Lista blanca de IP para el acceso a la base de datos, ¿se ajusta la solución a las mejores prácticas?

1

Todos los datos que tenemos sobre nuestros clientes se encuentran en nuestro lago de datos, que está alojado por uno de nuestros proveedores. Actualmente, la seguridad es tal que un número limitado de usuarios tiene acceso (limitado) a la base de datos, cada uno con su nombre de usuario y contraseña. Además, hay una lista blanca de IP, por lo que los usuarios autorizados solo pueden iniciar sesión en la base de datos si provienen de una de las dos direcciones IP que se originan en nuestra oficina.

Nuestra empresa ya no usa VPN. Como consecuencia, solo accedemos a este DB desde la oficina, no cuando trabajamos desde casa o desde uno de nuestros proveedores.

La forma más sencilla / económica de permitir trabajar desde fuera de la oficina sería pedirle al proveedor que incluya en la lista blanca el rango de direcciones IP utilizadas por Symantec (= producto de seguridad de software que enruta el tráfico a través de sus servidores proxy), porque cuando iniciamos sesión en Nuestra red desde el exterior obtenemos una de estas direcciones. Pero el resultado sería que todos los clientes de Symantec podrían iniciar sesión en nuestra base de datos, siempre y cuando de alguna manera hayan conseguido una combinación de contraseña de nombre de usuario. Alguien con la intención de entrar solo tendría que:

  1. Adivina los nombres de usuario (una combinación de nombre y apellido)
  2. Obtenga Symantec o pídale a alguien nuestra contraseña de WiFi de invitado y siéntese en nuestro jardín usando nuestro wifi
  3. De alguna manera obtener la contraseña

Sólo el paso 3 es muy difícil.

Si obtuviéramos un servidor adicional con una dirección IP estática (pública) y solo permitiéramos el inicio de sesión en la base de datos para los usuarios provenientes de este servidor, tendríamos una capa adicional de seguridad. ¿Tengo razón al pensar que esta sería una buena manera de asegurar nuestros datos mientras se hace posible trabajar desde fuera de la oficina?

¿Cómo convenzo a la administración de que la inclusión en la lista blanca de todo el rango de IP de Symantec es peligrosa, porque es peligrosa, verdad? ¿Ha habido violaciones de este tipo?

Realmente me gustaría saber cuáles son las mejores prácticas para tales casos y por qué.

Pregunta relacionada: ¿Por qué DB con acceso a URL sería menos seguro que sin dicho acceso?

    
pregunta Ivana 09.10.2018 - 15:42
fuente

1 respuesta

0

1. Lista blanca de IP
He visto el uso de listas blancas de IP, pero solo para direcciones IP específicas, desde dentro de la oficina o las oficinas de los clientes, sin permitir nunca un rango completo. La solución simple que sugirió es aún mejor que nada, pero cada vez que una persona más se acerca a sus sistemas, puede considerar a esa persona una posible amenaza para su sistema sin ser paranoico, especialmente si no conoce a esa persona.

2. Nombres de usuario
Teniendo en cuenta los datos sociales que puede encontrar en línea, desde perfiles personales hasta perfiles profesionales (supondrá que estoy pensando en los dos o más), no debería ser difícil incluir una lista de empleados (no solo uno). y probar diferentes combinaciones de sus nombres y apellidos. Una forma sencilla que me viene a la mente es enviar correos electrónicos a esos nombres de usuario y ver cuáles se entregan. De esta manera, puede obtener una idea de cómo se combinan los nombres de usuario.

3. Contraseñas
Una vez que tenga los nombres de usuario, no tiene que adivinar de alguna manera las contraseñas. Si tiene otras vulnerabilidades de seguridad, tal vez no sea tan difícil obtener una lista de hashes de contraseña y comenzar a descifrarlos con alguna herramienta dedicada. Otro método sería que una vez que tenga una lista de nombres de usuario, puede probar las contraseñas más comunes que las personas usan para todos ellos.

4. Wifi para invitados
Supongo que también la contraseña wifi no es algo realmente aleatorio y podría ser bastante fácil de adivinar. Si no, muchas personas son intrínsecamente buenas y se ofrecen a ayudar con este tipo de datos sin saber que están haciendo algo mal. La capacitación de los empleados siempre es importante.

5. Sugerencias para convencerlos
A la gerencia generalmente le gustan los hechos y los datos, no los argumentos. Si tiene tiempo, puede tomar la lista de todos los nombres de usuarios de los empleados y ejecutar una herramienta de descifrado de contraseñas en su contra. Probablemente, alguien (o más) tiene una contraseña débil. Si puede comprometer el sistema, alguien más avanzado o dedicado, por cualquier motivo, puede hacerlo también. También ayuda si puede decirles algo como: este es un riesgo desde mi punto de vista que nos costará tanto (no necesariamente números, puede usar términos como reputación, confianza del cliente, fuera del negocio, etc.). Pero si no lo hacen a tu manera, no te decepciones. Siempre hay un intercambio entre la seguridad y lo que trae dinero.

    
respondido por el rtsec 09.10.2018 - 17:38
fuente

Lea otras preguntas en las etiquetas