empleado infectado que usa la oficina VPN fue parte de un ataque DDoS

Navega tus respuestas
1

Recientemente, nuestra oficina VPN fue eliminada por nuestro ISP después de descubrir un ataque DDoS. Aparentemente un empleado conectado a nuestra VPN está infectado. No había registros al momento del evento.

Además de recomendar a todos que utilicen un AV, ¿cuáles son las soluciones para mitigar o resolver esto desde el lado del servidor / cliente? Una idea es pedirles que no utilicen nuestra VPN como su puerta de enlace predeterminada para que el tráfico malicioso no pase a través de nuestro servidor VPN.

    
pregunta Julian J 12.06.2015 - 21:26
fuente

2 respuestas

3

Como mencionó, definitivamente debe configurar una VPN de "túnel dividido", en la que el tráfico solo atraviesa la VPN cuando lo necesita: el otro tráfico pasa por Internet. Esa es probablemente la solución más simple a su problema. Sin embargo, la advertencia es que estas computadoras infectadas aún pueden usarse como un punto de salto para acceder a los recursos en su VPN; para que pueda tener un problema de seguridad y no estar al tanto de esa solución.

Hay muchas otras formas más complejas de abordar el problema. Por supuesto, no solo es importante asesorar, sino también exigir que los usuarios de VPN tengan un antivirus activo actualizado. Muchos concentradores de VPN (Cisco, Juniper, etc.) tienen características en sus clientes de VPN que permiten probar el cumplimiento de un perfil de host, por ejemplo. ver si las actualizaciones están instaladas, el antivirus es actual, etc.

Al subir un orden de magnitud, un sistema IPS (Sistema de prevención de intrusiones) es la solución ideal para este problema; si el presupuesto lo permite, ya que estos sistemas son prohibitivamente costosos y, a menudo, requieren recursos importantes para la configuración. Un IPS debidamente configurado revocará de inmediato el acceso a la VPN si se detecta una actividad anómala seria: es casi seguro que un ataque DDOS lo active.

En este caso, aún puede usar una VPN de "túnel completo" con todo el tráfico de Internet usando la VPN como la puerta de enlace predeterminada, si lo prefiere. Si bien la velocidad puede sufrir en una conexión VPN de túnel completo, será más segura ya que todo el tráfico tendrá que atravesar el sistema IPS.

    
respondido por el Herringbone Cat 12.06.2015 - 21:47
fuente
1

Sugiero lo siguiente:

  1. Antivirus centralizado / Administración de malware (Endpoint Security)

  2. Una especie de dispositivo físico para la administración de amenazas, como un Sonicwall de Dell. Habilita la protección Syn Flood como mínimo. Utilice este dispositivo para el acceso VPN seguro. Habilite el flujo de red para recopilar la vista del tráfico de Internet en la LAN.

  3. Audite todos los sistemas en la red si es posible, registre qué puertos están abiertos, cerrados y haga un seguimiento de las aplicaciones utilizadas.

  4. Use algún tipo de usuario A y un mecanismo como Active Directory o LDAP.

  5. Asegúrese de que todos los sistemas en la red estén grabados en un proceso repetible similar. Siempre sepa qué actualizaciones hay en las máquinas y tenga un proceso documentado para todo lo que se encuentre entre ellas.

La idea es descubrir qué brechas existen, habilitar la seguridad en profundidad y perfeccionar el tiempo. No permitas que nada en tu red se convierta en un zombie zombi.

    
respondido por el DevMan14 12.06.2015 - 21:51
fuente

Lea otras preguntas en las etiquetas

¿Por qué no se mantiene seguro el código de producto de MSWindows? [cerrado] ¿Es seguro enviar una contraseña no válida de vuelta al cliente?