iT邦幫忙

0

有關切網段的安全問題

請教各位IT達人

通常公司機房的網段和PC端的網段會不同是考量資安風險
想問真正具體資安風險有哪些呢?
是不是勒索病毒入侵,同網段的電腦會一起遭殃?

by IT新手

看更多先前的討論...收起先前的討論...
只是單純方便管理
沒有 firewall 或是 access-list 的話,跟資安摸不上任何關係
有大神回應很不錯的答案。我就說比較簡單了。

你的問題算是很大一包。不知該怎麼回答起。

你的問題就很像是
「為何房子要有分前門還有後門,是不是有安全的問題。人員風險?
小偷好不好入侵,大門需不需要有警衛」

小小的問題,回答起來都是在「是」與「不是」,「對」與「不對」之間的答案。
雷伊 iT邦研究生 3 級 ‧ 2019-12-16 17:11:19 檢舉
除了防火牆基本防禦外,不同的網段內對內規則不要偷懶不寫
其實我比較注重的反而是系統備援與資料備份
再好的設備與再強的工程師難保也有遇到鬼的一天
很多資安都是內部破壞造成的
以業務不中斷為原則,一切都以全毀時怎麼復原為打算,耗時多久取決於你向老闆爭取的資源有多少
打雜工 iT邦新手 4 級 ‧ 2019-12-16 23:30:16 檢舉
如過你尚在規劃中,建議切開,至於是否能降低資安風險,還是看你如何管理
2
阿展展展
iT邦好手 1 級 ‧ 2019-12-15 10:03:06

你知道...你問了一個論文級的題目嗎...
你要從哪些面向下去聊?
連線面?
通訊協定面?
防禦面?
聯外網?
連內網?
權限設定?
.
.etc

以上我有提到的名詞都還只是淺淺淺淺層
你需要更收斂你的問題 否則網友們會不知道要從何說起

0
echochio
iT邦研究生 2 級 ‧ 2019-12-15 10:42:19

你先上網找甚麼是 DNZ 區 , 基本上這是比較舊的觀念了 ...
現在主機的自我防護都比 DMZ 的防火牆還要強大 .....
當然網段切割管理上比較好

15
raytracy
iT邦大神 1 級 ‧ 2019-12-15 11:18:37

題目很大沒關係, 有心求知總是好事, 只不過答案也會很大條:

下面是最新整理出來的攻擊鍊技巧 (2019-10-09 18:48:31),
大約有 244 項, 其中任何一項都是資安風險:
Mitre att&ck Enterprise Matrix
(記得要放大到全螢幕才看得見最右邊的項目...左邊也要切換)

看不懂的, 這裡有中文的入門介紹:
用MITRE ATT&CK框架識別攻擊鏈,讓入侵手法描述有一致標準
(總共有三頁, 記得要翻頁繼續看下去...)

上面那三頁也可以分開個別看:
防護APT攻擊的必學戰略:MITRE ATT&CK框架

這是政府今年第二季的資安技術報告,
關於 Mitre ATT&CK 框架的說明:
108年第2季資通安全技術報告

對岸有很多相關的資訊:
將 MITRE ATT&CK 模型應用於網絡設備

國際上也有很多討論可以慢慢欣賞:
Medium.com: mitre-attack

先看看上面這些吧, 看完了, 再挑裡面的特定項目出來討論, 問題要能收斂下來, 才會有特定領域的專家出來回答...不然, 上面那麼大一坨, 每一項都有個別不同的專家, 不知道該招喚誰出來回答.... (世上沒有一個專家能懂每一個項目, 所以必須要分項討論)

ATT&CK 風險會不會發生在你公司內? 可能會, 也可能不會, 要看你們用了哪些技術? 有哪些環境符合建立攻擊鍊? 所以這件事, 外人沒辦法幫你們, 要你自己去盤點, 辨識, 評估.....或者請專家進場 (進入你們的環境內), 幫忙評估....站在環境外的人,看不見裡面的細節, 都只能瞎子摸象...

請受我一拜。讓我連回答的機會也沒了。
實在太完整了。

雷伊 iT邦研究生 3 級 ‧ 2019-12-16 11:40:34 檢舉

這篇根本是文章等級,值得學習與收藏!

1
japhenchen
iT邦新手 1 級 ‧ 2019-12-16 07:50:54

管理員偷懶圖方便,全公司就會只有一個網段,出問題時就會難以找出原因,幾天之後就得捲鋪蓋走人,麻煩下一位

0
a01541681680
iT邦新手 5 級 ‧ 2019-12-16 12:08:47

簡單講 就是方便管理
如果全公司內網出現問題
你網段全部同一段 一起斷
如果切vlan 能更好查出是哪個部門的問題
甚至說 只是單純這個vlan的網段掛了
不會影響全空司內網

相信你沒有打算問更深的原因

2
mytiny
iT邦大師 1 級 ‧ 2019-12-16 14:40:27

看了諸位先進的見解與說明
小弟也不自量力的表達一下看法

樓主說:公司機房的網段和PC端的網段不同,是考量資安風險
在下想說的是,隔了網段就隔開了風險威脅嗎?
網段分隔不是只隔開了廣播封包嗎?
哪裡能隔開入侵及風險呢?
如果沒有這樣的最粗淺的基本認識
難怪大多數公司會不斷發生資安事件
就連我們的健保體系的VPN也照樣遭殃(因為觀念不對,以為VPN等於安全)
臺灣醫療院所受勒索軟體攻擊
切網段或分網段根本與資安防護一點關係也沒有

很簡單的說,
如果網路的流量從起始端到接收端
中間如果沒有經過任何防毒或IPS入侵檢測
那麼根本就稱不上資安防護
而絕大多數公司的內部網路根本就沒有做這一塊
以致讓PC與Server之間是赤裸裸地暴露風險
在下認為這就是勒索、綁架病毒等屢屢得逞的主因

如果,沒法做到IP與IP間的資安檢核
至少做做網段與網段之間吧
再不成,至少進到Server網段的前面放個NGFW吧
備份、備援系統只能是挽救方案,不是防護方案
就算不想花錢,至少觀念要正確才行

0
fuchan0310
iT邦新手 4 級 ‧ 2019-12-19 00:11:27

切網段是可以讓你比較好管理,就好比你蓋房子,為什麼要隔間,當然你可以都不隔間阿,但是你廁所,煮飯大家都在一起,像話嗎?有了隔間(切網段)就比較好管理,例如會計課、生管課等等....,優點就算有問題,要查範圍也小,在來以資安來說,資安也可以從人做起,例如人員管制、硬體防護鎖、軟體防火牆.....,而且環環相扣,資安要探討的範圍也很大,三天可能都說不完,IT幫這裡很多前輩可以討論,先提出你的見解,應該很快就有你要的答案了

0
Abner
iT邦新手 5 級 ‧ 2019-12-23 10:14:12

切網段的原意僅是區隔,易於控管。
資安風險很廣泛,很重要的是電腦使用人員的觀念,否則再好的防護設備也是有漏洞。

我要發表回答

立即登入回答