Difference between revisions of "CCDP-Campus Viborg/Opgave 5/GruppeSkrammel"

From Teknologisk videncenter
Jump to: navigation, search
m
 
(26 intermediate revisions by 3 users not shown)
Line 1: Line 1:
'''Sikkerhed'''
+
'''Sikkerhed'''  
  
''Sikkerhed Generelt''
+
<u>''Sikkerhed Generelt''</u>
  
Først og fremmest vil vi sikre at netværket er sikret mod angreb og trusler der kan forårsage nedbrud og fejl.
+
Først og fremmest vil vi sikre at netværket er sikret mod angreb og trusler der kan forårsage nedbrud og fejl.  
 
Dernæst skal det sikres, at servere og klienter er beskyttet mod sikkerhedsrisici, som f.eks. vira, malware, osv.
 
 
Sidst men ikke mindst skal alt det fysiske udstyr sikres mod direkte indtrængen.
 
De forskellige VLAN’s skal også beskyttes fra hinanden, således at ikke alle kan alt.
 
  
Implementering af AAA
+
Dernæst skal det sikres, at servere og klienter er beskyttet mod sikkerhedsrisici, som f.eks. vira, malware, osv.  
Ved at implementere en login server kan adgang og rettigheder kontrolleres ved hjælp af politikker. Når en bruger vil tilgå et AP eller andet netværks udstyr bliver man autentificeret for at sikre man har gyldigt login.
 
 
Herefter vil brugeren få tildelt de rettigheder han har på det pågældende netværk. Imens sessionen er kørende skal der laves logning for accounten, således at man kan følge hvad personen har benyttet netværket til.
 
  
Vi vil sikre vores netværk imod uautoriseret brug, samt malicius netværkstrafik.
+
Sidst men ikke mindst skal alt det fysiske udstyr sikres mod direkte indtrængen. De forskellige VLAN’s skal også beskyttes fra hinanden, således at ikke alle kan alt.  
På VLAN basis er det vigtigt at beskytte mod uautoriseret adgang på de forskellige VLAN’s.
 
Dette betyder at elever på et elev VLAN f.eks. ikke må kunne tilgå det administrative VLAN.
 
  
Der vil altid være en reel risiko for udefrakommende angreb. Derfor har vi valgt at implementere fysiske firewalls for at mindske denne risiko bedst muligt.  
+
Ved at implementere en login server kan adgang og rettigheder kontrolleres ved hjælp af politikker. Når en bruger vil tilgå et AP eller andet netværks udstyr bliver man autentificeret for at sikre man har gyldigt login.  
Sikkerheden for det fysiske udstyr er også en vigtig faktor, da der vil være muligheder for at folk vil forsøge at tilgå udstyret hvis det ikke er ordentligt sikret.  
 
  
 +
Herefter vil brugeren få tildelt de rettigheder han har på det pågældende netværk. Imens sessionen er kørende skal der laves logning for accounten, således at man kan følge hvad personen har benyttet netværket til.
  
En god sikkerhedsregel er at lukke for velkendte porte som typisk benyttes til eksempelvis download af torrents og andre arbejdsmæssigt irrelevante tjenester.  
+
Vi vil sikre vores netværk imod uautoriseret brug, samt malicius netværkstrafik. På VLAN basis er det vigtigt at beskytte mod uautoriseret adgang på de forskellige VLAN’s. Dette betyder at elever på et elev VLAN f.eks. ikke må kunne tilgå det administrative VLAN.
Her er det vigtigt at alle porte som ikke skal benyttes bliver lukket, for at øge sikkerheden for netværket.
+
 
 +
Der vil altid være en reel risiko for udefrakommende angreb. Derfor har vi valgt at implementere fysiske firewalls for at mindske denne risiko bedst muligt. Sikkerheden for det fysiske udstyr er også en vigtig faktor, da der vil være muligheder for at folk vil forsøge at tilgå udstyret hvis det ikke er ordentligt sikret.
 +
 
 +
<br> En god sikkerhedsregel er at lukke for velkendte porte som typisk benyttes til eksempelvis download af torrents og andre arbejdsmæssigt irrelevante tjenester. Her er det vigtigt at alle porte som ikke skal benyttes bliver lukket, for at øge sikkerheden for netværket.  
  
 
Der skal oprettes regler for de forskellige VLANs som begrænser brugernes rettigheder til det de må.  
 
Der skal oprettes regler for de forskellige VLANs som begrænser brugernes rettigheder til det de må.  
  
Elever: Fra elev VLAN’s skal der være adgang til internettet samt adgang til at gemme og hente data fra serverne som tilhører dem.
+
Elever: Fra elev VLAN’s skal der være adgang til internettet samt adgang til at gemme og hente data fra serverne som tilhører dem.  
 +
 
 +
Administrativt: Herfra skal Lærer og andet personel kunne tilgå de data som er nødvendige for dem.
 +
 
 +
På samme måde skal alle de andre VLAN’s tildeles rettigheder til det som er krævet for de forskellige områder på skolen.
 +
 
 +
Vi har valgt at benytte LWAPP, som en ekstra sikkerhed for at AP’er ikke blot kan nedtages og derfra udtage informationer omkring netværket. Dette skyldes at der ikke opbevares data om netværket direkte på AP’en.
 +
 
 +
<br> <u>''Valg af udstyr etc''</u>
 +
<br>
 +
ASA er droppet for at mindske indkøb af nyt udstyr<br>
 +
 
 +
Firewall mod ISP
 +
 
 +
Med et FWSM installeret i vores 6500 switche har vi mulighed for at lave en virtuel active/active firewall med redundans
 +
for at beskytte vores netværk mod total blotlæggelse, hvis et firewall nedbrud skulle forekomme.<br>
 +
Vi implementerer NAC i vores core, og sikrer os at alle administrative porte og porte på elevnettet bliver overvåget.<br>
 +
Når brugeren får vist login-siden og logger på bliver computeren først kontrolleret om den opnår de krav der er stillet, <br>dvs.er de seneste antivirus definitioner, opdateringer og servicepacks installeret.<br> I dette tilfældet bliver brugeren logget på med de angivne rettigheder.
 +
Er computeren ikke opdateret bliver den sat i karantæne indtil softwaren er opdateret.<br>
 +
Dette kan evt foregå i karantæne stadiet for eksempel via en Wsus server.<br> 
 +
Ved hjælp af NAC Applience
 +
Et IDS system sørger for at holde øje med at netværket ikke bliver misbrugt til ulovlig trafik,<br>
 +
samt til at forhindre at vira skal sprede sig.
 +
 
 +
'''Referencer'''
 +
 
 +
http://www.cisco.com/en/US/tech/tk869/tk769/technologies_white_paper09186a008014f945.shtml<br>
 +
http://www.cisco.com/en/US/prod/collateral/modules/ps2706/ps4452/product_data_sheet0900aecd803e69c3.html<br>
 +
http://www.cisco.com/en/US/products/hw/modules/ps2706/ps4452/index.html<br>
 +
http://www.cisco.com/en/US/products/ps8788/index.html<br>
 +
http://www.cisco.com/en/US/prod/collateral/modules/ps2706/ps4452/product_data_sheet0900aecd803e69c3.html<br>
  
Administrativt: Herfra skal Lærer og andet personel kunne tilgå de data som er nødvendige for dem.
+
<br>
  
På samme måde skal alle de andre VLAN’s tildeles rettigheder til det som er krævet for de forskellige områder på skolen.
 
  
Vi har valgt at benytte LWAPP, som en ekstra sikkerhed for at AP’er ikke blot kan nedtages og derfra udtage informationer omkring netværket.
 
Dette skyldes at der ikke opbevares data om netværket direkte på AP’en.
 
  
 +
<br>
  
''Valg af udstyr etc''
+
opg 5a.<br>
  
Firewall mod ISP
+
ex. brug NAC og vpn
  
Et Active/Active FWSM i virtuelt firewall mode
+
'''Udkast af design:'''
 +
<br>
 +
[[Image:Design2n.jpg]]
 +
<br>
 +
<br>
  
afdelinger, filialer, vlans, brugere
+
'''FWSM:'''
 +
<br>
 +
[[Image:FWSM.jpg]]

Latest revision as of 11:27, 22 September 2010

Sikkerhed

Sikkerhed Generelt

Først og fremmest vil vi sikre at netværket er sikret mod angreb og trusler der kan forårsage nedbrud og fejl.

Dernæst skal det sikres, at servere og klienter er beskyttet mod sikkerhedsrisici, som f.eks. vira, malware, osv.

Sidst men ikke mindst skal alt det fysiske udstyr sikres mod direkte indtrængen. De forskellige VLAN’s skal også beskyttes fra hinanden, således at ikke alle kan alt.

Ved at implementere en login server kan adgang og rettigheder kontrolleres ved hjælp af politikker. Når en bruger vil tilgå et AP eller andet netværks udstyr bliver man autentificeret for at sikre man har gyldigt login.

Herefter vil brugeren få tildelt de rettigheder han har på det pågældende netværk. Imens sessionen er kørende skal der laves logning for accounten, således at man kan følge hvad personen har benyttet netværket til.

Vi vil sikre vores netværk imod uautoriseret brug, samt malicius netværkstrafik. På VLAN basis er det vigtigt at beskytte mod uautoriseret adgang på de forskellige VLAN’s. Dette betyder at elever på et elev VLAN f.eks. ikke må kunne tilgå det administrative VLAN.

Der vil altid være en reel risiko for udefrakommende angreb. Derfor har vi valgt at implementere fysiske firewalls for at mindske denne risiko bedst muligt. Sikkerheden for det fysiske udstyr er også en vigtig faktor, da der vil være muligheder for at folk vil forsøge at tilgå udstyret hvis det ikke er ordentligt sikret.


En god sikkerhedsregel er at lukke for velkendte porte som typisk benyttes til eksempelvis download af torrents og andre arbejdsmæssigt irrelevante tjenester. Her er det vigtigt at alle porte som ikke skal benyttes bliver lukket, for at øge sikkerheden for netværket.

Der skal oprettes regler for de forskellige VLANs som begrænser brugernes rettigheder til det de må.

Elever: Fra elev VLAN’s skal der være adgang til internettet samt adgang til at gemme og hente data fra serverne som tilhører dem.

Administrativt: Herfra skal Lærer og andet personel kunne tilgå de data som er nødvendige for dem.

På samme måde skal alle de andre VLAN’s tildeles rettigheder til det som er krævet for de forskellige områder på skolen.

Vi har valgt at benytte LWAPP, som en ekstra sikkerhed for at AP’er ikke blot kan nedtages og derfra udtage informationer omkring netværket. Dette skyldes at der ikke opbevares data om netværket direkte på AP’en.


Valg af udstyr etc
ASA er droppet for at mindske indkøb af nyt udstyr

Firewall mod ISP

Med et FWSM installeret i vores 6500 switche har vi mulighed for at lave en virtuel active/active firewall med redundans for at beskytte vores netværk mod total blotlæggelse, hvis et firewall nedbrud skulle forekomme.
Vi implementerer NAC i vores core, og sikrer os at alle administrative porte og porte på elevnettet bliver overvåget.
Når brugeren får vist login-siden og logger på bliver computeren først kontrolleret om den opnår de krav der er stillet,
dvs.er de seneste antivirus definitioner, opdateringer og servicepacks installeret.
I dette tilfældet bliver brugeren logget på med de angivne rettigheder. Er computeren ikke opdateret bliver den sat i karantæne indtil softwaren er opdateret.
Dette kan evt foregå i karantæne stadiet for eksempel via en Wsus server.
Ved hjælp af NAC Applience Et IDS system sørger for at holde øje med at netværket ikke bliver misbrugt til ulovlig trafik,
samt til at forhindre at vira skal sprede sig.

Referencer

http://www.cisco.com/en/US/tech/tk869/tk769/technologies_white_paper09186a008014f945.shtml
http://www.cisco.com/en/US/prod/collateral/modules/ps2706/ps4452/product_data_sheet0900aecd803e69c3.html
http://www.cisco.com/en/US/products/hw/modules/ps2706/ps4452/index.html
http://www.cisco.com/en/US/products/ps8788/index.html
http://www.cisco.com/en/US/prod/collateral/modules/ps2706/ps4452/product_data_sheet0900aecd803e69c3.html




opg 5a.

ex. brug NAC og vpn

Udkast af design:
Design2n.jpg

FWSM:
FWSM.jpg