Configuración de red encriptada pequeña [cerrado]

2

Varios socios y yo acabamos de comenzar una pequeña empresa y nos gustaría emplear una buena configuración segura desde el primer día. Sin embargo, este es un problema, ya que hay muchos paquetes poco sistemáticos y estoy atascado atascándolos y esperando que no haya agujeros.

¿Hay documentos, tutoriales, libros, etc. que den casos de uso de sistemas totalmente seguros? Específicamente:

  • El servidor web estará totalmente dedicado, sin conexión a la red interna por seguridad.
  • El servidor principal se usa para la colaboración interna, el almacenamiento de archivos, la administración de contactos, el servidor de correo electrónico, cosas así
  • Cada persona tiene una computadora portátil y necesitaría una forma de comunicarse de manera segura con todos los demás, así como una forma de almacenar archivos de forma segura.

Actualmente usamos Linux para todo. Ubuntu con las casas de los usuarios cifradas y un archivo de truecrypt para almacenamiento seguro. Me gustaría subir esto a una instalación de Debian que requiera una frase de contraseña en el cargador de arranque, ya que toda la partición está encriptada. Utilizamos RetroShare para las comunicaciones ya que tiene seguridad incorporada, pero es solo una medida temporal, y nos gustaría aprender cómo configurar un servidor de información centralizado y seguro.

Más información:

  • El servidor web se alojará fuera del sitio a través de un tercero. No tiene información útil además de algunas direcciones de correo electrónico.

  • Las computadoras portátiles están cruzando la frontera de EE. UU. y Canadá, deberán estar seguras contra la entrada sin una orden judicial. La forma en que estoy pensando para asegurarlos es:

    • Llaves USB Apricorn Aegis (tienen un teclado para desbloquear la unidad)
    • Thay tendrá la partición de arranque de las computadoras portátiles, el archivo de claves, los usuarios PGP, SSH y cualquier otra clave.
  • El servidor estará basado en Debian, no me he conformado con ninguno de los paquetes, ya que no tengo idea de cuáles funcionarán con qué paquetes de seguridad. La ubicación de los servidores es físicamente segura, por lo que solo me preocupa la intrusión en la red. El último sistema de detección de intrusiones que utilicé fue BlackFin o algo en Windows en los días de Blaster32.

    • SNORT para la detección de intrusos
    • GnuPG, SSH
    • Acceso remoto al sistema de archivos:

      1: los usuarios pueden hacer una VPN en el sistema a través de SSH

      2: los usuarios pueden montar a través de SSHFS justo lo que necesitan

      3 - Presumiblemente, la VPN es una mejor idea.

pregunta uMinded 07.07.2013 - 03:42
fuente

1 respuesta

1

En primer lugar, marque esto . Tiene grandes directrices sobre el endurecimiento de las máquinas de Ubuntu. Mis recomendaciones

  • Si es posible, aloje su servidor web en una ubicación diferente a la oficina sin acceso o comunicación a la oficina. Si esa no es una opción, asegúrese de que esté completamente separada de su red interna.
  • Para la red interna, por supuesto, configure un firewall, ejecute AV en todas las máquinas y configure un IDS / IPS. Snort es un ids / ips popular para Linux.
  • Use el cifrado de disco completo en las computadoras portátiles. TrueCrypt no puede realizar el cifrado completo del disco en los dispositivos Linux, no lo he usado en un par de años, así que quizás eso haya cambiado si TrueCrypt es su única opción, al menos asegúrese de que los usuarios sepan cómo usarlo correctamente y no lo hagan accidentalmente. guardar una base de datos de SSN sin cifrar.
  • No permita directamente el acceso a ninguna máquina en su red interna. Si desea que la gente trabaje de forma remota, la mejor opción es convertirlos en VPN en la red. Si desea estar realmente seguro al respecto, puede configurar la VPN con un llavero o un certificado en una tarjeta SD que el usuario debe tener físicamente.
  • Hay mucho más que puedes hacer, pero todo depende de la cantidad de tiempo y dinero que estés dispuesto a invertir.

No existe tal cosa como un "Sistema totalmente seguro" si desea endurecer un servidor hasta el punto en que sea casi imposible de hackear, tendrá que rellenarlo con cemento y colocarlo en la zanja más profunda de la plataforma. Océano pacífico e incluso entonces diría que solo es seguro en un 96.2% pero es 100% inutilizable.

Tienes que aceptar el hecho de que eres vulnerable y serás atacado. Determinar el valor de todos los activos en la organización. Tenga una política de seguridad básica para todos los dispositivos en su red y enfoque sus recursos en los sistemas de misión crítica.

Mis 2 centavos. Espero que esto ayude

    
respondido por el Four_0h_Three 07.07.2013 - 04:52
fuente

Lea otras preguntas en las etiquetas