|
|
@@ -73,3 +73,16 @@ Wewnętrzne protokoły routingu wykorzystuje się do wyznaczania tras wewnątrz
|
|
73
|
73
|
|
|
74
|
74
|
__Protokoły zewnętrzne__
|
|
75
|
75
|
Protokoły zewnętrzne służą do wyznaczania tras między systemami autonomicznymi. Najistotniejszym jest __BGP (Border Gateway Protocol)__, protokół __wektora ścieżki__ stanowiący obecnie podstawę routingu w internecie. Potokół BGP używa numerów systemów autonomicznych, przydzielanych przez odpowiednie organizacje podobnie jak adresy IP. Dane między routerami są wymieniane za pomocą protokołu TCP, do wyboru tras nie są stosowane metryki, tylko atrybuty poszczególnych systemów autonomicznych i algorytm wyboru (który może być implementowany różnie przez różnych producentów routerów). Protokół BGP standardowo jest używany w sieciach posiadających styki z co najmniej 2 dostawcami internetowymi, pozwala na pełną redundancję połączenia z internetem.
|
|
|
76
|
+
|
|
|
77
|
+# Zasady projektowania bezpiecznych systemów i sieci komputerowych
|
|
|
78
|
+(zagadnienie jest bardzo rozległe, samo bezpieczeństwo można zapewnić na różnych poziomach, tutaj wymienię kilka najistotniejszych według mnie kwestii)
|
|
|
79
|
+
|
|
|
80
|
+- __możliwie prosta architektura__ (tzw. _reguła KISS_) – tak aby zmniejszyć liczbę punktów, w których w ogóle może jakaś podatność wystąpić (i których zabezpieczenie trzeba wziąć pod uwagę),
|
|
|
81
|
+- __fizyczne bezpieczeństwo infrastruktury__ – ochrona przed wstępem niepowołanych osób do pomieszczeń z serwerami i urządzeniami sieciowymi, zamykanie szaf teletechnicznych (tzw. _szaf rack_) na klucz,
|
|
|
82
|
+- __osobna sieć administracyjna__ – wydzielenie dostępu do konfiguracji urządzeń sieciowych (lub również serwerów) do osobnej sieci, dodatkowo chronionej przed nieautoryzowanym dostępem,
|
|
|
83
|
+- __zabezpieczenie przed podłączeniem do sieci przypadkowych urządzeń__ – w zależności od potrzeb: w sieciach przewodowych – wyłączanie nieużywanych portów na przełącznikach sieciowych, automatyczne blokowanie nieznanych adresów MAC; w sieciach bezprzewodowych – stosowanie bezpiecznych obliczeniowo algorytmów szyfrowania, ze wspólnym kluczem (WPA2-PSK) lub z indywidualnymi danymi autoryzacyjnymi dla każdego użytkownika weryfikowanymi przez serwer RADIUS (WPA2 Enterprise, np. jak w eduroam),
|
|
|
84
|
+- __filtrowanie ruchu sieciowego__ – stosowanie zapór sieciowych (firewalli) i odpowiednich reguł, blokowanie nieużywanych portów TCP/UDP, wydzielanie serwerów do stref zdemilitaryzowanych (DMZ),
|
|
|
85
|
+- __szyfrowanie połączeń__ – zabezpieczenie transferu wrażliwych danych – np. haseł użytkowników – przez stosowanie odpowiednich protokołów (HTTPS, SSH, różne implementacje sieci VPN, itp.),
|
|
|
86
|
+- __rozsądna polityka haseł__ – stosowanie takich haseł, które w zależności od __specyfiki__ miejsca pracy zostaną uznane za bezpieczne (ważne! – nie zawsze długie hasło = bezpieczne hasło, np. gdy stosowanie zbyt skomplikowanych haseł kończy się ich napisaniem na karteczce na stanowisku użytkownika),
|
|
|
87
|
+- __przechowywanie haseł w bazach w bezpiecznym formacie__ – najczęściej hash hasła, z wykorzystaniem algorytmu uznawanego za bezpieczny (tzn. dla którego nie udowodniono kolizji),
|
|
|
88
|
+- __bezpieczeństwo zdalnego dostępu do serwerów__ – np. stosowanie klucza publicznego i prywatnego zamiast hasła w celu autoryzacji użytkownika przy połączeniu SSH.
|
