Hoe een netwerk te beveiligen TOPIC!

Verwijderd schreef op 30 september 2004 @ 13:03:
Hoe kun je nou het beste een netwerk beveiligen, wat zijn de risico's en wat doe je ertegen! Beveiliging is een gevoelig onderwerp voor systeembeheerders, daarom hier alles over beveiligen.

De volgende onderwerpen komen aan bod:

- Firewall

hier staat het gehele netwerk achter een Netscreen 5XP welke met policy's is dicht getimmert

- Anti-virus

Network Associates Mcafee Total Virus defense.

Virusscan enterprise 7.10 voor workstations en servers
Groupshield voor exchange
netshield voor NT4.0 servers.

Dit alles wordt beheert/geinstalleerd en geconfigureert door Epolicy Orchestrator van Mcafee

- Rechten

inderdaad overal rechten op

- Back-up

dag backups en week backups
de week backups gaan 's maandags naar de bank

- Diefstal

Op de laptops staat win2k met NTFS. Als een laptop is gestolen, aangifte doen, en evt. inbel accounts blokkeren/ ww wijzigen.

Om te voorkomen dat laptops gestolen worden hebben wij kensingston kabels, en hebben de gebruikers een gebruikers overeenkomst getekend.

POST hier al je ervaringen, en wat je er tegen doet! Wat is de beste software? Noem maar op!

PS: Al je andere mededelingen zijn ook welkom!

De beste manier om een netwerk te beveiligen is door gebruikers zo weinig mogelijk rechten te geven en daar geldt hoe minder hoe beter.

1. Draai alle niet standaard applicaties op terminal servers en gooi op het lokale ws ALLES dicht, dus inc. cd-rom, floppy, usb poorten, bios voor boot order, etc, etc. Nog mooier is om thin clients te gebruiken (op basis van CE of linux o.i.d.).
Dit zorgt er ook voor dat je geen lokale data opslag hebt en dus ook geen probleem met diefstal e.d. Backup is dan ook zeer eenvoudig.

2. Vereis authenticatie voor AL je netwerkservices, dus ook voor internettoegang e.d. Meer internettoegang dan een http proxy heb je trouwens niet nodig voor 99% van de gebruikers. Sta geen internettoegang buiten je proxy om toe. Internet toegang via een proxy in je dmz, liefst met twee verschillende merken firewalls. De SMTP met virusscanner en spamfilter liever ook in de DMZ. En natuurlijk, beide apparaten in de DMZ liever niet op MS software, maar hardware boxen als een netcache o.i.d.

3. Sta bij voorkeur geen laptops toe. Toegang tot het bedrijfsnetwerk kan wellicht via Citrix of via Webmail. Logon van buitenaf met iets als een RSA calculator en niet o.b.v. wachtwoord.

4. Als laptops echt noodzakelijk zijn, dan zal de harddisk geencrypt moeten zijn en moeten deze net zo goed dichtgespijkerd worden als de desktops. Admin rechten zijn uit den boze en ook niet noodzakelijk.

5. Al het bovenstaande geldt OOK VOOR BEHEERDERS! Alleen voor beheerswerkzaamheden is admin toegestaan, niet voor e-mail en niet voor internetten.

6. Palms en CE dingetjes bevatten vaak veel belangrijke data. Laat mensen maar met de hand hun afspraken dubbel invoeren en sta geen synchronisatie toe. Voor je het weet staan al je documenten op zo'n CE dingetje en laat iemand dat ding in een taxi of op het vliegveld liggen.

Firewall
Houd de nasty dingen buiten. Denk er wel aan dat wat jij als intern beschouwd in feite net zo evil moet zin als de buitenwereld. De meeste aanvallen komen meestal vanuit intern en als jij besmet bent er b.v. spam verzonden kan worden via jouw systemen. Hierdoor kom jij op die blacklists met alle gevolgen van dien. Gebruik een content based firewall. En scan bij de firewall al op virussen.

Anti-Virus
Draai dit op de server EN de clients. Voornamelijk die EN is belangrijk. Viruscanner op clients kunnen en worden uitgezet. Dit kan doelbewust gebeuren door de gebruiker of door programma's. Draai daarom ook op de servers virusscanners.

Rechten (ACLS)
Stel altijd een rechtenplan op. Analyseer het bedrijf in rollen. Wanneer mogelijk, fysieke scheiding tussen zaken.

Rechten (WET)
Hou rekening met de WBP. Veel zaken mogen niet zomaar en win advies in bij de bedrijfjuristen. Ook voor sommige informatie moeten speciale opslag methoden worden gebruikt.

Backup.
Gebruik niet alleen een backup procedure, maar controleer backups eens in de zoveel tijd eens. Kijk eens of je wel een systeem kan herstellen met een backup.

Diefstal.
Wat wij veel doen is de kabel van de muis en toetsenbord door de kast heen halen zodat die niet meteen mee te nemen zijn. De kast zelf heeft zo'n "security torx" erin zitten. Verder kitten we kasten meestal dicht (kost niet zoveel en als een kast toch naar de reprateur moet: stanlymes, zo weer schoon).

IDS
Intusion Detection systems. Is mannier om te kijken of er ingebroken wordt en zo ja waarvandaan en gooien dat dicht.

Software IDS
Programma's zoals Snort, de ids van isa server 2004, Eeye tool voor IIS, etc.
Houw je regels up to date en pas ze ook aan op jouw situatie.
Maak dummy records aan en zet daar triggers op.
v.b. voor CC gegevens:
een kaart in de database zetten met nummer 9223.2311.2344.2323
Dt nummer is niet mogelijk met een credit card. Als dit nummer over de lijn gaat:waarschuwing.

Ook zaken als honeypots, darknets zijn ideal om dit soort problemen op te spotten.
Honneypots.
Honnypots zijn computers die je neerzet als lokaas. Deze machines zijn minder sterk beveiligd. Doordat deze machines aangevallen worden en/of besmet worden kan je zien hoe mensen bij jouw in het bedrijf inbreken.

Darknets
Darknets zijn stukken netwerk die normaal duister (niet gebruikt) moeten zijn. Als er op zo een netwerk verkeer is heb je bijna zeker met niet daar horend verkeer te maken. Hiermee kan je zeer vroeg wormen detecteren en inbrekertools. Darknets hebben ook de nuttige eigenschap dat ze configuratiefouten aan het licht brengen.

Belangrijke zaken
Security is een configuratie niet een product wat je koopt
2 veilige systemen kunnen smane een onveilige situatie geven
Veiligheid is niet constant, controleer het eens in de tijd.
Een NAT alleen is niet echt een complete firewall.
Nat zorcht er ook voor dat je logs de nat router geven, gebruik liever intern open routering.
Open routering is even veilig als nat als je de routers maar goed dicht zet.
Default denied en dan zeggen wat wel mag.
VERGEET JE ROUTERS NIET !!! geen default passwoorden daar, en update die dingen soms.
Bescherm routers tegen arp poisening.
Vand goed naar minder: Phisiek gescheiden, Virtueel gescheiden, Door firewall gescheiden, niet gescheiden.
Behandel WLAN als het internet

Verwijderd schreef op 30 september 2004 @ 13:03:
Hoe kun je nou het beste een netwerk beveiligen, wat zijn de risico's en wat doe je ertegen! Beveiliging is een gevoelig onderwerp voor systeembeheerders, daarom hier alles over beveiligen.

De volgende onderwerpen komen aan bod:

- Firewall

Dedicated firewall/nat server onder Windows 2003 met Checkpoint software erop. 3 zones, red(extern), orange(webservers) en green(fileservers + clients).

- Anti-virus

McAffee Virusscan 7 en 8 op alle clients en servers beheerd via ProtectPilot voor centraal updaten enzo(opvolger ePolicy)

- Rechten

Rechten die ze nodig hebben hebben ze, ook lokaal admin ivm software installeren (Oracle software)

- Back-up

Dagelijks een full backup van de fileserver, mailserver, en de systemstates van alle servers + exports van alle databases, op 2 tapes dagelijks, tapes vrijdag liggen in een kluis bij de bank.

- Diefstal

Direct wachtwoord wijzigen op de servers etc, gelukkig nog niet meegemaakt. Laptops hebben alleen NTFS beveiliging, maar geen gevoelige informatie.

WLAN, 128bits encryptie en MAC filtering.

[ Voor 6% gewijzigd door FastBunny op 30-09-2004 13:38 ]

Verwijderd schreef op 30 september 2004 @ 13:03:
Hoe kun je nou het beste een netwerk beveiligen, wat zijn de risico's en wat doe je ertegen! Beveiliging is een gevoelig onderwerp voor systeembeheerders, daarom hier alles over beveiligen.

De volgende onderwerpen komen aan bod:

- Firewall

Windows 2003 Standard met ISA server 2004 standard
Macafee netschield
IDS met verschillende eigen filters erbij.

- Anti-virus

Macafee professional

- Rechten

Op rollen gebaseert die geimplementeerd zijn als groepen.

- Back-up

dubbele Weekelijkse totaalkopie. Een in kluis ander naar bank.
dubbele Dagelijkse bijwerking. Een in kluis ander naar bank.

- Diefstal

Kabels voor de laptops en de werkPC's
Kit en scpeciale schroeven voor de kast.
Gecodeerde laptopschijven

Wat voor routers en switches heb je staan? ACL's zijn erg leuk om bepaalde netwerksecties lekker af te grendelen voor onbevoegden.

security is ook altijd een afweging tussen veiligheid en functionaliteit.

Het veiligste is om mensen een klad blok te geven, en geen computer

zie het als de vraag, hoe voorkom je verkeer slachtoffers

idd, door niet in de auto te stappen.

Je kunt wel heel veel dingen makkelijk voorkomen!

met hoeveel gebruikers moet je rekening houden? Dit is ook een punt wat zwaar meeweegt.

Sorry hoor, maar haal je de punt en het uitroepteken niet door elkaar

De beste mannier om een netwerk te beveiligen: gebruik een protocol waar niemand ooit van gehoord heeft(Wat men niet kent kan men niet kraken.), verstuur alle gegevens gecodeerd, en gebruik GEEN wireless networking.

Sorry dat ik het misschien bot zeg, maar jouw manier van 'discussievoeren' bevalt me niet.

Je profileert dit topic als discussietopic, maar intussen reply je tot viermaal toe dat alles toegepast moet worden op jouw situatie. Je wilt dus volgens mij gewoon van andere mensen horen wat jij moet doen qua beveiliging. En dát is juist wat we hier niet willen zien. Je toont geen eigen initiatief en vooronderzoek heb ik ook al niet gezien.

Discussie hierover is prima, maar niet op de manier waarop jij dat doet en met het motief dat je naar mijn mening hebt. Helaas.