Förebyggande Råd från Sveriges IT-incidentcentrum



Relevanta dokument
IT för personligt arbete F2

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

Datakommunika,on på Internet

Systemkrav och tekniska förutsättningar

============================================================================

ELMIA WLAN (INTERNET)

Ver Guide. Nätverk

Instuderingsfrågor ETS052 Datorkommuniktion

Övningar - Datorkommunikation

5 Internet, TCP/IP och Tillämpningar

Installation av. Vitec Online

FIBER. Installationshandbok. Rev

TCP/IP och Internetadressering

Grundläggande nätverksteknik. F3: Kapitel 4 och 5

IPv6 EN GOD BÖRJAN GER ETT GOTT SLUT. LÅT OSS BÖRJA.

Grundläggande nätverksteknik. F2: Kapitel 2 och 3

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

IP Från användare till användare Vägval DNS Jens A Andersson (Maria Kihl) Att skicka data över flera länkar. Nätprotokoll

Att sätta upp en IPsec-förbindelse med mobil klient. Lisa Hallingström Paul Donald

Föreläsning 3. Datorkunskap 50p Marcus Weiderstål Bromma Gymnasium

Säkerhet genom simpel nätverksutrustning. Högskoleingenjörsexamensarbete Fredrik Folke

TSBK 10 Teknik för avancerade datorspel Fö 9: Nätverk, Peter Johansson, ISY

Hur BitTorrent fungerar

Hjälpprotokoll till IP

Säker IP telefoni? Hakan Nohre, CISSP

Grundläggande datavetenskap, 4p

Installationsmanual för Tyfon ADSL

Installation av digitala enheter

Olika slags datornätverk. Föreläsning 5 Internet ARPANET, Internet började med ARPANET

IP routinghierarkier. Robert Löfman Institutionen för informationsbehandling Åbo Akademi, FIN Åbo, Finland e post: robert.lofman@abo.nospam.

F6 Exchange EC Utbildning AB

Säkerhetsbrister i kundplacerad utrustning

OSI-modellen. Skiktade kommunikationsprotokoll. OSI-Modellen. Vad är en bra skiktindelning? Fysiska skiktet. Länkskiktet

Routerinställning. Denna guide tar dig genom de enkla steg som behövs för att ställa in routern så den fungerar trådlöst.

Freeway WEB bussadapter. Installations- och bruksanvisning

Krav på kundens LAN och gränssnitt ProLane

3) Routern kontrollerar nu om destinationen återfinns i Routingtabellen av för att se om det finns en väg (route) till denna remote ost.

F5 Exchange Elektronikcentrum i Svängsta Utbildning AB

Webbservrar, severskript & webbproduktion

Installationsanvisningar

Din guide till IP RFID. Intertex Nu ännu starkare säkerhet för SIP. Snom - marknadens säkraste IP-telefon. Ur innehållet TALK TELECOM

Internet. Internet hur kom det till? Internets framväxt. Ett hierarkiskt uppbyggt telenät Kretskopplat/circuit switching

ANVÄNDARMANUAL. handdatorer i ängs- och betesmarksinventeringen. för

1 PROTOKOLL. Nätverk. Agenda. Jonas Sjöström

POLISMYNDIGHETEN I IT-POLICY 1 (5) ÖSTERGÖTLANDS LÄN Förvaltningsavdelningen

F2 Exchange EC Utbildning AB

Elektroniskt informationsutbyte mellan arbetsgivare och Försäkringskassan. Information om filöverföring

Datakommunikation vad är det?

Linuxadministration 2 1DV421 - Laborationer Webbservern Apache, Mailtjänster, Klustring, Katalogtjänster

Datasäkerhet och integritet

SKA v6. Godkänd: Rev: April. SKA v6 1(19)

Krypteringteknologier. Sidorna ( ) i boken

ANVÄNDARMANUAL. handdatorer i ängs- och betesmarksinventeringen. för

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

Slutrapport SKA fas två. Godkänd: Rev: Maj. Rapport SKA 1(8)

Så här gör du för att lägga till nytt e-postkonto i Windows 8. Öppna E-post från startskärmen.

Storage. Effektivare datalagring med det intelligenta informationsnätet.

Datakommunikation I 5p

Kapitel 1 Ansluta Router till Internet

Krav på kundens LAN och gränssnitt DataNet

Denial of Services attacker. en översikt

Metoder för trådlös gästaccess

TDDD80. Mobila och sociala applikationer Introduktion HTTP,SaaS. Anders Fröberg Institutionen för Datavetenskap (IDA)

God nätverksdesign och distribuerade brandväggar. Patrik Fältström

Tidsservrar vid svenska knutpunkter för Internet. Innehåll. Projektet Tidhållning på Internet i Sverige

Kapitel 6, 7, 8 o 9: Data och protokoll. LUNET o SUNET

Från användare till användare. (Maria Kihl)

Real-time requirements for online games

Karlstads universitet Institutionen för Informationsteknologi Datavetenskap

Önskemål kring Studentstadens bredband och UpUnet-S

Säkerhet. Säker kommunikation - Nivå. Secure . Alice wants to send secret message, m, to Bob.

Att Säkra Internet Backbone

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

Valfrihet! Valfrihet är det bästa som finnsf. Ett snabbt fibernät öppet för alla. Fri konkurrens och full valfrihet. Välkommen till Moras öppna nät.

Denna genomgång behandlar följande:

Brandväggs-lösningar

Kapitel 1 Ansluta routern till Internet

Virtuell Server Tjänstebeskrivning

IT-arbetsplats med distansåtkomst

Robusta nät Just do IT! Mikael Westerlund, CTO

Datakommunika,on på Internet

Att sätta upp en IPsec-förbindelse mellan två Ingate-brandväggar/SIParatorer (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Ethernet-anslutning. För mer information om skrivarens Ethernet-funktion klickar du på avsnittet nedan: Ethernet-lampor. nätverkskonfigurationssida

Nät med flera länkar. Vägval. Enklaste formen av kommunikation:

Landstingets IT-Service Helårsbedömning

Mattias Wiggberg 1. Orientera på Internet. IP-adress. IP-adresserna räcker inte... Mer om IP-adresser

Dedikerad Server Vilket operativsystem ska jag välja? Är ni i startgroparna och ska beställa en dedikerad server eller en virtuell server?

Hitta rätt bland alla lösningar för mobila utskrifter

Integrationstjänsten - Anslutningstjänsten Version 1.0

Brandväggar. Brandväggar. Netlter/iptables. Grupp 13 Andreas Önnebring Markus Månsson 21 februari 2008

BiPAC 7402R2. ADSL2+ VPN Firewall Router. Snabbstartsguide

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

Viktigt! Glöm inte att skriva Tentamenskod på alla blad du lämnar in.

Practical WLAN Security

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

SÄKRA DIN VERKSAMHET OAVSETT VAR DEN TAR DIG. Protection Service for Business

Inkopplingsguide till Halmstads stadsnät 5-portars tjänstefördelare

Christer Scheja TAC AB

Transkript:

Sitic Sveriges IT-incidentcentrum FR04-04 Praktisk nätverksdesign Förebyggande Råd från Sveriges IT-incidentcentrum Om Förebyggande Råd från Sitic Bakgrund I uppdraget för Sveriges IT-incidentcentrum (Sitic) ingår det att producera information och råd om förebyggande åtgärder avseende IT-säkerhet. Detta dokument ingår i en serie kallad Förebyggande Råd. Friskrivning Den information Sitic tillhandahåller produceras i enlighet med högt ställda krav på kvalitet och sakinnehåll. Sitic kan dock inte garantera att informationen i alla avseenden är korrekt eller åta sig ansvar för detta. Inte heller kan Sitic åta sig ansvar för användning av informationen, eller resultatet av användning av informationen. Omnämnande av, eller referenser till, annan organisation betyder inte att Sitic stödjer, befrämjar eller på annat sätt gynnar denna organisations verksamhet. Om detta dokument Syfte Syftet med dokumentet är att beskriva tekniker och metoder för att uppnå en säkrare nätverksdesign. Planering och ett strategiskt förhållningssätt är grunden i säkra nätverk och dokumentet eftersträvar att ge en vägledning och infallsvinklar på hur ett nätverk kan planeras. Tillämplighet Dokumentet riktar sig till ansvariga för IT-infrastruktur/säkerhet samt drifttekniker i mindre till medelstora organisationer. Avgränsningar Detta dokument behandlar interna nätverk, även kallade Local Area Networks (LAN). Internet kommer endast att beskrivas perifert eftersom det ofta angränsar till det interna nätverket. Det kommer inte att förekomma några fördjupningar i specifika funktioner eller vissa produkter eftersom dokumentet eftersträvar att ge en inledande vägledning för planeringen av ett säkert nätverk. POST- OCH TELESTYRELSEN Sveriges IT-incidentcentrum, SITIC POSTADRESS Box 5398, 102 49 Stockholm BESÖKSADRESS Birger Jarlsgatan 16 TELEFON 08-678 57 99 KRYFAX 08-679 58 76 FAX 08-678 55 05 E-POST sitic@pts.se WEBBADRESS www.sitic.se www.pts.se

Sakområdet Allmänt På en modern arbetsplats är ett nätverk en bärare av kommunikation och tjänster. Om arbetsplatsen har regionalt spridda kontor och resurser är nätverket ofta viktigt för att organisationen ska kunna bedriva sin verksamhet på ett ordnat sätt. Om nätverket råkar ut för störningar kan organisationen få allvarliga problem att fungera normalt. Nätverk är vanligtvis en central del inom dagens organisationer. Användare når med hjälp av sina klienter via nätverket alla möjliga resurser i form av till exempel skrivare, filer, programvara, licenser, dokument, för att nämna några. Genom att skapa ett välgenomtänkt nätverk och minskar risken för onödiga incidenter. En övergripande målsättning är att få ett nätverk som är säkert, skalbart och erbjuder en miljö som administratörer och användare känner sig trygga att arbeta med. Ett nätverk är en gemensam infrastruktur för centrala och separata tjänster. Därav är det viktiga att definiera vilka tjänster som ska hanteras och för vilka de skall vara tillgängliga, vilka tjänster som skall vara centrala respektive lokala. Segmentering av nät är en viktig del för säker kommunikation inom det egna nätet. Genom att ha tänkt till innan kan åtskilliga timmar av onödig problemlösning undvikas. Teknik De beståndsdelar som ingår i ett nätverk är i stora drag: Kommunikationsutrustning: o Switchar o Routrar o Brandväggar. Nätverksbaserade tjänster: o DNS-server o SMTP-server, o Mail-server

Andra aspekter att ta hänsyn till är: Policys som organisationen har definierat o Har betydelse för hur nätet kommer att se ut, vilka som skall ha tillgång till vilka tjänster med mera. Planering av IP-adresser o Bra planering av IP-adresser kan betala sig i längden. Om det tillkommer nya anslutningar och/eller funktioner är det bra med en väldefinierad IP-plan som ger utrymme för expansion. Segmentering av nätet Servicenät o Uppdelningen av nätet har betydelse för tillgång till tjänster för vissa gruppers funktioner. Det kan till exempel. vara lämpligt att ha alla interna servrar på ett separat nät för att lättare styra accessen till maskinerna. o Servicenät kan vara av vikt för trafik som kan ta upp mycket bandbredd, till exempel säkerhetskopiering, filkopiering, synkronisering, övervakningstrafik med mera. Säkerhetskopiering Hur skall en tillfredställande lösning av säkerhetskopiering se ut, skall maskiner säkerhetskopieras lokalt eller via nätverk. Tidssynkronisering av servrar o Det är av stor vikt att all servrar har samma tidssynkronisering. Vid felsökning är det centralt att kunna jämföra tiden för olika händelser. Säkerhetszoner - DMZ (Demilitarized Zone) o Klassificera säkerhetszoner för att få likvärdiga tjänster på samma nät. Det innefattar även likvärdig trafik på samma nät, till exempel om några tjänster endast skall nås från det interna nätet finns det ingen anledning att husera en tjänst som skall nås från Internet på samma DMZ. o Säkerhetszoner kan klassificeras enligt följande: Säker zon (internt nät)

Trafik får endast startas inifrån. Skyddad zon (DMZ) Trafik kan tillåtas in från Internet och det interna nätet. Osäker zon (Internet) Val av plattform och supportavtal All trafik är tillåten i alla riktningar. o Försök att minimera antalet olika plattformar för att få en så homogen miljö som möjligt. Det underlättar för hanteringen av systemuppdateringar, uppgraderingar, kunskapsbehovet med mera o För supportavtal är det viktigt att bestämma nivån på service och support. Det är en stor fördel om ett avtal ger så kallad på platsen garanti, vilket innebär att leverantören kommer till organisationen och byter ut felaktiga produkter. Saknas detta är organisationen tvungen att skicka in felaktiga produkter. o Välja de plattformar som det finns kompetens på. Om organisationen väljer andra plattformar innebär det att personalen måste utbildas och startsträckan till kunskap om systemen är längre. Detta kan leda till att säkerheten blir bristfällig på grund av bristande kunskap.

Bilden nedan visar ett nät som är tänkt som en referens till dokumentet: Internet Internet Router Externt nät Brandvägg DMZ / Service nät Brandvägg Brandvägg Brandvägg IDS DNS SMTP www NTP Internt nät PC DHCP Mail DNS NTP * ) Saxarna representerar att kablarna är klippta, d v s trafiken är enkelriktad och ingen kommunikation utåt är möjlig. Ett säkerhetskoncept är att stänga av all trafik för att sedan öppna för den trafik som verkligen behövs. Ytterligare funktioner som kan läggas till i nätet: Applikationsproxy för att kontrollera trafik i båda riktningarna o Läser av och sanitetskontrollerar trafik på nivå 7 i OSI-modellen o Kan stoppa trafik mot otillåtna webbplatser o Kontrollerar att trafiken är vad den utger sig att vara, till exempel kontrollera att trafik på port 80 (HTTP) verkligen är legitim HTTP och inte en maskerad attack som använder sig av samma port Trafikinspelning för att se hela förloppet i kommunikationen samt för att kunna återskapa scenarion. o För att kunna se tillbaka på vad som hänt i tidigare skeden är trafikinspelning ovärderligt. I sådana fall kan organisationen följa hela förlopp och på så sätt få en klar bild av det som skett.

Risker Det är bra att ha gjort en hot/sårbarhetsanalys innan en organisation planerar sitt nät. Ett litet företag har troligen en helt annan hotbild och löper en mindre risk att bli attackerat än ett globalt världskänt företag med tusentals anställda. Saker att ha med i planeringen är att utgå ifrån att organisationen kommer att utsättas för attacker, till och med intrång. Då är det bra att tidigare ha kalkylerat med vissa scenarion som kan komma på tal. Nedan beskrivs ett antal risker med frågeställningar: Vilka öppningar finns det ut mot Internet, finns det flera öppningar in eller ut? Finns det till exempel ett modem som sitter direkt på en maskin som någon kan ringa till från ett externt numer som då passerar på sidan av brandväggen (vilket leder angriparen direkt till maskinen)? Finns det labbnät som kan nås från Internet? Ett vanligt scenario är att labbnät inte är tillräckligt säkra på grund av att det skall vara enkelt att testa och komma åt (som dessutom brukar innehålla mycket funktionalitet). Finns det VPN-nät mellan kontor eller kan användare koppla upp sig från Internet med VPN-klienter? Risken med VPN-klienter är att om någon angripare kan ta sig in i maskinen finns det redan en etablerad legitim förbindelse till organisationen som kan utnyttjas. Hur bör en policy se ut för användare som kopplar upp sig mot organisationens nät: o Skall det finnas lokal brandvägg på maskinen? o Skall trafik tillåtas utanför VPN-sessionen? Ska det till exempel gå att surfa på Internet samtidigt? o Skall inkommande trafik mot maskinen stoppas? Internetleverantörens säkerhet på hårdvara, vilka rättigheter samt skyldigheter finns? Kontrollera med Internetleverantören (ISP) vilka säkerhetskrav som finns på deras hårdvara, vanligtvis en router eller en switch som är inkopplad till organisationens nät. Vilka skyldigheter har ISP:n gentemot organisationen?

o Kan/ska ISP:n stoppa eventuella blockeringsattacker (DoS) mot organisationen genom att stoppa trafiken tidigare i kommunikationskedjan? o Kan/ska ISP:n sätta upp trafikfilter för att stoppa oönskad trafik till organisationens nät? o Kan organisationen beställa ytterligare tjänster av sin ISP som ökar säkerheten? Har maskinerna lokala brandväggar som skyddar dem sinsemellan mot trafik som inte är legitim? Det är viktigt att blockera trafik som inte behövs mellan servrar även om maskinerna är placerade på samma segment på insidan eller i ett DMZ. I andra fall kan en angripare obehindrat komma åt maskiner via olika protokoll som tillåts på insidan eller exploatera sårbarheter som är öppna mellan maskiner. Minimera åtkomst/spridning med separata lösenord för varje server på nätet. Om en angripare lyckats ta över en maskin, hur kan organisationen skydda sig från att angriparen kommer åt fler maskiner på samma nät? Ett ganska vanligt förekommande problem är att alla servrar har samma lösenord för superanvändaren: root eller administrator. Har någon lyckats komma in i en maskin med ett superanvändarlösenord kan angriparen komma åt alla maskiner som har samma lösenord. Tillåt endast nödvändig trafik i utgående riktning. Det är vanligt att brandväggar är konfigurerade enligt principen: endast nödvändig trafik tillåts i inkommande riktning. All trafik tillåts i utgående riktning. Detta kan ställa till problem om någon maskin på det interna nätet har blivit drabbad av till exempel skadlig kod som sprider sig genom att koppla upp sig mot Internet via en IRC kanal på en hög port d v s en port mellan 1024 65535 Om organisationen endast tillåter de portar som verkligen behövs minimeras riskerna för liknande scenarion. Detta adderar ytterligare en funktion till säkerheten genom att det genereras loggning på brandväggen, som i sin tur kan upptäcka en eventuellt infekterad maskin som försöker koppla upp sig mot Internet via en otillåten port.

De portar som vanligtvis behövs vara öppna i en brandvägg för att en organisation skall kunna sköta sina dagliga sysslor är: För inkommande trafik (till DMZ) o 25 TCP - SMTP för e-post o 53 UDP DNS för namnuppslagning från Internet (om organisationen har en egen DNS) o 80 TCP - HTTP för webbtrafik o 443 TCP - HTTPS (SSL) för krypterad webbtrafik om det finns en sådan tjänst. För utgående trafik: Genomförande o 21 TCP - FTP för filöverföring o 25 TCP - SMTP e-post o 53 UDP - DNS för namnuppslagningar mot Internet o 80 TCP - HTTP för webbtrafik o 443 TCP - HTTPS (SSL) för krypterad webbtrafik En av de viktigare delarna i uppförandet av ett nätverk är själva planeringen, där den stora delen av arbetet genomförs. Det är bra att dela upp planeringen i flera steg för att få en bra överblick av vilka produkter och tjänster som behövs. Planeringens olika steg: Steg 1. Definiera vilka tjänster som behövs i nätverket, analysera tjänsternas tillgänglighetskrav samt dela upp dem i interna respektive externa funktioner. Interna tjänster: o E-postserver med till exempel. en IMAP-server o DNS-server för namnuppslagning o Ekonomisystem o Skrivare o Filserver

Externa tjänster: o Webbserver o SMTP-server o DNS-server Säkerhetsprodukter: o Brandvägg o Intrångs Detekterings System (IDS) o Antivirussystem (SMTP, FTP, HTTP) Steg 2 Analysera nätverkstjänsternas tillgänglighetskrav Se över vilken tillgänglighet som krävs. Vilka tjänster kan vara otillgängliga en viss tid? Vilka tjänster måste vara tillgängliga 24 timmar om dygnet? Klassificera dessa inom områden och zoner som är passande. Steg 3. Definiera förhållanden mellan maskiner som måste nå varandra Undersöka vilka maskiner som måste kommunicera med varandra, både på det interna nätet samt genom brandväggen, till exempel e-postserver som skall skicka e-post via en SMTP-relay som är placerad på ett DMZ. Steg 4. Definiera säkerhetszoner och placera ut tjänsterna i respektive zon Fundera över vilka som skall kunna nå en tjänst samt vilken typ av access som skall ges till olika maskiner. En tumregel organisationen kan rätta sig efter är att placera maskiner som har liknande funktionalitet på samma segment. Externt nät: (Internet) Skall nås från Internet och det interna nätet. DMZ servicenät: o Osäker zon o Tjänster = allt som finns på Internet (inga egna) Skall nås från Internet och det interna nätet o Skyddad zon skyddad från Internet samt det interna nätet o Tjänster = WWW, SMTP, DNS, NTP, virustvätt, proxy

Internt nät: Skall endast nås från det interna nätet o Säker zon o Tjänster = ekonomisystem, skrivare, filserver mm (intranät) Steg 5. Säkra nätet inifrån En organisation bör inte helt förlita sig på perimeter skydd som brandväggar, proxyservrvar och antivirusservrar. Skadlig kod kan spridas inifrån via bärbara datorer eller medhavt media. Säkra upp varje maskin för sig. Stäng av tjänster som inte behövs, lägg på de senaste systemuppdateringarna, installera en lokal brandvägg som endast tillåter access till de tjänster som är godkända samt från de maskiner som behöver komma åt tjänsterna. Installera lokalt virusskydd i fall att skadlig kod kommer in på det interna nätet. Steg 6. Dokumentera Det är av stor vikt att dokumentera installationer, konfigurationer, IPadresser, maskinnamn, placering samt det virtuella nätet. Att märka upp kablar, maskiner med namn och eventuellt IP-adresser är också en bra metod för att minska tiden för felsökning. Ett bra knep är att använda sig av olika färger på kablage som tydligt visar om det till exempel är en extern anslutning eller en intern anslutning. Steg 7. Säkerhetstesta nätet Låt en utomstående part säkerhetstesta nätet för att få ett utlåtande. Penetrationstester bör göras med jämna mellanrum för att se om det har skett förändringar i konfigurationer eller om nya säkerhetsbrister har upptäckts. Det dyker hela tiden upp nya företeelser i form av tekniker för att bryta sig in samt säkerhetshål som tidigare inte har hittats i produkterna. Funktioner För att ytterligare utöka säkerhetskontrollen finns det några saker att tänka på när det gäller vissa tjänster och protokoll. DNS: För att få större kontroll över trafiken kan organisationen sätta upp en intern DNS som alla interna klienter använder. Den interna DNS:en tillåtas endast att kommunicera med DNS-servern på det egna DMZ-

nätet. På detta sätt får organisationen ett 1 till 1 förhållande mellan DNS:erna. SMTP: NTP: IDS: Liknande DNS kommunikationen kan organisationen sätta upp den interna mailservern att endast skicka e-post till en SMTP-server på DMZ som i sin tur skickar vidare e-posten till SMTP-servern på mottagarsidan. Inkommande SMTP-trafik är endast tillåten till SMTP-servern på DMZ som i sin tur endast kan skicka till den interna e-postservern. Installera en intern NTP-server som synkroniserar tiden mot en NTPserver på ett DMZ-nät som i sin tur synkroniserar mot en server på Internet. Ännu bättre är att organisationen har en egen klocka att synkronisera sin NTP-server mot, till exempel ett GPS-ur som agerar tidsserver. Installera ett IDS-system som endast lyssnar på trafik, det vill säga, som inte kan skicka ut data. Detta kan göras genom att blockera de sändande stiften i kablarna, det finns produkter som gör detta, annars går det att ta bort de sändande stiften i kablarna. Det lyssnande nätverkskortet bör inte ha en IP-adress. BRANDVÄGG: Konfigurera brandväggen att inte avslöja sig själv samt dess nät på insidan och DMZ. Släppa inte ut onödig trafik och svara inte på viss typ av trafik. o Kasta alla otillåtna paket, skicka inte svar som talar om att paketet inte är tillåtet. o Svara inte på eller släpp inte igenom ICMP. ICMP protokollet kan avslöja mycket av den interna strukturen som: Nätmask Topologi Vilka portar som är öppna utan motsvarande tjänster Vilka portar som är skyddade av brandväggen Vilka maskiner som finns på insidan

Det finns ytterligare ett flertal ICMP - meddelanden som kan avslöja andra delar av nätet. Organisatoriska aspekter En stabil policy som hanterar åtkomst, ansvar, skyldigheter samt rättigheter och regler är den viktigaste grundstenen inom organisationen när det gäller skapa ett stabilt nätverk. Att hitta en bra balans mellan säkerhet och funktionalitet är av stor vikt. Om säkerhetsaspekten tar överhanden riskerar organisationen av användarna blir irriterade över att det är för stelbent, vilket kan leda till missnöje, frustration och interna angrep. Vilka delar inom organisationen som blir påverkade av ett instabilt nätverk är aspekter som bör beaktas. Skadlig kod samt bandbreddsproblem kan leda till att organisationen har svårt att utföra dagliga sysslor, säkerhetskopiering som inte kan utföras med mera. Ansvarsområden för olika delar av nätverket bör definieras samt ett forum där alla sektorer deltar för att få en god överblick. Det är viktigt att definiera hela kedjan vid en situation som kan kräva eskalering av ett problem där ansvaret bör vara självklart. Organisationen bör ha metoder för att hålla en uppdaterad dokumentation av alla delar i nätet. Ansvar för nät, eskalering, dokumentation och förvaltning av nätet skall definieras, det är av stor vikt vid en eventuell kritisk situation. Organisationen minimerar tiden för att ta reda på vem/vilka som ansvarar för vissa delar samt var personalen kan finna information om dessa. Tillvägagångssätt för att skapa och implementera en policy och rutiner: Definiera en policy som är granskad och godkänd i hela organisationen, dvs att även ledningsgruppen är insatt och medveten om policyn. Definiera ansvarsområden samt ansvariga. Definiera en eskaleringsrutin. Skapa en dynamisk dokumentation som är indelad i klasser (vissa personer får endast se vissa delar, andra personer kan se allt). Definiera rutiner för underhåll och förvaltning av nätet. Det kan innebära att skapa servicefönster för periodiska underhåll samt rutiner för systemuppdateringar och uppgraderingar av mjuk- och hårdvara.

Definiera en handlingsplan för att hantera eventuella scenarion som kan uppstå. Framtida utvecklingsmöjligheter Den stora framtidsvisionen är utvecklingen av IP Version 6 (IPV6) som kommer att ta över IPV4 som är det allenarådande protokollet idag. IPV6 kommer att komma in i nätverken inom en snar framtid. Det är lämpligt att förbereda sig genom att utbilda personal och bygga upp testmiljöer. Nya produkter och tjänster med dynamiskt funktionalitet som kräver mindre administration. Se över hur organisationen skall hantera trådlösa nät som i framtiden kommer att utgöra en allt större del av nätverket. Troligen kommer det att tillkomma ett antal aspekter gällande trådlös kommunikation. Det gäller att ta in dessa redan i planeringsfasen för att utröna om/hur trådlös kommunikation kommer att påverka nätstrukturen. IP-telefoni kommer även att komma in mer och mer i organisationer, vilket kommer att innebära en del hänsynstaganden till hur organisationen klassificerar trafiken i nätverket. Förklaringar DMZ: LAN: DNS: SMTP: IDS: NTP: VPN: OSI: (Demilitarized Zone) i detta fall ett nät som sitter mellan det interna och det externa nätet på brandväggen. Det är skyddat av brandväggen mot det externa och det interna nätet. (Local Area Network) Det interna lokala nätet. (Domain Name Server) Namnserver (eng. Simple Mail Transfer Protocol) E-postserver som skickar e-post. (Intrusion Detection System) Intrångsdetekteringssystem (Network Time Protocol) Tidssynkroniseringsprotokoll (Virtual Private Network) Standard för krypterad förbindelse över nätverk (vanligtvis Internet). (Open System Interconnection/Reference model) En standard för kommunikationslager.

IMAP: GPS: proxy: SMTP-relay: antivirustvätt: (Internet Message Access Protocol) Protokoll för att läsa e-post. (Global Positioning System) Standard för synkronisering. En funktion som tar över klientens förfrågning och hanterar trafiken mellan klient och server. En e-postserver som endast vidarebefordrar e-post. En funktion som granskar inkommande trafik efter skadlig kod och stoppar den. Referenser Ingår ej. Bilagor Ingår ej. Versionshistorik 1 040820 - Dokumentet skapat.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss