Bezpečnostní projekt Případová studie

Bezpečnostní projekt Případová studie

V Brně dne 24. a 31.10.2013

Metodika zabezpečení síťové infrastruktury Potenciální hrozbou pro síťovou infrastrukturu jsou lidé (nedbalost či neznalost uživatelů nebo úmyslné útoky útoky, krádeže) a přírodní faktory (blesk, (blesk požár, záplavy). Před plánováním zabezpečení vlastní sítě, je třeba nejdříve zvážit, jakou cenu mají aktiva (hardware, software, data) a jaká jsou s jejich případným zneužitím, odcizením či poškozením spojená rizika (ztráta zákazníků, poškození dobrého jména organizace) tak, aby plánované prostředky vynaložené l ž é na zabezpečení b č í byly b l na jjednu d stranu t d dostatečné t t č é ale l nikoliv ik li zase přemrštěné (viz grafické vyjádření „přiměřená bezpečnost za akceptovatelnou cenu). V souvislosti s možným výskytem bezpečnostních incidentů (narušení bezpečnosti) je třeba mít připraven plán jejich zvládání (adekvátních reakcí na p y g ně)) včetně plánu zachování ((či rychlého obnovení)) chodu organizace až do jejich úplného vyřešení a návratu do původního stavu.

Těmito problematikami se zabývá zejména: Bezpečnostní projekt

2

Pokračování 1 risk management - dentifikace aktiv a stanovení jjejich j hodnoty y - identifikace hrozeb a slabin - stanovení závažnosti hrozeb a míry zranitelnosti disaster recovery plan (DRP) - prevence bezpečnostních incidentů - detekce bezpečnostních incidentů - obnova po výskytu bezpečnostního incidentu business continuity management (BCM) - porozumění činnosti organizace - návrh a implementace bezpečnostních opatření (interní předpisy předpisy, bezpečnostní politika, DRP, BCP, strategie reakcí na incidenty) - audit, testování, hodnocení a případná změna bezpečnostních opatření business continuity plan (BCP) - aktualizované off-site úložiště dat a dokumentů (smlouvy, pojištění, účetnictví) - kontakty k t kt na zaměstnance, ě t krizové ki é vedení d í a obchodní b h d í partnery t - směrnice a postupy pro aktivaci disaster recovery plánu Bezpečnostní projekt

3

Pokračování 2 strategie reakcí na incidenty - ochrana životů a zdraví - zamezení dalších škod - hodnocení škod - použití BCP (a následná obnova běžného chodu organizace dle DRP)

Bezpečnost p sítě lze rozdělit na fyzickou y bezpečnost, p , bezpečnost p sítě a služeb a bezpečnost lidských zdrojů. Stejným způsobem lze zpracovat metodiku zabezpečení síťové infrastruktury: Bezpečnostní projekt

4

Fyzická bezpečnost Fyzická bezpečnost vhodná lokalita pro sídlo organizace (či pro umístění jejího IT zázemí) - dobrá dopravní dostupnost (optimálně alespoň dvěma způsoby – auto, MHD, vlak, ...) - ochrana před nepříznivými přírodními vlivy - zvýšené podlaží (záplavy) - neumísťovat v záplavovém pásmu - neumísťovat pod kopec či do svahu (riziko zavalení či sesuvu půdy) - neumísťovat blízko stromům (nebezpečí jejich pádu atd.) splnění elektrotechnických předpisů - správné dimenzování vodičů a jističů - dostatečné uzemnění a izolace - správné IP krytí zařízení - proudové chrániče - bleskojistky a přepěťové ochrany (před bleskem a přepětím)

Bezpečnostní projekt

5

Fyzická bezpečnost - pokračování 1 splnění požárních předpisů - použití žáruvzdorných materiálů (bezhalogenní provedení kabeláží) - výběr hasicího systému - EPS (požární hlásič) - únikový východ zabezpečení klíčových prostor - uzamykatelné prostory, bezpečnostní dveře, bezpečnostní fólie - EZS - kamerový dohled, ostraha - evidence vstupu povolaných osob (čipové karty, otisk prstu apod.) - ochrana h b budovy d ((mříže říž na oknech, k h plot, l t b betonové t é zátarasy át apod.) d) zajištění vhodného prostředí pro provoz informační a komunikační techniky - spolehlivé dodávky elektrické energie (UPS (UPS, motorgenerátor motorgenerátor, náhradní dodavatel) - instalace klimatizace

Bezpečnostní projekt

6

Fyzická bezpečnost - pokračování 2 dostatečné označení a dokumentace - označení zařízení (název, (název inv. inv číslo číslo, ip adresa adresa, mac adresa adresa, kontakt na správce) - označení zásuvek a portů v patch panelech (dle normy EIA/TIA 606-A) - projektově zpracovaná topologie sítě používání kvalitních komponent splňujících standardy - certifikovaná instalace kabeláže - autorizované dodávky aktivních prvků sítě a IT zařízení dodavatelský servis a pojištění pravidelné on-site a off-site zálohování klíčových dat (konfigurací, logů, aplikací) a dokumentů (směrnic, smluv, obchodních kontaktů) redundantní topologie - záložní linky

Bezpečnostní projekt

7

Fyzická bezpečnost - pokračování 3 redundantní zařízení a komponenty - mirroring - záložní boxy (dle stavu připravenosti): - studená záloha - vlažná záloha - horká záloha

Bezpečnostní projekt

8

Bezpečnost sítě a služeb Bezpečnost sítě a služeb vypnutí nepotřebných služeb (každá komponenta má dělat pouze to, na co byla určena) zabezpečení přístupu ke zdrojům a službám - AAA (lokální nebo serverová) - autentizace (ověření totožnosti uživatele) • heslem (dostatečně dlouhým a složitým) • biometrie (otisk prstu, oční duhovka) • čipové karty • asymetrické kryptování, kryptování elektronický podpis - autorizace (přístupová práva ověřeného uživatele) - accounting (záznam činnosti uživatele) stanovení t í priorit i it služeb l ž b upřednostněním ř d t ě í kritických k iti ký h systémových té ý h či služeb l ž b v reálném čase

Bezpečnostní projekt

9

Bezpečnost sítě a služeb – pokračování 1 správné rozdělení sítě - bezpečnostní zóny (internet, extranet – DMZ, intranet) - virtuální sítě (VLAN) dle skupin uživatelů s podobným oprávněním či dle logických seskupení (finanční oddělení, správci sítě, ostatní zaměstnanci apod.) perimeter security (ochrana na rozhraní bezpečnostních zón a/nebo virtuálních sítí) - NAT (PAT (PAT, NAPT) – skrytí vnitřní sítě použitím privátních adres s následným překladem na jednu nebo více veřejných adres - firewall (s vlastnostmi:) - rate limiting (ICMP, UDP), ochrana před útoky typu DoS, DDoS - antispoofing (ochrana proti podvrhování falešných dat – např. zahazování zvenčí příchozích paketů se zdrojovou adresou pocházející p j z vnitřní sítě apod.) p ) - omezení přístupu (ACL - např. povolení zahájit komunikaci pouze z vnitřní sítě ven) - content filter (filtrování provozu na základě jeho obsahu) – antivirus, antispam, antimalware, omezení přístupu na některé webové stránky apod. Bezpečnostní projekt

10

Bezpečnost sítě a služeb – pokračování 2 endpoint security (ochrana koncových zařízení) - osobní b í firewall fi ll - IPS (při výskytu příznaků naznačujících útok zablokuje odpovídající provoz) - IDS (detekuje a ohlásí případný útok, na detekci je citlivější než IPS) ochrana sítě před uživatelem (DHCP snooping, port security, 802.1x, antispoofing) ochrana vzdáleného přístupu – SSH, SSH VPN (IPsec, (IPsec SSL) používání zabezpečených služeb – https, smtps dohledové d hl d é centrum t - sledování funkčnosti síťových prvků (ping, Management SW sítě) - vyhodnocování logů, odhalování abnormalit - řešení problémů ochrana paměťových médií (šifrování, důkladná likvidace dat při jejich vyřazování) y ) Bezpečnostní projekt

11

Bezpečnost sítě a služeb – pokračování 3 správa sítě - management konfigurací - adekvátní SW licence - aktualizace SW a OS - logování g ((lokálně či šifrovaně na vzdálenýý server)) - přístupů a využívání služeb - změn stavů sítě a služeb (výpadek služby či linky, změna konfigurace, změna v routovací tabulce apod.) - statistiky provozu (NetFlow) redundanci zajišťující protokoly (STP, MRP) bezpečné směrování - stabilní - použití statických cest - od důvěryhodných y ý zdrojů j ((ACL, volitelná authentizace zařízení u protokolů RIP, OSPF) - jen nutné směrovací informace (policy routing, distribute lists, route maps) - reverse-path filtering (v případech, kdy se nepoužívá asymetrické směrování) Bezpečnostní projekt

12

Bezpečnost lidských zdrojů Bezpečnost lidských zdrojů splnění předpisů OHASMS (dříve BOZP) minimalizace přístupových oprávnění zastupitelnost, informovanost, komunikace BCM – Business Continuity Management právní prostředí školení - pravidelné a s odpovídající náplní dle daných cílových skupin - interní předpisy, bezpečnostní politika - hrozby na síti, prevence a obrana - správné ovládání IT (OS, IS, SW a HW)

Bezpečnostní projekt

13

Aplikace síťových opatření

Příklad bezpečnostního projektu Výběr doporučených technických opatření – Centrální AAA server – Centrální firewall – IDS, IPS – konfigurovatelný switch podporující QoS a zabezpečení (802.1X) – zavedení synchronizace času (PTP) – syslog server – network monitoring station – backup server – vlastní mail server – Endstation firewall – Endstation antivirus – Endstation antispam

Bezpečnostní projekt

ano ano ano

ano ano ano ano

14

Aplikace síťových opatření – pokračování 1 Základní kroky při aplikaci opatření Obecný postup zavádění zabezpečení krok za krokem může být např. následující: – změnit hesla ((zatím p pouze na dočasná)) – aplikovat FW (centrálního) – vypnutí nepotřebných služeb – aplikovat p synchronizaci y času (time ( server)) – aplikovat logování (syslog server) – network monitoring – aplikovat zálohování (backup server) – zabezpečení směrování (je-li třeba) – v případě nutnosti update (či upgrade) OS – aplikovat FW a antivirus (anti-malware) na ostatních (koncových) stanicích – zavedení d í bezpečnějších b č ější h služeb l ž b ((antispam i na mailserveru) il ) – update (či upgrade) používaného aplikačního SW – v případě používání zastaralé technologie zavést přepínaný ethernet, nejlépe jlé GE Bezpečnostní projekt

15

Aplikace síťových opatření – pokračování 2 – port security, DHCP snooping – změna hesel na hesla trvalejšího rázu – reverse-path filtering (pokud se nepoužívá asymetrické směrování) – centrální AAA server – 802.1X,, klíče,, certifikátyy – EZS - evidence vstupu (čipové karty), kamerový systém

Ekonomické zhodnocení a cenové odhady Předpokládáme stávající nezabezpečenou síť pro 50 PC s požadovanými atributy: – připojení k Internetu (poslední míle včetně směrovače) – stávající j služby y ((email,, www,, DNS,, IS)) – LAN, Wi-Fi, koncová zařízení

Bezpečnostní projekt

16

Aplikace síťových opatření – ekonomická náročnost Ekonomická náročnost potřebných základních síťových opatření pro potřeby zabezpečení popis i

k ks

cena/ks /k

cena  celkem lk

cena  celkem lk

bez DPH

s DPH

P á k Poznámka

Infrastruktura DR 

42U/ 600x1000

1

13900

13900

16819

Open Frame Open Frame

42U/750 950 42U/750‐950

1

13600

13600

16456

1500

150000

181500

certifikovaná Alternativně

kabeláž UTP IBDN

Cat 6 100

Alternativně

switch 48‐port GE

HP V 1910‐48G

1

13000

13000

15730

switch PoE 24‐port

HP V 1910‐24PoE

2

16200

32400

39204

klima

serverovna

1

42000

42000

50820

přístupový systém

serverovna

1

7900

7900

9559

ASA 5510

1

49900

49900

60379

Intel

1

200000

200000

242000

HW + SW

NAS QNAPTS‐469‐U

QNAP 

1

28900

28900

34969

1U, iSCSI

NAS HDD 2 TB

Constellation ES

4

2900

11600

14036

RAID 

HP MSM410

8

5650

45200

54692

SW multilicence ESET Endpoint AV5

50

1300

65000

78650

646 500

782 265

Firewall appliance AAA RADIUS svr Zálohování

zabezpečení Wi‐Fi AP zabezpečení PC

CELKEM Bezpečnostní projekt

50 uživatelů/3 roky

17

Aplikace síťových opatření – model zabezpečené sítě Model zabezpečené sítě je patrný na následujícím obrázku.

Bezpečnostní projekt

18

Aplikace síťových opatření – model zabezpečené sítě s redundancí Model zabezpečené sítě s redundandním ISP

Bezpečnostní projekt

19