• početna
• mrežna rešenja
• intel
• crestron
• podrška i servis
• o nama

Mrežna rešenja

Gotova rešenja

Sigurnost mreža

Sistem inženjeri Bit-a 011 pridaju veliku važnost sigurnosnti mreža. Dobar security ne podrazumeva samo primenu najnovijih sigurnosnih zakrpa i update-ovanje serverskog softvera; pri projektovanju svakog mrežnog rešenja potrebno je voditi računa i o arhitekturi LAN-a a posebno o smanjivanju rizika hakerskih upada spolja. To podrazumeva uvođenje posebnih mera kada su u pitanju uređaji koji su vidljivi spolja, sa interneta.

Zaštita router-a

Ruteri kontrolišu pristup LAN-a prema internetu i samim tim su prva meta hakera. Jedna od uloga rutera je da vrši advertising svih mreža povezanih na njega što znači da probojem rutera haker može da sazna mnogo o samoj strukturi LAN-a i na taj način izvrši i dalju penetraciju ka serverima, radnim stanicama i ostalim mrežnim uređajima. Sigurnost rutera predstavlja kritični element zaštite svake mreže. Osnovne tehnike zaštite rutera su:

• zabrana pristupa telnet protokolom na ruter - uvek treba koristiti kriptovan protokole za pristup, napr. ssh
• isključivanje SMTP protokola na ruteru
• isključivanje svih nepotrebnih servisa na ruteru - routing protokola koji se ne koriste, web pristupa i sl.
• kontrola pristupa ruteru - korišćenjem ACL lista ili TACACS-a
• pristup ruteru sa odgovarajućim stepenom privilegija - ukoliko nije neophodan pristup u administratorskom modu, recimo u slučaju testiranja konekcije, uređaju treba pristupati kao korisnik sa ograničenim privilegijama
• autentifikacija i provera update-ova

Zaštita switch-eva

I kod switch-eva (i layer 2 i layer 3), slično kao kod rutera, treba uvesti dodatne mere zaštite. Switch-evi se obično podešavaju tako da radi segmentaciju saobraćaju na layer-u 2 korišćenjem VLAN-ova. Većina postupaka koji su se odnosili na zaštitu rutera odnose se i na zaštitu switch-eva, a osim toga standardno se preduzimaju i dodatne mere zaštite:

• deaktiviranje svih neupotebljenih portova na switch-u - ovo sprečava hakere da se priključe na nekorišćene portove/mrežne utičnice i tako ostvare komunikaciju sa ostatkom mreže
• portove koji ne rade u trunking modu treba eksplicitno setovati tako da ne koriste trunking (ne ostavljati na auto) - ovim se sprečava da neki od hostova iskoristi trunking i prima mrežni saobraćaj koji njemu nije namenjen
• portovi koji rade trunking treba da budu u posebnim VLAN-ovima - posebno treba voditi računa da trunking portovi ne ostani u default-nom VLAN-u
• limitiranje pristupa portovima switch-a po MAC adresama (max 2-3 MAC adrese) - čime se sprečava MAC flooding i ostali tipovi napada iznutra
• pažljivo dizajniranje i implementacija VLAN-ova - LAN podeljen na VLAN-ove i u sadejstvu sa firewall-om daje in-depth sigurnost
• korišćenje autentifikacionih mehanizama ukoliko to switch-evi podržavaju - uz pomoć 802.11 standardna i Radius servera

Zaštita mreže korišćenjem firewall-a

Firewall je uređaj koji vrši filtriranje mrežnog saobraćaja ka/od interneta, mada se u nekim slučajevima koristi i unutar samog LAN-a za obezbeđivanje servera sa posebno osetljivim podacima (database server, aplikativni server i sl.). U principu svaka lokalna računarska mreža sa izlazom na internet, bez obzira koje veličine i stepena složenosti, mora da poseduje firewall. Firewall je kritična komponenta mrežne sigurnosti - dobro podešen firewall u ogromnoj meri smanjuje rizike upada u mrežu kao i mogućnost zaraze radnih stanica malicioznim programima (virusi, trojanci i sl.). Još jedna bitna osobina firewall-a je mogućnost ograničavanja protoka (peer-to-peer, http, ftp i sl.). Po default-u firewall se setuje sa izuetno striktnim pravilima filtriranja, što znači da se sav saobraćaj zabranjuje, a onda se po potrebi otvaraju određeni portovi pojedinim računarima ili grupi računara u LAN-u.

Zaštita mreže uvođenjem demilitarizovane zone (DMZ)

Radi dizanja sigurnosti lokalne mreže uveden je koncept demilitarizovane zone (DMZ). DMZ je poseban mrežni segment gde se nalaze tzv. bastion hostovi tj. računari koji su vidljivi sa interneta i kojima se stoga ne može bezrezervno verovati - ma koliko mala bila uvek postoji verovatnoća da je na neki od ovih servera izvršen hakerski upad. Bastion hostovi su najčešće serveri - mail server, web server, proxy server i sl.

Lajt motiv uvođenja DMZ-a je - mora postojati barijera kojom se ostatak računara u LAN-u štiti i od samih bastion hostova. Treba strogo na firewall-u definisati saobraćaj ka/od radnih stanica ka internetu, ka/od interneta do bastion hostova i ka/od radnih stanica u LAN-u ka bastion hostovima. Postoji nekoliko načina za uvođenje DMZ-a:

DMZ sa jednim firewall-om koji poseduje tri mrežna interfejsa

Ovakav način uspostavljanja DMZ-a ima prednost cene - koristi se samo jedan firewall. Nedostatak je očigledan - ukoliko haker kompromituje firewall na dlanu su mu i serveri u DMZ-u kao i računari i serveri u LAN-u.

DMZ sa dva firewall-a

Konfiguracija DMZ-a sa dva firewall-a predstavlja mnogo sigurnije rešenje - ukoliko padne prvi firewall potencijalni napadač mora da savlada i sledeći firewall da bi uspeo da prodre u LAN gde se nalaze najosetljiviji i najkritičniji podaci koje treba zaštititi. To iziskuje dodatni napor i vreme napadaču i daje određenu prednost administratorima mreža koji imaju dovoljno vremena da reaguju, otklone probleme i eliminišu uljeza. Preporučljivo je da se za firewall-ove biraju 2 različita proizvoda da se ne bi desilo da zbog nekog sigurnosnog propusta oba budu kompromitovana u isto vreme. Nedostatak ove konfiguracije je cena i razmerno uvećano vreme konfigurisanja i održavanja.