Preguntas sobre IDS, IPS, VLAN y VPN [cerrado]

Navega tus respuestas
0

Tengo una red que tiene un único punto de entrada, la WAN. La WAN expone aproximadamente 10 IP estáticas que se resuelven internamente a servidores que están en la misma subred. Lo que significa que si realiza RDP sobre 3389 a SQLPrimary1 desde él, puede realizar RDP a todos los demás dispositivos en la red. Cada servidor tiene su firewall desactivado. No hay IPS, IDS, SPI nada. Sin embargo, estamos ejecutando Microsoft Security Essentials en todos los servidores (FWIW). : suspiro:

Necesito implementar una estrategia para proteger la red contra amenazas entrantes, amenazas salientes, amenazas de día cero, vulnerabilidades de parches y buenas heurísticas.

  1. Si ejecuto IDS necesito que todo el tráfico se ejecute a través del firewall directamente en mi IDS (Security Onion en Linux) y luego vuelva a mi red. Derecho?

    • Si ejecuto Security Onion sin parar, ¿agregará una latencia notable en mi red? Creo que en la actualidad estamos utilizando alrededor del 2% de nuestra red. ¿Es el sistema IDS algo que se ejecuta a tiempo completo?

  2. ¿Son seguros los V-LANS? Lo que significa que si aíslo el contenido crítico de mi misión en una VLAN y otros recursos en otra VLAN, ¿es eso lo más seguro? Si no, ¿de qué otra manera podría particionar mi red para que los datos críticos de la misión estén a salvo de los servidores beta, los servidores web y demás? ¿Usarías varios cortafuegos? ¿Cuál sería la mejor práctica?

  3. Tenemos clientes en los 48 estados y en el Reino Unido, y cada uno de ellos debe conectarse a nuestros servidores de datos y web. Me gustaría imponer conexiones VPN a nuestros clientes, pero me pregunto:

    • ¿Eso es una exageración?
    • Si no, ¿los clientes VPN con licencia de mi proveedor de firewall serían más seguros y / o eficientes que el software VPN de Microsoft?
    • ¿VPN crearía toneladas de sobrecarga y congestión?

  4. Tengo que monitorear 2 centros de datos del servidor que dependen unos de otros. Tenemos uno en el Reino Unido y uno en los Estados Unidos. Creo que la forma más sencilla de asegurarse de que ambos centros de datos tengan conexiones a Internet es mediante el establecimiento de túneles VPN de sitio a sitio entre los EE. UU. Y el Reino Unido.

    • ¿Es esa una forma efectiva de monitorear la conectividad en cada sitio o algo más efectivo para mí?

  5. Si alguien recuerda el virus "ILOVEYOU" que aplastó los servidores SQL alrededor de 2000/2001 o menos. ¿El software antivirus de calidad actual podría detener ese tipo de ataque? Los ataques como ese ya son relevantes con los firewalls IPS y SPI.

    • Cuando se trata de antivirus en servidores de bases de datos, la protección en tiempo real es una excelente manera de hacerlo porque no bloquea los archivos .mdf y .ldf. ¿Sería prudente programar tiempos de inactividad para desmontar .mdf / .ldf y los índices de texto completo para analizarlos físicamente en busca de virus utilizando el software AV?

  6. ¿Hay alguna herramienta de código abierto que pueda usar para ejecutar sus propias pruebas de penetración y obtener una lista de elementos de acción junto con los resultados?

Somos una tienda total de Windows y me encantaría escuchar algunos otros pensamientos e ideas sobre cómo abordar estos problemas.

    
pregunta Rex Winn 09.12.2013 - 22:54
fuente

2 respuestas

2
  1. Usted enruta el tráfico relevante a través de su IDS sí. La latencia dependerá del rendimiento de su dispositivo.
  2. Los VLANS son seguros si se implementan correctamente. Asegúrese de usar también 802.1x (PNAC) para autenticar dispositivos en la capa 2. Asegúrese de no comenzar el enrutamiento entre sus VLANS (a menos que sea apropiado)
  3. Depende del tipo de VPN que emplee, capa 3 o capa 2 VPN. Asegúrese de que también utiliza la autenticación de dos factores en su VPN. No es una exageración en mi opinión, ya que intenta evitar el acceso a los datos y servicios críticos de su negocio de manera controlada. Asegúrate también de registrar adecuadamente todas las conexiones.
  4. Esto se puede hacer mediante un túnel punto a punto. Si la máquina está disponible en Internet, también puede realizar ciertas comprobaciones desde la WAN utilizando una máquina de monitoreo dedicada y separada (ICMP, HTTP, ...). Solo debe permitir que se utilicen protocolos de administración como SSH y SNMP desde su túnel punto a punto. Su máquina de monitoreo puede verificar si la máquina está conectada a la WAN con las primeras comprobaciones y luego puede ver si todos los servicios funcionan sin problemas. Esto también es para evitar un escenario en el que su servidor de monitoreo comience a informar que su máquina es crítica, mientras que su túnel VPN simplemente se desactiva (lo que también es crítico pero no necesariamente relacionado con el dispositivo).
  5. Siempre use un AV. Recuerde que el virus ILOVEYOU era un script VBS que fue ejecutado por un usuario. No debe utilizar sus servidores para navegar por Internet, descargar o abrir archivos enviados por personas desconocidas. Solo debe ejecutar scripts y binarios ya probados en los que se pueda confiar. (fuente confiable). Asegúrese de utilizar también EMET .
  6. Esto está fuera de tema. Si se toma en serio su negocio, debería invertir en un escáner de vulnerabilidades como Nessus.
respondido por el Lucas Kauffman 10.12.2013 - 13:59
fuente
1

Esta es una respuesta parcial:

re # 5: "ILOVEYOU" fue tan importante por dos razones. Primero, los servidores SQL fueron expuestos directamente a Internet. En segundo lugar, y tan importante, un gran número de administradores no cumplió con las recomendaciones de ningún tipo, como la aplicación de parches de forma regular, que hubieran evitado el ataque. Desafortunadamente, todavía me encuentro con un gran número de administradores que no han aprendido esta lección.

Para evitar ese tipo de ataque: mantenga sus parches actualizados y no exponga los servidores a Internet. Además, todavía tengo que ver un producto AV que está diseñado para funcionar en un servidor de base de datos. El tipo de acceso a archivos requerido en esas máquinas es tal que un producto AV típico causará muchos más problemas de los que protegen.

Vea enlace La lista de exclusión cubre prácticamente todos los directorios y servidores de archivos sql que usa; lo que significa que la única razón por la que debe tener un software AV es si el servidor está mal configurado y mal utilizado. En otras palabras, no permita que nadie acceda a él y trabaje desde el escritorio y no permita que se pueda acceder a los archivos compartidos o, en realidad, a cualquier otro servicio que no sea el de SQL. Luego use los puntos de su red para controlar el tráfico que ingresa.

    
respondido por el NotMe 09.12.2013 - 23:29
fuente

Lea otras preguntas en las etiquetas

Me acabo de enterar de que mi Internet estaba enrutando a través de un proxy, ¿qué tan alterado estoy? ¿Perdió la contraseña de usuario en Slackware 14.1, cómo resolver el cifrado en / etc / shadow?