SCI-Network Távközlési és Hálózatintegrációs Rt. T.: 467-70-30 F.: 467-70-49
A hálózatbiztonság a tervezéstől az üzemeltetésig
[email protected] www.scinetwork.hu
Szabó Krisztián
Hálózatbiztonsági szakértő Nem tudtuk, hogy lehetetlen, ezért megcsináltuk.
©SCI-Network Rt. – 2004. november 23.
Tartalomjegyzék
Kihívások, tévhitek (kifogások) Biztonsági politika Életfogytig tartó biztonsági megoldások (életciklus modell) Biztonság @ SCI-Network
SCI nap
Mentés, tűzfal, levelezés
©SCI-Network Rt. – 2004. november 23.
2
Kihívások, problémák
Számítógépek és hálózatok egyre szélesebb körű elterjedése
SCI nap
Fokozott függés az informatikai rendszerekről (egyre több az elektronikus adat) Egyre összetettebbek a vállalati rendszerek Sokféle alkalmazás és adatbázis van jelen Állandó erőforráshiány (emberi, gépi, anyagi) Földrajzilag szétszórt hálózatok
Tanulság: nem kerülhetjük ki! ©SCI-Network Rt. – 2004. november 23.
3
Tévhitek a biztonságról
„Senki sem akar minket megtámadni, hiszen mi csak egy kis cég vagyunk.”
„Egy éve telepítettük a biztonsági rendszerünket, azóta jól működik.”
A biztonság nem egyfajta termék, hanem folyamat. A védelmi rendszert folyamatosan menedzselni kell.
„Hozzánk még nem törtek be.”
SCI nap
A támadások 75%-a az internet felől érkezik. (Nagy, kicsi) Æ (Gyors, lassú)
(Hogyan) tudjuk detektálni a betöréseket? ©SCI-Network Rt. – 2004. november 23.
4
Tévhitek a biztonságról (2)
„Csupán egyetlen internetes tűzfalra van szükségünk.”
SCI nap
Mi van, ha valami nem megy át a tűzfalon (belsősök, kósza modemek)? Ha egy e-mail átmegy a tűzfalon, akkor az biztosan nem spam?
„Be van kapcsolva az XP tűzfala.” „Csak a fontos gépeket kell védeni.”
©SCI-Network Rt. – 2004. november 23.
5
Tévhitek a biztonságról (3)
„Ha bármilyen probléma adódik, percek alatt helyre tudjuk állítani a rendszert.”
„Csak Windows/Unix rendszereket használunk, így tökéletes biztonságban vagyunk.”
SCI nap
Próbálta már valaki visszaállítani mentésből a rendszert?
Megfelelő konfigurálással lehet… Idejétmúlt (hiányzó) programjavítások SANS Institute Windows/Unix TOP20 lista (a húsz leggyakoribb támadási felület) ©SCI-Network Rt. – 2004. november 23.
6
Tévhitek a biztonságról (4)
„Nincs szükség oktatásra, szakembereink hamar beletanulnak a rendszerbe.”
„Nálunk minden jelszóval védett.”
Minden? – gyenge (hiányzó) jelszavak.
„A biztonság lassú és drága.”
SCI nap
Talán a legjellemzőbb hiba az emberi tényező figyelmen kívül hagyása.
Optimalizálás: jó – olcsó – gyors (legfeljebb két döntési kritérium teljesülhet egyszerre). ©SCI-Network Rt. – 2004. november 23.
7
Tévhitek a biztonságról (5)
„Csak megbízható munkatársaink vannak.”
„Nálunk van vírusirtó.”
SCI nap
A veszteségek 75%-át (ex)belsősök okozzák. Biztos, hogy hatásosan működik? (elavult adatbázis)
©SCI-Network Rt. – 2004. november 23.
8
Biztonság - használhatóság Cél: védendő érték - potenciális veszély - használhatóság egyensúlya. Magas
Biztonság
Költségoptimum Használhatóság Alacsony SCI nap
Biztonsági szint ©SCI-Network Rt. – 2004. november 23.
Magas 9
Biztonsági politika
SCI nap
Minden betörési kísérletet a biztonsági politikához viszonyítva kell megítélni. Anélkül, hogy tudnánk, vajon mi engedélyezett, és mi tiltott egy szervezetben, lehetetlen a betörések felderítése. Egy szervezet informatikai biztonságának követelményei. ©SCI-Network Rt. – 2004. november 23.
10
Biztonsági politika (2)
A biztonság megteremtése érdekében szükséges intézkedések Összetevők:
SCI nap
MIÉRT? – a biztonság szükségessége MIT? – a védelmi igény leírása HOGYAN? – az intézkedések fő irányai KINEK? – feladatok/felelősségek meghatározása MIKOR? - időterv
©SCI-Network Rt. – 2004. november 23.
11
„A biztonság nem egyfajta termék, hanem folyamat.” (Bruce Schneier, Counterpane)
SCI nap
©SCI-Network Rt. – 2004. november 23.
12
Életciklus modell
Strukturált keretrendszer az optimális biztonság kialakításához.
SCI nap
Előzetes átvilágítás Biztonsági politika, szabályzat, eljárások kialakítása A biztonsági rendszer megtervezése A megoldási változatok kiválasztása és megvalósítása Oktatás, továbbképzés Visszacsatolás, a rendszer működtetése Kritikus események kezelése
©SCI-Network Rt. – 2004. november 23.
13
Előzetes átvilágítás
Fontosabb feladatok
SCI nap
Kritikus rendszerek és hálózati elemek behatárolása Külső kapcsolódási pontok feltérképezése Kihasználható gyenge pontok azonosítása A meglévő szabályozás feltérképezése és hatékonyságának vizsgálata Az erőforrások teljes körű dokumentálása Az eredő kockázati szint meghatározása
©SCI-Network Rt. – 2004. november 23.
14
Bizt. politika kialakítása
A szervezet kritikus információinak és folyamatainak védelmére irányuló megelőző intézkedés. Fontosabb területek:
Jelszókezelés Mentések Internet-használat szabályozása • Levelezés, hozzáférés
SCI nap
Vírusvédelem ©SCI-Network Rt. – 2004. november 23.
15
Rendszertervezés
Sikerkritériumok
SCI nap
Ne túl gyorsan, ne túl sokat! A legkritikusabb rendszereken található réseket foltozzuk be először. Egyenszilárdság elve, ne csak egy részterületet a sok közül. Megfelelő idő és erőforrás allokáció. A menedzsment folyamatos elkötelezettségének megszerzése. Folyamatos kommunikáció. ©SCI-Network Rt. – 2004. november 23.
16
Megoldás implementálása
Sikerkritériumok
SCI nap
Mit szeretnénk védeni? A megfelelő szintű védelem kiválasztása. Prioritási sorrend felállítása. Megoldásokat keressünk, ne termékeket. Többféle gyártótól származó, szabványos termékeket keressünk. Megfelelő terméktámogatás. Beszállító tapasztalatai. ©SCI-Network Rt. – 2004. november 23.
17
Szervezett továbbképzés
A rendszer sikeres implementálása csupán az első lépés, a lényeg a folyamatos üzemeltetés. Jellemzők:
SCI nap
Az emberi tényező figyelembe vétele elengedhetetlen egy projekt sikeréhez. Speciális ismeretek átadása a menedzsment és a rendszergazdák számára. A jelszavak használatából adódó kockázat jelentősen csökkenthető. ©SCI-Network Rt. – 2004. november 23.
18
Visszacsatolás, működtetés
Sikerkritériumok
SCI nap
A frissen megvalósított rendszer mennyire tud beépülni a szervezet életébe? Egységes felügyeleti rendszer létrehozása. Konfigurációs hibák kiküszöbölése. A biztonsági alkalmazások hatékony működésének folyamatos ellenőrzése. Az esetlegesen felmerülő anomáliák és betörési kísérletek érzékelése. ©SCI-Network Rt. – 2004. november 23.
19
Kritikus események
Sikerkritériumok
Kritikus események hatékony érzékelése, megfelelő válaszlépések kidolgozása és a helyreállítás elvégzése. Hatékony katasztrófa-elhárítási tervek. 7x24 típusú, centralizált rendszerfelügyelet. „Kedves Hackerek! Kérjük szíveskedjenek munkaidőn kívül mellőzni a behatolási kísérleteket, mivel rendszergazdáink ekkor nem tudnak a betörési kísérletekkel foglalkozni.”
SCI nap
©SCI-Network Rt. – 2004. november 23.
20
Biztonság @ SCI-Network
Néhány gyakorlati építőelem:
Komplex mentőrendszer • Veritas Backup Exec
Integrált tűzfalrendszer • BorderWare Firewall
A levelezés vírus- és tartalomszűrése • BorderWare MXtreme
SCI nap
©SCI-Network Rt. – 2004. november 23.
21
Veritas Backup Exec
Piacvezető biztonsági mentési és helyreállítási megoldás, mely átfogó, költséghatékony és tanúsított védelmet nyújt Windows környezetben Komponensek
Mentőszerver • Ezen fut a központi szoftver, ide történik a mentés
SCI nap
Távoli állomány- és alkalmazásszintű elemek Különféle opciók
©SCI-Network Rt. – 2004. november 23.
22
Veritas Backup Exec (2)
Remote Agent (CAL) for Windows Servers
Windows szerverek hálózaton keresztüli mentése Ingyenesen felhasználható munkaállomások védelmére • XP Home/Pro, 98/ME, NT/2000Pro, Unix/Linux, Mac
Advanced Open File Option
SCI nap
Megnyitott állományok használat közbeni mentése
©SCI-Network Rt. – 2004. november 23.
23
Veritas Backup Exec (3)
Agent for Microsoft Exchange Server
Agent for Lotus Domino
SQL 7, 2000, 32/64 bites rendszerekhez
Oracle Agent
SCI nap
Domino 5, 6 és tranzakciós naplók mentése
Agent for Microsoft SQL Server
Exchange Server 5.5, 2000, 2003 online mentése Postafiókok levél szintű visszaállítása
8i, 8.x, 9i változatok mentése ©SCI-Network Rt. – 2004. november 23.
24
Veritas Backup Exec (4)
Desktop and Laptop Option
Intelligent Disaster Recovery (IDR) Option
SCI nap
Munkaállomásokon és notebook-okon tárolt kritikus adatok védelme Adatok szabályozott szinkronizálása Automatizált helyreállítási technológia rendszerösszeomlás esetére Nem kell alaptelepítést végrehajtani
©SCI-Network Rt. – 2004. november 23.
25
BorderWare Firewall (1)
Fontosabb jellemzők:
Operációs rendszertől független • Speciális, S-Core operációs rendszer
Könnyű menedzselhetőség • Nincs feljegyzett betörés • Windows-alapú GUI
Terméktámogatás • 7x24 gyártói és SCI-Network support
SCI nap
©SCI-Network Rt. – 2004. november 23.
26
BorderWare Firewall (2)
Extra opciók
DMZ (demilitarizált zóna) – 4db VPN opció Hibatűrés (tűzfaltükrözés és terhelésmegosztás) SurfControl URL-szűrés Integrált szerverek • beépített belső és külső DNS szerver • integrált HTTP, POP3, SMTP, FTP szerver
SCI nap
Squid Web-proxy ©SCI-Network Rt. – 2004. november 23.
27
BorderWare MXtreme
Új termékkategória
a levelezés alkalmazásszintű tűzfalas védelmét ellátó célberendezés
Fontosabb jellemzők
Fejlett spamszűrők Beépített antivírus (Kaspersky) Mellékletek ellenőrzése • pl. EXE, MP3 küldésének tiltása
SCI nap
Tartalomszűrés ©SCI-Network Rt. – 2004. november 23.
28
BorderWare MXtreme (2)
Web-alapú menedzsment igény szerint CryptoCard/SecurID tokenkártyával kiegészítve Rugalmas logikai elhelyezés
SCI nap
Tűzfallal párhuzamosan Demilitarizált zónában A tűzfal mögött, a belső hálózaton
Biztonságos Webmail Fejlett jelentéskészítő eszközök SNMP monitorozás (MIB változók) ©SCI-Network Rt. – 2004. november 23.
29
Köszönöm a figyelmüket!
[email protected]
SCI nap
©SCI-Network Rt. – 2004. november 23.
30
