Opzet secure netwerk

[themaster]

Ik open dit topic omdat ik ondertussen diverse vormen van netwerken heb gezien met ieder een niveau van bescherming. Wat zou jullie best beveiligde netwerk zijn.

Eisen:

- Internet access
- Zo secure mogelijk.
- Toegang tot bedrijfsinfo.
- Hardware ongelimiteerd dus meerdere pc`s vm`s wat je maar wil.
- High availability.

Enz.
Ik plaats mijn ideetje binnekort moet nog ff wat bedenken

[libris]

Voor internet access zou ik zorgen, wel heel duur, maar dat hij randomized IP's pakt van een bepaalde reeks, ik heb dit weleens ergens gehoord en dat blijkt wel goed te werken, volgensmij kan je daar met een ISP een afspraak overmaken als je veel geld neerlegd

Ik zou zorgen dat alle verbindingen in iedergeval encrypted zijn, die naar buiten als naar binnen gaan, bv VPN, ftp, https moet allemaal ge-encrypt zijn

zorgen dat je precies alles logt wie er op het netwerk komt, omdat je hardware ongelimiteerd zegt, zodat je precies weet wie wat doet en miss als er een waarschuwing komt naar de admin als er iets opvalt.

high availability, voor alle servers backup servers laten draaien zodat het altijd blijft draaien, die vervangen de defecte servers.

verder kun je op het gebied van security og heel veel verzinnen natuurlijk maar dat hangt meer af hoe het netwerk precies in elkaar zit

[themaster]

Nouw laten we eens ff iets verzinnen:

- 100.000 users.
- Meerdere kantoren.
- Meerdere Landen
- Hoofdkantoor (POP) in nederland
- Remote login (VPN achtig iets)
- 20 Webservers
- 10 Database Servers
- 15 Email servers

[libris]

-Als je een point to point verbindingen tussen de kantoren en landen zet, dan zou ik dat zeker encrypted of een eigen line voor laten leggen of leasen.
-remote login kan terminal server of VPN zijn en dan SSL/TLS geencrypt
- de webservers zou ik goede backup procedures voor samenstellen die ook encrypted over het netwerk gaan en alleen maar intern, deze servers in een DMZ natuurlijk, met aparte firewalls, en elke servers zijn eigen firewall
- SSH van de servers niet op 22 draaien maar een custom port, miss port knocking
- ISA server om de rechten van de gebruikers te beperken en LAN te beschermen, daarachter de DMZ met aan de buitekant een extra firewall om de servers te beschermen
- database servesr krijgen alleen maar verbindingen vanaf localhost en niet van andere op het netwerk
- e-mails servers, zorgen dat je SMTP goed beveiligd en SMTPS van maken IMAPS en POP3S. Eventuele webmail met een Wildcard SSL certificaat beveiligen. Spam filters installen
- Connecties monitoren, zowel van de webservers als in de LAN's. deze regelmatig analyseren

dat is al wat ..

[BasBeheertje]

Mijn idee hierover:

- VPN Point 2 Point met smartcard encrytpion waardoor er dus 1 server is de parent VPN die smartcards verzorgt voor de childs die op andere vestigingen staan
- VPN vanuit thuis zou ik doen via tokens of iets dergelijks. Denk hierbij aan tokens van Vasco zodat je net als bij de bank.
- IDS (Intrusion Detection System) lijkt me een must
- IPS (Intrusion Protection System) lijkt me ook geen luxe
- Alles centraliseren voor goed onderhoud en snelle service
- Een simpel wireshark systeem voor de zekerheid
- Proxy server dit is toch wel makkelijk in verband met caching van websites
- Meerdere firewalls achter elkaar gevolgd zodat als er een lek is in de ene firewall de andere dit lek weer dicht
- Nagios systeem met centreon GUI zodat je je uptime en overload kunt monitoren
- Load balancing of clustering zodat het werk netjes wordt verdeeld onder de servers
- Meerdere subnets anders krijg je verkeer waar je ziek van zult worden
- Superscopes op DHCP per land en per vestiging toepassen

Verder kun je het nog uitbreiden met een 2e netwerk die bestaat uit een honeynet zodat je hier aanvallen kunt opsporen en uitlokken waarna je je echte netwerk nog beter kunt beveiligen. Ook is het hierdoor bepaalde acties na te bootsen of te testen.

Alle systemen op een rij:
- Firewall
- Zekerheidsfirewall
- IDS
- IPS
- Proxy server
- VPN parent servers
- VPN child servers
- DHCP Servers
- Nagios parent servers
- Nagios child servers
- Database servers
- Web servers
- Mail servers
- Veel routers en switches
- Een aantal goede systeem beheerders
EVT een honeynet

[themaster]

Wel aardige ideetjes zie ik hier tussen staan.

Mijn plannetje:

- Leased lines naar 2 verschillende kantoren per land voor failsafe
- Ieder land heeft dus 2 netwerk verbindingen.
- Browsen via een sandbox achtig ideetje dus de browser staat niet meer op de client pc maar op een terminalserver.
- Meerdere firewalls van diverse fabrikanten zodat wat de ene niet pakt de andere wel pakt.
- Zo min mogelijk poorten open aan de buitenkant.
- Gecentraliseerd beheer.
- Monitoring door zabbix servers met child servers per vestiging.
- Honeynet en IDSen voor het opsporen van malware en hackers.
- Server taken scheiden dus mail relay los van mail exchange en mail server.
- Beheer taken scheiden.
- Het internet verkeer van de gebruikers via een loggende proxy server met anivirus naar buiten laten gaan.
- Alle servers loggen naar een syslog server die alleen inkomend verkeer toestaat.
- Beheer van routers en switches via tacas incombinatie met RSA tokens.
- VPN via cisco of openvpn in combinatie met een RSA token (andere dan beheer)
- Login op werkstations met een smartcard.
- Websites met ssl beveiligen waar nodig doormiddel van eigen CA certificaat (aangevraagd bij een officiele CA)
- Mail verkeer beveiligen met DKIM en svpf records en SSMTP en SIMAP en SPOP3.
- Per locatie een ipv6 subnet uitgedeelt door een lokale DHCP server
- DNS gescheiden intern en externe scopes.
- Centrale directory server met childs op locatie.
- Belangrijke systemen loadbalancen of failover afhankelijk van wensen.
- Uitwijklocatie in geval van ramp op de locatie.
- Off-site backups in eigen beheer.
- Biometrische & smartcard beveiligingsmiddelen per locatie.
- CCTV per locatie.
- UPS & DIeslegeneratoren voor stroomvoorziening.
- 24/7 bewaking per locatie.


Zo dat is mijn ideetje :P

[BasBeheertje]

Ziet er goed uit! Mischien nog een pineapp ertussen als spamfilter of inbakken in de gateways in samenwerking met spyware/virusscanners.

[themaster]

Nouw ik dacht aan de volgende opstelling aangezien ik alle taken uit elkaar heb getrokken.

mailexchange -> spamfilter -> mailrelay -> mailserver

en wat voor spamfilter je dan gaat draaien dat maakt niet heel veel uit