Difference between revisions of "CCDP-Campus Viborg/Opgave 5/GruppeSkrammel"
Pungrotten (talk | contribs) |
Pungrotten (talk | contribs) |
||
| Line 1: | Line 1: | ||
'''Sikkerhed''' | '''Sikkerhed''' | ||
| − | Generelt | + | ''Sikkerhed Generelt'' |
Først og fremmest vil vi sikre at netværket er sikret mod angreb og trusler der kan forårsage nedbrud og fejl. | Først og fremmest vil vi sikre at netværket er sikret mod angreb og trusler der kan forårsage nedbrud og fejl. | ||
| Line 40: | Line 40: | ||
Der skal løbende checkes op på netværket for at holde øje med opdateringer og eventuelle mangler, som kan forårsage sikkerheds risici. Man kan beskytte meget ved at lave en god opsætning fra start, men man kan aldrig gardere sit netværk fuldstændigt mod alt. | Der skal løbende checkes op på netværket for at holde øje med opdateringer og eventuelle mangler, som kan forårsage sikkerheds risici. Man kan beskytte meget ved at lave en god opsætning fra start, men man kan aldrig gardere sit netværk fuldstændigt mod alt. | ||
| − | + | ''Valg af udstyr'' | |
Revision as of 11:19, 13 September 2010
Sikkerhed
Sikkerhed Generelt
Først og fremmest vil vi sikre at netværket er sikret mod angreb og trusler der kan forårsage nedbrud og fejl.
Dernæst skal det sikres, at servere og klienter er beskyttet mod sikkerhedsrisici, som f.eks. vira, malware, osv.
Sidst men ikke mindst skal alt det fysiske udstyr sikres mod direkte indtrængen. De forskellige VLAN’s skal også beskyttes fra hinanden, således at ikke alle kan alt.
Implementering af AAA Ved at implementere en login server kan adgang og rettigheder kontrolleres ved hjælp af politikker. Når en bruger vil tilgå et AP eller andet netværks udstyr bliver man autentificeret for at sikre man har gyldigt login.
Herefter vil brugeren få tildelt de rettigheder han har på det pågældende netværk. Imens sessionen er kørende skal der laves logning for accounten, således at man kan følge hvad personen har benyttet netværket til.
Vi vil sikre vores netværk imod uautoriseret brug, samt malicius netværkstrafik. På VLAN basis er det vigtigt at beskytte mod uautoriseret adgang på de forskellige VLAN’s. Dette betyder at elever på et elev VLAN f.eks. ikke må kunne tilgå det administrative VLAN.
Der vil altid være en reel risiko for udefrakommende angreb. Derfor har vi valgt at implementere fysiske firewalls for at mindske denne risiko bedst muligt. Sikkerheden for det fysiske udstyr er også en vigtig faktor, da der vil være muligheder for at folk vil forsøge at tilgå udstyret hvis det ikke er ordentligt sikret.
En god sikkerhedsregel er at lukke for velkendte porte som typisk benyttes til eksempelvis download af torrents og andre arbejdsmæssigt irrelevante tjenester.
Her er det vigtigt at alle porte som ikke skal benyttes bliver lukket, for at øge sikkerheden for netværket.
Der skal oprettes regler for de forskellige VLANs som begrænser brugernes rettigheder til det de må. Elever: Fra elev VLAN’s skal der være adgang til internettet samt adgang til at gemme og hente data fra serverne som tilhører dem.
Administrativt: Herfra skal Lærer og andet personel kunne tilgå de data som er nødvendige for dem.
På samme måde skal alle de andre VLAN’s tildeles rettigheder til det som er krævet for de forskellige områder på skolen.
En ekstra sikkerhed i vores netværk er at vi har valgt at benytte LWAPP, som sikrer at AP’er ikke blot kan nedtages og derfra udtage informationer omkring netværket. Dette skyldes at der ikke opbevares data om netværket direkte på AP’en.
En god sikkerhed er bl.a. også at lave konsekvenser for sit netværk, for at sikre at ens politik overholdes. Hvis nogen så bryder sikkerheden kræver det at konsekvensen bliver håndhævet, således at folk får respekt for sikkerheds politikken. Der skal løbende checkes op på netværket for at holde øje med opdateringer og eventuelle mangler, som kan forårsage sikkerheds risici. Man kan beskytte meget ved at lave en god opsætning fra start, men man kan aldrig gardere sit netværk fuldstændigt mod alt.
Valg af udstyr