fbpx

Чек-лист для системных администраторов по проверке корпоративной сети

Подготовка

Соберите информацию о сети:

  • Нарисуйте схему топологии сети, включающую маршрутизаторы, коммутаторы, серверы, рабочие станции и другие устройства.
  • Составьте список всех устройств с указанием их IP-адресов и MAC-адресов.
  • Соберите контактную информацию всех ответственных лиц.

Рассмотрим основные типы топологий сетей и их применение.

Шинная топология (Bus Topology)

Описание:

  • Все устройства подключены к одной общей шине (кабелю).
  • Передача данных осуществляется по этой шине, и все устройства могут «слышать» каждую передачу.

Преимущества:

  • Простота установки и настройки.
  • Требует меньшее количество кабелей.

Недостатки:

  • Трудности с обнаружением и устранением неисправностей.
  • Ограниченная длина кабеля и количество устройств.
  • Если основной кабель выходит из строя, вся сеть перестает работать.

Применение:

  • Небольшие локальные сети (LAN) с ограниченным числом устройств.
  • Временные сети, где простота и быстрая установка важнее надежности.

Звездная топология (Star Topology)

Описание:

  • Все устройства подключены к центральному узлу (например, коммутатору или маршрутизатору).
  • Центральный узел управляет передачей данных между устройствами.

Преимущества:

  • Простота управления и обнаружения неисправностей.
  • Если одно устройство выходит из строя, остальные устройства продолжают работать.

Недостатки:

  • Центральный узел является точкой отказа. Если он выходит из строя, вся сеть перестает работать.
  • Требуется больше кабелей по сравнению с шинной топологией.

Применение:

  • Корпоративные сети с большим числом устройств.
  • Сети, где важна надежность и простота управления.

Кольцевая топология (Ring Topology)

Описание:

  • Все устройства соединены в кольцо, и данные передаются по кругу в одном или двух направлениях.

Преимущества:

  • Упрощенная маршрутизация данных.
  • Возможность управления доступом к сети.

Недостатки:

  • Если одно устройство или соединение выходит из строя, это может нарушить работу всей сети.
  • Сложность добавления новых устройств.

Применение:

  • Сети, требующие упорядоченной передачи данных (например, сети FDDI).
  • Промышленные сети и системы управления.

Ячеистая топология (Mesh Topology)

Описание:

  • Каждое устройство соединено с каждым другим устройством.
  • Существует полносвязная (каждое устройство соединено с каждым) и частичная ячеистая топология.

Преимущества:

  • Высокая надежность и отказоустойчивость. Если одно соединение выходит из строя, данные могут передаваться по другим путям.
  • Оптимизация маршрутизации и балансировка нагрузки.

Недостатки:

  • Высокие затраты на установку и обслуживание.
  • Сложность управления и настройки.

Применение:

  • Критически важные сети, требующие высокой надежности (например, военные сети, телекоммуникационные сети).
  • Сети с высокой плотностью устройств и необходимостью в отказоустойчивости.

Древовидная топология (Tree Topology)

Описание:

  • Комбинация звездной и шинной топологий.
  • Устройства организованы в иерархическую структуру с несколькими уровнями.

Преимущества:

  • Хорошая масштабируемость.
  • Легкость управления и сегментации.

Недостатки:

  • Сложность настройки и обслуживания.
  • Уязвимость центральных узлов.

Применение:

  • Большие корпоративные сети с филиалами.
  • Сети, требующие централизованного управления и контроля.

Топология «точка-точка» (Point-to-Point)

Описание:

  • Прямое соединение между двумя устройствами.
  • Наиболее простая форма связи.

Преимущества:

  • Высокая скорость и надежность передачи данных.
  • Простота установки и настройки.

Недостатки:

  • Неприменима для больших сетей.
  • Ограниченная масштабируемость.

Применение:

  • Соединение двух удаленных офисов.
  • Виртуальные частные сети (VPN) для безопасного соединения двух точек.
  • Применение в сетях хранения данных (SAN).

Смешанная топология (Hybrid Topology)

Описание:

  • Комбинация двух или более различных топологий для создания более сложной и гибкой сети.
  • Например, сочетание звездной и ячеистой топологий.

Преимущества:

  • Высокая гибкость и масштабируемость.
  • Возможность оптимизации под конкретные требования и задачи.

Недостатки:

  • Сложность проектирования и управления.
  • Более высокие затраты на установку и обслуживание.

Применение:

  • Большие корпоративные сети с разнообразными требованиями.
  • Сети с различными уровнями надежности и производительности.

Проверка сетевых устройств (маршрутизаторы, коммутаторы)

Проверка доступности устройств:

  • Используйте команду ping <IP-адрес устройства> для проверки доступности.
  • Убедитесь, что все устройства отвечают на пинг. Если устройство не отвечает, проверьте его физическое подключение и настройки сети.

Проверка конфигурации:

  • Подключитесь к устройствам через SSH или консоль.
  • Для Cisco выполните команду show running-config для отображения текущей конфигурации.
  • Для Juniper выполните команду show configuration.
  • Сравните текущую конфигурацию с эталонной. Эталонная конфигурация должна включать:
  • Ограничение доступа по IP-адресам для управления устройством.
  • Настройка SNMP только для чтения и ограничение доступа по IP.
  • Отключение неиспользуемых интерфейсов.
  • Настройка фильтров доступа (Access Control Lists) для управления трафиком.

Проверка безопасности на устройствах

Обновления и патчи:

  • Проверьте версии прошивок и программного обеспечения на всех устройствах.
  • Убедитесь, что все устройства обновлены до последних версий. Для этого используйте команды:
  • Cisco: show version
  • Juniper: show version

Пароли и учетные записи:

  • Проверьте сложность паролей. Пароли должны быть длиной не менее 12 символов, включать заглавные и строчные буквы, цифры и специальные символы.
  • Проверьте учетные записи администраторов и убедитесь, что неиспользуемые учетные записи отключены или удалены.

Аудит логов:

  • Cisco: show logging
  • Juniper: show log
  • Проанализируйте логи на наличие подозрительных действий, таких как неудачные попытки входа или изменения конфигурации.

Примеры подозрительных действий в логах

Попытки неавторизованного доступа

Многочисленные неудачные попытки входа:

  • Повторяющиеся неудачные попытки входа в систему могут указывать на попытки подбора пароля (brute-force атаки).
  • Пример лога: Failed login attempt for user ‘admin’ from IP 192.168.1.10

Попытки входа с неправильными учетными данными:

  • Попытки входа с несуществующими именами пользователей или учетными записями могут указывать на попытки разведки.
  • Пример лога: Login attempt for non-existent user ‘testuser’ from IP 203.0.113.5

Аномальная активность пользователей

Входы в необычное время:

  • Входы в систему в нерабочее время или необычные часы могут указывать на компрометацию учетной записи.
  • Пример лога: User ‘john.doe’ logged in at 2:30 AM from IP 198.51.100.4

Входы с необычных местоположений:

  • Одновременные входы с разных географических местоположений или IP-адресов могут указывать на кражу учетных данных.
  • Пример лога: User ‘jane.doe’ logged in from IP 203.0.113.10 (US) and 203.0.113.20 (UK) within 10 minutes

Необычная сетевое поведение

Неожиданно высокий объем трафика:

  • Внезапное увеличение объема трафика может указывать на DDoS-атаку или утечку данных.
  • Пример лога: Unusually high traffic detected from IP 192.168.1.15

Подключение к подозрительным IP-адресам:

  • Соединения с известными вредоносными IP-адресами или доменами могут указывать на вредоносное ПО или командно-контрольные серверы.
  • Пример лога: Connection attempt to known malicious IP 185.199.108.153

Необычная активность на серверах и устройствах

Необычные изменения в системных файлах:

  • Внезапные изменения в конфигурационных файлах или системных директориях могут указывать на попытки взлома.
  • Пример лога: Unauthorized modification detected in /etc/passwd by user ‘unknown’

Необычные процессы и службы:

  • Запуск неизвестных или подозрительных процессов и служб может указывать на вредоносное ПО.
  • Пример лога: Suspicious process ‘malware.exe’ detected running on server 192.168.1.20

Аномалии в доступе к данным

Необычные запросы к базе данных:

  • Многочисленные или необычные запросы к базе данных могут указывать на SQL-инъекцию или другие атаки.
  • Пример лога: Unusual number of SELECT queries from user ‘webapp’

Массовое копирование или удаление данных:

  • Внезапное массовое копирование или удаление файлов может указывать на подготовку к утечке данных.
  • Пример лога: Large number of files copied to external drive by user ‘jane.doe’

Подозрительные действия с учетными записями

Изменения в правах доступа:

  • Неожиданные изменения в правах доступа пользователей могут указывать на попытки эскалации привилегий.
  • Пример лога: User ‘john.doe’ granted admin rights by user ‘unknown’

Создание новых учетных записей:

  • Создание новых учетных записей без соответствующего запроса или объяснения может указывать на компрометацию.
  • Пример лога: New user ‘hacker’ created by user ‘admin’

 

Проверка брандмауэров и систем обнаружения вторжений (IDS/IPS)

Проверка правил и политик:

  • Проверьте правила брандмауэра, чтобы убедиться, что они соответствуют политикам безопасности компании.
  • Убедитесь, что открыты только необходимые порты и протоколы.

Для изменения правил используйте команды:

  • Cisco ASA: 
    show access-list
  • pfSense: pfctl -sr

 

Обновления сигнатур IDS/IPS: убедитесь, что сигнатуры и правила IDS/IPS актуальны. Для обновления используйте встроенные механизмы обновления в используемой системе.

 

Пример конфигурации правил брандмауэра

Ниже представлен пример базовой конфигурации правил брандмауэра для защиты корпоративной сети. Эти правила могут быть адаптированы в зависимости от конкретных требований и архитектуры сети.

  1. Обновление прошивки и программного обеспечения до последней версии
  2. Отключение ненужных служб и интерфейсов

    # Отключение ненужных служб и интерфейсов

    service disable telnet

    service disable ftp

    interface shutdown eth1

  3. Настройка административного доступа

    # Ограничение административного доступа

    admin ip allow 192.168.1.0/24

    admin password set StrongPassword123!

    admin enable mfa

  4. Политика «по умолчанию запрещено»

    # Установка политики «по умолчанию запрещено»

    policy default deny

  5. Разрешение необходимого трафика

    # Разрешение входящего трафика на веб-серверы

    rule allow in http from any to 192.168.1.100

    rule allow in https from any to 192.168.1.100

     

    # Разрешение входящего и исходящего трафика для электронной почты

    rule allow in smtp from any to 192.168.1.101

    rule allow out smtp from 192.168.1.101 to any

    rule allow in imap from any to 192.168.1.102

    rule allow out imap from 192.168.1.102 to any

     

    # Разрешение входящего трафика для удаленного доступа (VPN, SSH)

    rule allow in vpn from any to 192.168.1.103

    rule allow in ssh from trusted_ip to 192.168.1.104

  6. Блокировка нежелательного трафика

    # Блокировка известных портов и протоколов

    rule deny in netbios from any to any

    rule deny in smb from any to any

    rule deny in telnet from any to any

    rule deny in rdp from any to any

  7. Фильтрация по IP-адресам и географическим регионам

    # Ограничение доступа только доверенными IP-адресами

    rule allow in from trusted_ip to any

     

    # Географическая фильтрация

    geoip block country CN

    geoip block country RU

  8. Дополнительные меры безопасности

    Использование VPN:

    # Настройка VPN для удаленного доступа

    vpn enable

    vpn configure encryption aes256

    vpn configure authentication mfa

    Защита от DoS/DDoS-атак:

     

    # Включение защиты от DoS/DDoS-атак

    dos protection enable

    rate limit set 1000 connections per second

    Использование IDS/IPS:

    # Интеграция IDS/IPS

    ids enable

    ips enable

    Логирование и мониторинг:

    # Включение логирования и мониторинга

    logging enable

    logging server 192.168.1.200

    alert suspicious activity

  9. Тестирование и аудит

    # Тестирование настроек с помощью Nmap

    nmap -Pn -p 80,443 192.168.1.100

    nmap -Pn -p 25,143 192.168.1.101

    Регулярные аудиты:

    # Проведение регулярных аудитов безопасности

    audit schedule weekly

    audit run

Проверка серверов и рабочих станций

Антивирус и антималварь:

  • Проверьте, что на всех системах установлено актуальное антивирусное ПО.
  • Убедитесь, что базы данных антивируса обновлены.

Обновления ОС и ПО:

  • Проверьте, что все системы обновлены до последних версий операционных систем и приложений.
  • Для Windows используйте Check for updates в центре обновлений.
  • Для Linux используйте sudo apt update && sudo apt upgrade или sudo yum update.

Аудит логов:

  • Windows: используйте Event Viewer для проверки системных и приложенческих логов.
  • Linux: используйте команды journalctl и просматривайте логи в /var/log/.

Проверка беспроводной сети (Wi-Fi)

1. Проверка настройки оборудования и прошивки

Обновление прошивки:

  • Убедитесь, что все точки доступа (AP) и маршрутизаторы используют последнюю версию прошивки. Производители часто выпускают обновления для устранения уязвимостей и улучшения безопасности.
  • Пример: Зайдите в веб-интерфейс маршрутизатора и проверьте наличие обновлений.

Отключение ненужных функций:

  • Отключите ненужные функции, такие как WPS (Wi-Fi Protected Setup), если они не используются, так как они могут представлять уязвимости.
  • Пример: В веб-интерфейсе маршрутизатора отключите WPS.

2. Настройка шифрования и аутентификации

Использование сильного шифрования:

  • Убедитесь, что используется современный и безопасный стандарт шифрования, такой как WPA3. Если WPA3 не поддерживается, используйте WPA2 с AES.
  • Пример: В настройках безопасности Wi-Fi выберите WPA2/WPA3 Personal с AES.

Сложный пароль для сети:

  • Используйте сложный и уникальный пароль для доступа к Wi-Fi сети. Пароль должен состоять из комбинации букв, цифр и специальных символов.
  • Пример: Создайте пароль длиной не менее 12 символов, например, P@ssw0rd#2023.

3. Настройка сети и сегментация

Создание гостевой сети:

  • Создайте отдельную гостевую сеть для посетителей и устройств, которым не нужен доступ к основной сети. Это поможет изолировать критически важные ресурсы от потенциально небезопасных устройств.
  • Пример: В настройках маршрутизатора создайте гостевую сеть с ограниченным доступом.

Сегментация сети:

  • Сегментируйте сеть на различные VLAN для изоляции различных типов трафика (например, рабочие станции, IoT-устройства, серверы).
  • Пример: В настройках маршрутизатора или коммутатора создайте VLAN для рабочих станций и IoT-устройств.

4. Управление доступом и аутентификацией

Фильтрация по MAC-адресам:

  • Используйте фильтрацию по MAC-адресам для разрешения доступа только доверенным устройствам. Хотя это не является полной защитой, это добавляет дополнительный уровень безопасности.
  • Пример: В настройках маршрутизатора добавьте MAC-адреса доверенных устройств в белый список.

Использование RADIUS-сервера:

  • Для корпоративных сетей используйте RADIUS-сервер для централизованного управления аутентификацией и авторизацией пользователей.
  • Пример: Настройте точку доступа для использования RADIUS-сервера с EAP-TLS.

5. Мониторинг и обнаружение угроз

Мониторинг трафика:

  • Используйте инструменты для мониторинга трафика и выявления аномалий. Это поможет обнаружить подозрительную активность и возможные атаки.
  • Пример: Используйте Wireshark или специализированные решения для мониторинга сети.

Обнаружение и предотвращение вторжений (WIDS/WIPS):

  • Внедрите системы обнаружения и предотвращения вторжений в беспроводные сети (WIDS/WIPS) для защиты от атак, таких как подмена точки доступа (Rogue AP) или атаки типа «человек посередине» (MitM).
  • Пример: Используйте Cisco Meraki или Aruba для WIDS/WIPS.

6. Физическая безопасность

Размещение оборудования:

  • Размещайте точки доступа и маршрутизаторы в безопасных местах, чтобы предотвратить физический доступ к ним.
  • Пример: Установите точки доступа в запираемых шкафах или на потолке.

Защита от несанкционированного доступа:

  • Используйте замки и другие физические меры для защиты оборудования от кражи или повреждения

7. Интеграция с другими системами безопасности

Интеграция с SIEM:

  • Интегрируйте логи и события из Wi-Fi сети с системой управления событиями и информацией безопасности (SIEM) для централизованного мониторинга и корреляции инцидентов.
  • Пример: Используйте SIEM-систему, такую как Splunk или ELK Stack, для анализа логов и выявления аномалий.

Синергия с другими средствами защиты:

  • Интегрируйте Wi-Fi сеть с другими средствами защиты, такими как межсетевые экраны (брандмауэры), системы обнаружения и предотвращения вторжений (IDS/IPS), антивирусное ПО и средства управления доступом.
  • Пример: Настройте межсетевой экран для фильтрации трафика из Wi-Fi сети и интеграции с системой IDS/IPS.

Пример конфигурации безопасности Wi-Fi сети

Ниже приведен пример конфигурации безопасности для типичной корпоративной Wi-Fi сети. Эта конфигурация может быть адаптирована в зависимости от конкретных требований и инфраструктуры.

1. Обновление прошивки

Обновление прошивки всех точек доступа и маршрутизаторов до последней версии. 

2. Настройка шифрования и аутентификации

# Настройка WPA3 с AES
wireless security set mode WPA3
wireless security set encryption AES

# Установка сложного пароля для сети
wireless security set passphrase "Str0ngP@ssw0rd!2023"

3. Создание гостевой сети и сегментация

# Создание гостевой сети с ограниченным доступом
guest network enable
guest network set ssid "GuestNetwork"
guest network set passphrase "GuestP@ssw0rd!"
guest network set access limited

# Сегментация сети с использованием VLAN
vlan create 10 name "Workstations"
vlan create 20 name "IoT"
vlan assign 10 to ssid "CorporateNetwork"
vlan assign 20 to ssid "IoTNetwork"

4. Фильтрация по MAC-адресам и использование RADIUS

# Включение фильтрации по MAC-адресам и добавление доверенных устройств
mac-filtering enable
mac-filtering add 00:11:22:33:44:55
mac-filtering add 66:77:88:99:AA:BB

# Настройка аутентификации с использованием RADIUS-сервера
radius-server enable
radius-server set address 192.168.1.200
radius-server set port 1812
radius-server set shared-secret "RadiusSecret"
wireless security set authentication RADIUS

5. Мониторинг и обнаружение угроз

# Включение мониторинга трафика и логирования
logging enable
logging server 192.168.1.201
logging level info

# Настройка системы обнаружения и предотвращения вторжений (WIDS/WIPS)
wids enable
wips enable
wids set sensitivity high
wips set action block

 

Проверка удаленного доступа (VPN)

1. Проверка защиты VPN файлов

VPN файлы, такие как конфигурационные файлы, сертификаты и ключи, должны быть защищены от несанкционированного доступа. Вот шаги для проверки их защиты:

Шаг 1: Проверка прав доступа к файлам

Права доступа на файловой системе:

  • Убедитесь, что права доступа к VPN файлам ограничены только необходимыми пользователями и группами.
  • Пример команды для проверки прав доступа на Linux:

ls -l /etc/openvpn

  • Пример команды для изменения прав доступа:

chmod 600 /etc/openvpn/server.confchown root:root /etc/openvpn/server.conf

Права доступа на Windows:

  • Щелкните правой кнопкой мыши на файле, выберите «Свойства», затем «Безопасность», и убедитесь, что доступ имеют только администраторы и необходимые пользователи.

Шаг 2: Проверка шифрования

Шифрование конфигурационных файлов и ключей:

  • Убедитесь, что конфигурационные файлы и ключи зашифрованы или защищены паролем.
  • Пример для OpenVPN:
  • Создайте зашифрованный ключ с помощью команды openssl:

openssl genpkey -algorithm RSA -out server.key -aes256

  • Убедитесь, что ключ защищен паролем.

Шаг 3: Мониторинг изменений файлов

Использование систем мониторинга целостности:

  • Настройте системы мониторинга целостности (HIDS) для отслеживания изменений в VPN файлах.
  • Пример инструмента: AIDE (Advanced Intrusion Detection Environment)

aide —initaide —check

2. Проверка доступа авторизованных пользователей к VPN

Для обеспечения того, что только авторизованные пользователи имеют доступ к VPN, выполните следующие шаги:

Шаг 1: Настройка аутентификации

Использование сертификатов и ключей:

  • Убедитесь, что каждый пользователь имеет уникальный сертификат и ключ для аутентификации.
  • Пример для OpenVPN:
  • Создайте уникальные сертификаты для каждого пользователя с помощью easy-rsa:

./easyrsa build-client-full username nopass

Использование RADIUS или LDAP для аутентификации:

  • Настройте VPN сервер для использования RADIUS или LDAP для аутентификации пользователей.
  • Пример конфигурации OpenVPN с RADIUS:

plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so login

Шаг 2: Проверка логов аутентификации

Анализ логов VPN сервера:

  • Регулярно проверяйте логи VPN сервера для выявления неавторизованных попыток доступа.
  • Пример команды для просмотра логов на Linux:

tail -f /var/log/openvpn.log

Шаг 3: Ограничение доступа по IP-адресам

Использование белого списка IP-адресов:

  • Ограничьте доступ к VPN только с определенных IP-адресов.
  • Пример конфигурации OpenVPN:

client-config-dir /etc/openvpn/ccdpush «route 192.168.1.0 255.255.255.0»

Шаг 4: Двухфакторная аутентификация (2FA)

Настройка 2FA:

  • Внедрите двухфакторную аутентификацию для дополнительной защиты.
  • Пример использования Google Authenticator с OpenVPN:
  • Установите PAM-модуль:

apt-get install libpam-google-authenticator

  • Настройте PAM для OpenVPN:

auth required pam_google_authenticator.so

Пример конфигурации безопасности VPN

Ниже приведен пример конфигурации безопасности для OpenVPN, который можно адаптировать в зависимости от конкретных требований и инфраструктуры.

1. Настройка шифрования и аутентификации

# Настройка использования TLS и шифрования
tls-server
tls-auth /etc/openvpn/ta.key 0
cipher AES-256-CBC
auth SHA256

# Настройка использования сертификатов и ключей
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem

2. Настройка аутентификации пользователей

# Использование сертификатов и ключей для аутентификации пользователей
client-cert-not-required
username-as-common-name

# Настройка использования RADIUS для аутентификации
plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so login

3. Ограничение доступа по IP-адресам

# Ограничение доступа по IP-адресам
client-config-dir /etc/openvpn/ccd
push "route 192.168.1.0 255.255.255.0"

4. Настройка двухфакторной аутентификации

# Настройка двухфакторной аутентификации с использованием Google Authenticator
auth required pam_google_authenticator.so

5. Мониторинг и логирование

# Включение логирования
log /var/log/openvpn.log
verb 3

Тестирование и оценка уязвимостей

  • Сканирование уязвимостей:
  • Используйте инструменты типа Nessus, OpenVAS или Qualys для сканирования сети на наличие уязвимостей.
  • Проведите сканирование всех устройств и приложений.
  • Тестирование на проникновение:
  • Проведите внутреннее и внешнее тестирование на проникновение.
  • Используйте инструменты типа Metasploit, Burp Suite или Kali Linux для проведения тестов.

Угрозы, на которые следует обратить внимание

  • Сетевые атаки: DDoS-атаки, Man-in-the-Middle (MitM), ARP-спуфинг и другие.
  • Вредоносное ПО: вирусы, трояны, шпионские программы, программы-вымогатели.
  • Угрозы внутреннего характера: неправомерные действия сотрудников, утечки данных.
  • Уязвимости в программном обеспечении и оборудовании: необновленные системы, использование устаревших и уязвимых протоколов.
  • Физический доступ: несанкционированный доступ к сетевому оборудованию или серверам.
  • Социальная инженерия: фишинг, вишинг, смишинг и другие методы обмана сотрудников.

Сегментация сети

Сегментация сети является важным аспектом безопасности, который позволяет ограничить доступ к различным частям сети и минимизировать возможность распространения угроз. Проверка сегментации сети включает в себя несколько шагов, таких как анализ конфигурации маршрутизаторов и коммутаторов, проверка правил брандмауэра и использование инструментов для анализа сетевого трафика.

Шаг 1: Проверка конфигурации маршрутизаторов и коммутаторов

Проверка конфигурации VLAN на коммутаторах

Просмотр текущей конфигурации VLAN:

  • Пример команды для Cisco IOS:

show vlan brief

  • Пример команды для Juniper Junos:

show vlans

Проверка назначения портов к VLAN:

  • Пример команды для Cisco IOS:

show interfaces switchport

  • Пример команды для Juniper Junos:

show ethernet-switching interfaces

Проверка конфигурации маршрутизации между VLAN

Просмотр текущей конфигурации маршрутизации:

  • Пример команды для Cisco IOS:

show ip route

  • Пример команды для Juniper Junos:

show route

Проверка настроек межсетевого экрана (ACL) для ограничения доступа между VLAN:

  • Пример команды для Cisco IOS:

show running-config | include access-list

  • Пример команды для Juniper Junos:

show configuration firewall

Шаг 2: Проверка правил брандмауэра

Просмотр текущих правил брандмауэра:

  • Пример команды для iptables на Linux:

sudo iptables -L -v -n

  • Пример команды для pf на FreeBSD:

sudo pfctl -sr

  • Пример команды для Windows Firewall:

netsh advfirewall firewall show rule name=all

Проверка правил для ограничения доступа между сегментами сети:

  • Убедитесь, что правила брандмауэра ограничивают доступ между различными сегментами сети в соответствии с политикой безопасности.

Шаг 3: Использование инструментов для анализа сетевого трафика

Использование nmap для проверки доступности хостов в различных сегментах сети:

  • Пример команды для сканирования сети:

nmap -sP 192.168.1.0/24

Использование traceroute для проверки маршрутизации между сегментами сети:

  • Пример команды для Linux и macOS:

traceroute 192.168.2.1

  • Пример команды для Windows:

tracert 192.168.2.1

Использование Wireshark для анализа сетевого трафика и проверки сегментации:

  • Запустите Wireshark и начните захват трафика на интерфейсе.
  • Фильтруйте трафик по IP-адресам или VLAN, чтобы проверить наличие нежелательного трафика между сегментами сети.

Проверка изоляции гостевых и корпоративных сетей

  • Проверка конфигурации гостевой сети:
  • Убедитесь, что гостевая сеть изолирована от корпоративной сети.
  • Пример команды для проверки правил брандмауэра для гостевой сети на Cisco IOS:

show access-lists GUEST_ACCESS

Проверка шифрования данных

Шифрование данных является одним из ключевых методов защиты информации в корпоративной сети. Для проверки шифрования данных необходимо убедиться в том, что все критические данные, передаваемые и хранящиеся в сети, защищены с использованием надежных алгоритмов шифрования. Ниже приведены шаги и команды для проверки шифрования данных в корпоративной сети.

Шаг 1: Проверка шифрования данных в транзите

Проверка шифрования в VPN соединениях

Проверка конфигурации VPN сервера:

  • Убедитесь, что VPN сервер настроен для использования современных алгоритмов шифрования.
  • Пример конфигурации OpenVPN:
# Убедитесь, что используется сильное шифрование
cipher AES-256-CBC
auth SHA256
tls-auth /etc/openvpn/ta.key 0

Проверка активных VPN соединений:

  • Убедитесь, что активные VPN соединения используют ожидаемые алгоритмы шифрования.
  • Пример команды для OpenVPN:

sudo openvpn —show-ciphers

Проверка шифрования в HTTPS соединениях

Проверка конфигурации веб-серверов:

  • Убедитесь, что веб-серверы настроены для использования TLS.
  • Пример конфигурации для Apache:
SSLEngine on
SSLCertificateFile /etc/ssl/certs/your_domain.crt
SSLCertificateKeyFile /etc/ssl/private/your_domain.key
SSLCipherSuite HIGH:!aNULL:!MD5
SSLProtocol all -SSLv2 -SSLv3

Проверка сертификатов и протоколов:

  • Используйте инструменты, такие как openssl или sslyze, для проверки сертификатов и протоколов.
  • Пример команды для проверки HTTPS с использованием openssl:

openssl s_client -connect www.example.com:443

Проверка конфигурации почтовых серверов:

  • Убедитесь, что почтовые серверы настроены для использования TLS.
  • Пример конфигурации для Postfix:
smtpd_tls_cert_file=/etc/ssl/certs/your_domain.crt
smtpd_tls_key_file=/etc/ssl/private/your_domain.key
smtpd_use_tls=yes
smtpd_tls_protocols=!SSLv2,!SSLv3
smtpd_tls_ciphers=high

Шаг 2: Проверка шифрования данных в покое

Проверка использования шифрования дисков:

  • Убедитесь, что жесткие диски серверов и рабочих станций зашифрованы.
  • Пример команды для проверки шифрования дисков с использованием LUKS на Linux:

sudo cryptsetup status <имя_тома>

Проверка использования BitLocker на Windows:

  • Пример команды для проверки статуса BitLocker:

manage-bde -status

Проверка конфигурации шифрования баз данных:

  • Убедитесь, что базы данных настроены для использования шифрования.
  • Пример конфигурации для MySQL с использованием TDE (Transparent Data Encryption):

ALTER TABLE your_table ENCRYPTION=’Y’;

Проверка шифрования данных в PostgreSQL:

  • Убедитесь, что используется шифрование TLS для соединений:
ssl = on
ssl_cert_file = '/etc/ssl/certs/your_domain.crt'
ssl_key_file = '/etc/ssl/private/your_domain.key'

Шаг 3: Проверка шифрования на уровне приложений

  • Убедитесь, что приложения используют шифрование для защиты данных.
  • Пример использования библиотеки OpenSSL в Python:
python
 
from cryptography.fernet import Fernet

# Генерация ключа и шифрование данных
key = Fernet.generate_key()
cipher_suite = Fernet(key)
cipher_text = cipher_suite.encrypt(b"Sensitive Data")

# Расшифрование данных
plain_text = cipher_suite.decrypt(cipher_text)

Выполняем любые работы по настройке, сопровождению IT-инфраструктуры под ключ, в том числе обеспечение максимальной безопасности. Оставить заявку можно здесь.

 
АКЦИЯ! Бесплатное обслуживание до конца месяца!
Спасибо!
Ваши данные успешно отправлены.
Другие статьи
Пошаговая инструкция по установке и настройке сервера Linux
Linux - это семейство операционных систем на базе ядра Linux, которые используются для различных целей, включая...
Чек-лист проверки сервера на Windows для системных администраторов
Этот список охватывает основные аспекты, которые системный администратор должен проверить для обеспечения надлежащей...
Чек-лист для проверки открытых портов на сервере Linux
Проверка открытых портов на сервере Linux является важной задачей для системного администратора, чтобы обеспечить...
Топ программ для защиты сервера на Windows
Рассмотрим популярные инструменты и программы для обеспечения безопасности Windows Server. Sophos Intercept X for...
Топ-10 программ, утилит для системных администраторов
Рассмотрим топ-10 программ и утилит, которые могут быть полезны для системного администратора. Microsoft PowerShell ...
Администрирование сервера Linux – обеспечиваем безопасность портов
В Linux и других системах используются порты для организации сетевых соединений. Они делятся на следующие диапазоны: ...
Обзор дистрибутивов Linux для системных администраторов
Linux является одной из самых популярных операционных систем среди системных администраторов благодаря её гибкости,...
10 необычных трюков IT-безопасности для вашего бизнеса!
Обеспечение IT-безопасности становится ключевым аспектом для любого бизнеса. Однако, помимо стандартных методов защиты,...
Чек-лист проверки на взлом IT-инфраструктуры компании
Рассматриваем угрозы IT-инфраструктуре компаний и способы их устранения. Корпоративная сеть Антивирусная защита ...
Особенности настройки и конфигурации веб-сервера
Настройка и конфигурация веб-сервера - это критически важный процесс для обеспечения надежной и эффективной работы...
Лучшие утилиты для администрирования сервера на Windows
Администрирование сервера на Windows требует широкого арсенала инструментов, каждый из которых предназначен для...
Что лучше для сервера — Linux или Windows?
Вопрос выбора операционной системы для серверов стоит перед системными администраторами и техническими директорами уже...