¿Cómo asegurar la configuración de mi red y del sistema? [cerrado]

Navega tus respuestas
1

Tengo 2 servidores y 12 sistemas (todos con UBUNTU) conectados entre sí a través de LAN. Los 12 sistemas utilizan varias bases de datos (Redis / Postgres, etc.) alojadas en los 2 servidores que usan LAN. Ahora, necesito conectar el sistema a Internet, ya que estos sistemas y servidores invocan algunas API externas y bases de datos basadas en la nube, etc. de vez en cuando.

Desde el mundo exterior (a través de Internet) solo necesito acceso SSH a los sistemas para fines de monitoreo, etc.

Mi configuración tiene todo el sistema 14 (2 + 12) conectado a LAN mediante IP estática a través de un conmutador y 1 conexión de conmutador a enrutador (que tiene conexión a Internet).

Dentro del enrutador, he reenviado 14 puertos, algunos desconocidos (rango 20000 y superior) y los he redireccionado individualmente al puerto 22 de cada LAN IP.

Ya he habilitado las actualizaciones automáticas de seguridad silenciosas en los sistemas.

Las preguntas son:

a) ¿Debo bloquear los puertos no utilizados (aparte de los utilizados por ellos para uso interno) en los 14 sistemas a través de UFW o no es necesario dada mi situación?

b) ¿Debo encargarme de algo más desde la perspectiva de la seguridad, que podría haber pasado por alto?

Soy totalmente nuevo en esta parte de seguridad y configuración. Por favor aconseje.

    
pregunta Ravi Krishan 30.03.2017 - 13:22
fuente

3 respuestas

0

A) Usaré la técnica de inversión ufw negando todos los puertos como predeterminados y permitiré los que usas.

B) Bueno, eso siempre puedes hacerlo ... cuidando la seguridad de tu sistema. Creo que tienes una configuración decente, tal vez instalar y configurar Snort en el switch sería una gran idea. También recomendaría Tripwire, pero debido a las actualizaciones regulares de Ubuntu, tendrías muchos falsos positivos.

La otra cosa que siempre puedes hacer es probar tu configuración con herramientas de exploración y penetración, la mayoría de las cuales puedes obtener al instalar Kali linux.

    
respondido por el user633551 30.03.2017 - 18:10
fuente
0

Voy a votar para cerrar esto es demasiado amplio, pero ya oigo sonar las alarmas.

  

Desde el mundo exterior (a través de Internet) solo necesito acceso SSH a los sistemas

OK

  

He reenviado 14 puertos, algunos desconocidos (rango 20000 y superior) y los he redireccionado individualmente al puerto 22 de cada IP de LAN.

Esto es desordenado. No estoy en contra de usar puertos no estándar para ssh, pero si fuera yo, lo haría con un par de cajas de salto detrás del enrutador, y solo 2 puertos reenviados (puede encadenar conexiones ssh).

Supongo que está usando enmascaramiento en el enrutador (ya sea que utilice SNAT, DNAT estático o NAT enmascarado es bastante importante para la manera en que aprovisiona el resto de la seguridad)

  

Solo necesito acceso SSH a los sistemas para fines de monitoreo

¿Sería tan difícil publicar información de monitoreo? Para investigar / arreglar cosas necesita un protocolo interactivo, pero no es adecuado para monitoreo.

  

¿Necesito bloquear los puertos no utilizados

Debería restringir los puertos utilizados a la LAN siempre que sea posible. Y si usa cuadros de salto, puede establecer la ruta predeterminada en la mayoría de los hosts a un agujero negro. Si debe aplicar un manejo especial a los puertos no utilizados, y si elimina o rechaza los paquetes es una pregunta más compleja (pero probablemente un pequeño beneficio si está utilizando el enmascaramiento).

  

¿Debo encargarme de algo más desde la perspectiva de la seguridad, que podría haber pasado por alto?

Si esta es la extensión de los pasos que has tomado para proteger tu entorno, entonces sí, probablemente hay muchas cosas que te has perdido.

    
respondido por el symcbean 24.07.2018 - 11:14
fuente
-1

En mi opinión, ha establecido la mayoría de los conceptos de seguridad.

Debes deshabilitar todos los puertos y servicios no utilizados para que reduzca la superficie de ataque. Además, le sugiero que siempre que quiera controlar los sistemas desde una red externa, use una VPN para conectarse a la red interna y luego use SSH para administrar los dispositivos de forma individual.

Además, la regla del pulgar, siempre use una contraseña muy compleja para cualquier inicio de sesión de red que use.

Si tiene un enrutador que tiene un buen hardware, también puede intentar implementar cosas de cortafuegos baisic sobre él para mitigar algunos DDOS o ataques relacionados.

    
respondido por el Skynet 30.03.2017 - 16:53
fuente

Lea otras preguntas en las etiquetas

¿Por qué no hay un certificado SSL con múltiples subdominios [duplicado] ¿Cómo encontrar la vulnerabilidad de mi servidor después de un ataque? [duplicar]