13 sposobów na zabezpieczenie sieci

Zabezpieczanie infrastruktury to niekończący się proces, który należy ciągle testować i ulepszać. Warto podchodzić do tego skrupulatnie i metodycznie.
13 sposobów na zabezpieczenie sieci

Zabezpieczanie infrastruktury to niekończący się proces, który polega na ciągłym testowaniu i ulepszaniu. Warto podchodzić do tego skrupulatnie i metodycznie – idealnie sprawdzi się tutaj proponowana poniżej 13-punktowa checklista bezpieczeństwa dla sieciowca.

1. Segmentuj sieć z podziałem na funkcje

Segmentacja sieci to bardzo istotny element jej bezpieczeństwa. Odpowiednio przeprowadzona ogranicza niepotrzebny ruch w sieci, poprawia wykorzystanie infrastruktury oraz zmniejsza możliwy wektor ataku.

2. Zabezpiecz fizyczny dostęp do urządzeń

Urządzenia sieciowe podatne są jednakowo na ataki z zewnątrz, jak i wewnątrz sieci. Zagrożenie pochodzi nie tylko z zaufanych urządzeń, które zostały wcześniej zhackowane, ale również z bezpośredniego, nieautoryzowanego dostępu. Ograniczaj fizyczny dostęp do sprzętu do minimum. Dobrym pomysłem jest również odpowiednie zabezpieczenie dostępu poprzez port konsolowy, stosowanie dot1x na portach dostępowych oraz wyłączenie nieużywanych portów uplinkowych.

3. Zabezpiecz zdalny dostęp

Stosuj framework AAA w zarządzaniu dostępem i uprawnieniami oraz w logowaniu zdarzeń. Skonfiguruj zdalny dostęp do wirtualnych terminali oraz portu konsolowego. Nie pozostawiaj domyślnej konfiguracji i ograniczaj dostęp, stosując listy dostępu (ang. ACL). Używaj mocnych i nieopartych na słowniku haseł.

4. Szyfruj zdalne połączenia

Zdalne łączenie się do urządzeń powinno odbywać się za pomocą bezpiecznych protokołów. Zastąp poczciwy Telnet połączeniem SSH, zapomnij o TFTP oraz nieszyfrowanym FTP.

5. Twórz kopie bezpieczeństwa

Każda zmiana w konfiguracji powinna być logowana i generować wykonanie kopii bezpieczeństwa w celu szybkiego jej odtworzenia. Przechowuj kopie w bezpiecznym miejscu, poza urządzeniem. Powinieneś posiadać co najmniej dwie, z czego jedna powinna znajdować się poza Twoją organizacją.

6. Zabezpiecz kopie bezpieczeństwa

Tworzenie kopii to jedno, a odpowiednie ich zabezpieczenie i przechowywanie to drugie. Szyfruj je oraz ograniczaj do nich dostęp. Regularnie sprawdzaj, czy ich wykonywanie przebiega prawidłowo oraz czy da się z nich odtworzyć konfigurację.

7. Używaj najnowszych wersji oprogramowania

Wraz ze wzrostem skomplikowania oprogramowania, z którego korzystamy, rośnie liczba potencjalnych błędów, które może wykorzystać atakujący. Staraj się mieć zawsze jak najaktualniejszą wersję oprogramowania, ale nie wierz ślepo producentom. Przetestuj aktualizację w labie lub na małej liczbie urządzeń, zanim zainstalujesz ją na wszystkich urządzeniach. Wydawane przez producentów łatki bezpieczeństwa traktuj priorytetowo i nie zwlekaj z ich instalacją.

8. Korzystaj z najnowszych dostępnych wersji protokołów

Kiedy tylko to możliwe, stosuj najnowsze dostępne wersje protokołów. Zastąp poczciwe SNMP z community stringami wersją 3, używaj SSH w wersji 2 itd.

9. Stosuj uwierzytelnianie w protokołach

Wiele protokołów zapewnia jakąś metodę na uwierzytelnianie urządzenia po drugiej stronie połączenia. Pamiętaj, lepsze zabezpieczenie MD5 niż żadne.

10. Wyłącz niepotrzebne usługi oraz protokoły

Domyślna konfiguracja urządzeń jest przeznaczona dla jak największej liczby odbiorców i obejmuje wiele usług ułatwiających pracę. Oznacza to jednak, że część tych usług jest zbędna i należy je wyłączyć. Zarządzasz infrastrukturą za pomocą wiersza poleceń? Wyłącz możliwość konfiguracji poprzez GUI. Nie korzystasz z proxy-arp? Wyłącz tę usługę.  Skonfiguruj interfejsy w taki sposób, aby obsługiwały najmniejszą potrzebną do pracy liczbę protokołów. Im mniej włączonych funkcjonalności, tym mniej potencjalnych wektorów do ataku.

11. Chroń Control Plane

Jeśli to tylko możliwe, stosuj CoPP (Control Plane Protection). Przydziel minimalną, niezbędną do prawidłowej pracy wielkość pasma dla każdego protokołu, który korzysta z Control Plane, oraz pozostaw na końcu niewielką jego część na wypadek przegapienia jakiegoś protokołu.

12. Stosuj polityki bezpieczeństwa

Dobrze skonstruowane polityki bezpieczeństwa powinny zawierać jasne zasady oraz opierać się na najlepszych praktykach w temacie bezpieczeństwa. Wyjątki należy traktować jako ostateczność i powinny być one tymczasowe.

13. Stosuj telemetrię w sieci

Musisz wiedzieć, co się dzieje w Twojej sieci. Znać odpowiedzi nie tylko na pytania „Co?”, „Kto?”, „Gdzie?” i „Jak?”, ale również „Dlaczego?” oraz „Co z tego wynika?”. Szersza perspektywa to szansa na wcześniejsze wykrycie anomalii.

Podsumowanie

Poznałeś sposoby na zwiększenie bezpieczeństwa w swojej sieci. Daj znać w komentarzu, które z nich już wdrożyłeś. A może warto dopisać coś do listy?

19 aplikacji, które musi znać każdy sieciowiec

Narzędziownik sieciowca

19 aplikacji newsletter

Najnowsze artykuły

PLNOG 31 – Back to the roots

PLNOG 31 – Back to the roots

Już 15-16 maja w krakowskim hotelu Galaxy odbędzie się trzydziesta pierwsza edycja konferencji PLNOG. Zapraszamy do udziału w wydarzeniu, podczas którego nie zabraknie merytorycznych wykładów najlepszych specjalistów z branży IT oraz ICT, praktycznej dawki wiedzy z...

Podsumowanie roku 2022

Podsumowanie roku 2022

W ubiegłym roku wiele się wydarzyło, zarówno złego, jak i dobrego. Ze złych rzeczy należy wspomnieć o nadal trwającej wojnie na Ukrainie. Jeśli możesz, wesprzyj ich. Sposób nie ma większego znaczenia. Z dobrych rzeczy, w okolicach marca udało się rozszerzyć współpracę...

Czy warto zdawać CCNA?

Czy warto zdawać CCNA?

Podcast w wersji wideoSłuchaj na spotifyZ podcastu dowiesz się Czy nowe CCNA to krok w dobrą stronę? Dlaczego BGP wypadło z CCNA? Czy nadal warto zdawać CCNA? Jakie mamy alternatywne egzaminy dla juniora? Czy symulacje na egzaminie to dobry pomysł? Czy junior powinien...

Jak zadbać o bezpieczeństwo BGP?

Jak zadbać o bezpieczeństwo BGP?

Podcast w wersji wideoSłuchaj na spotifyZ podcastu dowiesz się Czy czeka nas rok IPv6? Czym różnią się sieci Service Provider od sieci Enterprise? Dlaczego Border Gateway Protocol to najlepszy protokół routingu? Kiedy warto wdrożyć BGP? Jakie zagrożenia wiążą się ze...

Monitoring infrastruktury

Monitoring infrastruktury

Podcast w wersji wideoSłuchaj na spotifyZ podcastu dowiesz się Czym monitorować infrastrukturę? i dlaczego Zabbix jest najlepszą opcją monitoringu? Jakie mamy alternatywy dla Zabbixa i kiedy warto rozważyć ich wdrożenie?  Jakie wyzwania stawia wdrożenie monitoringu...

Jesteśmy partnerem  konferencji

PLNOG
Bydgoszcz konferencja IT

O autorze

Rafał Rudewicz

Specjalizuję się w rozwiązaniach Enterprise oraz Service Provider. Projektuję, wdrażam oraz naprawiam sieci dla największych firm na świecie.

Komentarze

0 komentarzy

Wyślij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Powiązane posty

IPsec VPN

IPsec VPN

IP security lub w skrócie IPsec to zbiór narzędzi do stworzenia VPN’a szytego na miarę Twoich potrzeb. Poznaj podstawy teoretyczne stojące za tym protokołem.

czytaj dalej

Zapisz się na newsletter