13 sposobów na zabezpieczenie sieci

Zabezpieczanie infrastruktury to niekończący się proces, który należy ciągle testować i ulepszać. Warto podchodzić do tego skrupulatnie i metodycznie.
13 sposobów na zabezpieczenie sieci

Zabezpieczanie infrastruktury to niekończący się proces, który polega na ciągłym testowaniu i ulepszaniu. Warto podchodzić do tego skrupulatnie i metodycznie – idealnie sprawdzi się tutaj proponowana poniżej 13-punktowa checklista bezpieczeństwa dla sieciowca.

1. Segmentuj sieć z podziałem na funkcje

Segmentacja sieci to bardzo istotny element jej bezpieczeństwa. Odpowiednio przeprowadzona ogranicza niepotrzebny ruch w sieci, poprawia wykorzystanie infrastruktury oraz zmniejsza możliwy wektor ataku.

2. Zabezpiecz fizyczny dostęp do urządzeń

Urządzenia sieciowe podatne są jednakowo na ataki z zewnątrz, jak i wewnątrz sieci. Zagrożenie pochodzi nie tylko z zaufanych urządzeń, które zostały wcześniej zhackowane, ale również z bezpośredniego, nieautoryzowanego dostępu. Ograniczaj fizyczny dostęp do sprzętu do minimum. Dobrym pomysłem jest również odpowiednie zabezpieczenie dostępu poprzez port konsolowy, stosowanie dot1x na portach dostępowych oraz wyłączenie nieużywanych portów uplinkowych.

3. Zabezpiecz zdalny dostęp

Stosuj framework AAA w zarządzaniu dostępem i uprawnieniami oraz w logowaniu zdarzeń. Skonfiguruj zdalny dostęp do wirtualnych terminali oraz portu konsolowego. Nie pozostawiaj domyślnej konfiguracji i ograniczaj dostęp, stosując listy dostępu (ang. ACL). Używaj mocnych i nieopartych na słowniku haseł.

4. Szyfruj zdalne połączenia

Zdalne łączenie się do urządzeń powinno odbywać się za pomocą bezpiecznych protokołów. Zastąp poczciwy Telnet połączeniem SSH, zapomnij o TFTP oraz nieszyfrowanym FTP.

5. Twórz kopie bezpieczeństwa

Każda zmiana w konfiguracji powinna być logowana i generować wykonanie kopii bezpieczeństwa w celu szybkiego jej odtworzenia. Przechowuj kopie w bezpiecznym miejscu, poza urządzeniem. Powinieneś posiadać co najmniej dwie, z czego jedna powinna znajdować się poza Twoją organizacją.

6. Zabezpiecz kopie bezpieczeństwa

Tworzenie kopii to jedno, a odpowiednie ich zabezpieczenie i przechowywanie to drugie. Szyfruj je oraz ograniczaj do nich dostęp. Regularnie sprawdzaj, czy ich wykonywanie przebiega prawidłowo oraz czy da się z nich odtworzyć konfigurację.

7. Używaj najnowszych wersji oprogramowania

Wraz ze wzrostem skomplikowania oprogramowania, z którego korzystamy, rośnie liczba potencjalnych błędów, które może wykorzystać atakujący. Staraj się mieć zawsze jak najaktualniejszą wersję oprogramowania, ale nie wierz ślepo producentom. Przetestuj aktualizację w labie lub na małej liczbie urządzeń, zanim zainstalujesz ją na wszystkich urządzeniach. Wydawane przez producentów łatki bezpieczeństwa traktuj priorytetowo i nie zwlekaj z ich instalacją.

8. Korzystaj z najnowszych dostępnych wersji protokołów

Kiedy tylko to możliwe, stosuj najnowsze dostępne wersje protokołów. Zastąp poczciwe SNMP z community stringami wersją 3, używaj SSH w wersji 2 itd.

9. Stosuj uwierzytelnianie w protokołach

Wiele protokołów zapewnia jakąś metodę na uwierzytelnianie urządzenia po drugiej stronie połączenia. Pamiętaj, lepsze zabezpieczenie MD5 niż żadne.

10. Wyłącz niepotrzebne usługi oraz protokoły

Domyślna konfiguracja urządzeń jest przeznaczona dla jak największej liczby odbiorców i obejmuje wiele usług ułatwiających pracę. Oznacza to jednak, że część tych usług jest zbędna i należy je wyłączyć. Zarządzasz infrastrukturą za pomocą wiersza poleceń? Wyłącz możliwość konfiguracji poprzez GUI. Nie korzystasz z proxy-arp? Wyłącz tę usługę.  Skonfiguruj interfejsy w taki sposób, aby obsługiwały najmniejszą potrzebną do pracy liczbę protokołów. Im mniej włączonych funkcjonalności, tym mniej potencjalnych wektorów do ataku.

11. Chroń Control Plane

Jeśli to tylko możliwe, stosuj CoPP (Control Plane Protection). Przydziel minimalną, niezbędną do prawidłowej pracy wielkość pasma dla każdego protokołu, który korzysta z Control Plane, oraz pozostaw na końcu niewielką jego część na wypadek przegapienia jakiegoś protokołu.

12. Stosuj polityki bezpieczeństwa

Dobrze skonstruowane polityki bezpieczeństwa powinny zawierać jasne zasady oraz opierać się na najlepszych praktykach w temacie bezpieczeństwa. Wyjątki należy traktować jako ostateczność i powinny być one tymczasowe.

13. Stosuj telemetrię w sieci

Musisz wiedzieć, co się dzieje w Twojej sieci. Znać odpowiedzi nie tylko na pytania „Co?”, „Kto?”, „Gdzie?” i „Jak?”, ale również „Dlaczego?” oraz „Co z tego wynika?”. Szersza perspektywa to szansa na wcześniejsze wykrycie anomalii.

Podsumowanie

Poznałeś sposoby na zwiększenie bezpieczeństwa w swojej sieci. Daj znać w komentarzu, które z nich już wdrożyłeś. A może warto dopisać coś do listy?

19 aplikacji, które musi znać każdy sieciowiec

Blog wspiera partner diamentowy

Borg5 - Diamentowy partner bloga

Narzędziownik sieciowca

19 aplikacji newsletter

Grupa na Facebooku

Pierwsze kroki w sieciach

Najnowsze artykuły

Jak wygląda audyt bezpieczeństwa?

Jak wygląda audyt bezpieczeństwa?

Podcast w wersji wideoSłuchaj na spotifyZ podcastu dowiesz się Czym jest bezpieczeństwo informacji? Jak wygląda audyt bezpieczeństwa? Czym jest ISO 27001? Jak pracownicy odbierają pracę audytora? Jak przygotować się do audytu? Jak często powinien być przeprowadzany...

Model referencyjny ISO/OSI

Model referencyjny ISO/OSI

Maszyny, podobnie jak ludzie, do skutecznej komunikacji potrzebują pewnych zasad. My przestrzegamy zasad gramatyki oraz używamy słownictwa zrozumiałego dla odbiorcy, urządzenia natomiast wykorzystują standardy i protokoły. Na tym nie kończą się podobieństwa. Zwróć...

Automatyzacja sieci z Netmiko

Automatyzacja sieci z Netmiko

Netmiko to biblioteka napisana w Pythonie przez Kirka Byersa. Jest jedną z najłatwiejszych opcji wejścia w świat automatyzacji sieci. Dlaczego? Ponieważ Netmiko wykorzystuje Pythonową bibliotekę Paramiko do łączenia się poprzez SSH do CLI. Wszystkie przekazywane przez...

Protokoły FHRP – HSRP, VRRP i GLBP

Protokoły FHRP – HSRP, VRRP i GLBP

Jest takie angielskie powiedzenie "Two is one, one is none". Mówi ono o konieczności stosowania redundacji, czyli zapewnienia nadmiarowości. Kiedy mamy dwa urządzenia, awaria jednego zwykle nie jest problemem i daje nam czas na naprawę. Posiadanie w momencie awarii...

Hot Standby Router Protocol

Hot Standby Router Protocol

HSRP, czyli Hot Standby Router Protocol to protokół  z grupy FHRP (first-hop redundancy protocol) opatentowany przez Cisco w 1994r. Jego zadaniem jest zapewnienie redundancji bramy domyślnej w przypadku awarii, bez potrzeby zmiany w konfiguracji urządzeń końcowych. W...

Jesteśmy partnerem  konferencji

PLNOG

O autorze

Rafał Rudewicz

Specjalizuję się w rozwiązaniach Enterprise oraz Service Provider. Projektuję, wdrażam oraz naprawiam sieci dla największych firm na świecie.

Komentarze

0 komentarzy

Wyślij komentarz

Twój adres e-mail nie zostanie opublikowany.

Powiązane posty

IPsec VPN

IPsec VPN

IP security lub w skrócie IPsec to zbiór narzędzi do stworzenia VPN’a szytego na miarę Twoich potrzeb. Poznaj podstawy teoretyczne stojące za tym protokołem.

czytaj dalej

Zapisz się na newsletter