The following sections discuss the key areas of the small enterprise network security design.
Network Foundation Protection
Small enterprise networks are built with routers, switches, and other network devices that keep the applications and services running. Therefore, properly securing these network devices is critical for continued operation.
The network infrastructure of a small enterprise can be protected by implementing the Cisco SAFE best practices for the following areas:
•Infrastructure device access
–Restrict management device access to authorized parties and for the authorized ports and protocols.
–Enforce Authentication, Authorization, and Accounting (AAA) with Terminal Access Controller Access Control System (TACACS+) or Remote Authentication Dial-In User Service (RADIUS) to authenticate access, authorize actions, and log all administrative access.
–Display legal notification banners.
–Ensure confidentiality by using secure protocols like Secure Shell (SSH) and HTTPS.
–Enforce idle and session time-outs and disable unused access lines.
•Routing infrastructure
–Restrict routing protocol membership by enabling Message-Digest 5 (MD5) neighbor authentication and disabling default interface membership.
–Enforce route filters to ensure that only legitimate networks are advertised and networks that are not supposed to be propagated are never advertised.
–Log status changes of neighbor sessions to identify connectivity problems and DoS attempts on routers.
•Device resiliency and survivability
–Disable unnecessary services and implement control plane policing (CoPP).
–Enable traffic storm control.
–Implement topological, system, and module redundancy for the resiliency and survivability of routers and switches and to ensure network availability.
–Keep local device statistics.
•Network telemetry
–Enable Network Time Protocol (NTP) time synchronization.
–Collect system status and event information with Simple Network Management Protocol (SNMP), Syslog, and TACACS+/RADIUS accounting.
–Monitor CPU and memory usage on critical systems.
–Enable NetFlow to monitor traffic patterns and flows.
•Network policy enforcement
–Implement access edge filtering.
–Enforce IP spoofing protection with access control lists (ACLs), Unicast Reverse Path Forwarding (uRPF), and IP Source Guard.
•Switching infrastructure
–Implement a hierarchical design, segmenting the LAN into multiple IP subnets or virtual LANs (VLANs) to reduce the size of broadcast domains.
–Protect the Spanning Tree Protocol (STP) domain with BPDU Guard and STP Root Guard.
–Use per-VLAN Spanning Tree to reduce the scope of possible damage.
–Disable VLAN dynamic trunk negotiation on user ports.
–Disable unused ports and put them into an unused VLAN.
–Implement Catalyst Infrastructure Security Features (CISF) including port security, dynamic ARP inspection, and DHCP snooping.
–Use a dedicated VLAN ID for all trunk ports.
–Explicitly configure trunking on infrastructure ports.
–Use all tagged mode for the native VLAN on trunks and drop untagged frames.
•Network management
–Ensure the secure management of all devices and hosts within the enterprise network.
–Authenticate, authorize, and keep record of all administrative access.
–If possible, implement a separate out-of-band (OOB) management network (hardware or VLAN based) to manage systems at the main site.
–Secure the OOB by enforcing access controls, using dedicated management interfaces or virtual routing and forwarding (VRF) tables.
–Provide secure in-band management access for systems residing at the remote sites by deploying firewalls and ACLs to enforce access controls, using Network Address Translation (NAT) to hide management addresses and using secure protocols like SSH and HTTPS.
–Ensure time synchronization by using NTP.
–Secure servers and other endpoint with endpoint protection software and operating system (OS) hardening best practices.
For more detailed information on the NFP best practices, refer to "Chapter 2, Network Foundation Protection" of the Cisco SAFE Reference Guide at: http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/SAFE_RG/chap2.html.
Internet Perimeter Protection
The small enterprise network design assumes the existence of a centralized Internet connection at the headquarters or main site serving users at all locations. Common services include E-mail and Web browsing for employees, the hosting of a company's website accessible to clients and partners over the Internet, and secure remote access for mobile users and remote workers. Other services may also be provided using the same infrastructure.
ส่วนต่อไปนี้กล่าวถึงกุญแจสำคัญของการออกแบบการรักษาความปลอดภัยเครือข่ายขององค์กรขนาดเล็ก เครือข่ายมูลนิธิคุ้มครอง
ขนาดองค์กรเครือข่ายถูกสร้างขึ้นด้วยเราเตอร์ , สวิทช์และอุปกรณ์เครือข่ายอื่น ๆที่ให้โปรแกรมและบริการวิ่ง ดังนั้น อย่างถูกต้อง การรักษาความปลอดภัยอุปกรณ์เครือข่ายเหล่านี้เป็นสิ่งสำคัญสำหรับการดำเนินการต่อไป
โครงสร้างพื้นฐานของเครือข่ายขององค์กรขนาดเล็กสามารถป้องกันโดยการใช้ cisco ปลอดภัยปฏิบัติที่ดีที่สุดสำหรับพื้นที่ต่อไปนี้ :
-
- จำกัดการเข้าถึงโครงสร้างพื้นฐานของอุปกรณ์การจัดการอุปกรณ์การเข้าถึงอนุญาตบุคคลและให้อนุญาตพอร์ตและโปรโตคอล
และบังคับใช้การตรวจสอบการอนุญาตและบัญชี ( AAA ) กับสถานีควบคุมการเข้าถึงระบบการควบคุมการเข้าถึง ( tacacs ) หรือโทรตรวจสอบระยะไกลในการให้บริการผู้ใช้ ( รัศมี ) เพื่อตรวจสอบการอนุญาตให้กระทำ และเข้าสู่ระบบการเข้าถึงการบริหาร
–แสดงกฎหมายประกาศแบนเนอร์
) มั่นใจการรักษาความลับ โดยใช้โปรโตคอลการรักษาความปลอดภัยเช่น shell ( ssh ) และ HTTPS .
และบังคับใช้เซสชันเวลาลึกหนาบางและปิดสายเข้าไม่ได้ใช้
-
- จำกัดการโครงสร้างพื้นฐานโปรโตคอลเส้นทางสมาชิก โดยการเปิดใช้งานข้อความย่อย 5 ( MD5 ) ตรวจสอบและปิดการใช้งานอินเตอร์เฟซที่เพื่อนบ้านสมาชิกค่า
( ใช้กรองเพื่อให้แน่ใจว่าเส้นทางเท่านั้นที่ถูกต้องตามกฎหมายมีเครือข่ายโฆษณาและเครือข่ายที่ไม่ควรจะไป
ไม่เคยโฆษณาเพื่อบันทึกการเปลี่ยนแปลงสถานภาพของการประชุมเพื่อนบ้านระบุปัญหาการเชื่อมต่อ และการพยายามในเราเตอร์
-
- อุปกรณ์มีความยืดหยุ่น และความสามารถการใช้งานบริการและใช้การควบคุมของเครื่องบินเป็นแบบ ( ทองแดง )
( เปิดการจราจรพายุควบคุม
) ใช้รูปแบบของระบบและโมดูล ) สำหรับความยืดหยุ่นและความอยู่รอดของเราเตอร์และสวิตช์และตรวจสอบห้องว่างของเครือข่าย และอุปกรณ์เก็บข้อมูลท้องถิ่น
.
-
- ช่วยให้เครือข่าย Telemetry โปรโตคอลเวลาเครือข่าย ( NTP ) เวลาที่ตรงกัน
) เก็บสถานะของระบบและเหตุการณ์ข้อมูลด้วยง่ายการจัดการเครือข่าย Protocol ( SNMP ) , Syslog , และ tacacs / รัศมีการบัญชี
- ตรวจสอบ CPU บนระบบสำคัญ
) ให้มีการตรวจสอบรูปแบบการจราจรและกระแส
-
- ใช้เครือข่ายการบังคับใช้นโยบายการเข้าถึงขอบกรอง และป้องกันการปลอมแปลง IP
ใช้กับรายการการควบคุมการเข้าถึง ( ACLS ) , unicast Reverse เส้นทางการส่งต่อ ( urpf ) และ IP ที่มายาม
-
- ใช้เปลี่ยนโครงสร้างลำดับชั้นการออกแบบการแบ่งออกเป็น subnets IP LAN หลายหรือ LANs เสมือน ( VLANs ) เพื่อลดขนาดของโดเมนออกอากาศ .
–ปกป้องต้นไม้ทอดข้ามขั้นตอน ( STP ) โดเมนกับยาม bpdu และ STP รากยาม
) ใช้ต่อ VLAN ต้นไม้ทอดข้ามเพื่อลดขอบเขตของความเสียหายที่เป็นไปได้
ปิดการใช้งาน VLAN แบบไดนามิกและงวง การเจรจาต่อรองในผู้ใช้พอร์ต
) ปิดที่ไม่ได้ใช้พอร์ตและใส่ลงในการใช้ VLAN .
ใช้ตัวเร่งปฏิกิริยาและโครงสร้างระบบรักษาความปลอดภัยคุณสมบัติ ( cisf ) รวมทั้งการรักษาความปลอดภัยท่าเรือ ตรวจสอบ ARP แบบไดนามิกและ DHCP การสอดแนม
( ใช้เฉพาะ VLAN ID ทั้งหมดลำต้นพอร์ต
) อย่างชัดเจน ปรับแต่งโครงสร้างพื้นฐาน trunking พอร์ต
) ใช้แท็ก VLAN ในโหมดพื้นเมืองกางเกงหล่น
ติดแท็กเฟรม
- การจัดการเครือข่าย- ตรวจสอบความปลอดภัยการจัดการของอุปกรณ์ทั้งหมดและโฮสต์ภายในเครือข่ายองค์กร
) รับรองอนุมัติ และเก็บบันทึกของการเข้าถึงการบริหาร
) ถ้าเป็นไปได้ ใช้แยกวง ( oob ) การจัดการเครือข่าย ฮาร์ดแวร์ ( หรือ VLAN ตาม ) เพื่อจัดการระบบในเว็บไซต์หลัก
) การ oob มีการควบคุมการเข้าถึงใช้โดยเฉพาะการจัดการการเชื่อมต่อ หรือเสมือนเส้นทางและส่งต่อ ( VRF ) โต๊ะ
) ให้กลายเป็นวงการจัดการการเข้าถึงระบบที่ตั้งอยู่ที่ไซต์ระยะไกล โดยปรับใช้ไฟร์วอลล์และการบังคับใช้ในการควบคุมการเข้าถึงการแปลที่อยู่เครือข่าย ( NAT ) เพื่อซ่อนที่อยู่การจัดการและการรักษาความปลอดภัยโปรโตคอล HTTPS เช่น SSH และ
) ให้แน่ใจว่า เวลาที่ตรงกันโดยใช้ NTP .
การรักษาอื่น ๆและเซิร์ฟเวอร์และข้อมูลซอฟต์แวร์การป้องกันและระบบปฏิบัติการ ( OS ) แนวปฏิบัติที่ดีขึ้น
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีปฏิบัติที่ดีที่สุด NFP , อ้างถึง " บทที่ 2 , มูลนิธิเครือข่ายป้องกัน " ของเครือข่ายที่ปลอดภัยคู่มืออ้างอิง : http : / / www.cisco . com / en / เรา / เอกสาร / โซลูชั่น / องค์กร / การรักษาความปลอดภัย / safe_rg / chap2 . html .
แนวป้องกันอินเทอร์เน็ตการออกแบบเครือข่ายองค์กรขนาดเล็กถือว่าการดำรงอยู่ของอินเทอร์เน็ตส่วนกลางที่สำนักงานใหญ่หรือเว็บไซต์หลักที่ให้บริการผู้ใช้ในสถานที่ บริการทั่วไปรวมถึง e - mail และเรียกดูเว็บสำหรับพนักงาน , โฮสติ้งของเว็บไซต์ของ บริษัท สามารถเข้าถึงได้ให้กับลูกค้าและคู่ค้าผ่านทางอินเทอร์เน็ตและการรักษาความปลอดภัยการเข้าถึงระยะไกลสำหรับผู้ใช้มือถือและคนงานจากระยะไกลบริการอื่น ๆอาจจะให้ใช้โครงสร้างพื้นฐานเดียวกัน
การแปล กรุณารอสักครู่..