Plánovanie zabezpečenia siete

Zabezpečenie siete je snáď najdôležitejším a najnáročnejším aspektom plánovania siete. Vaše sieťové pripojenie musí umožňovať opodstatnenú premávku cez dvere a súčasne zadržiavať neoprávnenú premávku mimo.

Predtým, ako začnete
__	Vytvorte zoznam vstupných bodov do vašej siete.
__	Vytvorte podnikovú bezpečnostnú politiku z ktorej bude vyplývať vaša politika zabezpečenia siete. Zahrňte do nej politiky prístupu k dôverným a citlivým informáciám, ktoré akcie sa vykonajú v prípade narušenia ochrany a kým.

Úlohy plánovania zabezpečenia siete
__	Vytvorte politiku zabezpečenia siete Začnite s politikou zabezpečenia podniku a pokračujte s politikou zabezpečenia siete. Odporúčané prvky: Vytvorte firewall Každá primeraná politika zabezpečenia zahrňuje použitie firewallu na filtrovanie premávky do a zo siete. Firewall by mal obmedzovať údaje podľa protokolu, ktorý používa, a ukončiť premávku, ak sa protokol nezhoduje s portom, cez ktorý sa pokúšala prejsť. Tiež by mal prísne obmedzovať otvorené porty, aby nedochádzalo k preniknutiu votrelcov do podnikovej siete. Izolujte tajné informácie Každý systém, ktorý obsahuje tajné alebo citlivé informácie, by mal byť priamo prístupný z vonkajšieho prostredia. Prístup k takýmto systémom by mal byť obmedzený aj zvnútra. Prístup by mali získať len oprávnení užívatelia. Vytvorte demilitarizovanú zónu Demilitarizovaná zóna je oblasť mimo firewallu, kde sa môžu odohrávať transakcie bez ohrozenia siete. Všetok anonymný prístup do siete by mal zostať v demilitarizovanej zóne. Vytvorte autentifikačnú schému Autentifikácia je proces vyžiadania ID užívateľa a hesla, alebo forma autentifikácie založená na certifikátoch, pred udelením prístupu k sieťovej doméne. Autentifikácia by sa mala vyžadovať pri každom priamom prístupe do podnikového intranetu. Autentifikácia by sa mala vyžadovať aj pri každom priamom prístupe cez firewall. Plánujte podľa najlepších metód, pri ktorých sa používajú dlhé heslá (najmenej 8 znakov), zmiešané heslá (kombinácia písmen, číslic, veľkých a malých písmen) a pravidelné zmeny hesiel (každé dva až tri mesiace). Vytvorte šifrovací systém Šifrovanie je proces prekladania všetkých údajov do kódu, ktorý je možné dešifrovať len pomocou systému súkromných a verejných kľúčov. Všetky citlivé údaje odchádzajúce z podnikovej siete by mali byť šifrované. Všetky citlivé údaje zo vzdialených kancelárií do siete, by tiež mali byť šifrované. Vytvorte blokovací systém sociálneho inžinierstva Sociálne inžinierstvo je proces falošnej prezentácie dôveryhodných jednotlivcov cez telefón za účelom zhromažďovania citlivých informácií, ako sú heslá a firemné organizačné informácie. Toto je bežná technika, ktorú používajú hackeri na získanie prístupu do sietí. Jedinou ochranou pred takýmto typom narušenia bezpečnosti je školenie zamestnancov, aby nikdy takéto informácie neposkytovali cez telefón. Ak sa chcete dozvediť, ako vytvoriť bezpečnostnú politiku siete, pozrite si kapitolu o bezpečnosti IP v dokumente IP Network Design Guide.
__	Naplánujte architektúru IP Security Architektúra IP Security (IPSec) je otvorená bezpečnostná architektúra, založená na štandardoch, ktorá poskytuje nasledujúce funkcie: Integrita údajov (zabraňuje útokom založeným na nesprávne formátovaných údajoch) Ochrana pred odpoveďami (zabraňuje útokom založeným na odpovedaní na správy) Bezpečné vytvárania a automatická obnova šifrovacích kľúčov Odolné šifrovacie algoritmy Autentifikácia založená na certifikátoch IPSec zahrňuje niekoľko protokolov, z ktorých každý vykonáva jednu z týchto funkcií. Mnohé bezpečnostné produkty používajú IPSec ako podkladovú architektúru. Ak sa chcete dozvedieť viac o IPSec, pozrite si kapitolu o bezpečnosti IP v dokumente IP Network Design Guide.
__	Plán pre virtuálne súkromné siete Virtuálne súkromné siete (VPN) používajú IPSec na vytvorenie bezpečných súkromných pripojení, alebo tunela, cez verejnú sieť, ako je Internet. Pre každú platformu je k dispozícii niekoľko nástrojov na premenu Internetových pripojení na siete VPN. S ohľadom na potrebu komunikácie medzi vzdialenými užívateľmi, pobočkami a podnikovými partnermi, sú siete VPN dôležitým spôsobom na šifrovanie a autentifikáciu informácií medzi uzlami podnikovej siete. Ak sa chcete dozvedieť, ako implementovať VPN, pozrite si kapitolu o bezpečnosti IP v dokumente IP Network Design Guide.
__	Plán pre ochranu pred vírusmi a špionážnym softvérom Vírusy a iný škodlivý softvér, nazývaný malvér, sa maskujú ako legitímny obchodný obsah, ale potom, ako sa dostanú do podnikovej siete, spustia zlomyseľné aktivity. Malvér je najprenikavejšia forma narušenia zabezpečenia siete. Každý hostiteľ vo vašej sieti by mal byť vybavený antivírovými a protišpionážnymi aplikáciami, ktoré sa aktualizujú každý týždeň a spúšťajú sa minimálne raz týždenne. Tieto programy sú určené na blokovanie malvéru ešte pred tým, ako sa môže cez vašu sieť sám replikovať. Ak sa chcete dozvedieť, ako predchádzať vírusom a infekciám typu spyware, pozrite si kapitolu o bezpečnosti IP v dokumente IP Network Design Guide.

Po dokončení úloh z tejto témy by ste mali mať plán pre zabezpečenie siete, ktorý identifikuje nasledovné prvky:

__	Poznačte si politiku zabezpečenia siete, ktorá zahrňuje firewally, demilitarizované zóny, prístupové pravidlá pre citlivé informácie, autentifikáciu, šifrovanie a školenia na ochranu pred sociálnym inžinierstvom.
__	Poznačte si topológiu vašej bezpečnostnej architektúry, vrátane toho, ktoré oblasti vyžadujú autentifikovaný prístup, ktoré oblasti sú chránené firewallmi, kde sú pripojené vaše demilitarizované zóny a ktorí vzdialení užívatelia alebo kancelárie používajú siete VPN.
__	Poznačte si zoznam antivírových a protišpionážnych aplikácií, ktoré plánujete zaviesť na hostiteľské počítače. Vyviňte politiku pre týždenné aktualizácie a nakonfigurujte hostiteľov tak, aby spúšťali tieto aplikácie aspoň raz týždenne.