Bezpečnostní audit

1)Bezpecnostni audit site spolecnosti poskytujici spravu siti jinym firmam.

2)Navrzeni QoS.

3)Mame dve pripojeni k internetu. Chceme zprovoznit system, ktery pri vypadku primarniho pripojeni nahodi zalozni.

Práce schválená:

Prezentace

Program GFI LANguard.

• Tento program objeví bezpečnostní rizika, a to i na softwarové úrovni. Takže nás třeba upozorní, že nám chybí aktualizace operačního systému atd.
• Menší bezpečnostní rizika:
  • SMTP
  • HTTP
  • SSH v 1

Program Advanced port scanner.

• Porty jsem skenoval z vnější sítě… internetu.
• Povolené porty
  • 22 - SSH
  • 23 - Telnet
  • 80 - HTTP
  • 443 - HTTPS

V rámci vnitřní sítě ochrana není. Není třeba, protože ve firmě pracují jen důvěryhodní specialisté.

Z vnější sítě:

• Firewall
• NAT
• Přístup přes VPN
• Přístup přes webové rozhraní s certifikátem SSL

Tato topologie je založená na prvku ASA550 od společnosti Cisco. Je to spojení switche, Firewallu, IPS, monitorovacího systému a několika dalších zařízení.

Dále je tato topologie oproti původní rozšířena a rozdělena tak, aby poskytovala co nejvyšší bezpečnost jak z vnějšku, tak z vnitřku sítě.

• Použili jsme funkci ASA550 a síť rozdělili na 4 části s různým stupněm důvěry. První je oblast outside se stupněm 0, pak Public s 1, dále DMZ s 50 a nakonec LAN se 100. ASA v tomto případě neumožní uživateli z oblasti s nižším stupněm se připojit do oblasti s vyšším.
• Outside je oblast internetu.
• Public je oblast, která v původní topologii nebyla a je důvodem větších bezpečnostních opatření. Slouží zákazníkům k připojení na internet např. přes wifi.
• DMZ je demilitarizovaná zóna, kde jsou servery.
• LAN je vnitřní síť firmy, kam mají přístup pouze zaměstnanci.

Další novinkou je, že všechny prvky mají podporu vlan.

Na staré topologii nemožné nastavit a to kvůli tomu, že v síti jsou prvky od různých společností a různě staré. *Na nové:

• Voice vlan
• Service policy na routerech

Pomocí sla monitoru na cisco routeru:

ip sla monitor 1
 type echo protocol ipIcmpEcho 85.207.116.222
 frequency 5
ip sla monitor schedule 1 life forever start-time now

se každých 5 sekund kontroluje venkovní port routeru a pokud vypadne, data se přesměrují na linksys router.

Dá se to jistě udělat i jinými způsoby, ale ty jsem nezkoušel. Napadá mě třeba udělat 2 defaultni routy s různou administrative distance, nebo zprovoznit nějaký routovací protokol(ale to už by asi na 2 routery bylo trochu moc).

~~DISCUSSION~~