======Bezpečnostní audit======

==Petr Mejsnar==




=====Zadani=====

1)Bezpecnostni audit site spolecnosti poskytujici spravu siti jinym firmam.

2)Navrzeni QoS.

3)Mame dve pripojeni k internetu. Chceme zprovoznit system, ktery pri vypadku primarniho pripojeni nahodi zalozni.


**Práce schválená: ** \\ \\
{{vyuka:cviceni:y36sps:semestralky:mejsnp1.pdf|Prezentace}}



=====Topologie=====
{{http://peetter.wz.cz/top_old.jpg}}




=====Scan sítě=====

Program GFI LANguard.
  *Tento program objeví bezpečnostní rizika, a to i na softwarové úrovni. Takže nás třeba upozorní, že nám chybí aktualizace operačního systému atd.
  *Menší bezpečnostní rizika:
		*SMTP
		*HTTP
		*SSH v 1

{{http://peetter.wz.cz/SMTP.jpg}}

{{http://peetter.wz.cz/SSH_HTTP.jpg}}




=====Scan portů=====

Program Advanced port scanner.
  *Porty jsem skenoval z vnější sítě... internetu.
  *Povolené porty
		*22 - SSH
		*23 - Telnet
		*80 - HTTP
		*443 - HTTPS

{{http://peetter.wz.cz/port_scan_out.jpg}}




=====Ochrana před útoky=====

V rámci vnitřní sítě ochrana není. Není třeba, protože ve firmě pracují jen důvěryhodní specialisté.

Z vnější sítě:
   *Firewall
   *NAT
   *Přístup přes VPN
   *Přístup přes webové rozhraní s certifikátem SSL




=====Návrh nové bezpečnější topologie=====

{{http://peetter.wz.cz/top_new.jpg}}

Tato topologie je založená na prvku ASA550 od společnosti Cisco. Je to spojení switche, Firewallu, IPS, monitorovacího systému a několika dalších zařízení.

Dále je tato topologie oproti původní rozšířena a rozdělena tak, aby poskytovala co nejvyšší bezpečnost jak z vnějšku, tak z vnitřku sítě.
  *Použili jsme funkci ASA550 a síť rozdělili na 4 části s různým stupněm důvěry. První je oblast outside se stupněm 0, pak Public s 1, dále DMZ s 50 a nakonec LAN se 100. ASA v tomto případě neumožní uživateli z oblasti s nižším stupněm se připojit do oblasti s vyšším.
  *Outside je oblast internetu.
  *Public je oblast, která v původní topologii nebyla a je důvodem větších bezpečnostních opatření. Slouží zákazníkům k připojení na internet např. přes wifi.
  *DMZ je demilitarizovaná zóna, kde jsou servery.
  *LAN je vnitřní síť firmy, kam mají přístup pouze zaměstnanci.

Další novinkou je, že všechny prvky mají podporu vlan.




=====QoS=====

Na staré topologii nemožné nastavit a to kvůli tomu, že v síti jsou prvky od různých společností a různě staré.
 *Na nové:
  *Voice vlan
  *Service policy na routerech



=====Dvě připojení k internetu=====

{{http://peetter.wz.cz/double_net.jpg}}

Pomocí sla monitoru na cisco routeru:

  ip sla monitor 1
   type echo protocol ipIcmpEcho 85.207.116.222
   frequency 5
  ip sla monitor schedule 1 life forever start-time now

se každých 5 sekund kontroluje venkovní port routeru a pokud vypadne, data se přesměrují na linksys router.

Dá se to jistě udělat i jinými způsoby, ale ty jsem nezkoušel. Napadá mě třeba udělat 2 defaultni routy s různou administrative distance, nebo zprovoznit nějaký routovací protokol(ale to už by asi na 2 routery bylo trochu moc).






~~DISCUSSION~~