ЗАСТОСУВАННЯ ПОЛІТИК ДЛЯ МЕРЕЖЕВИХ СЛУЖБ з GREYCORTEX

У сучасних мережах безпека та контроль над критичними сервісами, такими як DNS і DHCP, є ключовими для захисту від атак, помилок конфігурацій та витоків даних. Несанкціоноване використання або неправильне налаштування цих сервісів може створювати «сліпі зони» та загрози для стабільності мережі. Наступні приклади показують, як GREYCORTEX Mendel допомагає виявляти порушення політик, контролювати внутрішні та публічні DNS-сервери, а також управляти DHCP-серверами, забезпечуючи прозорість і безпеку мережі. DNS та DHCP, часто стають мішенню для зловживань або некоректних налаштувань. Перевірка, що активні лише авторизовані сервіси, допомагає запобігти спуфінгу, витокам даних та порушенням стабільності мережі.

ВИКОРИСТАННЯ НЕАВТОРИЗОВАНИХ DNS

Ця політика гарантує, що для розв’язання доменних імен у мережі використовуються лише затверджені DNS-сервери. Несанкціоновані або некоректно налаштовані сервери можуть обходити засоби безпеки, приховувати шкідливу активність або повертати підроблені відповіді.

Використання внутрішніх DNS

GREYCORTEX Mendel дозволяє фільтрувати внутрішні DNS-сервери за тегом хоста Role/Server/DNS. Це дає чіткий інвентар пристроїв, що надають DNS або DNS-relay сервіси. Аналітики можуть переглянути цей список і дослідити окремі IP, щоб підтвердити, чи кожен DNS-сервер очікуваний та затверджений.

Наприклад, пристрій за адресою 192.168.178.1 був ідентифікований як надавач DNS-сервісів. Інші сервіси не виявлені, що може свідчити про релейний сервер або некоректно налаштований шлюз.

Використання публічних DNS

Фільтруючи вихідний DNS-трафік, GREYCORTEX Mendel показує, які внутрішні пристрої використовують публічні DNS-сервери. Це дозволяє аналітикам визначити, чи залишаються DNS-запити в межах мережі через несанкціоновані резолвери.

У одному випадку було виявлено два хости, що використовували Google DNS: один – як шлюз за замовчуванням, інший (192.168.40.215) – як стандартний внутрішній клієнт. Такі випадки слід перевіряти відповідно до політик використання DNS, щоб забезпечити відповідність вимогам.

Несанкціоновані DHCP-сервери

Ця політика гарантує, що у мережі працюють лише затверджені DHCP-сервери. Несанкціоновані DHCP-сервери можуть призначати некоректні конфігурації, створювати можливості для атак «людина посередині» або порушувати мережеве підключення.

Mendel автоматично виявляє нові DHCP-сервери у мережі та генерує відповідну подію. Крім того, він формує список усіх DHCP-серверів, фільтруючи хости за тегом Role/Server/DHCP, що допомагає аналітикам перевірити, чи кожен сервер є авторизованим або неправильно налаштованим. Детальний перегляд IP показує додаткові сервіси та поведінку хоста для глибшого аналізу.

Наприклад, пристрій 192.168.2.254 працював з кількома сервісами: DHCP, NTP, DNS, SSH, TELNET та Mikrotik Winbox. Це може свідчити про те, що пристрій є маршрутизатором або некоректно налаштованим мережевим елементом.

Від видимості до відповідальності

Дотримання внутрішніх правил має сенс лише тоді, коли ці правила видимі та застосовні на практиці. Без постійного моніторингу політик організації ризикують пропустити прогалини, що можуть призвести до помилок у конфігураціях або простоїв. GREYCORTEX Mendel допомагає поєднати внутрішню видимість із поведінкою у реальному часі, що дозволяє командам покращувати реагування на інциденти, зменшувати «втомленість» від сповіщень і зберігати контроль над середовищем.

У наступній частині ми розглянемо, як GREYCORTEX Mendel перевіряє політики шифрування, контроль ідентичності користувачів та обмеження на рівні додатків – критично важливі аспекти для підтримання відповідності та зменшення операційних ризиків.

Хочете оцінити власну мережу? Замовте аудит безпеки за допомогою GREYCORTEX Mendel.