Bezpieczna sieć zapewnia dostępność zasobów do wykonania określonych zadań oraz chroni przed atakami pochodzącymi z zewnątrz lub z wnętrza sieci. Tradycyjne myślenie o bezpieczeństwie sprowadza się do spełniania kilku specyficznych wymagań - uwierzytelniania użytkownika, ochrony urządzeń oraz aplikacji. Ruch aplikacji powinien zostać bezpiecznie dostarczony przez sieć, przeciwstawiając się zagrożeniom związanym z prywatnością danych oraz przejęciem intelektualnych wartości.

Większość organizacji skupia się na ochronie ruchu aplikacji, część z nich na ochronie infrastruktury. Aby chronić całą sieć, elementy bezpieczeństwa muszą zostać wprowadzone na wszystkich warstwach sieci. Warstwy bezpieczeństwa określają możliwość zabezpieczenia ruchu aplikacji w czasie transportu przez sieć. Powinny skupiać się na następujących obszarach:

1) Bezpieczeństwo brzegowe - chroni aplikacje sieciowe przed zewnętrznym atakiem, poprzez wykorzystanie zapory ogniowej oraz systemu wykrywania intruzów.

2) Bezpieczeństwo komunikacji - zapewnia poufność i integralność informacji, typowo poprzez wykorzystanie połączeń SSL lub wirtualnych sieci prywatnych VPN (IPSec).

3) Bezpieczeństwo infrastruktury - rozszerzona warstwa ochronna sprzętu sieciowego i serwerów aplikacji.

4) Bezpieczeństwo zasobów - każde urządzenie powinno zapewniać zasoby do wydajnej realizacji postawionych zadań oraz nie będzie stanowiło zagrożenia dla sieci.

5) Bezpieczeństwo dostępu - każdy użytkownik posiada dostęp wyłącznie do elementów sieci i aplikacji wymaganych do danej pracy.

6) Bezpieczeństwo fizyczne - chroni sieć przed fizyczną modyfikacją.

Stworzenie bezpiecznej sieci nie jest jednorazowym zdarzeniem, lecz ciągłym procesem. Istnieją trzy główne problemy związane z realizacją tego procesu.

1) Jak zapobiegać niepożądanym zdarzeniom z zakresu bezpieczeństwa sieci? Ponad oczywistymi sprawami jak aktualizacja systemu operacyjnego czy oprogramowania antywirusowego, konieczne jest regularne śledzenie nowości w tej dziedzinie, które pozwolą na wdrożenie kolejnych mechanizmów w istniejącej sieci.

2) W jaki sposób wykrywać zdarzenia? Niektóre przypadki naruszenia bezpieczeństwa są dość powszechne, ale wśród nich można znaleźć także te bardziej subtelne. Techniki wykrywania zagrożeń opierają się głównie na systemach wykrywania intruzów, systemach sprawdzających dzienniki, błędy konfiguracji oraz inną podejrzaną aktywność.

3) Jaka jest prawidłowa reakcja na zagrożenia? Zakres przygotowań musi zawierać stworzenie mechanizmów postępowania, reagujących na najpowszechniejsze zagrożenia.

Poniżej przedstawiamy 10 technik niezbędnych do realizacji przedstawionych założeń bezpiecznej sieci.

1. Wykorzystaj ochronę warstwową i wiele uzupełniających się rozwiązań w celu ochrony strategicznych punktów sieci.

2. Wprowadź użytkowników różnych działów w proces planowania bezpieczeństwa.

3. Zdefiniuj wyraziście strefy bezpieczeństwa i rolę użytkowników. Wykorzystaj zaporę ogniową, listy kontroli dostępu i filtracji do wprowadzenia polityki dostępu do tych stref. Wymagaj skomplikowanych haseł w celu zapobiegania atakom słownikowym.

4. Zarządzaj integralnością sieci, bezpieczeństwem serwerów i klientów. System operacyjny każdego urządzenia sieciowego i elementy systemu zarządzającego powinny być chronione poprzez wyłączenie zbędnych usług. Aktualizacje powinny zostać przeprowadzone w możliwie najkrótszym okresie czasu. System operacyjny powinien być regularnie testowany na obecność wirusów.

5. Kontroluj urządzenia sieciowe oraz punkty końcowe sieci pod kątem bezpieczeństwa. Sprawdzaj wszystkie typy urządzeń - zarówno przewodowe oraz bezprzewodowe.

6. Chroń sieć przesyłającą informację. Upewnij się, że wirtualne sieci LAN (VLAN) oraz inne mechanizmy bezpieczeństwa (IPSec, SNMPv3, SSH, TLS) są wykorzystywane do ochrony urządzeń sieciowych i elementów systemów zarządzających. Tylko uprawniony personel powinien mieć dostęp do tych elementów. Określ proces tworzenia kopii zapasowej konfiguracji i zaimplementuj system śledzenia zmian konfiguracji.

7. Chroń informację użytkowników. Komunikacja bezprzewodowa (Wi-Fi/MESH) powinna wykorzystywać VPN lub standard 802.11i z TKIP. Sieci VLAN powinny rozdzielać ruch pomiędzy oddziałami zlokalizowanymi w tych samych fizycznych sieciach oraz oddzielać poszczególnych użytkowników od gości.

8. Analizuj ruch sieciowy, zagrożenia i nadużycia dla każdej strefy bezpieczeństwa z naciskiem na wewnętrzne i zewnętrzne zagrożenia.

9. Użyj narzędzi bezpieczeństwa do ochrony krytycznych aplikacji. Wykorzystaj zaporę ogniową wspierającą nowe multimedialne aplikacje i protokoły, jak SIP i H.323.

10. Zapisuj połączenia, porównuj i zarządzaj bezpieczeństwem oraz informacjami z audytów i zdarzeń. Agreguj i standaryzuj informacje o powstających zagrożeniach. Pozwoli to wykryć rozproszone ataki.

Nie istnieje jedna technologia dostosowana do zapewnienia bezpieczeństwa dla wszystkich organizacji (małych, średnich lub dużych). Zależnie od potrzeb i konkretnej sytuacji, bezpieczeństwo sieci powinno być rozpatrywane indywidualnie.