Tartalom. 8.1 ISP biztonsági megfontolások 8.2 ISP felelősség 8.3 Szolgáltatói szerződés 8.4 Biztonsági mentések és katasztrófahelyzet helyreállítás

ISP felelősség

Tartalom 8.1 ISP biztonsági megfontolások 8.2 ISP felelősség 8.3 Szolgáltatói szerződés 8.4 Biztonsági mentések és katasztrófahelyzet helyreállítás

CCNA Discovery 2 8. fejezet – ISP felelősség

ISP biztonsági megfontolások 8.1

Vissza a tartalomjegyzékre


ISP biztonsági szolgáltatások Internet kapcsolat esetén a számítógép rosszindulatú támadások célpontjává válhat, levélben, letöltéseknél, weboldalak megnyitásával érkezhetnek. • károkozó vagy rosszindulatú szoftver • vírusok • férgek • kémprogramok


ISP biztonsági szolgáltatások A ISP szolgáltatásai: • webhelyek biztosítása • e-kereskedelmi oldalak (webáruház) • adattárolás (bizalmas kereskedelmi és bankszámlákkal kapcsolatos adatokat is tárolhat) • az előfizetők adatainak biztonságos tárolása elengedhetetlen követelmény Ha egy internetszolgáltató tárhely és levelező szolgáltatást nyújt, fontos feladata az adatok védelme a rosszindulatú támadásokkal szemben! CCNA Discovery 2 8. fejezet – ISP felelősség

ISP biztonsági intézkedések Alapvető biztonsági lehetőségek az ügyfél számítógépén:

• jelszóvédelem • alkalmazások javítási és frissítések folyamatos figyelése • felesleges, nem használt programok és szolgáltatások

eltávolítása • operációs rendszerek frissítéseinek rendszeres figyelemmel kisérése és telepítése

• felhasználói jogosultságok alkalmazása • biztonsági vizsgálat – rendszerbiztonsági gyengeségek felülvizsgálata CCNA Discovery 2 8. fejezet – ISP felelősség

ISP biztonsági intézkedések Alapvető biztonsági lehetőségek az ügyfél számítógépén: • tűzfal és vírusmentesítő program alkalmazása • biztonsági ellenőrzések elvégzése

• felhasználói adatok védelme : "lehető legkevesebb előjog elve" - merevlemezek titkosítása

- jogosultságok alkalmazása állományok és könyvtárak elérése - felhasználói azonosító alapján történő hozzáférés szabályozás - többszintű hozzáférési jogosultságok használata


ISP biztonsági intézkedések AAA – RFC 2903-ban rögzített protokoll amely leírja, hogy ki és hogyan érheti el a hálózatot vagy a rendszert, illetve hogy milyen események történnek kapcsolódáskor

A hitelesítési adatbázisokat általában RADIUS vagy TACACS protokollt használó kiszolgálókon tárolják.


Adattitkosítás  Az internet szolgáltatóknak a kiszolgálók közötti adatforgalom védelmét is biztosítaniuk kell.  A digitális titkosítás az ügyfél és a kiszolgáló közötti forgalom titkosítását teszi lehetővé.  Legjobb minden esetben a protokoll biztonságos változatát használni, valahányszor bizalmas adatokat kell továbbítani állomások között.


Adattitkosítás – biztonsági protokollok Web kiszolgálók - HTTPS, Biztonságos átviteli protokoll (SSL - Secure Socket Layer) Levelező kiszolgálók - POP3 és IMAP4 a felhasználó bejelentkezése során felhasználónevet és jelszót kér a hitelesítéshez (SSL – Secure Socket Layer, TLS Transport Layer Security) Telnet kiszolgálók - a Biztonságos Parancshéj (SSH Secure Shell) protokoll használatával a hitelesítés és a munka biztonságos módon történik.


Adattitkosítás – biztonsági protokollok • FTP kiszolgálók - SSL használatával a biztonságos adatküldés megvalósítható, és némely verzió SSH alkalmazására is képes. • Állománykiszolgálók - A számítógép operációs rendszerétől függően több különböző általában nem biztonságos protokollt is használhatnak adattovábbításra. • IP Biztonság (IPSec - IP Security) - egy hálózati rétegbeli protokoll, amellyel bármely alkalmazás rétegbeli protokoll használata biztonságos kommunikációt eredményez.


Adattitkosítás – biztonsági protokollok

CCNA Discovery 2

8.1.3. Laborgyakorlat: A helyi és a továbbított adatok védelme 8. fejezet – ISP felelősség

ISP felelősség 8.2



Hozzáférési listák és portszűrés Sok különböző típusú támadás ellen kell az ISP-nek védekeznie. Különösen sebezhetők a Szolgáltatásmegtagadási támadásokkal (DoS - denial-ofservice) szemben DoS támadások alapformája a kiszolgáló vagy szolgáltatás elleni támadás a jogos felhasználók hozzáférésének megakadályozására SYN elárasztás - véletlenszerűen megnyit TCP portokat, majd hamis kérésekkel túlterheli a hálózati- és számítógépes erőforrásokat Land támadás - az eszköznek küldött megfertőzött csomag forrás és célcíme ugyanaz Buffer túlcsordulás – a megérkezett adatok a fix méretű ideiglenes tároló határain túlcsordulnak, az extra adatok felülírják a szomszédos memóriacellákat CCNA Discovery 2 8. fejezet – ISP felelősség

Hozzáférési listák és portszűrés DDoS - (DDoS - distributed denial-of-service) elosztott szolgáltatásmegtagadási támadás esetén több számítógép egyszerre lép fel egy meghatározott célpont ellen DRDoS - (DRDoS - distributed reflected denial-of-service) elosztott reflektált szolgáltatásmegtagadási támadás alkalmával a támadó ál- vagy látszatüzenetkérést küld egyszerre több számítógépnek az interneten keresztül, módosítva a forrás címet a célpont számítógép címére.


Hozzáférési listák és portszűrés •A portszűrés (Port filtering) és a hozzáférési lista (ACL - access control list) segítségével a kiszolgáló és más hálózati eszközök felé menő adatforgalom szabályozható •Portszűrés •Meghatározott TCP vagy UDP portok alapján ellenőrzi az adatforgalmat. Több operációs rendszerekben van lehetőség a hozzáférések korlátozására. Hálózati forgalomirányítókon és kapcsolókon is gyakran használják a forgalom ellenőrzésére és az eszközökhöz való biztonságos hozzáféréshez. •Hozzáférési listák •A hozzáférési listákkal definiálható a tiltott vagy engedélyezett hálózati forgalom a forrás és cél IP-címek alapján, valamint a használt protokoll forrás- és célportjai alapján. Az ICMP üzenetek és a forgalomirányító protokollok frissítései is ellenőrizhetők. A rendszergazda ACL-eket hoz létre olyan hálózati eszközökön, mint például a forgalomirányító, annak eldöntésére, vajon a forgalom átengedhető-e vagy sem.

8.2.1. Laborgyakorlat: Hozzáférési listák és portszűrők tervezése


Tűzfalak  A tűzfal olyan hálózati hardver vagy szoftver, amely meg határozza, melyik forgalom jöhet be vagy távozhat a

hálózat bizonyos részeiből, illetve hogyan kell az adatokat kezelni.  A

tűzfalak

hozzáférési

listákat

használnak

az

átengedhető és a letiltandó forgalom ellenőrzésére.

Állandóan fejlődnek, ahogy új képességeket fejlesztenek ki, és új fenyegetéseket fedeznek fel.

8.2.2. Laborgyakorlat: Hálózat-alapú tűzfalak tervezése


Tűzfalak  A tűzfalak a hálózat egész területének határbiztonságát és a belső, helyi szegmensek, például kiszolgáló-farmok, védelmére is jól

használhatók.  DMZ - demilitarized zone – az internet felől érkező felhasználók

számára hozzáférhető kiszolgálókat tárolja és kizárólag az a forgalom érkezhet ide, amelyiknek engedélyezett ezekhez a kiszolgálókhoz történő hozzáférése.

8.2.2. Laborgyakorlat: Hálózat-alapú tűzfalak tervezése


IDS és IPS  Behatolásérzékelő

rendszer

Detection

(IDS

-

Intrusion System)

Hálózati forgalmat passzívan figyelő szoftver- vagy hardver alapú megoldás.  Olyan hálózati eszköz, mely a tűzfalak által átengedett támadások ellen véd.

 Átvizsgál minden be- és kimenő hálózati eseményt és azonosítja a hálózatot vagy a rendszert fenyegető támadások gyanús jeleit. CCNA Discovery 2 8. fejezet – ISP felelősség

IDS és IPS  Behatolás megelőző rendszer (IPS - Intrusion Prevention System) Az IPS aktív fizikai eszköz vagy szoftver. A forgalom az IPS egyik interfészén megy be és a másikon megy ki. Megvizsgálja a hálózati forgalomban résztvevő aktuális adatcsomagokat, és valós időben működve engedi vagy tíltja a hálózatot elérni kívánó csomagokat.  Az IDS megoldások reaktívak, a behatolás észlelésekor riasztanak.

 A tűzfallal blokkolható a legtöbb rosszindulatú forgalom.  Bármely felbukkanó vészjel azt mutatja, hogy rosszindulatú forgalom lett átengedve a tűzfalon. CCNA Discovery 2 8. fejezet – ISP felelősség

IPS - Behatolás megelőző rendszer (IPS - Intrusion Prevention System)  IPS megoldásai proaktívak

 Minden gyanús eseményt azonnal blokkolnak.  Az IPS egy behatolás detektáló berendezés, nem pedig egy program.  Az

IPS-nek

kevesebb

számú

adatcsomagot

kell

megvizsgálnia, ellenőrizheti az egész csomagot, így azonnal blokkolhatja az újabb támadásokat, amelyek a tűzfal eredeti konfigurációjában még nem voltak tiltva


IPS - Behatolás megelőző rendszer (IPS - Intrusion Prevention System)


Vezetéknélküli hálózatok biztonsága WLAN - Wireless Local-Area Network

Mivel a vezetéknélküli jelek áthaladnak a falakon, a vállalat területén kívülről is elérhetők.

Védhetők: • alapértelmezett beállítások megváltoztatásával Az SSID, a felhasználónév és a jelszó alapértelmezett beállításait ajánlott megváltoztatni, illetve az SSID üzenetszórását kikapcsolni.


Vezetéknélküli hálózatok biztonsága WLAN - Wireless Local-Area Network

Védhetők: • hitelesítéssel Az a folyamat, mely során hitelesítő információk alapján dől el a belépés engedélyezése. A kapcsolódni kívánó eszközök megbízhatóságának eldöntésére használják • MAC-cím szűrés beállításával A MAC-cím szűrés megakadályozza az illetéktelen számítógép hálózatra csatlakozását. Más biztonsági megoldásokkal együtt alkalmazandó!


Vezetéknélküli hálózatok biztonsága Hitelesítés Nyílt hitelesítés Személytől függetlenül, bármely felhasználó kaphat hozzáférést. Általában nyilvános vezetéknélküli hálózatokban használják.

Előre megosztott kulcs (PSK - Pre-shared key) A kiszolgálónak és az ügyfélnek is, egy megegyező, előre konfigurált kulcsra van szüksége. - AP egy véletlen bájtsorozatot küld a felhasználónak, amelyet az titkosít (vagy összekever) a kulcs alapján, majd visszaküld. - Az AP a titkosított karaktersorozatot a kulcs segítségével visszafejti (vagy . - Egyezés esetén a hitelesítés sikeres. CCNA Discovery 2 8. fejezet – ISP felelősség

Vezetéknélküli hálózatok biztonsága Hitelesítés Kiterjeszthető hitelesítő protokoll. (EAP - Extensible Authentication Protocol) Kölcsönös vagy két-utas hitelesítést és felhasználóhitelesítést tesz lehetővé. Ha EAP-ot használó programot telepítettek egy állomásra, az ügyfél egy kiszolgáló oldali hitelesítő szerverrel kommunikál, mint például a RADIUS.


Vezetéknélküli hálózatok biztonsága Titkosítás Vezetékessel egyenértékű titkosítás (WEP - Wired Equivalent Privacy) • Vezetéknélküli csomópontok között küldött adatok titkosítására szolgál. • 64, 128, vagy 256 bites, előre kiosztott kulcsokat alkalmaz. • Legnagyobb hibája a kulcsok állandóságából adódik • Számos WEP feltörő eszköz érhető el az Interneten WiFi védett hozzáférés (WPA - Wi-Fi Protected Access) egy továbbfejlesztett titkosítási algoritmust, az Átmeneti kulcsintegritás protokollt (TKIP - Temporal Key Integrity Protocol) használja. A TKIP egyedi kulcsot generál minden ügyfél számára, amelyeket egy konfigurálható intervallumon belül forgat. Kölcsönös hitelesítési eljárást nyújt, mivel a felhasználó és a hozzáférési pont egyaránt rendelkezik a kulccsal, amelyet sohasem küldenek át a hálózaton. CCNA Discovery 2 8. fejezet – ISP felelősség

Vezetéknélküli hálózatok biztonsága Titkosítás WPA2 2006. március 13-tól kezdődően gyártott minden vezetéknélküli eszköz kötelezően a WPA2 szabvány szerint készült, tehát „Wi-Fi”-jelöléssel ellátott. A WPA2 a biztonságosabb Fejlett titkosítási szabványt (AES - Advanced Encryption Standard) használja.


A munkaállomás biztonsága Egy ISP számára kritikus, hogy szervereit védje az ismert és ismeretlen sebezhetőségeikkel szemben • Megoldást jelentenek az állomásalapú tűzfalak, amely közvetlenül a munkaállomás operációs rendszerén futó program. • Megvédi a számítógépet az olyan rosszindulatú támadástól, amelyik a védelem összes többi rétegén keresztüljutott. • A hálózaton belüli és kívüli forgalmat egyaránt ellenőrzi Ismert támadások: blokkolja a forgalmat azon a portokon, amelyekről köztudott, hogy társítva vannak rosszindulatú tevékenységgel Kihasználható szolgáltatások A web és levelező kiszolgálók népszerű célpontjai a szolgáltatás támadásoknak, de csomagvizsgálatra alkalmas állomásalapú tűzfalak alkalmazásával megvédhetők. CCNA Discovery 2 8. fejezet – ISP felelősség

A munkaállomás biztonsága Férgek és vírusok Férgek és vírusok a szolgáltatások sebezhetőségének kiaknázásával és az operációs rendszerek más gyengeségeivel terjednek Back Doors és Trójai falovak

A vírus általában üzenetet küld a hekkernek, tudatva vele a behatolás sikerességét, majd lehetőséget ad a rendszerhez való hozzáféréséhez. Az állomásalapú tűzfal a kimenőforgalom korlátozásával megakadályozhatja a trójai faló üzenetküldését. Az anti_X segít a számítógép védelmében a vírusok, férgek, kémprogramok, rosszindulató programok, adathalászat és még a spam támadásokkal szemben is. Több internetszolgáltató nyújt anti_X programot a teljeskörű biztonsági szolgáltatásaik részeként. Számos anti_X programcsomag tesz lehetővé távoli felügyeletet. CCNA Discovery 2 8. fejezet – ISP felelősség

Szolgáltatói szerződés 8.3



Szolgáltatói szerződés (SLA - Service Level Agreement) Az internetszolgáltató és az előfizető között rendszerint szolgáltatói szerződés jön létre, mely meghatározza a felek elvárásait és kötelességeit. • Szolgáltatásleírás Meghatározza a szolgáltatások választékát. (Pl. szolgáltatások számát, idejét, stb) • Költségek Leírja a felhasználó költségeit (szolgáltatás - általánydíj, számlázás) • Megfigyelés és tájékoztatás Felhasználó által igénybevett szolgáltatások szintje, tájékoztatás gyakorisága. CCNA Discovery 2 8. fejezet – ISP felelősség

Szolgáltatói szerződés (SLA - Service Level Agreement) •Problémakezelés Probléma esetén: reagálási idő, megoldás, intézkedés, felelősök meghatározása • Biztonság (Security) Biztonsági irányelveket, intézkedéseket tartalmazzák az ISP és előfizető részéről • Végződtetés A szolgáltatás befejezési illetve az idő előtti felmondás feltételeit tartalmazza • Kártérítés szolgáltatáskimaradás esetén Az előfizető számára megbecsült összeg ha a szolgáltatás nem lenne elérhető • Rendelkezésre állás, teljesítmény és megbízhatóság CCNA Discovery 2 8. fejezet – ISP felelősség

A hálózati összeköttetések teljesítményének megfigyelése A szolgáltató köteles figyelemmel kísérni és ellenőrizni az eszközök közötti kapcsolatot. A felügyelet és a beállítások történhetnek: - közvetlen konzol kapcsolaton keresztül, - sávon kívül kezdeti konfigurációnál hasznos, amikor az eszköz még nem érhető el hálózaton keresztül, - sávon belül, hálózati kapcsolaton keresztül - eszközök könnyebb adminisztrációjára ad módot - több felügyeleti funkciót tesz lehetővé - Telnet, SSH, HTTP, és az Egyszerű hálózatfelügyeleti protokoll (SNMP) IP hálózatok esetén Telnet ügyfélprogrammal, sávon belül lehet az eszközhöz kapcsolódni a felügyeleti és adminisztrációs teendők elvégzése érdekében CCNA Discovery 2 8. fejezet – ISP felelősség

Telnet protokoll Megfelelő jogosultság esetén a felhasználó elindíthat és leállíthat folyamatokat, konfigurálhatja az eszközt, vagy akár a rendszert is leállíthatja. • • • • • •

a telnet egy virtuálisterminál-protokoll a TCP/IP protokollkészlet egyik eleme a telnet által használt kapcsolatot Virtuális treminál (VTY) kapcsolatnak hívják. a Telnet egy kiszolgáló/ügyfél protokoll. Microsoft Windowst használó számítógépeken a Telnet, parancssorból indítható. a forgalomirányítók, a Telnet-démon és a Telnet-ügyfélprogramot egyaránt támogatják

Telnetkapcsolatot az alábbi módszerekkel lehet létrehozni:

Denver>connect paris Denver>paris Denver>131.108.100.152 Denver>telnet paris Ctrl-Shift-6 X billentyűkombinációval lehet a Telnet kapcsolatok között választani. show sessions paranccsal megjeleníthetők az ügyfélkapcsolatok. CCNA Discovery 2 8. fejezet – ISP felelősség

Eszközfelügyelet sávon belüli eszközökkel A telnet a felhasználók hitelesítését támogatja, a hálózaton átküldött adatok titkosítását nem.

SSH (Secure Shell ) - biztonságos távoli bejelentkezést - más hálózati szolgáltatásokat nyújt - a Telnetnél erősebb hitelesítési módszert - titkosított adatszállítást biztosít


SNMP és SYSLOG használata Simple Network Managment Protokoll Az SNMP hálózatfelügyeleti protokoll, amely a rendszergazda számára lehetővé teszi hálózati és más eszközökről az adatok összegyűjtését. Az SNMP felügyeleti ügynök programokat gyakran a kiszolgálók, forgalomirányítók és kapcsolók operációs rendszerébe ágyazzák be. Az SNMP négy fő összetevőből áll: Felügyeleti állomás A rendszergazda által, a hálózat megfigyelésre és konfigurálására használt állomás, melyen SNMP felügyeleti alkalmazás fut. Felügyeleti ügynök (Management agent) Az SNMP által felügyelt eszközön telepített program.

Felügyeleti információs adatbázis (MIB - Management Information Base) Adatbázis, amelyet az eszközök maguk vezetnek a hálózati teljesítmény paramétereiről.

Hálózatfelügyeleti protokoll A felügyeleti állomás és az ügynökök között használt kommunikációs protokoll. CCNA Discovery 2 8. fejezet – ISP felelősség

SNMP működése 1. A felügyelő állomás futtatja a rendszergazda által a hálózati eszközök konfigurálására használt SNMP alkalmazást. 2. Itt tárolódnak az adatok ezekről az eszközökről. A felügyeleti állomás az eszközök lekérdezésével gyűjti az adatokat, információkat kér egy ügynöktől. 3. Az ügynök tájékoztatást ad, válaszolva a lekérdezésre. Amikor a felügyelő állomás lekérdez egy ügynököt, az ügynök előveszi a felügyeleti adatbázisban összegyűjtött statisztikát. CCNA Discovery 2 8. fejezet – ISP felelősség

SNMP működése 3. Az SNMP ügynökök nem csak lekérdezhetők, trap-nek nevezett önálló riasztóüzenet elküldésére is konfigurálhatók. A trap egy eseményvezérelt jelzés. 4. Az ügynökökön egy küszöb- vagy maximumértéket konfigurálnak, amely például egy meghatározott porton áthaladó adatforgalom mennyiségére vonatkozik. Ha a forgalom mennyisége a küszöböt eléri, az ügynök riasztóüzenetet küld a felügyelő állomásnak,így mentesülnek az eszközök a folyamatos lekérdezésétől. 5. A felügyelő állomások és a felügyelt eszközök hitelesítése egy közösségi azonosítónak nevezett karakterlánc alapján történik CCNA Discovery 2 8. fejezet – ISP felelősség

SYSLOG használata CiscoWorks • Hálózati eszközök megfigyelhetők • Konfigurációs fájlok karban tarthatók • Hálózati hibák felderíthetők • SunNet, HP OpenView, IBM NetView

Device log (eszköz napló) Egy eszköz műveleteiről, folyamatairól és beállításáról készített bejegyzések sorozata. Karbantartása, tárolása, rendszeres felülvizsgálata a hálózat felügyelet része.

Syslog A rendszeresemények naplózására kidolgozott szabvány. Ügyfél/kiszolgáló alapú protokoll, mely hálózati és biztonsági események üzeneteit továbbítja. A Syslog rendszer egy kiszolgálóból és egy ügyfélből áll. CCNA Discovery 2 8. fejezet – ISP felelősség

Biztonsági mentések és katasztrófahelyzet helyreállítás 8.4



Archiválás A felhasználók weboldalait és leveleit tároló ISP kötelessége biztosítani az adatvesztés elleni védelmet. Az adatok mentése elengedhetetlen. Egy informatikai szakember munkaköréhez tartozik az adatvesztés kockázatának csökkentése, és egy esetleges helyreállítási eljárás megtervezése. Az ISP-nek adat archiválásakor a lehetőségek költségének és hatékonyságának egyensúlyban kell lennie • Adat mennyisége • Tárolóhely költsége • Tárolóhely teljesítménye • Tárolóhely megbízhatósága • A külső tárolás egyszerűsége CCNA Discovery 2 8. fejezet – ISP felelősség

Archiválási hordozók Szalagos egység nagy kapacitású, és máig a piac leginkább költséghatékony tárolója hibaérzékenysége nagy, a vezérlőeszközt rendszeresen tisztítani kell könnyen elkopik, ezért csak meghatározott ideig használható.

Digitális adattároló (DDS - Digital data storage) Digitális hangszalag (DAT - Digital audio tape)

Digitális lineáris szalag (DLT - Digital linear tape) Nyílt (formátumú) lineáris szalag (LTO - Linear tape-open)

Optikai lemez kis mennyiségű adat esetén a legkedveltebb tárolóeszköz. CD - 700 MB, DVD - 8.5 GB HD-DVD és a Blue-Ray lemezek kapacitása a 25 GB CCNA Discovery 2 8. fejezet – ISP felelősség

Archiválási hordozók Merevlemez alapú mentés egyre közkedveltebbé válnak alacsony költségük és nagy tárolási kapacitásuk következtében. Többszintű biztonsági mentés esetén a merevlemezes és a szalagos lehetőségek egyaránt gyors helyreállítási időt tesznek lehetővé Tipusai: közvetlenül csatlakoztatott tároló (DAS - direct attached storage), hálózathoz kapcsolt tároló (NAS - network attached storage) tároló hálózatok (SAN - storage area network)

Félvezető alapú tároló Az összes nemfelejtő tárolóeszköz, amelyben nincsenek mozgó részek Az adatok gyors tárolási és visszakereshetőségi igénye esetén kitűnő. Pl: adatbázisgyorsítók, a HD videó letöltők és szerkesztők, az informaciószolgáltatók és a tárolóhálózatok. Kapacitás: 1GB – 1 TB Ára folyamatosan zuhan. CCNA Discovery 2 8. fejezet – ISP felelősség

Az állománymentés módszerei Normál vagy teljes mentés • Az összes kijelölt állományról másolat készül, teljes egészében. • Utána mindegyik állomány kap egy "másolva" jelet. • Normál mentések esetén elegendő mindig a legutolsó mentést megtartani ,

Különbségi • a mentési ciklus első napján teljes mentés szükséges • ezt követően pedig mindig csak az ahhoz képest történt változásokat mentik, majd következik a

ciklus végét jelentő legközelebbi teljes mentés • ezáltal a folyamat kevesebb időt vesz igénybe. • az adatok helyreállításához az utolsó teljes és az utolsó különbségi mentés szükséges • nem állítja be az archív bitet


Az állománymentés módszerei Növekményes mentés • az utolsó növekményes mentés óta bekövetkezett változásokat kell elmenteni. • az archiválási közegen mindig csak az aznapi változások tárolódnak. • a leggyorsabb, viszont a helyreállítási folyamata a igényli a legtöbb időt

mivel az utolsó normál és az utána következő összes növekményes mentés szükséges hozzá.


Az állománymentés módszerei A mentési rendszerek a helyes működés érdekében rendszeres karbantartást igényelnek! Az adathordozók cseréje Ha a szalagot vagy lemezt nem cserélik napi rendszerességgel, adatvesztés léphet fel. Mivel a szalagok cseréje kézzel végezhető feladat, ki van téve a hiba bekövetkezésének. A felhasználónak szükségük van egy feljegyzési módszerre, mint a naptár vagy határidőnapló. A mentési naplózások áttekintése Jóformán az összes mentésre szolgáló program létrehoz naplózási állományokat. Ezek az állományok tájékoztatnak a művelet sikerességéről, vagy meghatározzák a hiba helyét.

Helyreállítási folyamatok kipróbálása Az adatok rendszeres próba helyreállításával ellenőrizhető az elmentett adatok használhatósága és a mentési eljárás megfelelő működése. Az eszközvezérlő karbantartása Sok archiválási rendszer speciális hardvereket igényel, amelyek rendszeres időközönként karbantartást ígényelnek. (pl. tisztítás, defragmentálás, formázás, BIOS frissítés, stb…) CCNA Discovery 2 8. fejezet – ISP felelősség

Cisco IOS mentése és helyreállítása A hálózati eszközöken használt, az ISP tulajdonában lévő Cisco IOS és konfigurációs állományok védelmét is biztosítani kell. 1. A ping parancs segítségével a TFTP kiszolgálóval fenntartott kapcsolat ellenőrzése 2. A forgalomirányító flash memóriájában tárolt IOS kód ellenőrzése: show flash


Cisco IOS mentése és helyreállítása 3. Router# copy flash tftp

Az IOS rendszerkód TFTP kiszolgálóra történő másolása az alábbi parancs segítségével.

4. Router# copy tftp flash A TFTP kiszolgálón tárolt rendszerkód állományok segítségével a hálózat forgalomirányítóinak és kapcsolóinak Cisco IOS szoftvere helyreállítható vagy frissíthető.


Cisco IOS mentése és helyreállítása ROMmon mód használata ha Cisco IOS rendszerkódot kitörölték, megsérült vagy helyhiány következtében nem elérhető, azt helyre kell állítani. Leggyorsabb módja a TFTP használata ROM monitor (ROMMON) módban. A ROMMON TFTP átvitel egy meghatározott LAN interfészen keresztül történik, amely alapértelmezésben az első elérhető LAN interfész. 1. a felhasználónak be kell állítania a környezeti változókat (set paranccsal ellenőrzés) 2. a tftpdnld parancs segítségével helyreállítani a fájlt (!) 3. a forgalomirányító újraindítása reset parancs, vagy az i begépelésével A szükséges környezeti változók a következők:

IP_ADDRESS - a LAN interfész IP-címe IP_SUBNET_MASK - a LAN interfész alhálózati maszkja DEFAULT_GATEWAY - a LAN interfész alapértelmezett átjárója TFTP_SERVER - a TFTP kiszolgáló IP-címe TFTP_FILE - a Cisco IOS állományneve a kiszolgálón CCNA Discovery 2 8. fejezet – ISP felelősség

Cisco IOS mentése és helyreállítása


Katasztrófa-helyreállítási terv A katasztrófahelyzet helyreállítási terv a vállalat katasztrófa alatti és utáni folyamatos működésének fenntartási feltételeiről. Célja a vállalat katasztrófa okozta fizikai és szociális változásokhoz történő alkalmazkodásának biztosítása

Katasztrófahelyzet esetén is elérhetőnek kell lennie • Adatbázisok • Alkalmazáskiszolgálók • Rendszerfelügyeleti kiszolgálók • Web • Adattárolók • Címtár


Katasztrófa-helyreállítási terv A katasztrófahelyzet-helyreállítási terv készítésénél fontos megérteni a szervezet igényeit. A tervhez először a vezetőséget kell megnyerni, majd végül mindenkit, aki a kritikus vállalati folyamatokban dolgozik. Sebezhetőség felmérés a kritikus vállalati folyamatok és alkalmazásaik sérülékenységének felmérése Kockázatfelmérés Elemezni kell az esetleges katasztrófa és hatásainak kockázatát illetve költségét. CCNA Discovery 2 8. fejezet – ISP felelősség

Katasztrófa-helyreállítási terv Szervezési tudatosság El kell nyerni a felsőbb vezetés támogatását a katasztrófahelyzethelyreállítási projekthez. (helyreállítás igen költséges lehet). Tervező csoport felállítása

Tervező csoport létrehozása a katasztrófahelyzet-helyreállítási stratégia és terv kidolgozására és megvalósítására. Elsőbbségi sorrend felállítása Prioritást kell rendelni minden, a vállalat hálózatát, alkalmazásait és rendszereit érintő lehetséges katasztrófahelyzethez, úgymint kritikus, fontos vagy kevésbé fontos.


Katasztrófa-helyreállítási terv 1. lépés - Hálózathelyreállító stratégia A hálózat tervének elemzése. 2. lépés - Leltár és dokumentáció Leltár készítése az összes helyről, az összes eszközről, gyártóról, a felhasznált szolgáltatásokról és a kapcsolatok neveiről! 3. lépés - Ellenőrzés Olyan tesztfolyamat létrehozása, melynek segítségével ellenőrizhető a helyreállítási stratégia működőképessége. CCNA Discovery 2 8. fejezet – ISP felelősség

Katasztrófa-helyreállítási terv 4. fázis - Jóváhagyás és megvalósítás A felsővezetők jóváhagyásának elnyerése, és a terv megvalósítási költségvetésének elkészítése. 5. fázis - Felülvizsgálat A katasztrófa helyreállítási tervezet megvalósítását követő első évben a terv felülvizsgálata.






Ez a minősített tanári segédanyag a HTTP Alapítvány megbízásából készült. Felhasználása és bárminemű módosítása csak a HTTP Alapítvány engedélyével lehetséges. www.http-alapitvany.hu [email protected] A segédanyag a Cisco Hálózati Akadémia CCNA Discovery tananyagából tartalmaz szöveges idezeteket és képeket. A tananyag a Cisco Inc. tulajdona, a cég ezzel kapcsolatban minden jogot fenntart. CCNA Discovery 2 8. fejezet – ISP felelősség

Tartalom. 8.1 ISP biztonsági megfontolások 8.2 ISP felelősség 8.3 Szolgáltatói szerződés 8.4 Biztonsági mentések és katasztrófahelyzet helyreállítás

Recommend Documents