Diseñar una colección de registros centralizada a través de unidades flash USB utilizando la seguridad basada en hardware para las computadoras host

Navega tus respuestas
-1

Tengo que centralizar la recopilación de registros de muchas computadoras diferentes en las que solo puedo conectar unidades flash USB. Dichas computadoras no deben ser accesibles desde la red en ningún caso para evitar cualquier ataque a la red.

El diseño de las computadoras host debe garantizar el nivel de hardware contra el acceso remoto (el sistema de registro podría fallar, pero las computadoras host no podrían verse comprometidas en ningún caso) y debería poder probarlo. Las unidades flash USB son los únicos dispositivos autorizados por razones de seguridad y certificación (incluso si una unidad flash USB aún podría estar infectada :(). Así que no tengo muchas opciones.

Pensé en diseñar un dispositivo que funcionara como una unidad flash USB en un lado vinculado a una interfaz Ethernet en el otro. Cualquier registro escrito en la unidad flash USB se enviaría al módulo Ethernet, el módulo Ethernet enviaría automáticamente cualquier información entrante a una IP objetivo (sistema de registro de datos centralizado). El enlace entre el USB y el módulo Ethernet sería simple (diseño de hardware), de modo que ningún ataque al módulo Ethernet podría comprometer la unidad flash USB conectada a cada computadora.

Publiqué una pregunta similar en enlace pero no se nos ocurrió una solución, tal vez porque propuse una solución de ingeniería excesiva.

Podría haber una solución mucho más simple. Debo encontrar una solución rentable con garantías de seguridad comprobadas (no se puede acceder al equipo host incluso si el módulo USB está comprometido)

Muchas gracias por tu ayuda

PS: no puedo usar la interfaz serial (lo que podría haber sido una buena solución)

    
pregunta doxav 08.01.2016 - 00:29
fuente

3 respuestas

1

En primer lugar, el 100% de seguridad es un mito y es algo que nunca debes reclamar o prometer.

Si estuviera en una situación en la que hay varios hosts que no están conectados a una red, consideraría lo siguiente:

  1. Cree una LAN interna (de administración) para todos los hosts.
  2. HIPS / HIDS - Sistema de detección / prevención de intrusiones basado en host.
  3. Asegure los hosts mediante iptables (por ejemplo, no permita conexiones entrantes).
  4. Endurece los anfitriones.
  5. Servidor de registro centralizado.
  6. Físicos puertos USB / lectores de tarjetas.
  7. Implementar el control de acceso a la red (NAC).
  8. Monitoreo de eventos de seguridad.

Tenga en cuenta que cuando alguien tiene acceso físico a cualquier máquina Linux, la máquina podría verse comprometida con bastante facilidad al iniciarse en el nivel de ejecución 1 (modo de usuario único) y restablecer la contraseña de root.

    
respondido por el Jeroen - IT Nerdbox 08.01.2016 - 07:49
fuente
0

¿La conexión del USB a través de Ethernet no violaría la regla de que el sistema no debería estar conectado a la red? Podría dividir los pelos de modo que los servicios de red no sean accesibles, solo la interfaz USB. En cualquier caso, si los datos almacenados allí son lo suficientemente importantes, alguien encontrará la forma de hacerlo. La forma en que describe el problema parece que está tratando de justificar una solución alternativa, pero la declaración del problema en sí no está realmente clara.

Si USB es la única forma de recopilar los registros, lamentablemente, tendrá que confiar en el trabajo manual y en sneakernet. Un par de shell scripts pueden ayudarlo a automatizar algunos de ellos, pero no eliminará la necesidad de ir físicamente a la computadora.

    
respondido por el Phil Massyn 08.01.2016 - 02:34
fuente
0

El enfoque USB no es escalable y ni siquiera es seguro. Puede utilizar la última práctica del servidor de registro central utilizando la pila ELK.

E = > ElasticSearch: almacenamiento de registros e indexación (de búsqueda)

L = > LogStash: filtre los registros entrantes de acuerdo con sus requisitos

K = > Kibana: interfaz web que se integra con ElasticSearch

Puedes asegurar el acceso a Elastic Search ejecutándolo en una IP privada no enrutable, con Https y autenticación fuerte.

    
respondido por el Ijaz Ahmad Khan 08.01.2016 - 08:35
fuente

Lea otras preguntas en las etiquetas

Caracteres extraños de la página de contacto [cerrado] Durante una prueba de penetración, ¿cuándo es preferible utilizar la carga útil HTTP inversa y cuándo la carga útil TCP inversa? [cerrado]