vyuka:cviceni:y36sps:semestralky:mejsnp1

Bezpečnostní audit

Petr Mejsnar

Zadani

1)Bezpecnostni audit site spolecnosti poskytujici spravu siti jinym firmam.

2)Navrzeni QoS.

3)Mame dve pripojeni k internetu. Chceme zprovoznit system, ktery pri vypadku primarniho pripojeni nahodi zalozni.

Práce schválená:

Prezentace

Topologie

top_old.jpg

Scan sítě

Program GFI LANguard.

  • Tento program objeví bezpečnostní rizika, a to i na softwarové úrovni. Takže nás třeba upozorní, že nám chybí aktualizace operačního systému atd.
  • Menší bezpečnostní rizika:
    • SMTP
    • HTTP
    • SSH v 1

smtp.jpg

ssh_http.jpg

Scan portů

Program Advanced port scanner.

  • Porty jsem skenoval z vnější sítě… internetu.
  • Povolené porty
    • 22 - SSH
    • 23 - Telnet
    • 80 - HTTP
    • 443 - HTTPS

port_scan_out.jpg

Ochrana před útoky

V rámci vnitřní sítě ochrana není. Není třeba, protože ve firmě pracují jen důvěryhodní specialisté.

Z vnější sítě:

  • Firewall
  • NAT
  • Přístup přes VPN
  • Přístup přes webové rozhraní s certifikátem SSL

Návrh nové bezpečnější topologie

top_new.jpg

Tato topologie je založená na prvku ASA550 od společnosti Cisco. Je to spojení switche, Firewallu, IPS, monitorovacího systému a několika dalších zařízení.

Dále je tato topologie oproti původní rozšířena a rozdělena tak, aby poskytovala co nejvyšší bezpečnost jak z vnějšku, tak z vnitřku sítě.

  • Použili jsme funkci ASA550 a síť rozdělili na 4 části s různým stupněm důvěry. První je oblast outside se stupněm 0, pak Public s 1, dále DMZ s 50 a nakonec LAN se 100. ASA v tomto případě neumožní uživateli z oblasti s nižším stupněm se připojit do oblasti s vyšším.
  • Outside je oblast internetu.
  • Public je oblast, která v původní topologii nebyla a je důvodem větších bezpečnostních opatření. Slouží zákazníkům k připojení na internet např. přes wifi.
  • DMZ je demilitarizovaná zóna, kde jsou servery.
  • LAN je vnitřní síť firmy, kam mají přístup pouze zaměstnanci.

Další novinkou je, že všechny prvky mají podporu vlan.

QoS

Na staré topologii nemožné nastavit a to kvůli tomu, že v síti jsou prvky od různých společností a různě staré. *Na nové:

  • Voice vlan
  • Service policy na routerech

Dvě připojení k internetu

double_net.jpg

Pomocí sla monitoru na cisco routeru: 

ip sla monitor 1
 type echo protocol ipIcmpEcho 85.207.116.222
 frequency 5
ip sla monitor schedule 1 life forever start-time now

se každých 5 sekund kontroluje venkovní port routeru a pokud vypadne, data se přesměrují na linksys router.

Dá se to jistě udělat i jinými způsoby, ale ty jsem nezkoušel. Napadá mě třeba udělat 2 defaultni routy s různou administrative distance, nebo zprovoznit nějaký routovací protokol(ale to už by asi na 2 routery bylo trochu moc).

~~DISCUSSION~~

  • vyuka/cviceni/y36sps/semestralky/mejsnp1.txt
  • Last modified: 2008/05/29 23:18
  • by mejsnp1