Ciao, vorrei per piacere un consiglio da chi ha esperienza nel
monitoraggio di vulnerabilità in reti grandi e incasinate...
Poniamo che dobbiate mettere in piedi una infrastruttura di VA in una
grossa rete che comprende più siti fisici, alcune DMZ e qualche
centinaio di sotto-reti più o meno segregate fra loro contenenti alcune
migliaia di server, workstation e appliance assortite con livelli e
requisiti di sicurezza anche molto diversi fra loro.
Poniamo che il software di VA sia composto da un nodo centrale per
l'amministrazione che controlla un numero arbitrario di nodi periferici
che fanno le scansioni ("a la OpenVAS"). Deve essere usato da un numero
arbitrario di utenti con diversi ruoli da diversi punti della rete.
Domande:
1) Dove mettereste i nodi periferici per le scansioni? Uno in ogni rete
principale da scansionare, o uno per sito fisico aprendo i firewall, o
centralmente aprendo VPN alla bisogna, o come altro?
2) Stessa domanda ipotizzando che il software di scansione non sia
diviso in nodo centrale e nodi periferici.
3) Quanto essere paranoici riguardo all'amministrazione
dell'infrastruttura di VA, considerando che sia il nodo centrale che
quelli periferici contengono (temporaneamente o permanentemente)
credenziali amministrative dei server da scansionare? Usereste la stessa
infrastruttura di virtualizzazione, gli stessi server fisici, le stesse
workstation amministrative e lo stesso personale del resto dell'azienda?
4) Come ottimizzare le scansioni di siti web e servizi se (per un motivo
o per l'altro, non sottilizziamo...) i deploy non sono raggruppati in
una rete dedicata?
5) Vale la pena limitare i privilegi degli operatori di sicurezza per
monitorarne e limitarne l'operato?
6) Altre cose importanti da considerare?
Al momento ho una "leggera" divergenza di opinioni con il mio reparto di
rete e spero che questa lista possa aiutarmi a risolverla.
Grazie, saluti
--
ED
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
