IT alapok 11. alkalom
Biztonság Biztonság
Alapfogalmak
IT alapok 11. alkalom
• Biztonsági támadás: adatok biztonságát fenyegető támadás, legyen az fizikai, vagy szellemi termék támadása • Biztonsági mechanizmus: detektálás, megelőzés, károk elhárítása • Biztonsági szolgáltatás: rendszerbiztonság növelést okozó szolgáltatás
2
A biztonság fontossága • • • • • •
IT alapok 11. alkalom
Mindenki számára Adatlopás, adatvesztés, behatolás, fizikai sérülés Illetéktelen használat Erőforrás leterhelés Pénz, idő, energia Biztonsági szintek
3
Támadások fajtája
IT alapok 11. alkalom
4
IT alapok 11. alkalom
Biztonsági veszélyforrások • Támadási típusok (fizikai, adat) • Támadási irány (belső, külső) • strukturálatlan • strukturált • Célok: - titkosság - integritás - rendelkezésre állás - nem engedélyezett felhasználás megakadályozása • Problémák: felhasználóbarátság, nyitott architektúra, motiváció…
5
Szolgáltatások • • • • • •
IT alapok 11. alkalom
Titkosság, bizalmasság biztosítása Autentikáció biztosítása Integritás Letagadhatatlanság Hozzáférés szabályozás Rendelkezésre állás
6
Védelmi módszerek • • • • •
IT alapok 11. alkalom
Titkosítás Szoftveres hozzáférés-szabályozás Hardveres hozzáférés-szabályozás Biztonsági politika Fizikai hozzáférés-szabályozás
7
Kriptográfia
IT alapok 11. alkalom
• • • •
rejtjelezés, kódolás, ezek előállítása, megfejtése Nyílt szöveg: titkosítandó adat Algoritmus: titkosító eljárás (kódolás, rejtjelezés) Titkosított szöveg: kiválasztott algoritmussal a nyílt szövegből titkosat csinálunk • Dekódolás: visszafejtés • Kulcs: segítségével lehet a rejtjelezett szöveget megfejteni • Pl.: - ABC eltolás, ABC tükrözés, Morze - Playfair-rejtjel, Kircher-féle - AES, TEA, Blowfish
8
Támadási folyamat • • • • • •
IT alapok 11. alkalom
Felderítés, nyomkeresés Scannelés Kiértékelés Hozzáférés megszerzés Jogosultság kiterjesztés Hátsó ajtók kinyitása, nyomelfedés
9/19/16
9
A jelszó
IT alapok 11. alkalom
• Az a jelszó biztonságos, amit nehéz másoknak megtippelni vagy amit egy erre alkalmas automatikus program nehezen talál ki, de te mégis meg lehet jegyezni. • A jelszó legyen megfelelő hosszúságú (minél hosszabb annál jobb). • A biztonságos jelszó ne legyen, vagy ne hasonlítson szótári szavakra, de ne legyen egyszerű karaktersor sem, illetve ne legyen a billentyűzet sorban egymásután következőbillentyűi. • A jelszó ne utaljon közvetlenül a felhasználóra (pl. a felhasználó neve, beceneve, születési dátuma, lakcíme, stb.) • Használjon kisbetűt, nagybetűt, számot, írásjelet.
9/19/16
10
A jelszó II.
IT alapok 11. alkalom
• A jelszót titokban kell tartani. A jelszavát soha senkinek ne árulja el, vagy ha erre mégis sor kerül, akkor a következő belépést követően változtassa meg. • Ne használjuk a böngésző által ajánlott jelszó megjegyzést. Nyilvános helyen vagy ott, ahol egy számítógéphez többen hozzáférnek soha ne használja ezt a funkciót. • Különböző szolgáltatásokhoz használjunk különböző jelszavakat. Ne használjuk pl. a levelezéshez ugyanazt a jelszót mint az elektronikus bankszámlahasználathoz.
9/19/16
11
A jelszó III.
IT alapok 11. alkalom
• Ha nem tudunk több jelszót megjegyezni, elegendő, ha keveset változtatunk az eredetin. • Ha a legkisebb gyanúja is felmerül annak, hogy a jelszavát valaki már ismeri, azonnal változtassa meg. • Kritikus webhelyeken rendszeresen változtassa a jelszavait. • Ha feljegyzi a jelszavait, mindig bizonyosodjon meg róla, hogy biztonságos helyen tartja. • Soha ne küldd el a jelszavát e-mailben, MSN-en, Skype-on, Twitteren, stb.
9/19/16
12
A jelszó IV.
IT alapok 11. alkalom
• 3 gyenge pont: kulcs • Bruteforce • Nyílt szöveg alapú
9/19/16
13
Biztonsági házirend • • • •
IT alapok 11. alkalom
Milyen értékeket kell védeni? Milyen lehetséges fenyegetések vannak? Mi a teendő egy biztonsági behatolás esetén? Kezelési folyamat: - megengedett tevékenységek - tiltott tevékenységek - naplózni kívánt események - hozzáférés - hitelesítési mód - fizikai védelem (belépés, kábelzár…)
9/19/16
14
Adatvédelem • • • • • • • • • •
IT alapok 11. alkalom
BIOS jelszó Bejelentkezési jelszó Titkosítás Fizikai és logikai hozzáférés védelem Portvédelem Biztonsági mentés (gyakoriság, hely, jelszó) Fájlrendszer választás (NTFS-naplózás) WEP, WPA (vezeték nélküli hálózatok titkosítása) Biztonsági frissítés OS frissítés
9/19/16
15
IT alapok 11. alkalom
Hibaelhárítási folyamat • • • • • •
Adatgyűjtés az ügyféltől Kézenfekvő problémák kiszűrése Típusmegoldások kipróbálása Adatgyűjtés a számítógépről Probléma kiértékelés, megoldás Eset lezárás
9/19/16
16
IT alapok 11. alkalom
Hibaelhárítási folyamat II. • Nyitott kérdések: - Mikor kezdődött a probléma? - Milyen problémát tapasztalt? - Van még valami, amit el tud mondani a problémáról? - Milyen weboldalakat látogatott utoljára? - Milyen biztonsági program van telepítve a számítógépre? - Hogyan csatlakozik az internetre? - Volt váratlan látogató a munkahelyén? • Zárt kérdések: - Használta más valaki is a számítógépet? - A biztonsági program frissítve van? - Mostanában végzett a számítógépen vírusellenőrzést ? - Megnyitott bármilyen gyanús e-mail mellékletet ? - Volt már hasonló problémája? - Mostanában megváltoztatta a jelszavát ? - Kapott hibaüzenetet a gépen ? - Megadta valakinek a jelszavát ? 9/19/16
17
IT alapok 11. alkalom
Hibaelhárítási folyamat II. • Kézenfekvő problémák kiszűrése: - Nem küldözgetett másoknak furcsa leveleket? - Az asztalán minden ugyanúgy van? - Nem fut lassabban a gépe? - Nem látott ismeretlen bejelentkezési nevet? - Internet kapcsolata nem lassú?
• Típusmegoldás kipróbálás - Újraindítás - Más felhasználóként belépés - Vírusdefiníciós adatbázis ellenőrzés, Kémprogram elh. - Ellenőrzés 9/19/16
18
IT alapok 11. alkalom
Hibaelhárítási folyamat II. • Adatgyűjtés: - Naplóbejegyzések ellenőrzése
• Probléma vizsgálat, megoldás - Tapasztalatok, feljegyzések megvizsgálása - Más szakemberrel konzultáció - Internetes keresés, GYIK, Hírcsoportok - Kézikönyvek - Fórumok - Megoldás • Lezárás - Ügyfél ellenőrizzen - Papírmunka, Ticket zárás 9/19/16
19
Kérdések
IT alapok 11. alkalom
• Csoport1 - Mi a vírus? Mi a féreg? Mi a trójai? Milyen vírusok vannak? Milyen szoftvereket érdemes használni? Vane ingyenes? Java (mire való, biztonságos?), Reklámprogram szűrés, Grayware, Maleware, SPAM, Szociális manipuláció
• Csoport2 - DoS, DDoS, TCP/IP támadások, Visszaélés a hardver elemekkel, Puffer túlcsordulás, Hálózati eszközök támadása, Phising
• Csoport3 - védekezési módok, DMZ, Tűzfal, Proxy, Alagút, Gateway IDS (behatolás érzékelés), IPS (behatolás megelőzés), Szimmetrikus/Asszimetrikus kulcs 9/19/16
20
Irodalomjegyzék • • • • •
Alapfogalmak. Biztonság. Hálózati biztonság Személyes adataink biztonsága Számítógépes biztonság (WikiPédia) Internet és adatbiztonság (nibiru.hu)
IT alapok 11. alkalom
