Bezpečnostní audit
Petr Mejsnar
Zadani
1)Bezpecnostni audit site spolecnosti poskytujici spravu siti jinym firmam.
2)Navrzeni QoS.
3)Mame dve pripojeni k internetu. Chceme zprovoznit system, ktery pri vypadku primarniho pripojeni nahodi zalozni.
Práce schválená:
Prezentace
Topologie
Scan sítě
Program GFI LANguard.
- Tento program objeví bezpečnostní rizika, a to i na softwarové úrovni. Takže nás třeba upozorní, že nám chybí aktualizace operačního systému atd.
- Menší bezpečnostní rizika:
- SMTP
- HTTP
- SSH v 1
Scan portů
Program Advanced port scanner.
- Porty jsem skenoval z vnější sítě… internetu.
- Povolené porty
- 22 - SSH
- 23 - Telnet
- 80 - HTTP
- 443 - HTTPS
Ochrana před útoky
V rámci vnitřní sítě ochrana není. Není třeba, protože ve firmě pracují jen důvěryhodní specialisté.
Z vnější sítě:
- Firewall
- NAT
- Přístup přes VPN
- Přístup přes webové rozhraní s certifikátem SSL
Návrh nové bezpečnější topologie
Tato topologie je založená na prvku ASA550 od společnosti Cisco. Je to spojení switche, Firewallu, IPS, monitorovacího systému a několika dalších zařízení.
Dále je tato topologie oproti původní rozšířena a rozdělena tak, aby poskytovala co nejvyšší bezpečnost jak z vnějšku, tak z vnitřku sítě.
- Použili jsme funkci ASA550 a síť rozdělili na 4 části s různým stupněm důvěry. První je oblast outside se stupněm 0, pak Public s 1, dále DMZ s 50 a nakonec LAN se 100. ASA v tomto případě neumožní uživateli z oblasti s nižším stupněm se připojit do oblasti s vyšším.
- Outside je oblast internetu.
- Public je oblast, která v původní topologii nebyla a je důvodem větších bezpečnostních opatření. Slouží zákazníkům k připojení na internet např. přes wifi.
- DMZ je demilitarizovaná zóna, kde jsou servery.
- LAN je vnitřní síť firmy, kam mají přístup pouze zaměstnanci.
Další novinkou je, že všechny prvky mají podporu vlan.
QoS
Na staré topologii nemožné nastavit a to kvůli tomu, že v síti jsou prvky od různých společností a různě staré. *Na nové:
- Voice vlan
- Service policy na routerech
Dvě připojení k internetu
Pomocí sla monitoru na cisco routeru:
ip sla monitor 1 type echo protocol ipIcmpEcho 85.207.116.222 frequency 5 ip sla monitor schedule 1 life forever start-time now
se každých 5 sekund kontroluje venkovní port routeru a pokud vypadne, data se přesměrují na linksys router.
Dá se to jistě udělat i jinými způsoby, ale ty jsem nezkoušel. Napadá mě třeba udělat 2 defaultni routy s různou administrative distance, nebo zprovoznit nějaký routovací protokol(ale to už by asi na 2 routery bylo trochu moc).
~~DISCUSSION~~