¿Cómo se puede proteger una red contra ataques que vienen desde adentro?

Navega tus respuestas
5

(actualizado para (con suerte) ser menos amplio)

No importa lo bien que uno asegure una red, siempre existe la posibilidad de que un atacante obtenga acceso. En una red doméstica + de oficina doméstica compartida (por ejemplo, para un trabajador remoto y su familia) existe un riesgo considerable de que sus amigos y familiares utilicen la red de forma insegura o en dispositivos potencialmente comprometidos.

Por falta de una mejor terminología, me referiré a dos tipos de usuarios de la red:

  • Invitados: usuarios (normalmente transitorios) que solo necesitan acceso a WAN, no a LAN.
  • Usuarios / dispositivos privilegiados: aquellos que son usuarios consistentes / persistentes y necesitan comunicarse con otros dispositivos en la LAN. Por ejemplo, un trabajador remoto y su familia directa.

Ahora, asumamos lo siguiente:

  • Los miembros de la comunidad que "se están convirtiendo en delincuentes" no son una preocupación.
  • Supongo que, por lo tanto, el atacante no tendría ningún conocimiento previo de la configuración de la red más allá de lo que se puede obtener antes de interrumpir.
  • WiFi es utilizado tanto por los invitados como por usuarios privilegiados para dispositivos móviles y computadoras portátiles.
    • Los dispositivos privilegiados en WiFi desean poder comunicarse de manera segura con otros dispositivos privilegiados (tanto por cable como inalámbricos) y viceversa.
  • Los huéspedes a veces también se conectan a través de la conexión por cable (por ejemplo, mediante un puerto Ethernet en una habitación).
  • No se puede confiar en que el WiFi esté encriptado, ya que no se puede confiar en que todos los usuarios con privilegios no filtren la contraseña inadvertidamente.
  • La red incluye algunos servicios de LAN, como impresoras compartidas, un servidor de archivos / NAS, etc. Supongamos que tienen habilitada la autenticación / autorización adecuada (contraseñas, claves SSH, etc.)
  • La red no incluye ningún servicio de acceso público (por ejemplo, no hay servidores web accesibles desde Internet).

Puedo ver dos formas en que un atacante puede acceder a la red:

  • A través de un dispositivo, tienen acceso a ser agregados como un dispositivo invitado (por ejemplo, rompiendo el WiFi o comprometiendo el dispositivo de un huésped). En este caso, probablemente (aún) no hayan obtenido acceso a dispositivos privilegiados, contraseñas o secretos utilizados por dispositivos privilegiados o comunicación LAN.
  • Al comprometer un dispositivo privilegiado. En este caso, presumiblemente ahora tienen o pueden obtener acceso a cualquier secreto utilizado en el dispositivo o por este.

¿Qué amenazas presentan estos escenarios y cómo pueden mitigarse a través de la configuración de la red? (Mitigarlos a través de antivirus, etc. es una lata de gusanos completamente diferente)

Nota: el caso de uso en el que estoy interesado es para trabajadores remotos que ejecutan redes domésticas y domésticas compartidas: se preferirán las soluciones que pueda implementar alguien que tenga conocimientos técnicos pero no necesariamente en redes.

    
pregunta mayhewluke 19.03.2016 - 16:23
fuente

4 respuestas

3

Una de las formas más fáciles de protegerse contra ataques internos es mediante aislamiento : en otras palabras, tener varias subredes. Por ejemplo, (esto incluso funciona en una red doméstica pequeña), la red wifi podría ser 10.0.1.0/24, y podría haber otra red interna donde residen los escritorios y servidores cableados, tal vez se llame 10.0.2.0/24. Ahora, incluso si alguien piratea la red inalámbrica, está restringido a computadoras en el espacio 10.0.1.X y no podrá acceder a los escritorios ni a los servidores. Incluso podría tener rutas específicas para que ambas redes puedan compartir una impresora que esté en una de las redes (o una tercera red), sin exponer nada más.

En cuanto al rastreo de cableado en la misma red, esto no es un problema a menos que la red use hubs en lugar de switches. Con los conmutadores, el tráfico solo se envía a través de los puertos de dispositivo del destinatario, por lo que otros dispositivos no pueden "rastrear" ese tráfico. (Eso es una simplificación excesiva, pero el concepto general debe ser claro). Para que alguien pueda detectar el tráfico en circunstancias normales, tendrían que tener acceso de administrador a un conmutador con capacidades promiscuas.

Tenga en cuenta que con solo estos conceptos básicos, realmente no necesita preocuparse por cifrar el tráfico cableado dentro de una red interna, porque ya está (generalmente) seguro. Esta es la razón por la que cuando se habla de cifrado, generalmente se encuentra dentro del contexto del tráfico a través de la Internet pública.

Fuera de esos conceptos básicos, es difícil entrar en más detalles porque este es un tema enorme. Pero eso debería al menos aclarar tus pensamientos iniciales y ponerte en el camino correcto.

    
respondido por el TTT 19.03.2016 - 17:10
fuente
1

En primer lugar, nunca permitiría que los invitados accedan a su red. Se debe crear una red separada para ellos. Pero vamos con eso. Entonces, tiene una red plana de sistemas (no importa si son servidores, equipos de escritorio, etc., todo es plano). ¿Tiene una red documentada? Es decir, ¿sabes qué sistemas se supone que deben interconectarse con qué? Tener este nivel de información le permite acceder a esos sistemas y crear políticas con respecto al acceso a través de nombres de usuario y reglas de firewall. Si dice que una carpeta compartida en un sistema podría aislar las conexiones a esa máquina usando reglas de firewall, ACL, etc., todo se reduce a lo que está tratando de lograr. Su mejor apuesta es el aislamiento sin las explicaciones / diagramas / etc de pelusas agregadas

    
respondido por el munkeyoto 20.04.2016 - 23:00
fuente
1

Ya hay algunas respuestas geniales en la arquitectura y el diseño correcto de una red, así que no abordaré esas. Lo que no he visto mencionado es observar los métodos de exfiltración de datos. Si alguien está dentro de su red, aparentemente está buscando hosts adicionales que puedan comprometer y datos que podrían ser útiles para ellos. (Tarjetas de crédito, datos relacionados con la autenticación, volcados de bases de datos, correo electrónico)

Lo que desea buscar en la mayoría de los casos es información que se envía a través de puertos no estándar. Un buen sistema de detección de intrusos analizará los datos que se envían a través de esos puertos y activará una alerta si los encabezados / contenidos del paquete no coinciden con lo que se espera. Por ejemplo, dado que el DNS es una necesidad para que el acceso a Internet funcione, la mayoría de las empresas permiten el DNS saliente. Por esa razón, hay bastantes métodos de exfiltración de datos que utilizan el puerto 53. Algunas herramientas también usarán los puertos TCP 80 o 443, ya que estos también suelen estar abiertos, y es relativamente fácil detectar el tráfico no HTTP / HHTPS en esos puertos .

La seguridad funciona mejor en capas ... refuerce y actualice sus hosts, segregue su red, tenga reglas de firewall razonables en su lugar, monitoree la explotación de datos y la exfiltración de datos, realice auditorías de autenticación y use cuentas privilegiadas, etc. posible y hazte un objetivo poco atractivo.

    
respondido por el Jason M 20.04.2016 - 23:10
fuente
1

La pregunta que haces es un poco amplia para mi gusto, ya que hay más factores de los que podrías imaginar con la poca información proporcionada, pero haré todo lo posible para ayudarte.

El problema, obviamente, tal como lo mencionas de una manera no es tanto el hecho de que entren ataques, sino más bien lo que pueden hacer una vez que estén aquí ...

Lo que sugeriré es que las VLAN son similares a la sugerencia que ya se hizo aquí, pero con algunas pequeñas diferencias, puede etiquetar el tráfico de red proveniente de interfaces (como redes inalámbricas, Ethernet o múltiples WiFi). Usar VLANS (en mi opinión) es mucho más fácil de administrar. Continuando con lo que usted dijo acerca de que la tecnología empresarial es una no preferencia, esto probablemente sería más fácil de lograr con el equipo básico y el hecho de que esta pregunta se le está preguntando que no tiene mucha experiencia con la creación de redes. Por lo tanto, esta sería una ruta simple y más fácil de configurar que varias subredes con menos tecnología.

¿POR QUÉ?

la segregación es su mejor línea de defensa en el tráfico interno, sin saber mucho más de su configuración. No puedo adivinar qué tiene que proteger.

tienes servidores? ¿Servidor principal de entrada (servidor VPN)? que estas protegiendo

considere los firewalls, así como las VPN y el tráfico de vlanes. Debe tener una VLAN para cada tipo de conexión de red.

Tráfico LAN = nueva vlan

WiFi = new vlan

VPN in bound = new vlan

Al mantener todo segregado, puede mantener cada sección protegida y monitorear cada sección también. el uso de cortafuegos también puede impedir que las personas utilicen los protocolos que les gustan al ingresar.

También cuando se protege una red, el tiempo de respuesta también es importante.

    
respondido por el TheHidden 19.03.2016 - 17:38
fuente

Lea otras preguntas en las etiquetas

¿Se puede instalar software malicioso dentro de la partición de intercambio de Linux? X509 CRL certificados suspendidos y comandos de openssl ca