SCI-Network Távközlési és Hálózatintegrációs Rt. T.: 467-70-30 F.: 467-70-49
Kommunikációs rendszerek biztonsági megoldásai
[email protected] www.scinetwork.hu
Szabó Krisztián
hálózatbiztonsági szakértő
Nem tudtuk, hogy lehetetlen, ezért megcsináltuk.
©SCI-Network Rt. – 2006. június 8.
Tartalomjegyzék
Kihívások, előzmények, e-kormányzat Tévhitek (kifogások) A biztonság
Biztonsági politika Fizikai biztonság Hálózati biztonság Szerverek biztonsága Adatok biztonsága ©SCI-Network Rt. – 2006. június 8.
2
Kihívások, problémák
Számítógépek és hálózatok egyre szélesebb körű elterjedése
Jogszabályban megfogalmazott kötelezettségek (KET) Fokozott függés az informatikai rendszerektől • egyre több az elektronikus adat
Egyre összetettebb önkormányzati rendszerek Sokféle alkalmazás és adatbázis jelenléte Állandó erőforráshiány (emberi, gépi, anyagi) Földrajzilag szétszórt hálózatok (vezetékes, ill. nélküli)
Tanulság: nem kerülhetjük ki! ©SCI-Network Rt. – 2006. június 8.
3
Előzmények
www.ekormanyzat.hu portál (2001. december) • Dokumentumok, ügyleírások és kormányzati hírek • Cég-, Gépjármű- és Ingatlankereső szolgáltatás
www.magyarorszag.hu portál (2003. február) • Többször is megújult • Ügyfélkapu (2006. április 1.) – ügyfél azonosítása
2004. évi CXL. törvény („KET”) • Közigazgatási hatósági eljárás és szolgáltatás általános szabályairól • Elektronikus közigazgatás új szabályainak leírása
193/2005. (IX. 22.) kormányrendelet • Elektronikus ügyintézés részletes szabályai ©SCI-Network Rt. – 2006. június 8.
4
Fejlődési fázisok
1. fázis – Információközlés • Online információ a közigazgatási szolgáltatásokról • Hivatalok nyitva tartása, ügyleírások, statikus weboldalak
2. fázis – Egyirányú kommunikáció • Űrlapok, nyomtatványok letöltésének lehetősége
3. fázis – Kétirányú interaktivitás • Űrlapok, nyomtatványok online benyújtása, feldolgozása • Ügyfélkapus regisztráció vagy elektronikus aláírás
4. fázis – Teljes körű elektronikus ügyintézés • Egyedi elbírálások lehetősége, döntéshozatal, fizetések • Ügyek papíron már nem jelennek meg a rendszerben ©SCI-Network Rt. – 2006. június 8.
5
Interaktivitás szintjei
A szolgáltatás értékével a komplexitás is nő.
Érték
Tranzakció Interaktivitás Információközlés
Komplexitás ©SCI-Network Rt. – 2006. június 8.
6
Tévhitek a biztonságról (1)
„Senki sem akar minket megtámadni, hiszen mi csak egy kis szervezet vagyunk.”
„Egy éve telepítettük a biztonsági rendszerünket, azóta jól működik.”
A támadások 75%-a az internet felől érkezik. (Nagy, kicsi) Æ (Gyors, lassú)
A biztonság nem egyfajta termék, hanem folyamat. A védelmi rendszert folyamatosan menedzselni kell.
„Hozzánk még nem törtek be.”
(Hogyan) tudjuk detektálni a betöréseket? ©SCI-Network Rt. – 2006. június 8.
7
Tévhitek a biztonságról (2)
„Csupán egyetlen internetes tűzfalra van szükségünk.”
„Nálunk van vírusirtó.”
Mi van, ha valami nem megy át a tűzfalon (belsősök, kósza modemek)? Biztos, hogy hatásosan működik? (elavult adatbázis, spam-ek)
„Csak a fontos gépeket kell védeni.” „Csak megbízható munkatársaink vannak.”
A veszteségek 85%-át (ex)belsősök okozzák. ©SCI-Network Rt. – 2006. június 8.
8
Tévhitek a biztonságról (3)
„Ha bármilyen probléma adódik, percek alatt helyre tudjuk állítani a rendszert.”
Próbálta már valaki visszaállítani mentésből a rendszert?
„Csak Windows/Linux rendszereket használunk, így tökéletes biztonságban vagyunk.”
Megfelelő konfigurálással lehet… Idejétmúlt (hiányzó) programjavítások SANS Institute Windows/Unix TOP20 lista (a húsz leggyakoribb támadási felület) ©SCI-Network Rt. – 2006. június 8.
9
Tévhitek a biztonságról (4)
„Nincs szükség oktatásra, szakembereink hamar beletanulnak a rendszerbe.”
„Nálunk minden jelszóval védett.”
Talán a legjellemzőbb hiba az emberi tényező figyelmen kívül hagyása. Minden? – gyenge (hiányzó) jelszavak.
„A biztonság lassú és drága.”
Optimalizálás: jó – olcsó – gyors (legfeljebb két döntési kritérium teljesülhet egyszerre). ©SCI-Network Rt. – 2006. június 8.
10
Biztonság - használhatóság Cél: védendő érték - potenciális veszély - használhatóság egyensúlya. Magas
Biztonság
Költségoptimum Használhatóság Alacsony
Biztonsági szint ©SCI-Network Rt. – 2006. június 8.
Magas 11
Informatikai biztonság
Az informatikai rendszerekben kezelt adatok
bizalmasságának (confidentality), • A felhasználók nem szeretnék, ha személyes adataikat nem kellő biztonságban kezelnénk
sértetlenségének (integrity) és • A felhasználók nem szeretnék, ha valaki más használná a személyes hozzáférési kódjaikat
rendelkezésre állásának (availability) • A felhasználó mindig hozzáférhet az adatokhoz egy adott szolgáltatási (jogosultsági) szinten
védelme. ©SCI-Network Rt. – 2006. június 8.
12
Biztonsági politika
A biztonság megteremtése érdekében szükséges intézkedések Összetevők:
MIÉRT? – a biztonság szükségessége MIT? – a védelmi igény leírása HOGYAN? – az intézkedések fő irányai KINEK? – feladatok/felelősségek meghatározása MIKOR? - időterv
©SCI-Network Rt. – 2006. június 8.
13
Biztonság szintjei
Fizikai biztonság
Hálózati/határvédelmi biztonság
Tűzfalak; VPN; tartalomszűrés; betörés-detektálás
Szerverek/alkalmazások biztonsága
Számítógépekhez való fizikai hozzáférés korlátozása
Szerverek és alkalmazások megbízható működése Rendszeres mentések
Adatok, szerverek, adattárolás biztonsága
Adattárolók védelme, titkosítás (belsősök ellen) ©SCI-Network Rt. – 2006. június 8.
14
Fizikai biztonság (1)
Mechanikai vagy fizikai védelem
(meg)akadályozza a védendő objektumba való illetéktelen behatolást és a védendő értékekhez történő illetéktelen hozzáférést Kerítés, falak, nyílászárók, zárak, rácsok, biztonsági fóliák, páncélszekrény, biztonsági táska
Élőerővel történő őrzés
Az ember kreatív és intelligenciával rendelkezik Az ember szabad akarattal rendelkezik Az ember érzelmi lény ©SCI-Network Rt. – 2006. június 8.
15
Fizikai biztonság (2)
Elektronikai védelem
A védett területre történt illetéktelen behatolásról már a behatolás kezdeti időszakában jelzést ad és továbbít • Szabotázsvédelem, riasztórendszer, zártláncú megfigyelő rendszer (kamerák), beléptető rendszer • Klimatizálás (hőmérséklet, páratartalom, pormentes levegő), tűzoltó rendszerek • Szünetmentes áramellátás
©SCI-Network Rt. – 2006. június 8.
16
Hálózati biztonság (1)
Tűzfal
Szabályozza a kimenő és a bejövő forgalmat • Két vagy több hálózat (általában a saját belső hálózat és az internet) közötti kapcsolat ellenőrzésére, szűrésére alkalmas
Egyetlen belépési pontot biztosít a külvilág felől Elrejti a teljes belső hálózatot a külvilágtól • Megvédi a szervezet belső (megbízhatónak tekintett) hálózatát a külső (nem megbízható) hálózatról érkező nem kívánatos hozzáférésekkel szemben, valamint • Lehetővé teszi a szervezet számára a külső hálózat szolgáltatásainak kontrollált elérését.
Egyebek: VPN, publikus szolgáltatások (DMZ) ©SCI-Network Rt. – 2006. június 8.
17
Hálózati biztonság (2)
Virtuális magánhálózat (VPN)
Olyan magánhálózat, amely közös – mások által is használt – infrastruktúrán (pl. internet) működik. A kommunikáló felek között biztonságos csatorna jön létre (kommunikáló felek azonosítása, kommunikáció titkosítása) Típusok • Site-to-site VPN (hálózatok összekapcsolása) • Client-to-site VPN (távoli munkavégzés, távmunkások)
©SCI-Network Rt. – 2006. június 8.
18
Hálózati biztonság (3)
Tartalomszűrés
Feladata • Annak kontrollálása, hogy mi közlekedhet a belső hálózat és a külvilág között
Csoportosítás • Vírusszűrés » Férgek (általában nem igényel felhasználói beavatkozást, pl. operációs rendszerben található sebezhetőségek kihasználása » Vírusok (általában felhasználói beavatkozást igényelnek, pl. állomány megnyitása, vagy egy program végrehajtása)
• Webes tartalomszűrés (szexoldalak, álláskeresés, szerencsejáték) • E-mail tartalomszűrés (spam)
©SCI-Network Rt. – 2006. június 8.
19
Hálózati biztonság (4)
Betörés-detektálás
A betörés-detektálás egy számítógépes hálózat megfigyelése a támadási kísérletek érzékelése céljából Betörés • Egy erőforrás biztonságát (integritását, bizalmasságát vagy elérhetőségét) veszélyeztető események összessége • Az aktuális biztonsági politika megsértésére irányuló törekvések • Támadás, amely egy biztonsági rés kihasználásával (1) a biztonsági politika megsértését eredményezi (2) ©SCI-Network Rt. – 2006. június 8.
20
Szerverek biztonsága (1)
Hibatűrő hardvereszközök alkalmazása
Ellenőrzött eszközbeszerzések (brand – no-name) Hibatűrő memóriamodulok Hibatűrő háttértár megoldások • RAID alrendszerek (RAID 0, 1, 5 szintek) • Intelligens háttértárak (SAN)
Központi gépek fürtözése (clusterezés) Katasztrófagépterem létesítése • Hardver duplikálása más helyszínen
Rendszerfelügyeleti eszközök alkalmazása • Hibajavítás lerövidítése, hibák előrejelzése ©SCI-Network Rt. – 2006. június 8.
21
Szerverek biztonsága (2)
Szoftverek (operációs rendszer, alkalmazások) karbantartása
Javítócsomagok, biztonsági frissítések Folyamatos dokumentálás Rendszeres mentések A működés naplózása Biztonságos tervezés • Minimális jogosultsági szinten történő futtatás • Bevitt adatok teljes körű ellenőrzése ©SCI-Network Rt. – 2006. június 8.
22
Adatok biztonsága (1)
Adatok védelme a felhasználókkal szemben
Autentikáció: „Ki vagyok?” • Valamit tudok (gyakran egy közös titok) – pl. jelszó vagy a bankkártya PIN kódja
• Valamivel rendelkezem (egy token) – Pl. USB-kulcs, smartcard, vagy kocsikulcs
• Valami vagyok (pl. biometrika, ujjlenyomat) • Minél több faktor, annál biztonságosabb a rendszer
Autorizáció: „Mit tehetek?” • Fájlokat, alkalmazásokat milyen jogosultsággal lehet elérni
Auditálás: „Mit tettem?” • Erőforrások használatának naplózása (archiválása), elemzése ©SCI-Network Rt. – 2006. június 8.
23
Adatok biztonsága (2)
Hordozható eszközök (laptop, USB pendrive)
Nagymennyiségű adat kis helyen elfér Ritkán van beépített adattitkosítás • Az ellopott számítógépek 97%-át soha nem lehet visszaszerezni • Minden 14 laptopból egyet még a vásárlás évében elloptak • Hollandia: a főállamügyész laptopja - a titkos ügynökök névsorával – a szemetes kukából került elő • USA: ellopták a Nemzetközi Vérbank laptopját, amely AIDS betegek névsorát tartalmazta ©SCI-Network Rt. – 2006. június 8.
24
Adatok biztonsága (3)
Adatok titkosítása
Szimmetrikus algoritmusok • Az üzenet titkosítása és visszafejtése ugyanazzal a kulccsal • DES, 3DES, IDEA, RC4, AES
Aszimmetrikus (nyíltkulcsú) algoritmusok • A titkosítás és visszafejtés különböző kulccsal történik • A nyilvános (publikus) kulccsal titkosított adatok csak a magánkulccsal (privát) fejthetők vissza • Általában jóval lassabb/nehezebb kiépíteni, mint a szimmetrikus algoritmus • RSA, Diffie-Hellman, elektronikus aláírás (ügyfélkapus azonosításhoz)
Titkosítás erőssége (algoritmus, alkalmazott kulcshossz) ©SCI-Network Rt. – 2006. június 8.
25
„A biztonság nem egyfajta termék, hanem folyamat.” (Bruce Schneier, Counterpane)
©SCI-Network Rt. – 2006. június 8.
26
Köszönjük a figyelmüket!
[email protected]
©SCI-Network Rt. – 2006. június 8.
27