O gerenciamento de rede Out-of-Band (OoB) é um conceito que usa um caminho de comunicação alternativo para gerenciar a rede dispositivos de infraestrutura. Esses caminhos alternativos são projetados para isolar o tráfego de gerenciamento do tráfego operacional. Este o isolamento impede que dispositivos de usuários comprometidos ou tráfego de rede malicioso afetem as operações de rede ou comprometendo a infraestrutura de rede. A implementação desses caminhos alternativos pode variar na configuração do túnel virtual (compartilhando as conexões de rede física com a rede operacional) para uma infraestrutura de rede segmentada fisicamente.
O gerenciamento OoB cria uma estrutura que permite aos administradores melhorar a segurança de suas redes segmentar o tráfego de gerenciamento do tráfego operacional e garantir que o tráfego de gerenciamento venha apenas do OoB caminho de comunicação.
Projeto de Arquitetura Out-of-Band
Um único projeto de gerenciamento OoB pode não se enquadrar nos requisitos de segurança ou restrições financeiras para cada instalação. Felizmente, existem várias abordagens para implementar o gerenciamento OoB com uma gama de segurança proteções e custos relacionados. Para iniciar o processo de determinação de qual implementação irá fornecer o nível desejado de proteção, os proprietários de rede precisam realizar uma avaliação de vulnerabilidade e risco. As informações coletadas desses avaliações ajudarão na decisão de implementar uma arquitetura de rede OoB virtualmente ou fisicamente segmentada. Não obstante projeto de arquitetura, a NSA recomenda que todo o tráfego de gerenciamento utilize apenas protocolos criptografados, como Secure Shell (SSH), Hypertext Transfer Protocol Secure (HTTPS), Simple Network Management Protocol v3 (SNMPv3), Secure Copy (SCP) e Secure File Transfer Protocol (SFTP), com algoritmos de criptografia fortes e tamanhos de chave. NSA também recomenda nunca gerenciar qualquer dispositivo em uma rede não confiável, o que inclui a rede operacional, sem um forte rede privada virtual (VPN). Nunca deve a interface de gerenciamento de um dispositivo de rede ser diretamente acessível a partir de a Internet.
Segmentação Física
O projeto de gerenciamento OoB mais seguro é criar uma infraestrutura de gerenciamento segmentado fisicamente que permite administração segura e monitoramento de dispositivos de rede. Cada dispositivo de rede operacional terá uma interface dedicada conectar-se à rede de gerenciamento segmentada fisicamente.
Essas interfaces dedicadas devem ser isoladas do rede operacional e ter Listas de Controle de Acesso (ACLs) rígidas implementadas para evitar uma possível configuração incorreta de permitindo acesso não autorizado a serviços de gerenciamento. As estações de trabalho do administrador só devem ser conectadas ao rede de gerenciamento e todos os outros acessos à rede devem ser restritos. Para dispositivos críticos, como firewalls de perímetro ou roteadores, o uso de switches de gerenciamento de console pode ser usado para criar uma quebra de protocolo e eliminar a possibilidade de um dispositivo comprometido de acessar outros dispositivos na rede de gerenciamento. Uma rede física dedicada a infraestrutura é a opção mais segura; no entanto, pode ser caro de implementar e manter, pois requer dispositivos de rede, cabeamento e servidores.
Segmentação Virtual
A conclusão de avaliações detalhadas de vulnerabilidade e risco permite que os proprietários da rede considerem a implementação de um método mais abordagem de segmentação virtual eficaz e econômica para gerenciamento de rede. O design de segmentação virtual é um opção menos segura, mas é atraente devido ao custo e manutenção reduzidos. A segmentação virtual permite a gestão tráfego para compartilhar os mesmos links físicos com tráfego operacional. No entanto, o designer da rede deve segmentar logicamente o dois tipos de tráfego. Esta segmentação virtual pode ser implementada usando várias redes locais virtuais (VLANs), Virtual Routing and Forwarding (VRFs), VPNs ou outras tecnologias de confiança zero e microssegmentação. O prefeito vulnerabilidade nessas configurações é o vazamento de dados potencial onde os dispositivos na rede operacional podem capturar tráfego de gerenciamento sensível ou tráfego de gerenciamento é enviado acidentalmente pela rede operacional.
Para essas vulnerabilidades, a NSA recomenda que o tráfego de gerenciamento utilize criptografia forte.
Uma falha de projeto de segurança frequentemente esquecida em redes virtualmente segmentadas é autenticação, registro e outros serviços de gerenciamento que não estão devidamente isolados. Ao implantar uma rede OoB virtualmente segmentada, esses serviços não deve ser compartilhado com a rede operacional. Se esses serviços são compartilhados entre a gestão e o rede operacional, eles criam um ponto de salto entre os dois. Os adversários usarão este acesso para expandir para outra rede dispositivos através da rede de gerenciamento legítima. Além disso, um servidor de autenticação compartilhado pode permitir que um adversário pivot da rede operacional para a rede de gerenciamento, comprometendo o próprio servidor de autenticação com um tipo simples de reutilização de credencial “Pass-the-Hash”.
Recomendações
Implementar criptografia
– Utilize apenas protocolos criptografados em todo o tráfego de gerenciamento OoB.
– Utilizar VPNs ao conectar-se a redes de gerenciamento em uma rede operacional.
– Certifique-se de que os protocolos criptografados sejam configurados para usar algoritmos criptográficos fortes e tamanhos de chave.
– Dispositivos de gerenciamento de rede Harden
– Restringir todo o acesso de gerenciamento em dispositivos de rede para permitir apenas a rede de gerenciamento.
– Executar todas as operações de gerenciamento de hosts dedicados, totalmente corrigidos, acessíveis apenas por rede autorizada
– Pelo menos dois desses hosts de gerenciamento devem estar disponíveis para fornecer redundância.
– Permitir que apenas hosts de gerenciamento dedicados acessem dispositivos de rede para evitar o comprometimento do movimento lateral de dispositivos do usuário.
– Teste os patches antes de implementá-los na rede.
– Desligue serviços desnecessários em roteadores e switches.
– Implementar autenticação multifator para acessar os dispositivos com segurança.
– Use apenas conexões seriais ou opções de gerenciamento de console para dispositivos críticos.
– Monitorar rede e revisar registros
– Estabelecer e aderir a uma Política de Segurança do Site (SSP) para as diretrizes de rede OoB que articulam o design para dispositivos de gerenciamento, as funções e responsabilidades dos administradores e o processo de registro.
– Verifique os logs para logins não autorizados, reinicializações não autorizadas e configurações mal configuradas.
– Monitore e verifique as configurações de rede regularmente.
– Estabelecer procedimentos de gerenciamento de configuração
– O gerenciamento da configuração é fundamental para a integridade, manutenção e segurança de qualquer rede. NSA recomenda estabelecer uma revisão da configuração e um processo de check-in. Este processo irá criar um histórico de mudanças na rede e permitir que um administrador identifique rapidamente alterações maliciosas.
– Incluir a identificação por cargo de todos os indivíduos que devem aprovar mudanças na rede de gerenciamento OoB bem como aqueles que executam as mudanças.
– Definir configurações de controle de acesso na política de segurança.
– Use o “Princípio do Menor Privilégio” ao definir os controles de acesso.
– Habilite mecanismos de autenticação fortes e exija que os administradores de rede usem senhas fortes com um comprimento mínimo de 14 caracteres.
– Use protocolos de comunicação seguros na rede de gerenciamento OoB e desabilite todos os protocolos que não são requeridos.
– Manter ACLs para permitir os serviços necessários (HTTPS, SNMPv3, SSH, SCP e SFTP) e negar todos os outros.
– Use o protocolo SNMP (Simple Network Management Protocol) versão 3 ou mais recente com criptografia habilitada. Evite usar
– SNMPv1 e SNMPv2. Eles são protocolos legados e não fornecem um nível adequado de segurança.
Fonte da Informação
NSA – National Security Agency of United States of America (Agência De Segurança Nacional dos Estados Unidos da América).
O site da Konfido utiliza cookies e outras tecnologias parecidas/semelhantes para melhorar a sua experiência, de acordo com a nossa Política de Privacidade e, ao continuar navegando, você concorda com estas condições. Você também pode escolher os tipos de cookies que deseja clicando em "Definições".
Leia nossa política de cookies
Executando Gerenciamento de Rede Out-of-Band
Executando Gerenciamento de Rede Out-of-Band
O gerenciamento de rede Out-of-Band (OoB) é um conceito que usa um caminho de comunicação alternativo para gerenciar a rede dispositivos de infraestrutura. Esses caminhos alternativos são projetados para isolar o tráfego de gerenciamento do tráfego operacional. Este o isolamento impede que dispositivos de usuários comprometidos ou tráfego de rede malicioso afetem as operações de rede ou comprometendo a infraestrutura de rede. A implementação desses caminhos alternativos pode variar na configuração do túnel virtual (compartilhando as conexões de rede física com a rede operacional) para uma infraestrutura de rede segmentada fisicamente.
O gerenciamento OoB cria uma estrutura que permite aos administradores melhorar a segurança de suas redes segmentar o tráfego de gerenciamento do tráfego operacional e garantir que o tráfego de gerenciamento venha apenas do OoB caminho de comunicação.
Projeto de Arquitetura Out-of-Band
Um único projeto de gerenciamento OoB pode não se enquadrar
nos requisitos de segurança ou restrições financeiras para cada instalação. Felizmente, existem várias abordagens para implementar o gerenciamento OoB com uma gama de segurança proteções e custos relacionados. Para iniciar o processo de determinação de qual implementação irá fornecer o nível desejado de proteção, os proprietários de rede precisam realizar uma avaliação de vulnerabilidade e risco. As informações coletadas desses avaliações ajudarão na decisão de implementar uma arquitetura de rede OoB virtualmente ou fisicamente segmentada. Não obstante projeto de arquitetura, a NSA recomenda que todo o tráfego de gerenciamento utilize apenas protocolos criptografados, como Secure Shell (SSH), Hypertext Transfer Protocol Secure (HTTPS), Simple Network Management Protocol v3 (SNMPv3), Secure Copy (SCP) e Secure File Transfer Protocol (SFTP), com algoritmos de criptografia fortes e tamanhos de chave. NSA também recomenda nunca gerenciar qualquer dispositivo em uma rede não confiável, o que inclui a rede operacional, sem um forte rede privada virtual (VPN). Nunca deve a interface de gerenciamento de um dispositivo de rede ser diretamente acessível a partir de a Internet.
Segmentação Física
O projeto de gerenciamento OoB mais seguro é criar uma
infraestrutura de gerenciamento segmentado fisicamente que permite administração segura e monitoramento de dispositivos de rede. Cada dispositivo de rede operacional terá uma interface dedicada conectar-se à rede de gerenciamento segmentada fisicamente.
Essas interfaces dedicadas devem ser isoladas do rede operacional e ter Listas de Controle de Acesso (ACLs) rígidas implementadas para evitar uma possível configuração incorreta de permitindo acesso não autorizado a serviços de gerenciamento. As estações de trabalho do administrador só devem ser conectadas ao rede de gerenciamento e todos os outros acessos à rede devem ser restritos. Para dispositivos críticos, como firewalls de perímetro ou roteadores, o uso de switches de gerenciamento de console pode ser usado para criar uma quebra de protocolo e eliminar a possibilidade de um dispositivo comprometido de acessar outros dispositivos na rede de gerenciamento. Uma rede física dedicada a infraestrutura é a opção mais segura; no entanto, pode ser caro de implementar e manter, pois requer dispositivos de rede, cabeamento e servidores.
Segmentação Virtual
A conclusão de avaliações detalhadas de vulnerabilidade e
risco permite que os proprietários da rede considerem a implementação de um
método mais abordagem de segmentação virtual eficaz e econômica para gerenciamento de rede. O design de segmentação virtual é um opção menos segura, mas é atraente devido ao custo e manutenção reduzidos. A segmentação virtual permite a gestão tráfego para compartilhar os mesmos links físicos com tráfego operacional. No entanto, o designer da rede deve segmentar logicamente o dois tipos de tráfego. Esta segmentação virtual pode ser implementada usando várias redes locais virtuais (VLANs), Virtual Routing and Forwarding (VRFs), VPNs ou outras tecnologias de confiança zero e microssegmentação. O prefeito vulnerabilidade nessas configurações é o vazamento de dados potencial onde os dispositivos na rede operacional podem capturar tráfego de gerenciamento sensível ou tráfego de gerenciamento é enviado acidentalmente pela rede operacional.
Para essas vulnerabilidades, a NSA recomenda que o tráfego
de gerenciamento utilize criptografia forte.
Uma falha de projeto de segurança frequentemente esquecida
em redes virtualmente segmentadas é autenticação, registro e outros serviços de gerenciamento que não estão devidamente isolados. Ao implantar uma rede OoB virtualmente segmentada, esses serviços não deve ser compartilhado com a rede operacional. Se esses serviços são compartilhados entre a gestão e o rede operacional, eles criam um ponto de salto entre os dois. Os adversários usarão este acesso para expandir para outra rede dispositivos através da rede de gerenciamento legítima. Além disso, um servidor de autenticação compartilhado pode permitir que um adversário pivot da rede operacional para a rede de gerenciamento, comprometendo o próprio servidor de autenticação com um tipo simples de reutilização de credencial “Pass-the-Hash”.
Recomendações
Implementar criptografia
Fonte da Informação
NSA – National Security Agency of United States of America (Agência De Segurança Nacional dos Estados Unidos da América).
Procurar no site
Categorias