¿Separar la actividad de Internet y la actividad fuera de línea asegurará un host?

Question

¿Separar la actividad de Internet y la actividad fuera de línea asegurará un host?

#1 de xkcd (1 votos)
#2 de munkeyoto (1 votos)

0

Deje que el diagrama a continuación sea una representación de una LAN.
- Sea R la interfaz entre la LAN e Internet.
- Estar conectado a la LAN.
- F sea un firewall implementado utilizando una máquina virtual controlada por H.
- V ser una máquina virtual controlada por H.
- F es también la interfaz entre LAN y V.
- F también bloquea todo el tráfico de V destinado a H.

    R
    |
 +--+--+
 |     |
 F     H
 |
 V

Considera:
- H usa V para todas las actividades de internet inseguras / casuales
- H realiza toda la actividad segura / privada por sí misma (es decir, banca)

¿Qué tan seguro es esto?

Sé que el usuario será el principal responsable de la mayoría de las infracciones, como reutilizar contraseñas, extraer archivos de V o usar una máquina virtual de la que V pueda escapar; pero, aparte del error del usuario, es H más seguro?

Ya que V hará la mayoría de las cosas inseguras, solo puedo ver a los atacantes apuntando a V porque V es el único que está ahí fuera que pueden identificar. Cualquier virus / ataque de V sería bloqueado completamente por F si F está configurado para bloquear todo el tráfico en la LAN entre ellos también. Entonces, sí, venga a romper esta configuración.

Quiero saber si separar la actividad insegura con la segura puede hacer que un host sea más seguro.

--- editar

Por lo tanto, si se prueba la red, se descubrirá H. En cuanto a la infección de V, ¿puede alguna de sus infecciones alcanzar H?

Y sí, H debería estar detrás de un firewall propio.

network

pregunta user2738698 21.03.2014 - 17:54

fuente

2 respuestas

1

Consider:
- H uses V for all insecure/casual internet activity
- H does all secure/private activity by itself (ie. banking)

Puedes tener este pensamiento / teoría invertido. En una línea plana se ve así:

Host (does all secure/private activity) --> router --> internet

No hay ninguna mención de cortafuegos aquí. Donde si fuera yo, lo haría:

Host --> proxy server (locked down w/IPS, AV, etc) --> router --> internet

Entonces usted declara:

Host --> Virtual (casual) --> gets firewalled here? --> back to host --> or gets firewalled here? --> router --> Internet

Si V no es importante, ¿por qué molestarse en perder tiempo y recursos filtrando?

Si está preocupado por, por ejemplo, hacer banca, ¿por qué no usa un CD de arranque de Linux cada vez que va a hacer algo que percibe como de misión crítica? O ... Simplemente lance un servidor proxy que ejecute IDS, IPS, por ejemplo, Squid, y un firewall. No entiendo tu lógica.

--- EDITADO EN BASE A LA RESPUESTA DE OP:

Creo que te vas un poco por la borda aquí. Si tuviera un proxy fuerte, no tendría que preocuparse por una gran cantidad de ataques, ya que podría eliminar los datos a medida que ingresan, incluso antes de que se ejecuten en su red.

Por ejemplo, con Squid utilizado como un proxy web, podría volver a escribir para eliminar java, javascripts, iframes, flash, etc., esto reduce considerablemente el vector de ataque web. También puede utilizar YARA para minimizar aún más. Lo que trae otra pregunta / comentario. Si V NO es tan importante, y se usa para cosas casuales, ¿por qué no usar una versión de arranque de Linux / BSD para la máquina QUE ? Eso en sí mismo elimina una superficie de ataque GRANDE .

respondido por el munkeyoto 21.03.2014 - 18:48

fuente

Lea otras preguntas en las etiquetas network

Incrustación de datos ocultos dentro de archivos [cerrado] Anonimización de datos para aplicaciones

score 1 · Accepted Answer

No, creo que V es más seguro que H. Para H, opta por el enfoque de seguridad a través de la oscuridad, que siempre está desanimado.

Esto se debe a que, en mi opinión, su suposición de que los atacantes que apuntan a V no se encontrará con H es errónea. Por ejemplo, la mayoría de los gusanos más recientes no solo atacan un solo sistema de destino, sino que también intentan descubrir la topología de las redes de destino y los hosts vecinos. Por lo tanto, en mi opinión, será mejor si también toma H detrás del firewall y no lo exponga directamente a Internet.