web-dev-qa-db-ja.com

ネットワークが安全であることを確認するために何をしますか?

ネットワークの保護は非常に難しい作業になる可能性があります。ハードウェアとソフトウェアに関しては、多くのインとアウトがあります(ユーザーは別として!)

ネットワークが安全であることを確認するためにどのような手順を実行しますか?
ネットワークを保護するためにどのツールを使用していますか?
定期的に修正されない大きな穴にはどのようなものがありますか?

networkingsecurity
4
Gavin Miller

私たちはかなり小さなオフィスであり、少ない予算で管理しなければなりませんでした。私たちのアプローチは次のとおりです。

ネットワーク侵入検知:StillSecureのStrataGuard Freeを使用しています。これはSnortが構成された強化されたLinuxであり、非常に直感的なWebインターフェイスに加えて、定期的なルールの更新があります。古いボックスに無料版をインストールし、生成されたアラートとビオラに基づいてルールを少し調整しました!トラフィックを単一のポートにミラ​​ーリングできるネットワークスイッチが必要ですが、うまく機能します。 StrataGuardの非無料バージョンには、サポートがあり、さらにいくつかのベルとホイッスルがあり、より多くのトラフィックに対処できます。

ホストベースの侵入検知:Windowsボックスでサービスとして実行され、数時間ごとにイベントログからイベントを転送する小さな.NETアプリを作成しました(前述のように、タイプ、ID、および選択した時刻に基づいてフィルタリングされます)他の場所では、Randy Franklins Smithのサイト http://www.ultimatewindowssecurity.com/Default.aspx は、どのイベントを精査するかを決定する上で非常に貴重であり、中央データベースでそれらを確認および保持しています。

定期的な社内監査:定期的に、各ボックスを1回繰り返し、不要なサービスがすべて無効になってポートが閉じていることを確認し、毎日実行されているリアルタイムのアンチエブリシングとは異なるルートキットとマルウェア検出ソフトウェアを使用してディープスキャンを実行します。また、nmapを使用してネットワークを分析し、脆弱性をスキャンし、wiresharkを使用して必要に応じて特定のトラフィックを分析します。

パッチの更新:WSUSは、すべてのWindowsボックスがセキュリティ修正について最新であることを確認および検証し、帯域幅の消費を防ぎます。 Linuxボックスのcron-aptは、プロセスを一元的に検証するための良い方法を見つけていません。また、サーバーとワークステーションのマルウェア対策を一元管理することを強くお勧めします。これらの製品のほとんどのビジネスクラスバージョンで利用できます。

ポリシー:おそらく最も重要なことは、小さな組織であっても、組織のセキュリティプログラムまたは一連の手順を説明するドキュメントから始める必要があることです。このドキュメントでは、データに対するリスクとその対処方法について概説します。これは通常無視される大きなものですが、外部監査のほとんどすべてのフレーバーに直面した場合、最初に参照する必要があり、更新したか更新したかったのです。 http://www.sans.org/resources/policies/ にたくさんのサンプルがあります。

予算が限られている組織にとっての朗報は、マルウェア対策スイートを除いて、これらすべてが無料であり、社内監査を除いて、最初の時間以降、毎日非常に簡単に確認できることです。設定するための投資。

5
nedm

私がリッピングしているこれらの答え ここでの私の応答

  • IDSを使用する

    SNORT®は、ルール駆動型言語を利用したオープンソースのネットワーク侵入防止および検出システムであり、署名、プロトコル、および異常ベースの検査方法の利点を組み合わせています。これまでに何百万ものダウンロードがあったSnortは、世界中で最も広く展開されている侵入検知および防止テクノロジーであり、業界の事実上の業界標準になっています。

    Snortはネットワークトラフィックを読み取り、誰かがサーバーに対してmetasploitスキャン全体を実行する「ドライブバイペンテスト」などを探すことができます。私の意見では、この種のことを知っておくのは良いことです。

  • サーバーを監視する-何か異常が発生した場合、グラフからヒントを得ることができます。私は Cacti を使用して、CPU、ネットワークトラフィック、ディスクスペース、温度などを監視します。何か奇妙に見える場合is奇数であり、なぜそれが奇数であるかを調べる必要があります。アプリ層でトラフィックが突然急増した場合は、その理由を知りたいと思います。

6
Tom Ritter

真剣に、会社の規模によっては、サードパーティにシステムの定期的なセキュリティ監査を行わせることが最善の策かもしれません。あなたのセキュリティが独立して検証されたという事実のようなより高い上昇、そしてすべての深刻さにおいて、すべての新しいセキュリティの抜け穴を把握することは言うまでもなく、ほとんどのIT担当者が物事を機能させ続けることは十分に困難です。

おそらくあなたが望む答えではありませんが、言う価値があります。

4
Allain Lalonde
  • ユニバーサルプラグアンドプレイを無効にする
  • Wiresharkを使用して、ネットワークに属していないIPアドレスからのLAN上のARP要求をリッスンします
2
Joe Phillips

あなたはあなたが尋ねている質問を理解しなければなりません。 「私の建物は安全ですか?」と尋ねるようなものです。建物自体は実際には「安全」ではなく、ただそこにあるだけです。本当の意味は「建物の中の誰かをいつでも信頼できるか」ということであり、内部者から完全に防御することはできないので、答えはほとんどの場合「いいえ」です。ネットワークの場合と同様に、あなたが本当に求めているのは、「受信したすべてのパケットが本物であり、送信したすべてのパケットが傍受されたり置き換えられたりしないことを信頼できますか?」です。もちろん、これは、ネットワーク上のすべてのコンピュータのセキュリティと信頼性を現実的に証明することはできないため、決して真実ではないことを認識しなければなりません。

これはセキュリティの欠如を残し、canが肯定的に答えることができる、わずかに異なる質問をすることによって埋めなければなりません。ルーターゲートウェイにパケットを送信していると思いますが、実際にパケットを受信して​​いるのはゲートウェイであり、他のホストではありませんか?」または「ホストとログイン/ファイル/イントラネットサーバー間のパケットが傍受されて盗聴されていないことを確認できますか?」 これらの質問に対する答えは「はい。」です。IPsecまたは他のテクノロジーではcanネットワーク上で話している相手が実際に相手であるかどうか、およびそれらの間のトラフィックがリッスンされていないことを確認してください。

(IPsecは「VPN」テクノロジーであるという概念を頭に入れておく必要があります。そうではありません-暗号化および認証テクノロジーです。)

0
Teddy