ISMS Případová studie – Síťová bezpečnost
V Brně dne 7. a 14. listopadu 2013
Zadání - infrastruktura Modelová firma je výrobní firma, která síťové zabezpečení doposud nijak zásadně neřešila, a do jisté míry jí stačilo, že vše funguje podle očekávání. Má nasazené é některé ěkt é moderní d í technologie, t h l i např. ř relativně l ti ě nové é servery nebo b VoIP telefonní řešení. Firma se vyskytuje ve dvou vzdálených lokalitách lokalitách, které nejsou z pohledu IT nijak propojeny.
V lokalitě „A“ je továrna a administrativní centrum společnosti, jsou zde umístěny hlavní servery, např. webový, poštovní nebo ekonomický systém. Webové a poštovní služby jsou nakonfigurované na jednom fyzickém serveru, který je přístupný pomocí přeposílání portů na směrovači. Pracuje zde 120 uživatelů na osobních počítačích a dalších 10 mobilních uživatelů (většinou obchodníků), kteří mají notebooky, nemají stálá pracovní místa a do sítě se připojují bezdrátově. Každý uživatel má svůj vyhrazený počítač nebo notebook notebook, o který se s nikým nedělí nedělí. Síťová bezpečnost
2
Zadání – infrastruktura (pokračování) Dále má svůj VoIP stacionární telefon, který se připojuje k místní ústředně. Mobilní uživatelé využívají y j pouze svoje j mobilní telefony. y Připojení do internetu obstarává vysokorychlostní linka zakončená modemem s konektorem RJ-45.
V lokalitě „B“ je druhá továrna. Továrna do značné míry podléhá řízení z l k lit A lokality A, má á ttedy d jjen nejnutnější j t ější administrativní d i i t ti í pracovníky, ík nemá á žád žádný ý management ani mobilní uživatele. Celkově zde pracuje 30 uživatelů na osobních počítačích, každý z nich má stacionární VoIP telefon, který se připojuje přímo k poskytovateli VoIP služeb. K elektronické poště uživatelé přistupují přes internet na poštovní server v l k li ě A, lokalitě A a pokud k d potřebují ř b jí přístup ří k centrálnímu ál í ekonomickému k i ké systému, é děje se tak přes terminálovou službu v lokalitě A. Podobně jako v lokalitě A je i zde vysokorychlostní připojení k internetu zakončené modemem s konektorem RJ-45. Síťová bezpečnost
3
Zadání – aktuální topologie Aktuální topologie sítí v objektech A a B
Síťová bezpečnost
4
Bezpečnostní rizika Bezpečnostní rizika Cíle útoků se přesunuly do vyšších vrstev a míří přímo na aplikace, odkud pak narušují bezpečnost celé sítě. Většina útočníků se zaměřuje na protokoly HTTP, XML a SQL, protože tyto obvykle mají právo přenosu celou podnikovou sítí a vstupují p p j i do datových ý center. Některé hrozby y ovlivňující j vnitřní datové centrum: - Neautorizovaný přístup k datům - Neautorizovaný přístup k aplikacím - Neautorizovaný přístup k zařízením - Přerušení kritických služeb pomocí útoků typu DoS - Neodhalené útokyy - Ztráta dat - Nemožnost obnovy dat - Útoky cílené na změnu dat - Vysoká úroveň oprávnění - Instalace nežádoucích programů - Neautorizované využití služeb, což zahrnuje i porušení podnikových předpisů Síťová bezpečnost
5
Bezpečnostní opatření Bezpečnostní opatření Technické zajištění bezpečnosti datového centra bude tedy zahrnovat: - Bezpečnostní brány na vstupu do datového centra - Nasazení systémů detekce a prevence průniku do datového centra - Kontrola na přítomnost škodlivých programů ů na přistupujících stanicích - Zabezpečený managementový přístup k aktivním prvkům - Zaznamenávání všech událostí v datovém centru podpořené synchronizací č času ve všech š h zařízeních ří í h - Plán provozní udržitelnosti pro případ selhání zařízení - Topologie sítě počítající s redundancí zařízení a tras - Pravidelné kontroly integrity dat kvůli odhalení případných neautorizovaných změn - Konfiguraci virtuálních sítí pro různé služby kvůli ochraně citlivějších zařízení - Aktivní prvky konfigurované tak, tak aby nebylo možné svévolně měnit MAC adresy připojených zařízení - Používání zabezpečených managementových protokolů
Síťová bezpečnost
6
Navržené opatření Na základě analýzy a doporučení uvedených v normách jsou navrženy následující j změny: y - DMZ - zavedení demilitarizované zóny do fyzické topologie (smysl DMZ spočívá v tom, tom že neexistuje žádné přímé spojení mezi internetem a vnitřní sítí, což v důsledku zvyšuje bezpečnost sítě, umožňuje pokročilé řízení přístupu uživatelů ke zdrojům v internetu a také zaznamenávání jejich aktivity) - Proxy server - přístup uživatelů do internetu je umožněn přes proxy server (po zaslání požadavku uživatelem proxy vyhodnotí oprávněnost pak pošle požadavek dále do Internetu a předá uživateli očekávanou odpověď, proxy obvykle b kl vyžaduje ž d j ověření ěř í uživatele) ži t l ) - Elektronická pošta – změnila se manipulace s poštou, kdy poštovní server je umístěn ve vnitřní síti, v DMZ je umístěn SMTP server přeposílající zprávy do Internetu nebo do vnitřní sítě (po kontrole splnění požadovaných kritérií), uživatelé v Internetu nemají přímý přístup k poštovnímu serveru
Síťová bezpečnost
7
Navržené opatření - pokračování - WWW server - byl rozdělen na dva, jeden se nyní nachází v DMZ a slouží pro prezentaci veřejně j přístupných ý informací formou www stránek, druhý ý server zůstal ve vnitřní síti a na něm se nachází aplikace pro vnitřní použití, které využívají www rozhraní Implementace DMZ vyžaduje vytvoření sítě oddělené od vnitřní sítě sítě. To lze teoreticky realizovat vytvořením virtuální sítě na stávajícím přepínači, nicméně mezi vnitřní sítí a DMZ je firewall a norma doporučuje, aby obě strany firewallu nebyly připojeny na stejný fyzický přepínač přepínač. Z toho plyne plyne, že pro DMZ je potřeba pořídit nový přepínač. - VPN - další výraznou změnou je implementace virtuálních privátních sítí (VPN), nejprve VPN server umožňující přístup do vnitřní sítě separátním uživatelům v internetu (pomocí nainstalovaných SW klientů), poté následuje implementace typu site-to-site VPN sloužící k propojení sítí v lokalitách A a B (využívá se vytvoření virtuálního tunelu, který umožňuje přenos jakéhokoli typu dat bez nutnosti instalace jakéhokoliv SW) - IDS/IPS, IDS/IPS NAC – kromě FW a VPN jsou implementovány technologie IPS IPS, IDS a NAC a shromažďování a analýza záznamů (Log). Síťová bezpečnost
8
Výsledná topologie Výsledná topologie sítě po realizovaných opatřeních
Síťová bezpečnost
9
Cenová kalkulace Hlavními náklady tedy budou náklady na pořízení bezpečnostního systému, v tomto případě zařízení firmy Enterasys. Kromě samotného hardwaru a softwaru by cena měla zahrnovat také cenu za instalaci konfiguraci a zaškolení obsluhy instalaci, obsluhy. Na druhou stranu lze počítat s projektovou nebo množstevní slevou. Rozpočet je uveden v obvyklých koncových cenách a nezohledňuje žádné slevy nebo poplatky za instalaci (v případě projektové ceny lze předpokládat slevy v cenách instalací).
Síťová bezpečnost
10
Rozpočet Rozpočet pro lokalitu A zařízení Switch 48‐port GE Switch 48‐port GE PoE Switch 24‐port GE (pro DMZ) Access Point 802.11 a/b/g Wireless Controller Security router (VPN, FW) IDS/IPS základní jednotka Dragon Síťový senzor pro DMZ Síť ý Síťový senzor pro vnitřní LAN itř í LAN Doplněk IDP pro IPS senzor (DMZ) Doplněk IDP pro IPS senzor (LAN) 125 licencí pro SW senzory na PC 2 licence pro senzor na www serveru p Jednotka podpory NAC Jednotka SIEM pro střední podniky Jednotný mngmt SW ‐ 250 zařízení celkem
Rozpočet pro lokalitu B ks 4 3 1 3 1 1 1 1 1 1 1 1 1 1 1 1
Cena 4595 5995 2795 449 6015 4540 24995 15995 32995 4495 10495 86063 990 19995 44995 49995
celkem 18380 17985 2795 1347 6015 4540 24995 15995 32995 4495 10495 86063 990 19995 44995 49995 342 075
zařízení Switch 48‐port GE Switch 48‐port GE Poe Switch 24‐port GE (pro DMZ) Security router (VPN, FW) IDS/IPS základní jednotka Dragon Síťový senzor pro DMZ Síťový senzor pro vnitřní LAN Doplněk IDP pro IPS senzor (DMZ) D l ěk IDP Doplněk IDP pro IPS senzor (LAN) IPS (LAN) 31 licencí pro SW senzory na PC Jednotka podpory NAC Jednotka SIEM pro malé pobočky ý g 50 zařízení Jednotný mngmt SW ‐ celkem
ks 1 1 1 1 1 1 1 1 1 1 1 1 1
Cena 4595 5995 2795 4540 24995 15995 32995 4495 10495 18913 19995 22495 24995
Celkem 4595 5995 2795 4540 24995 15995 32995 4495 10495 18913 19995 22495 24995 193 298
Celková cena bezpečnostního řešení je 535.373,- USD, což při aktuálním k kurzu 19,19 Kč za 1 USD představuje ř d t j částku čá tk 10 172 172.087,087 Kč bez b DPH DPH. Síťová bezpečnost
11
