Az informatikai biztonság kialakítása Wireles hálózatokon
Üdvözlöm a jelenlévőket Likavcsán Ferenc József Informatikai tanácsadó ÁNTSZ OTH
Ismertebb wifi használatok (netmegosztás, nyomtató vezérlése) ●
Legegyszerűbb megoldást kínáló eszközök:
Mi kell hozzá? ● ●
Hálózati kapcsolat, ami rendszerint egy LAN kapcsolat. Egy router, ami gyakran több funkciós eszköz (vezetékes és rádiós kapcsolat, valamint printerszerver is)
●
Összetettebb hálózat esetén Access point, gateway. . .
●
Kapcsolódó eszközök (laptop, PDA, mobil, printer. . . )
●
És egy Hacker, aki ezek felderítésével(?) foglalkozik
A Wireless informatikai hálózat alapeszköze
In fra s tru k tú ra a la pú h á ló z a t i t o po ló g ia
A d Ho c to po ló g ia
Hogyan lehet a napi használatban manuálisan bizalmi információkhoz jutni nem informatikai eszközökkel? - Hivatkozás valakire, aki az adott cégnél dolgozik - Nem megfelelően megsemmisített iratokhoz jutni - Telefonon keresztül. - Megjátszani a telephelyen az eltévedés látszatát. - Jóindulatnak beállítani a segítőszándékot - Megszerzett nevekkel manipulálni az alkalmazottat. - Szervizes szakembernek kiadni magunkat. - Intim területi ajánlat tételével randizni.
Védekezési lehetőségek Soha ne engedje át az identitását másnak. Ne adja „kölcsön” a jogosultságait! A titkos jelszó, titkos! Új kollégának segíteni fontos, azonban győződjön meg akkor, hogy valóban az aki. Hívjuk vissza a vállalati melléken! Kérjük a vezetőjének a jóváhagyását. Ha ez lehetséges kérjük a saját vezetőnk véleményét. Ahelyett, hogy segítenénk neki az információ kinyerésében, biztassuk a megfelelő jogosultságok megszerzésére.
Védekezési lehetőségek Soha ne adjon ki olyan információt másnak, amivel jogosultságai lévén önmagának is tisztában kell lennie! Soha ne adja ki másnak az Ő saját adatait, ha valaki, hát Ő biztosan tisztában van vele! A közérdekű információ azért közérdekű, mert mindenki eléri. Ennek ismerete nem számít tudásnak. Az, hogy valaki ismeri a zsargont, még nem jelenti azt, hogy megbízható. Mindig gondolkozzunk a SAJÁT FEJÜNKKEL, mások véleménye és magatartása irreleváns ha mi magunk (is) megtartjuk a szabályokat! Ismerje meg saját céges folyamatait, a szabályait, de ne alkalmazza őket vakon!
Védekezési lehetőségek Ne adjon át olyan információt senkinek, amelynek a forrásáról Ön személyesen nem bizonyosodott meg, hogy eredeti. Ne továbbítson információt harmadik személyhez az információ forrásának beleegyezése nélkül. Ha a belegyezés megszerzése nem lehetséges, továbbítsa az információ kérőjét az információ forrásához, de az információt magát ne szolgáltassa ki. A belső telefonszám: BELSŐ telefonszám, tehát nem publikus. Az hogy valaki bajban van, siet, nem lehet ok az ellenőrzés kihagyására!
A Wifi és az adattovábbítás biztonsága A gyári jelszó-beállításának megváltoztatása. Változtassuk meg az AP gyári IP-címét is. Kapcsoljuk ki a SSID-broadcastingot. Semmiképp se engedélyezzük a DHCP használatát. A tűzfal-funkciókat se hagyjuk ki. Használjunk WEP-et. Bár feltörhető, mégis jobb, mintha semmilyen titkosítás nem lenne. Használjunk inkább WPA-t. (legalább 20 karakteres jelszó, kerülve az értelmes – főleg angol – szavakat). Állítsunk be MAC-cím alapján történő szűrést. Korlátozzuk az erősségét (TX Power).
Az informatikai biztonság hibáinak a felderítése és megoldások kidolgozása Felderítési módszerek ➢
➢ ➢ ➢ ➢
Belső szabályzatok, törvények, ajánlások összehasonlítása (MABISZ, IVSZ, ITB, stb...) Fizikai felderítés (bejárás, nem lezárt gépek, stb…) Social Engineering Penetration Test („Hacker” módszerek kívülről) Loyality Test („Hacker” módszerek belülről)
Az informatikai biztonság hibáinak a felderítése és megoldások kidolgozása Megoldási módszerek ➢
➢ ➢ ➢ ➢
Belső szabályzatok, törvények, ajánlások naprakészen tartása Rendszeres dolgozói képzés Az új technológiák alkalmazása lehetőség alapján Már az új beruházáskor gondolni kell a biztonságra Felhasználói programokat csak biztonságos helyről szerezünk be.
Az adatállományok biztonsági fokozatokba sorolása szubjektív elem nélkül ●
Az adatállomány mint érték meghatározása
●
Az értéket növelő hatások összefoglalása
●
Az értéket csökkentő hatások összefoglalása
●
Minősített adatokra vonatkozó előírások összefoglalása
●
Az adat mint árú a cégek saját érdekében
●
Javasolt képletszerkezet kialakítása
●
További felhasználási lehetőségek.
Köszönöm, hogy meghallgatták az előadásomat