Comprender la seguridad de mi red doméstica

1

Con tantos dispositivos que tienen conectividad a Internet, realmente quiero poner algo en su lugar que pueda alertarme si alguna aplicación o dispositivo se está comunicando de manera insegura. ¿Cómo usaría algo como OSSIM o Snort o algo para poder determinar si se están pasando las credenciales?

Desde mi pensamiento, parece que lo que tendría que hacer es colocar algo entre el enrutador y todo lo demás para poder interceptarlo.

Editar : Aquí hay una maqueta muy básica de los dispositivos en mi red doméstica. Mi objetivo es encontrar una manera de hacer que Security Onion VM se ejecute en mi PC para poder monitorear todo el tráfico a través de la red. No estoy seguro si necesito / cómo configurar un TAP en la red. ¿Necesito un switch administrado en lugar de un no administrado? Aquí está la maqueta: enlace

    
pregunta appsecguy 04.10.2014 - 06:05
fuente

3 respuestas

3

Editar: me perdí totalmente la parte de la red doméstica. Comprar una toma de red en esta situación sería excesivo. En tu caso Snort o Suricata podrían funcionar. Específicamente, podría establecer reglas para buscar cadenas que indiquen una comunicación insegura en los paquetes. Puede ajustarlo aún más eliminando todas las reglas que no sean pertinentes para lo que está buscando, credenciales de texto simple. Más detalles sobre cómo hacer reglas de Snort personalizadas aquí: enlace

Solución de enterprisey: he visto a personas que ejecutan Suricata o Snort en sus sistemas, pero eso no parece escalar tan bien si tiene un alto uso de ancho de banda. Tiene razón en que un toque de red podría ser útil en su situación. No estoy seguro de si está tratando con fibra o cobre, pero podría obtener un toque adecuado y enviar los datos de los puertos de monitoreo a otras herramientas. Estas herramientas, que potencialmente podrían ser Snort o Suricata, podrían escanear los datos del paquete en busca de cadenas específicas como las que vería en la autenticación LDAP. También puede haber herramientas DLP que podrían funcionar para este caso de uso.

    
respondido por el theterribletrivium 04.10.2014 - 11:42
fuente
3

En este caso, es posible que desee obtener un red social o configurar port mirroring si su enrutador lo admite. Desde allí puede instalar un IPS (ya sea para crear una imagen manualmente o utilizar security onion ).

Es posible que desee un estilo de implementación similar al siguiente. Sin embargo, en su caso, el firewall probablemente será su módem de Internet y su LAN será su enrutador .:

Osiconfiguraladuplicacióndepuertos,podríaverseasí:

    
respondido por el KDEx 04.10.2014 - 22:41
fuente
2

Si tiene algún hardware adicional, recomiendo probar Security Onion.

Snorby y suricata ya están instalados y se pueden ejecutar en diferentes estilos de implementación (una máquina, publicaciones de escucha, etc.).

Podría ser suficiente información para ti.

Por supuesto, también podría concentrar su red doméstica y tcpdump / wireshark su tráfico y ver.

    
respondido por el user47526 04.10.2014 - 18:03
fuente

Lea otras preguntas en las etiquetas