Hálózati biztonság tervezése

A hálózati biztonság a hálózattervezés talán legalapvetőbb és legnagyobb kihívást jelentő része. A hálózati kapcsolatnak a szabályszerű forgalmat át kell engednie, miközben a nem szabályszerű forgalmat ki kell zárnia.

Mielőtt elkezdené
__	Készítsen egy listát a hálózat belépési pontjairól.
__	Hozzon létre egy vállalati biztonsági házirendet, amelyen a hálózati biztonsági házirend alapulni fog. Ez tartalmazza a bizalmas és érzékeny információk hozzáférésével kapcsolatos házirendeket, valamint azt, hogy ennek megsértése esetén milyen műveleteket kell végrehajtani és kinek.

Hálózati biztonság tervezési feladatai
__	Hálózati biztonsági házirend készítése A vállalati biztonsági házirenddel kezdve készítsen egy hálózati biztonsági házirendet. Az alábbi elemek ajánlottak: Tűzfal létrehozása Minden megfelelő biztonsági házirend tartalmazza a tűzfal használatát a hálózat bejövő és kimenő forgalmának szűrésére. A tűzfal korlátozza az adatokat a használt protokoll alapján és lezárja a forgalmat, ha a protokoll nem felel meg azon portnak, amelyen megpróbált áthaladni. Szigorúan korlátozza a nyitott portokat annak megakadályozására, hogy a betolakodók beléphessenek a vállalati hálózatba. Bizalmas információk elkülönítése A bizalmas vagy érzékeny információkat tartalmazó rendszereknek kívülről nem szabad elérhetőnek lenniük közvetlenül. Emellett az ilyen rendszerek belső elérésének is korlátozottnak kell lenniük, csak hitelesített felhasználók férhetnek hozzá. Demilitarizált zóna létrehozása A demilitarizált zóna egy terület a tűzfalon kívül, ahol tranzakciók történhetnek a hálózat veszélyeztetése nélkül. Az összes anonim hálózati hozzáférésnek a demilitarizált zónában kell maradnia. Hitelesítési séma készítése A hitelesítés egy felhasználói azonosító és jelszó, vagy valamilyen hitelesítés alapú igazolás megkövetelése a hálózati tartomány eléréséhez. Az összes hozzáférésnek a vállalati intranethez hitelesítést kell megkövetelnie. A tűzfalon keresztüli összes közvetlen hozzáférésnek szintén meg kell követelnie a hitelesítést. Tervezze meg a követendő eljárásokat a felhasználói azonosító és jelszó használatára, amely tartalmazza a hosszú jelszavakat (legkevesebb 8 karakter), a kevert jelszavakat (betűk, számok, nagybetűk és kisbetűk kombinációja) és a jelszavak rendszeres módosítását (minden 2-3 hónapban). Titkosítási rendszer készítése A titkosítás az adatok kódolásának folyamata, amely csak a rendszer saját és nyilvános kulcsaival fejthető vissza. A vállalati hálózatból kilépő érzékeny adatokat titkosítani kell. A távoli irodából a hálózatba érkező érzékeny adatokat is titkosítani kell. Társadalmi mesterkedést tiltó rendszer készítése A társadalmi mesterkedés az a folyamat, amikor egy megbízhatónak mutatkozó személy telefonon keresztül olyan érzékeny információkat szerez be, mint a jelszavak és vállalati szervezeti információk. Ez a szoftverkalózok által használt általános módszer a hálózatok elérésére. Az ilyen típusú biztonsági rés elleni védekezés egyetlen módja az alkalmazottak oktatása arra, hogy soha ne adjanak ki ilyen információkat telefonon. A hálózati biztonsági házirend tervezésének módjával kapcsolatos információk az Útmutató IP hálózat tervezéséhez részben találhatóak.
__	IP biztonsági architektúra tervezéseAz IP biztonság architektúra (IPSec) egy nyílt, szabványalapú biztonsági architektúra, amely az alábbi szolgáltatásokat nyújtja: Adatintegritás (a formailag hibás adatokon alapuló támadások megakadályozása) Újraküldési védelem (az üzenetek újraküldésén alapuló támadások megakadályozása) A titkosítási kulcsok biztonságos létrehozása és automatikus frissítése Erős kriptográfiai algoritmusok Tanúsítvány alapú hitelesítés Az IPSec ezen funkciók elvégezésére számos protokollt tartalmaz. Sok biztonsági termék használja az IPSec protokollt alap architektúraként. Az IPSec protokollal kapcsolatos további információk az Útmutató IP hálózat tervezéséhez részben találhatóak.
__	Virtuális magánhálózat tervezése A virtuális magánhálózatok (VPN) IPSec protokollt használnak biztonságos magánkapcsolat vagy alagút Internethez hasonló nyilvános hálózaton keresztüli létrehozására. Számos eszköz áll rendelkezésre minden egyes platformhoz a szokásos Internetkapcsolat VPN kapcsolattá alakítására. A távoli felhasználók, kihelyezett irodák és a vállalati partnerek közti kommunikációs szükségletek alapján a VPN fontos módja a vállalati hálózat távoli csomópontjai közt mozgó információk titkosításának és hitelesítésének. A VPN megvalósításával kapcsolatos információk az Útmutató IP hálózat tervezéséhez részben találhatóak.
__	Vírus és spyware elleni védelem tervezése A vírusok és egyéb ártalmas szoftverek (más néven rosszindulatú szoftverek) szabályszerű üzleti tartalomnak álcázzák magukat, hogy a cég hálózatába jutást követően rosszindulatú tevékenységeket végezzenek. A rosszindulatú szoftver a legáthatóbb formája a hálózati biztonság megsértésének. A hálózat minden hosztját fel kell szerelni hetente frissített és legalább hetente futtatott antivírus és spyware elleni alkalmazásokkal. Ezen programok a rosszindulatú szoftverek azelőtti letiltására készültek, mielőtt azok megtöbbszörözhetnék magukat. A vírus- és spywarefertőzések elkerüléséhez olvassa el az Útmutató IP hálózat tervezéséhez témakör IP biztonságról szóló fejezetét.

Ha befejezte az ebben a témakörben leírt feladatokat, akkor az alábbi pontok meghatározásával kell a hálózati biztonsági tervet elkészítenie:

__	Készítsen egy hálózati biztonsági házirendet, amely tartalmazza a tűzfalakat, demilitarizált zónákat, az érzékeny információk hozzáférési szabályait, a hitelesítést, titkosítást és a társadalmi mesterkedés elleni oktatást.
__	Készítsen egy topológiát a biztonsági architektúráról, beleértve, hogy mely területek igényelnek hitelesített hozzáférést, melyek védettek tűzfallal, hova csatlakoznak a demilitarizált zónák és mely távoli felhasználók vagy irodák használnak VPN hálózatot.
__	Készítsen listát a hosztgépekre feltölteni kívánt antivírus és spyware elleni alkalmazásokról. Készítsen házirendet a heti frissítésre, és állítsa be a hosztokat ezen alkalmazások legalább heti rendszerességű automatikus futtatására.