Securizare network prin segmentare

Salutari,

As dori sa aflu impresia voastra in legatura cu protectia unei retele / network prin segmentarea ei.

Se poate folosi mai multe routers si implementa diferite IP subnets si "default gateway".
Apoi,cu NAT si Firewall,customiza accessul la internet / WAN pe fiecare device.

End points pot fi PC-uri si cateva servere care folosesc porturi speciale sau cateva  IoT, deci nu treba prea multa munca la o tabela de NAT si/sau de rutare.
Sunt doua accese la internet prin doi providers diferiti.
Routerele sunt marca Sonicwall NSA.

Voi atasa un diagram in Visio mai tarziu.

Multam.

Edited by EmeraldCountryHouse, 02 January 2020 - 01:43.

De ce ai nevoie de mai multe routere pentru mai multe subneturi? Un router ce este cu adevărat router (nu ce e în comerț pentru piața SOHO) e capabil de tot ce spui tu.

Multam de intrebare.

In primul rand,daca voi reusi sa creez acea diagrama in Visio sau de mana,vei intelege visual mai bine.

Sper sa reusesc sa schimb un Unifi Edge router cu mai multe interfaces cu cateva routers individuale.

Apoi,Sonicwall are functia de report logs prin email pentru logs "history archival SI alerts in timp real , plus "comprehensive gateway securiy suite" enabled.
Apoi,vreau sa limitez ce se numeste "lateral moving" adica,daca un intruder a reusit sa compromita un router sau un subnet,se opreste acolo.
Vreau sa creez un subnet pentru fiecare group de devices / end points bazata pe functionalitate si/sau gradul de expunere si riscul de "damage control" odata ce sunt compromise.

Apoi,nu pun toate oula in acelasi router...

Nu este un proiect de scoala,lucrez in timp real la "home network" ce o folosesc pentru munca.

Bafta.

Înțeleg că vrei să separi dispozitivele IoT de computerele și telefoanele din rețea ?
Depinde de cine vrei să te aperi, de hackerii de cartier te aperi și cu un wireless corect configurat și criptat, de ăia mari e mai dificil dar probabil îti acorzi prea multă importanță, uzual apare stresul ăsta când îți bagă în cap un vânzator de praștii din astea rețelistice că e musai să cumperi și aia și aia

EmeraldCountryHouse, on 02 ianuarie 2020 - 04:33, said:

Cel mai probabil intr-adevar Sonicwall-ul va avea functii de IDS/IPS (intrusion detection system/intrusion prevention system) mai avansate decat EdgeRouter ( desi si acesta configurat OK ar trebui sa fie suficient ) insa asta depinde extrem de mult de competenta celor care le configureaza (nivel de competenta pe care in principiu il platesti pt. consultanta/implementare nu pe care il gasesti pe un forum mai ales la echipamente gen Sonicwall cu care putini au experienta) .
In acelasi timp si conceptual e un pic de disonanta cognitiva; vrei sa separi segmentele de retea pe echipamente diferite (presupun ca de la producatori diferiti pt. a avea vulnerabilitati 0 day diferite )
pt. ca aparent lucrezi la NSA insa tot vei avea SPOF (single point of failure) prin faptul ca punctul de intrare in retea va fi acelasi echipament Sonicwall care asigura securitatea tuturor retelelor.
Sfatul meu ar fi sa cumperi competenta necesara configurarii router-ului existent corect pt. ca e suficient pt. ce vrei tu ( separarea la nivel fizic a infrastructurii nu se mai practica in ziua de azi de cloud hosting/computing nici la nivel entrerprise pt. ca s-a ajuns la un nivel de segmentare logica/software cu suport hardware a infrastructurii incat e practic echivalenta cu segmentarea fizica ).Daca ai acizitionat deja firewall-ul Dell atunci indrumarea e aceeasi sa cumperi si suportul necesar pt. ca din cate imi dau seama nu prea stapanesti nici conceptele de baza .

Securizare corecta faci doar prin separare totala.
Adica daca ai ceva de securizat - faci doar retea locala, fara acces internet de niciun fel.

eu cred ca trebuie sa intelegem exact ce vrei tu sa securizezi si fata de ce...

Multam.

Am de securizat:

-workstation,masina mea de lucru.foarte high secure profil,encryption,AV si firewall.
-cateva server care ruleaza in virtual environment
-wifi este securizata cu "Netgear Armor" si poate fi "expusa" la compromis,primeste access la internet partial
-"honey lan" o folosesc pentru masinile care le aduc acasa pentru lucrari si am nevoie de access la internet numai

 LAN-WAN#rev1.jpg   99.65K   39 downloads

Routers vor fi configurate cu minim pe DHCP,MAC address.
"Comprehensive securiy gateway service" enabled pe doua routere si cu alerte trimise la email.
Worksattion stie sa mearge default pe BB1 ca default gateway prin routerul "sw240" dar are un "route static" pentru accesa serviciile de pe servers,prin routerul "sw190"
Cel mai securizat este routerul "SW300" care este expus la static IP adresa si multe gauri in NAT table.

 nsa300_alerts.jpg   79.48K   36 downloads

Edited by EmeraldCountryHouse, 02 January 2020 - 18:09.

tot nu ai zis ce vrei sa securizezi, doar ai enumerat ce ai pe acolo.

cel mai simplu e sa nu legi nimic la net, nu instalezi nimic, pui un deepfreeze sau ceva asemanator si aia e, eu cred ca nici tu nu stii exact ce vrei dar vrei sa fii safe

smoke, on 02 ianuarie 2020 - 19:46, said:

Deci,repet.

Am un PC pe care il folosesc in domeniul meu.
Lucrez mult de acasa de pe PC si de pe un laptop.
Aceste doua device-uri au access la oficiile / networks al clientii mei via VPN,Logmein,GoToAssist and RMM.
Au passwords salvate plus o gramada de documentatie.Documentatia este deschisa si inchisa de pe doua USB drives encriptate si care se "mirror" in timp real cand sunt modificate. Nimic nu este salvat pe local drive...except "temp" files.
Amandoua sunt encripted cu DESLock ,au KIS2020 instalat.

Cand merg pe internet,folosesc broadband 1.Are dynamic IP plus folosesc "secure connection" de la Kaspersky.
Servers pe care le am in bband2 trebuiesc accesate din internet de catre "public resources" si din interior de pe workstation / laptop.
Server-ele au firewall enable din "public network" mode si sunt NAT-ate de pe "sw300" cu IDS/IPS/AV/MW de pe device.

Wireless este acceptabil.

Cand aduc in my lab PCuri de la clienti,le conectex intr-o zona controlate si cu access numai in exterior / external.
Le fac checks,diagnostics si Windows Updates.

Atasez un nou diagram,cu zonele de influenta marcate...work in progress,este aruncat la mana.
Scopul meu este de a intari securitatea de pe switching si routing.Hardware.
Software,ma bazez mult pe KIS si MalwareProtection.

Ca sa intelegi ce vreau sa acomplish ,trebuie sa gandesti ca un "white hat hacker".
O data ce ai compromis o zona,esti blocat acolo pentru o perioada de timp.
Protectia impotriva "lateral moving" te face sa crezi ca esti intr-un LAN normal si dupa ce ai cautat resources,you may give up.
Amandoua Sonicwall sunt configurate sa nu raspunda la "wan ping" si vei gasi un device la ip scan pe care nu stii ce sa faci.
in momentul in care faci un "port scan" la Sonicwall,primesc alert si stiu ca o zona este compromisa.
Fiecare port scan are un pattern si poti afla daca este un malware,virus sau attack coordonat de catre un "script kiddie".
Asta ca sa imi enforce protectia la workstation.

Server-ele sunt hard_ened destul de bine si au protocoale si porturi deschise pentru aplicatii standard.
Am schimbat porturile la ce se putea "SMTP din 25 in altul" si "www" sau altele dar multe sunt publice si standard.
Tot ce pot face acolo este sa "windows update" / "app update" weekly si sa "enforce password complexity" si "password/account lockout".
Nu pot face permanent "route" sau "ACLs" pentru ca sunt accesate de peste tot internet-ul.

Bafta.
https://awakesecurit...teral-movement/


 LAN-WAN#rev1.jpg   176.1K   17 downloads

Edited by EmeraldCountryHouse, 02 January 2020 - 20:15.

Acuma, nu sunt asa ID10T ... stiu ca daca ai MOMs poti obtine ce vrei tu de la un IT system.
Nimic nu iti va sta in cale.

Ca o gluma,deci,doar trebuie sa "alerg mai repede" decat alt "public exposed router" no mai repede decat de atacker !

Ce as dori ,pe langa a evita compromising, este sa fac munca "lui" mai grea si sa ii spun ca nu este nimic interesant aici.
Odata plictisit,ma lasa si incearca scanare la urmatorul IP address.Va aparea dezamagit si probabil va anula script-ul.

Propun "home work" before exchanging LinkedIn "white hats" profiles:

https://www.compuqui...rk-segmentation

https://www.forescou...k-segmentation/

https://www.cisco.co...gmentation.html

https://tools.cisco....rk_segmentation

Bonus:
https://www.securewo...rsecurity-memes

Edited by EmeraldCountryHouse, 02 January 2020 - 20:23.

Imi pare rau sa te dezamagesc, dar impartirea ta logica a retelei tinde spre prostie, nu altceva.
O retea trebuie sa fie simpla si scalabila, tu nu faci decat x nat-uri aiurea punand routere in retea...ca sa fie, nu din alt motiv.
Keep it simple:
isp1/isp2 -> load balancing / router -> firewall -> core/distribution switch -> access switch -> clienti    +    pt acces din wan un vpn ce ruleaza pe un server sau pe router (daca stie).

Apropo, ce e aia securitate hardware:

Quote

Le incui in sifonier?

ogo, on 02 ianuarie 2020 - 20:59, said:

Mutam.
Accept sa fiu corectat.
Apreciez feedback-ul tau.

Am luat in considerare acel "load balancing / fail over " dar nu vreau sa am un "single entry point / router" pentru amandoua WAN.

Acea recomandare a ta,cum faci separarea la subnets si cererea ca fiecare "device / endpoint" sa fie izolata in zona lui ?
Daca le pun pe toate pe switch core sau distribution sau cabinet / access ,cum faci tu separarea la Level 2 sau Level 3 !?
Odata o zona compromisa,tot ce este conectat la Layer 1 in switch / network va fi scanat si compromis.
Cum faci acele ACLs pentru servere si pentru clienti ?
Cum configure DHCP si DNS pentru fiecare zona in parte ?

Aduc un laptop compromis in home lab si incep "forensic investigation" si ma trezesc conectat la "access switch->clienti" si apoi imi trimit eu factura sa repar un compromis "lab network".Asta pare o idee care poate genera sa iti revizionesti CV-ul !!!

Intelegi idea mea de "lateral moving" strategia care o urmaresc cand fac acest design !?
Daca nu,citeste mai sus acele articole si apoi sunt dispus la argumente.
Altfel simt ca dau prea multe "prostie" si risc sa te enervez cu altceva decat ce ai tu in minte.

"securitate hardware" !??
Suntem pe topic serios,in sifonier se ascunde amanta sau amantul de regula,as stiam eu de pe aria de Fun ...

Poti avea un "big picture" la toate port-urile si device-urile.
Stii ce device este conectat si unde.
Stii cand un switch sau un router incepe sa faca "random lights" or "christmas lights" pe afisajul de la LED-uri status.
No ai ca ai inteles ce vreau sa spun...
Apoi,la fel,sunt dispus la argumente.

Iti propun sa citesti CISCO documentation despre cum se face la orice level, L1,L2 sau L3.

https://www.techrepu...-certification/

https://www.coursera...hardening-h7c3s

https://www.beyondtr...stems-hardening

https://en.wikipedia...ning_(computing)



Multam.

Ultimul mesaj pe astazi,sper:

https://www.google.c...eter segmenting

https://www.fortinet...er-network.html

https://www.cyber.go...and-segregation

Edited by althea, 03 January 2020 - 08:40.
continut link-uri

Pai ia pune mana si aplica ce se explica in documentatia prezentata de tine ca suntem si noi curiosi ce-ti iese in final si mai ales de modul de implementare.
Pana acum vad ca ti-e frica de-un laptop aparut din senin in retea care-ti va face minuni pe acolo. Daca e totul asa securizat, de ce ti-e frica?
Pana si cel mai prost switch cu management stie sa faca un fel de "segmentare" (port isolation de ex. daca nu vrei sa faci vlan-uri, ma rog, tot vlan-uri ar fi, dar port-based vlan)
PS: romgleza ta e enervanta rau.
PS2: nu era necesar copy/paste-ul asta inutil din site-urile prezentate de tine in acelasi post chiar.

PS3: "Odata o zona compromisa,tot ce este conectat la Layer 1 in switch / network va fi scanat si compromis."
Doar daca-ti baga cativa kV prin "layer 1" ca altfel nu vad de ce ar fi TOATA reteaua scanata si compromisa. N-ai nici-un amarat de vlan in uz pe acolo?

Edited by MembruAnonim, 02 January 2020 - 23:12.

Daca voi considerati ca un amarat de VLAN va ofera securitatea pe care eu am descris-o l ainceput...daca voi credeti ca seful vostru sau colegii vostri sau poate voiinseti cosniderati ca este ok sa conectati un laptop posibil compromis pe aceeasi retea ca si de la munca,atunci eu comit "reset to factory settings"
Daca eu am incercat prodessional si civilizat sa descriu un proiect si sa aduc dovezi reale,technical facts si "industry best practice" si nu ultimul indrumari de pe site-uri guvernamentale si sa sfarsesc sa fiu ridiculisat de Kv si sifoniere atunci ale mele decenii petrecute pe scena de IT security in afara tarii ma forteaza sa va doresc multa bafta si success.

Ultimul mesaj aici pe topic ca m-au pischat KV aia rau de tot pana sus la Layer 7
Are vreo unul ceva calificare in IT security !?

Romana este a doua mea limba,scuze de enervanta.

Edited by EmeraldCountryHouse, 02 January 2020 - 23:46.

Quote

1 - Eu nu vad niciun ups in reteaua ta deci ai deja un single point of failure in instalatia electrica.
2 - Ai 3 routere acolo (folosesti ospf cu dynamic routing) si va dispare si acel entry point of failure de care vorbesti.

Quote

Simplu - citesti/inveti modul de configuare al router-ului/firewall-ului.
Pe scurt, segregarea o faci simplu: vlan-uri. Tot ce ai intrebat tu inseamna DOAR vlan-uri si reguli de firewall in gateway. ATAT.

Quote

Un client n-are voie sa fie in acelasi vlan cu cel de management. Daca tu te-ai gandit ca ar putea fi accesate echipamentele de retea din unul sau mai multe vlan-uri unde sunt conectati clientii, inseamna ca NU INTELEGI ce inseamna si cum functioneaza un vlan. Drepturile unui client in retea tu le stabilesti, nu vine un "laptop" strain si face ce vrea: teoretic nici n-ar trebui sa se poate conecta la niciun acces switch fara sa-i fi dat tu voie, si atunci, e doar vina celui care administreaza reteaua.

Quote

Explica-mi si mie, cu cuvintele tale ce inseamna lateral moving asta de care tot faci atata caz si cum poate afecta un echipament layer2/3.

Quote

Chiar te rog frumos sa-mi explici ce e inseamna la tine securitatea hardware intr-un mediu home use in care zici ca sunt echipamentele tale.

Quote

Esti GUI addicted observ - din pacate, lasa-ma sa-ti dau o veste proasta: networking-ul la care faci tu referire inseamna 99% CLI. Si orice random lights inseamna ceva.

Referitor la restul precum si la linkurile atasate, chiar nu isi iau rostul in a fi luate in considerare pana nu iti clarifici notiunile de baza.

Quote

REPET: la baza oricarei segrarari logice a unuei retele este vlan-ul + regulile de firewall aferente acestuia. Totul se "construieste" pe acesti piloni (ca sa le zic asa) pe care tu, observ, ii disconsideri total, sau mai rau, nu ii intelegi mai deloc.

Edited by ogo, 03 January 2020 - 01:24.

EmeraldCountryHouse, on 02 ianuarie 2020 - 23:45, said:

Decenii in InfoSec facand ce mai exact? Intreb deoarece topicul nu are logica, intrebi ceva, vii cu nite posturi in care pui niste link-uri, apoi spui ca ai decenii aka N * 10 ani de experienta in InfoSec, hmmm... ceva nu da bine la calcule. O persoana cu zeci de ani de experienta in domeniul X nu pune intrebari despre acel domeniu pe un forum generalist unde sansa ca sa existe un alt utilkzator cu zeci de ani de experienta in acel domeniu e foarte mica, zero chiar.

EmeraldCountryHouse, on 02 ianuarie 2020 - 23:45, said:

Tu ai? Nu de alta dar mai sus cu un post recomanzi unui coleg de pe forum sa citeasca ceva documentatie de la Cisco, am vaga banuiala ca omul are niste certificari in networking.

Trecem peste asta. Cu experienta pe care sustii ca o ai in domeniul InfoSec nu pui o intrebare ca ceea pe care ai pus-o in postul initial deoarece nu oferi credibilitate ca si profesionist InfoSec cand intrebi asa ceva. Sau topicul a pornit cu stangul si nimeni nu a inteles ce doresti sa comunici inca de la primul post.

PS: Segmentarea retelei este cam zero in caz de lateral moving daca ai sistemele fara patch-uri, update-uri si folosesti aceiasi parola pe toate. Etc. Adica segmentarea retelei nu este solutia, face parte din solutia de defence in depth si mai degraba e folosita in mediul corporate / enterprise. Si acasa, de cine isi permite.

DESLock? DES? Acel DES vechi de cand lumea si pamantul si care nu mai este folosit de nimeni ca este spart si de un copil? Acel DES care a fost inlocuit de AES? Acel DES care a fost retras ca standard de catre NIST? USB-uri cu criptare DES si sincronzare suna bine, pentru cine nu stie ce e DES.

Cu zeci de ani "petrecuti pe scena de IT security" eu cred ca n-as mai intra pe-un forum romanesc generalist cum s-a zis mai sus, sa expun asa o problema si sa  nu ma astept sa fiu luat si la misto. kV anyone?
Acum zeci de ani ce IT security aveai? Sa nu vina Dorel sa-ti dea reset la conexiune cu wire-cutters. Sau sa-ti demagnetizeze benzile magnetice cu demagnetizorul pentru TV-uri cu tuburi catodice. Ca altceva...
Sunt firme pe unde bantui tu probabil care incaseaza bani grei pentru asa ceva, chiar aia din prima ta postare, nu stiu daca era reclama? cei de la Awake.
Vin aia si-ti gasesc zeci de gauri prin retea, iti incaseaza o caruta de bani, si te lasa cu o aplicatie cu niste grafice misto in care din cand in cand iti mai apare ca te-a aparat de la un atac care putea sa-ti inchida apa rece si tu esti multumit ca si-a facut treaba, poti apela linistit la ei.
Cred ca ne-am uitat prea mult la filme SF. Sau punem mana si invatam cum se folosesc routerele alea si ce stiu sa faca, si cum ne putem imparti reteaua cat mai logic posibil, si cum sa izolam echipamentele "posibil infectate" de restul retelei, dar asta trebuie sa inveti tu, nu noi.
App. s-a pus o intrebare mai sus, ai porturi de management (RJ45, de ce nu?) accesibile din baie? sau alt loc public?