Tom - PowerPoint PPT Presentation

About This Presentation
Title:

Tom

Description:

Bezpe nost v praxi implementace v s ti WAN ZSVM Tom Kant rek tomas.kanturek_at_anect.com 4. dubna 2005 Agenda P edstaven Profil z kazn ka Po adavky na ... – PowerPoint PPT presentation

Number of Views:73
Avg rating:3.0/5.0
Slides: 23
Provided by: Tom298
Category:
Tags: netbackup | tom

less

Transcript and Presenter's Notes

Title: Tom


1
Bezpecnost v praxi implementace v síti WAN
ÚZSVM
  • Tomáš Kanturek

tomas.kanturek_at_anect.com
4. dubna 2005
2
Agenda
  • Predstavení
  • Profil zákazníka
  • Požadavky na sít WAN
  • Celková koncepce rešení
  • Popis jednotlivých cástí rešení
  • Bezpecnost jako souhrn všech komponent
  • Záver

3
Profil zákazníka
  • Úrad pro zastupování státu ve vecech majetkových
  • Ústredí v Praze 200 klientských stanic
  • 7 Územních pracovišt každé 50 až 100
    klientských stanic
  • 74 Odloucených pracovišt každé cca 25
    klientských stanic
  • Duvody pro implementaci WAN
  • Ruzné systémy a aplikace na jednotlivých
    pracovištích
  • Neefektivní komunikace mezi jednotlivými
    lokalitami
  • Potreba sjednocení systémového a aplikacního
    prostredí
  • Potreba centralizace aplikací

4
Požadavky na sít WAN
  • Vytvorení bezpecné síte WAN
  • Sjednocení serverových operacních systému
  • Jednotná správa úctu a skupin
  • Služby elektronické pošty pro všechny uživatele
  • Zabezpecený prístup k Internetu
  • Komplexní antivirová ochrana (AVO)
  • Jednotný systém zálohování
  • Migrace stávajících aplikací do nového prostredí

5
Celková koncepce rešení
  • Firewall DMZ (Checkpoint)
  • Centrální doména Windows 2003 Active Directory
  • Jednotná pošta Exchange 2003
  • Pokrytí antivirem na všech úrovních (Symantec)
  • Patch management (SMS 2003)
  • Komplexní zálohování (Veritas)
  • Redesign LAN (prepínaná sít 100 Mbit)
  • Kompletní migrace a restruktualizace puvodních
    sítí

6
Definice bezpecnosti
  • Technický pohled
  • produkty
  • konfigurace
  • Organizacní pohled
  • bezpecnostní politiky
  • Personální pohled
  • proškolení administrátoru i uživatelu
  • Bezpecnost nemuže príliš omezovat práci
    uživatelu, nebot sama o sobe neslouží k práci.

7
Technický pohled
  • Firewall
  • Prístup k Internetu (proxy, poštovní brána)
  • Antivirová ochrana
  • Ochrana dat
  • zálohování
  • stabilní hardware (RAID-1, 5)
  • Metodiky AAA (autentizace, autorizace,
    auditování)

8
Organizacní pohled
  • Provozní rád WAN
  • politika zmeny hesel
  • zamykání stanic
  • chování uživatelu
  • Zálohovací politika
  • Antivirová politika
  • Definice rolí správcu
  • Stále se opakující proces, který se postupne
    mení a zlepšuje.

9
Personální pohled
  • Školení správcu
  • Školení uživatelu
  • Omezení rizik
  • technicky automatizace úloh
  • organizacne smernice, narízení
  • Nejrizikovejší oblast zabezpecení.

10
Komunikacní infrastruktura
  • Využita infrastruktura Ceského Telecomu
  • technologie IP VPN (BGP/MPLS)
  • Centralizovaný prístup k Internetu
  • prípojný bod v Ústredí ÚZSVM
  • Rekonfigurace lokálních sítí
  • vybudování LAN pomocí Cisco prepínacu

11
Operacní systémy
  • Windows server 2003
  • SecurePlatform, RedHat LINUX
  • Dokumentace zabezpecení
  • Metodiky dohledu, správy a aktualizací
  • Žádný OS není bezpecný ani nebezpecný, záleží
    na tom, kdo jej instaluje a spravuje.

12
Doména Active Directory Win 2003
  • Autentizace, adresárové služby
  • Single sign-on (jednotné prihlášení)
  • Využití dalšími službami a aplikacemi
  • Skupinové politiky
  • MSIE a jeho bezpecnost
  • vzhled desktopu
  • platnost a délka hesel
  • logování...

13
Elektronická pošta
  • MS Exchange 2003
  • Klienti MS Outlook
  • Verejné složky použity pro ukládání reportu a
    varovných hlášení (souhrny Event logu, AVO,
    zálohování)
  • Metody ochrany
  • anti-relay (poštovní AVO brána, zákaz relay)
  • proti hromadným útokum (omezení poctu adresátu,
    velikosti zpráv)

14
Firewall
  • Check Point Firewall-1
  • Jeden firewall cluster chrání celou sít
  • Firewall-1 zapojený v režimu vysoké dostupnosti.
  • Filtrování WWW provozu
  • SecureClient centrálne rízený personální
    firewall
  • použití SCV OS monitor a Process monitor
  • packaging Tool
  • Alerty

15
Proxy servery
  • Microsoft ISA server 2000
  • Autentizace, autorizace a auditing
  • Filtruje na základe povolení/zakázání
  • protokolu (HTTP, FTP)
  • destinací
  • typu souboru
  • Umísten v Ústredí a na Územních pracovištích
  • Každá lokalita má urcený proxy server,
    alternativní
  • pripojení k Internetu je zakázáno.

16
Antivirové rešení - pokrytí
  • SMTP komunikace
  • mail gateway BitDefender
  • vnitrní poštovní servery Symantec Mail Security
  • Souborový systém serveru a stanic, notebooku
  • Symantec Antivirus Corporate Edition
  • HTTP a FTP komunikace
  • Symantec Web Security

17
Antivirové rešení - metody
  • Aktuální virové definice
  • automatické centralizované stahování definic
  • Heuristická analýza
  • Preventivní omezení
  • nebezpecné prílohy v systému elektronické pošty
  • nebezpecné soubory prenášené z Internetu
  • prístupy na problematická sídla v Internetu

18
Zálohování
  • Veritas NetBackup 4.5 (Ústredí ÚZSVM)
  • Veritas BackupExec 9.1 (Územní a Odloucená
    pracovište)
  • Rychlé zálohování souborových systému
  • Podpora zálohování otevrených souboru (Open File
    Option)
  • Zálohování pomocí agentu
  • vzdálených serveru
  • databázových systému MS SQL
  • poštovních systému MS Exchange
  • Moduly Inteligent Disaster Recovery

19
Údržba systému, management
  • Microsoft Systems Management Server 2003
  • Zabezpecuje Patch Management
  • automatické zjištení instalovaných hotfixu
  • rízená distribuce a instalace hotfixu vcetne
    zpetné vazby
  • Vzdálené rešení problému na stanicích
  • Remote Management Tools
  • Centralizovaná distribuce software
  • Kompletní inventarizace hardware a software

20
Bezpecnost jako souhrn všech komponent
  • Technický pohled
  • Organizacní pohled
  • Personální pohled
  • Zavedením bezpecnosti práce nekoncí
  • je nutno znovu a znovu proverovat rizika
  • implementovat nové bezpecnostní metody
  • dodržovat stanovené bezpecnostní procedury
  • neustále vzdelávat uživatele

21
Hlavní motto bezpecnosti
  • Existují bezpecné technologie,
  • ale je na lidech,
  • aby jich využili.

22
(No Transcript)
Write a Comment
User Comments (0)
About PowerShow.com