mitigar los riesgos:

  1. Implemente sensores IPS / sensores DDoS en la puerta de enlace donde los usuarios remotos se conectan
  2. Controle el acceso de usuarios remotos a hosts / acceso específicos
  3. Supervisar las actividades de conexión remota a través de SOC
  4. Etc
respondido por el Sayan 23.07.2018 - 18:56
fuente

Lea otras preguntas en las etiquetas