Határvédelem a belső hálózaton

156 learners taking this course

Vagy belépés a megvásárolt kurzusod eléréséhez.
A belső hálózatok védelménél két fő szempont szokott érdekelni egy hálózatost. Az egyik, hogy miként védekezzünk a belső támadások ellen, a másik pedig, hogy miként akadályozzunk meg idegeneket abban, hogy hozzáférjenek a belső hálózathoz. Hangsúlyozottan az irodai vagy egyéb belső hálózatról van szó, nem arról, hogy egy akármilyen szervert ami lóg az interneten támadnak. Nagyszerű alkalmazás-ismerő tűzfalról volt mar egy két részes előadás, amely például olyan dolgokat mutatott be egy konkrét konfiguráláson át, hogy miképp védjen a hálózati mérnök tűzfala az ellen, ha hanyag programozók hibákat felejtenek a PHP kódban. Egy ilyen tűzfal kiszűri ezeket a hibákat, de ez másfajta határvédelem.
A belső hálózat határának védelme nyilvánvaló, de ezzel eddig nem foglalkoztunk. Azzal foglalkoztunk csak, hogy ha valakinek már van jogosultsága hozzáférni, akkor miként tudjuk megakadályozni, hogy idegen IP címet használjon, vagy kikerülve a DHCP-t, megpróbáljon saját fix IP címet beállítani, esetleg megszemélyesíteni másokat, vagy elterelni a forgalmat. Ezeket is már mind megvizsgáltuk. Ezúttal egy valódi belső hálózatot fogunk konfigurálni, pontosabban a hálózatot megtestesítő switchet. Olyan funkciókra keresünk megoldásokat, hogy miképpen lehet kívül tartani azokat, akik nem belülre valók. Ennél azonban tovább is megyünk. Rá fogunk jönni, hogy miközben a biztonságos hálózatot építjük ki, lepésről lepésre, az oktató megosztott monitorát követve, különböző járulékos előnyökhöz is jutunk. Ennek eredménye az lesz, hogy az eredeti elvárashoz kepést egy lényegesen rugalmasabb, a felhasználókat jobban kiszolgáló hálózathoz jutunk amely segíti a felhasználókat abban is, hogy követni tudják a biztonsági előírásokat.
Szó lesz a MAC cím alapú védelemről elsőként, hiszen az alapoktól célszerű elindulni ahhoz, hogy megtudjuk, mikor nem célszerű erre építeni a védelmet és mikor igen. Elmozdulunk majd a végpontok azonosításától és inkább a végfelhasználók felé orientálódunk, hiszen ez segít majd olyan kérdéseket megválaszolni, amik mar alapvető igények egy felhasználótól.
Behozhatom az otthoni gépem és ráköthetem a céges hálózatra? Ugyanazokhoz fogok tudni hozzáférni a céges gépről, bárhonnan? Ugyanazokhoz fogok tudni hozzáférni bárkinek a gépéről, ha én lépek be rá? Tudja-e a hálózat támogatni, hogy azok a gépek is letöltsék az antivírus frissítést akik ki vannak tiltva a hálózatról? De ha elmozdulunk a hagyományos céges környezetből, és szélesebb spektrumban gondolkodunk, akkor olyan kérdésekre is válaszokat tudunk kapni, amelyek más területeket céloznak. Megoldható-e, hogy bizonyos emberek csak adott mennyiség, vagy adott idő kereten belül férjenek hozza a hálózathoz? Megoldható-e, hogy esetleg ezek az emberek földrajzilag valahol ülve korlátlanul férjenek hozza a hálózathoz, de máshol korlátosan? Tipikusan ilyen megoldások szoktak érdekelni egyetemi, kollégiumi géptermi üzemeltetőket, ahol például bizonyos hallgatók időben vagy mennyiségben korlatozott hozzáférést kaphatnak csak.
Mindezeken túl pedig olyan izgalmas kérdéseket is megvizsgálunk, hogy miképp maradjon működőkepés például a wake-on-lan funkció egy biztonságosra beállított hálózatban? Hogyan működjön egy ilyen korlátozás egy IP telefon mögé kötve? Mi történik ha egy hubon keresztül több gépet kötök rá a hálózatra?
Csupa olyan kérdés, amelyre mind választ kapsz a képzésen, amely során egy hálózati eszközt a nulláról konfigurálunk fel. A konfigurálás során természetesen elkövetünk tipikus hibákat, hogy aztán megnézzük: mi a teendő ha nem működik valami? Hogyan lehet rájönni hogy mit rontottunk el? Különösen ha valaki más rontotta el, ez hasznos lehet, hiszen vagyunk páran akik napi nyolc órában mások által “bekonfigurált” hálózatot varázsolunk valójában működővé.

Leckék

X