web-dev-qa-db-ja.com

内部からの攻撃に対してネットワークをどのように保護できますか?

((うまくいけば)広がらないように更新されます)

どれだけうまくネットワークを保護しても、攻撃者がアクセスする可能性は常にあります。共有ホーム+ホームオフィスネットワーク(リモートワーカーとその家族など)では、友人や家族がネットワークを安全に使用していない、またはセキュリティが侵害されている可能性のあるデバイスでこれを行うリスクがかなりあります。

専門用語が不足しているため、ネットワークの2種類のユーザーについて説明します。

  • ゲスト通常は一時的な)LANではなくWANへのアクセスのみが必要なユーザー。
  • 特権ユーザー/デバイス-一貫性のある/永続的なユーザーであり、LAN上の他のデバイスと通信する必要があるユーザー。たとえば、リモートワーカーとその直接の家族。

ここで、次のことを前提とします。

  • インサイダーが「不正になる」ことは問題ではありません。
  • したがって、攻撃者は侵入前に取得できるものを超えて、ネットワーク設定について事前の知識を持っていないと思います。
  • WiFiは、ゲストと特権ユーザーの両方がモバイルデバイスとラップトップに使用します。
    • WiFi上の特権デバイスは、他の特権デバイス(有線とワイヤレスの両方)と安全に通信できることを望んでいます。
  • ゲストは有線接続を介して接続することもあります(ゲストルームのイーサネットポートを使用するなど)。
  • すべての特権ユーザーがパスワードを誤って漏らさないように信頼できるわけではないため、WiFiは暗号化されているとは信頼できません。
  • ネットワークには、共有プリンター、ファイルサーバー/ NASなどの一部のLANサービスが含まれています。適切な認証/承認が有効になっていると想定します(パスワード、SSHキーなど)。
  • ネットワークには、公的にアクセス可能なサービスは含まれていません(たとえば、インターネットからアクセス可能なWebサーバーはありません)。

攻撃者がネットワークにアクセスする方法は2つあります。

  • デバイスを介して、ゲストデバイスとして追加される(たとえば、WiFiをクラックするか、ゲストのデバイスを危険にさらすことにより)アクセスできます。この場合、おそらく特権デバイスやパスワード、または特権デバイスやLAN通信で使用されるシークレットへのアクセスは(まだ)取得されていません。
  • 特権デバイスを危険にさらす。この場合、おそらくデバイスで使用されている、またはデバイスによって使用されているシークレットにアクセスできるか、アクセスできるようになります。

---(これらのシナリオにはどのような脅威があり、どのようにネットワーク設定を介して軽減できますか?(アンチウイルスなどを介してそれらを軽減することは、まったく異なるワームの缶です)

注:私が興味を持っているユースケースは、共有ホーム+ホームオフィスネットワークを実行しているリモートワーカー向けです。 。

encryptionnetworkvpnipsec
4
mayhewluke

内部攻撃から保護する最も簡単な方法の1つはisolationです。つまり、複数のサブネットワークを持つことです。たとえば、(これは小さなホームネットワークでも機能します)、wifiネットワークは10.0.1.0/24であり、有線デスクトップとサーバーが存在する別の内部ネットワーク(おそらく10.0.2.0/24と呼ばれる)がある可能性があります。これで、誰かがワイヤレスネットワークにハッキングした場合でも、10.0.1.X空間のコンピューターに制限され、デスクトップやサーバーにアクセスできなくなります。特定のルートを設定して、両方のネットワークが他のネットワークを公開することなく、ネットワークの1つ(または3番目のネットワーク)にあるプリンターを共有できるようにすることもできます。

同じネットワーク上のwiredトラフィックをスニッフィングする場合、ネットワークがスイッチではなくハブを使用しない限り、これは問題ではありません。スイッチを使用すると、トラフィックは受信者のデバイスポートを介してのみ送信されるため、他のデバイスはそのトラフィックを「傍受」できません。 (これは単純化しすぎですが、一般的な概念は明らかです。)通常の状況で誰かがトラフィックを盗聴するには、無差別機能を持つスイッチへの管理者アクセス権が必要です。

これらの基本的な概念だけで、内部ネットワーク内の有線トラフィックの暗号化については心配する必要がないことに注意してください。有線ネットワークは既に(一般的に)安全です。これが暗号化について話すとき、それは通常、公衆インターネット上のトラフィックのコンテキスト内にある理由です。

これらの基本以外では、これは大きなトピックであるため、詳細に進むことは困難です。しかし、それによって少なくとも最初の考えが明確になり、正しい方向に進むはずです。

3
TTT

あなたが尋ねる質問は、私の提供する小さな情報であなたが想像するよりも多くの要因があるので、私が見るのが好きな方には少し広いですが、私は助けるために最善を尽くします!

あなたが周りの方法で述べているように明らかに問題は、それほど多くの攻撃が入るのではなく、彼らがここに来たらもっと何ができるかです...

私が提案することは、これはすでにここで行われた提案と同様に機能するVLANですが、いくつかの小さな違いは、インターフェース(ワイヤレス、イーサネット、または複数のWiFiなど)からのネットワークトラフィックにタグを付けることができます。 (私の意見では)VLANSを使用すると、管理がかなり簡単になります。エンタープライズテクノロジーは好みではないということですが、この質問は、ネットワークに関する豊富な経験がないため、基本的な機器を使用する方が簡単です。したがって、これは簡単なルートであり、テクノロジーの少ない複数のサブネットよりも設定が簡単です。

なぜ?

分離は、内部トラフィックを防御する最善の方法です。セットアップについて他に何も知らなければ、何を保護する必要があるかはわかりません。

サーバーはありますか?エントリのメインサーバー(VPNサーバー)ですか?あなたは何を守っていますか?

ファイアウォールだけでなく、VPNおよびVLANトラフィックについても検討してください。あらゆる種類のネットワーク接続にVLANが必要です。

LANトラフィック=新しいVLAN

WiFi =新しいVLAN

バインド中のVPN =新しいVLAN

すべてを分離しておくことで、各セクションを保護し、各セクションを監視することもできます。ファイアウォールを使用すると、人々がエントリ時に好きなプロトコルを使用するのを阻止することもできます。

また、ネットワークを保護する場合は、応答時間も重要です。

1
TheHidden

何よりもまず、ゲストがネットワークにアクセスすることを決して許可しません。それらのために別のネットワークを作成する必要があります。しかし、それで行こう。したがって、システムのフラットネットワークがあります(サーバー、デスクトップなどであるかどうかは関係なく、すべてフラットです)。ドキュメント化されたネットワークはありますか?つまり、どのシステムが何と相互接続することになっているのか知っていますか?このレベルの情報があると、それらのシステムにアクセスし、ユーザー名やファイアウォールルール経由でのアクセスに関するポリシーを作成できます。システムの共有フォルダで、ファイアウォールルールやACLなどを使用してそのマシンへの接続を分離できると言った場合、それはすべて、達成しようとしていることです。あなたの最善の策は、綿毛の説明/図表などを追加せずに分離することです

1
munkeyoto

アーキテクチャとネットワークの設計にはすでにいくつかの素晴らしい答えがあるので、それらについては触れません。私が言及していないのは、データの引き出し方法を監視することです。誰かがあなたのネットワークの内部にいる場合、彼らは表面上、彼らが危険にさらすことができる追加のホストと彼らにとって役立つかもしれないデータを探しています。 (クレジットカード、認証関連データ、データベースダンプ、電子メール)

ほとんどの場合に調べたいのは、非標準ポートを介して送信されているデータです。優れた侵入検知システムは、これらのポートを介して送信されているデータを分析し、パケットヘッダー/コンテンツが予期されたものと一致しない場合にアラートをトリガーします。たとえば、DNSはインターネットアクセスが機能するために必要であるため、ほとんどの企業は発信DNSを許可しています。そのため、ポート53を使用するデータ抽出方法はかなり多くあります。一部のツールではTCPポート80または443も頻繁に開いているため、比較的簡単に検出できます。それらのポートを介した非HTTP/HHTPSトラフィック。

セキュリティはレイヤーで最もよく機能します...ホストを強化して更新し、ネットワークを分離し、適切なファイアウォールルールを設定し、悪用とデータの引き出しを監視し、認証と特権アカウントの使用を監査します。クラックをできるだけ少なくして、あなた自身は魅力的なターゲットではありません。

1
Jason M