Планирование защиты сети

Защита сети является одной из наиболее важных и сложных задач планирования сети. Сетевые соединения должны разрешать прохождение нужного потока данных и отсекать неразрешенный трафик.

Подготовительные действия
__	Составьте список входных точек сети.
__	Разработайте корпоративную стратегию безопасности, которой должна соответствовать стратегия защиты сети. В нее должны входить правила предоставления доступа к конфиденциальной информации и действия при обнаружении несанкционированного доступа, а также перечислены ответственные исполнители.

Подготовительные действия

Составьте список входных точек сети.

Разработайте корпоративную стратегию безопасности, которой должна соответствовать стратегия защиты сети. В нее должны входить правила предоставления доступа к конфиденциальной информации и действия при обнаружении несанкционированного доступа, а также перечислены ответственные исполнители.

Задачи планирования защиты сети
__	Разработка стратегии защиты сети Стратегия защиты сети должна опираться на корпоративную стратегию защиты. Рекомендуется включить в нее следующие компоненты: Создайте брандмауэр Всякая разумная стратегия защиты подразумевает использование брандмауэра, который будет фильтровать поток данных, входящий в сеть и исходящий из нее. Брандмауэр отслеживает соответствие данных правилам для протоколов и портов и отсекает трафик, который пытается пройти в неразрешенном направлении. Он также строго ограничивает доступ к открытым портам, препятствуя доступу злоумышленников к корпоративной сети. Защитите конфиденциальную информацию Любая система, содержащая конфиденциальную информацию, не должны быть открыта для доступа извне. Кроме того, доступ к таким системам внутри сети должен быть также ограничен и предоставляться только идентифицированным пользователям. Создайте демилитаризованную зону Демилитаризованная зона создается за брандмауэром. В нее входят хосты, обменивающиеся информацией с внешней средой так, чтобы при этом не создавалась угроза безопасности всей сети. Все анонимные обращения должны идти только к ресурсам демилитаризованной зоны. Выберите схему идентификации Идентификация - это процесс, в котором для доступа к сетевому домену пользователь должен предоставить свои ИД и пароль или выполнить идентификацию на основе сертификатов. Прямой доступ к внутренней сети организации должен осуществляться только для идентифицированных пользователей, равно как и доступ через брандмауэр. Включите в план стратегию для ИД пользователей и пароля, который должен иметь достаточную длину (не короче 8 символов), состоять из разнородных символов (буквы в верхнем и нижнем регистре и цифры) и регулярно сменяться (раз в два или три месяца). Выберите схему шифрования При шифровании данные кодируются таким образом, что расшифровать их возможно только при использовании сочетания открытого и личного ключей. Вся конфиденциальная информация, исходящая из корпоративной сети, должна быть зашифрована. Вся конфиденциальная информация, входящая в сеть из удаленных офисов, также должна быть зашифрована. Создайте стратегию защиты от социальной инженерии Социальная инженерия - это процесс выведывания обманным путем у сотрудников конфиденциальной информации по телефону, например, паролей и сведений о структуре организации. Это прием часто применяют взломщики для получения доступа в сеть. Обучение сотрудников с тем, чтобы они никогда не разглашали такую информацию по телефону - это единственная защита от таких опасностей. Для того чтобы спланировать стратегию защиты сети, прочитайте главу о безопасности IP-сетей в Руководстве по созданию сети IP.
__	Спланируйте структуру IPSec IPSec - это открытая архитектура защиты сетей IP, основанная на стандартах и обеспечивающая следующие возможности: Целостность данных (предотвращение атак, связанных с повреждением данных) Защита от повторного просмотра (предотвращение атак, связанных с просмотром ранее показывавшихся сообщений) Безопасное создание и автоматическое обновление ключей шифрования Стойкие алгоритмы криптографии Идентификация на основе сертификатов IPSec включает несколько протоколов, отвечающих за реализацию вышеперечисленных функций. Многие продукты защиты используют IPSec в качестве базовой архитектуры. Для того чтобы больше узнать о IPSec, прочитайте главу о безопасности IP-сетей в Руководстве по созданию сети IP.
__	Планирование виртуальных частных сетей Виртуальные частные сети (VPN) используют IPSec для создания защищенного частного канала, или туннеля, в общей сети, например, в Internet. Каждая платформа содержит инструменты, позволяющие превратить обычные соединения Internet в каналы VPN. С учетом важности связи с удаленными пользователями, офисами на местах и корпоративными партнерами VPN составляют важный элемент шифрования и идентификации информации при взаимодействии узлов корпоративной сети. Для того чтобы спланировать реализацию VPN, прочитайте главу о безопасности IP-сетей в Руководстве по созданию сети IP.
__	Планирование защиты от вирусов и программ-шпионов Вирусы и прочие вредные программы маскируются под обычные рабочие данные, чтобы проникнуть в сеть организации и начать там свою вредоносную деятельность. В настоящее время такая форма нарушения защиты сети является наиболее распространенной. Каждый хост сети должен быть укомплектован антивирусными программами и программами обнаружения шпионов. Их нужно обновлять и запускать как минимум раз в неделю. Эти программы заблокируют вредоносное программное обеспечение, прежде чем оно расползется по сети. Для того чтобы спланировать защиту от вирусов и программ-шпионов, прочитайте главу о безопасности IP-сетей в Руководстве по созданию сети IP.

После выполнения задач, перечисленных в этом разделе, у вас должен быть готов план обеспечения защиты сети, в котором указаны следующие элементы:

__	Зафиксируйте стратегию защиты сети, включая брандмауэры, демилитаризованную зону, правила доступа к конфиденциальной информации, идентификацию, шифрование и обучение защите от социальной инженерии.
__	Запишите структуру архитектуры защиты, включая зоны, требующие идентификации, области, защищенные брандмауэром, демилитаризованную зону и список удаленных пользователей и офисов, работающих по VPN.
__	Создайте список антивирусных программ и программ обнаружения шпионов, которые будут установлены в системах. Спланируйте еженедельные обновления и настройте хосты на автоматический запуск этих программ не реже одного раза в неделю.