Document de proiectare a infrastructurii de securitate

1. Un site web extern care permite utilizatorilor să răsfoiască și să cumpere widget-uri

 A ține pasul cu standardele CIA, care este confidențialitatea, integritatea și
disponibilitatea datelor pentru clienți, specialitatea împotriva unui atac precum atacul
DDOS.
 Implementarea autentificarii, autorizarii si contabilitatii AAA.
 Parole complexe și lungi cu numere, caractere speciale, litere mari și mici.
 Instalați certificate de server folosind pentru a verifica și autentifica clienții de către
autoritatea de certificare.
 A avea politici de confidențialitate definite și bine stabilite este o parte importantă a
bunelor practici de confidențialitate. Stabiliți orientări privind gestionarea datelor
despre clienți.
 Auditul periodic este o bună practică

2. Un site intranet intern pe care să îl folosească angajații

 Sistemul ar trebui să verifice, să distribuie și să verifice actualizările software
pentru implementarea software-ului.
 Kerberos este un protocol de autentificare a rețelei care utilizează bilete pentru a le
permite (clienților) să-și demonstreze identitatea pe canale potențial nesigure pentru
a oferi autentificare reciprocă. De asemenea, folosește criptarea simetrică pentru a
proteja mesajele de protocol de atacurile cu interceptări și reluare.
 Sistemele de detectare și prevenire a intruziunilor sau sistemele IDS/IPS
funcționează, prin monitorizarea traficului de rețea și analizarea acestuia.
Diferența dintre un sistem IDS și un sistem IPS este că IDS este doar un sistem de
detectare. Nu va actiona pentru a bloca sau a preveni un atac, atunci cand unul este
detectat, va inregistra doar o alerta. Dar un sistem IPS poate ajusta regulile firewall
din mers, pentru a bloca sau a elimina traficul rău intenționat atunci când este
detectat.

 Sistem de analiză a jurnalelor, pentru monitorizarea traficului care intră și iese din
rețea.

 Implementarea serverului RADIUS pentru a gestiona accesul la rețelele interne,
rețelele WiFi, serviciile de e-mail și serviciile VPN.
 Un sistem bun de politică a parolelor ar impune cerințele privind lungimea,
complexitatea caracterelor și ar verifica prezența cuvintelor din dicționar, ceea ce
ar submina puterea parolelor.
 Soluții precum SCCM de la Microsoft sau Puppet Labs care permit
administratorilor să obțină o imagine de ansamblu asupra software-ului instalat în
flota lor de multe sisteme.
 Corectarea erorilor software care pot duce la verbalități și efectuarea actualizărilor
software în timp util.
 defini politici privind partajarea fișierelor, extensiile fișierelor și clasificarea
acestora.
 Educația angajaților este, de asemenea, un factor de securitate determinant de luat
în considerare, în remedierea atacurilor de tip phishing, inginerie socială și alte
atacuri.
3. Acces securizat de la distanță pentru angajații de inginerie
 VPN-urile sunt recomandate pentru a oferi acces securizat la resursele interne
pentru utilizatorii de telefonie mobilă sau roaming. oferiți acces securizat de la
distanță și conectați două rețele în siguranță utilizând tunelul VPN.
 Sau implementarea unui proxy invers poate fi configurată pentru a permite accesul
securizat de la distanță la serviciile bazate pe web, fără a necesita un VPN.
 Protocolul de tunel de nivel 2 este de obicei utilizat pentru a susține VPN-urile. O
implementare comună a L2TP este în combinație cu IPsec atunci când datele
confidențiale sunt necesare, deoarece L2TP nu oferă criptarea în sine.

4. Reguli rezonabile, de bază pentru firewall

 Dorim să configuram atât firewall-ul gazdă, cât și cel bazat pe rețea pentru a
refuza regula implicită. Înseamnă că totul ar trebui blocat. Apoi, am activa
selectiv anumite servicii, IP-uri și porturi care vor fi utilizate.
 Active Directory poate fi folosit pentru a împiedica utilizatorii să modifice
regulile firewall bazate pe gazdă sau să-l dezactiveze.
5. Acoperire wireless la birou
 Cea mai bună practică pentru a asigura o acoperire wireless este să implementați
WPA2 cu criptare în mod AES/CCMP.
 Parole complexe și lungi cu numere, caractere speciale, litere mari și mici.
 Se dezactivează caracteristica WPS, deoarece tratarea pe care o poate prezenta
unei rețele
 Schimbarea SSID-ului în ceva neobișnuit și unic, ar face, de asemenea, ca atacul
tabelelor curcubeu să fie mai puțin probabil.
 Întărirea wireless este, de asemenea, importantă, dezactivarea portului neutilizat
ar ajuta la menținerea în siguranță a rețelei.
6. Configurații rezonabil de sigure pentru laptopuri
 Software anti-malware
 Antivirus pentru a proteja împotriva celor mai obișnuiți viruși cunoscuți astăzi
 Criptarea completă a discului oferă din nou protecție împotriva atacurilor fizice
împotriva sistemului.
 Software de listare binară-albă