Kiegészítı biztonsági eszközök T.: F.:

SCI-Network Távközlési és Hálózatintegrációs zRt.

Kiegészítı biztonsági eszközök

T.: 467-70-30 F.: 467-70-49 [email protected] www.scinetwork.hu

Szabó Krisztián hálózatbiztonsági szakértı

Nem tudtuk, hogy lehetetlen, ezért megcsináltuk.

©SCI-Network zRt. – 2008. május 28.

Tartalomjegyzék

Fizikai biztonság

Biztonságos web-elérés

Infrastruktúra védelme Hibatőrı hardvereszközök Spyware Finjan Vital Security

Email menedzsment és archiválás

Email trendek EMA (E-mail Archive Appliance) ©SCI-Network zRt. – 2008. május 28.

2

Biztonság szintjei

Fizikai biztonság

Hálózati/határvédelmi biztonság

Infrastruktúra elektronikai védelme Hibatőrı hardvereszközök alkalmazása Tőzfalak; VPN tokenkártyás bejelentkezéssel; SSO; IDS/IPS; anti-virus; tartalomszőrés; spamszőrés; mentırendszerek; …

Adatok, adattárolás biztonsága

E-mail menedzsment ©SCI-Network zRt. – 2008. május 28.

3

Fizikai biztonság (1)

Infrastruktúra elektronikai (nem életerıs) védelme

Moduláris rackszekrények (pl. APC, Rittal) Szünetmentes áramellátás (pl. APC, Powerware) „Intelligens telephely” koncepció - SeaGuard • Behatolás védelem (riasztó) • Tőzjelzı- és oltórendszer rendszer • Beléptetı rendszer (pl. GE, SeaSec) – Integráció a munkaidıs nyilvántartással (SAP) – Kapcsolat az épületfelügyeleti alkalmazásokkal

• Kamerás megfigyelı- és rögzítı rendszer – IP-s kamerák (pl. Axis, Mobotix) – Rögzítırendszer (pl. NetAVIS)


4

Fizikai biztonság (2)

Hibatőrı hardvereszközök alkalmazása

Ellenırzött eszközbeszerzések (brand – no-name) Redundáns alkatrészek • Hőtés, tápegység

Hibatőrı háttértár megoldások • RAID alrendszerek (RAID 0, 1, 5 szintek) • Intelligens háttértárak (SAN, NAS)

Központi gépek fürtözése (clusterezés) Katasztrófa gépterem létesítése • Hardver duplikálása más helyszínen

Rendszerfelügyeleti eszközök alkalmazása • Hibajavítás lerövidítése, hibák elırejelzése


5

Biztonságos web-elérés …avagy a kritikus üzleti információk védelme a spyware-ekkel szemben


6

Spyware - definíció

Olyan program, amely a felhasználó tudta nélkül automatikusan letöltıdik és végrehajtódik, majd a felhasználóról információt győjt és azt elküldi Jellemzık • Bármilyen webhely tartalmazhat spyware-t • Bizalmas információk (felhasználónév/jelszó) nyilvánosságra hozatala • Hálózati sávszélességet pazarolja • Lelassítja a gépeket • Hátsó ajtót nyit a hálózatra ©SCI-Network zRt. – 2008. május 28.

7

Spyware statisztikák

A Google több, mint 3 millió egyedi URL-t tartalmaz. Ezek közül kb. 250.000 weboldal automatikusan spyware-t telepít A weboldalak közel 2,5%-a hirdetésen keresztül spyware-t telepít A PC-k kb. 90%-a legalább egy spyware-rel fertızött A nagyvállalatok 95%-a komoly spyware problémákkal küzd, ezeknél a munkaállomások kb. 30%-a fertızött


8

Spyware fertızési módszerek

Böngészı sebezhetıségének kihasználása Rejtett telepítés

Felhasználó tudta nélküli letöltés

Adott webhely megtekintése v. email olvasása alkalmával aktiválódik

Adware

Programok rejtett komponenseként települ fel

Olyan alkalmazás, amely a felhasználói információk nyomon követésére és jelentésére alkalmas komponensekkel jelenít meg hirdetéseket

Social Engineering

Felhasználói tudatlanság kihasználásával telepít szoftvert ©SCI-Network zRt. – 2008. május 28.

9

Spyware – védekezés? (1)

Anti-virus

Ismert támadások mintáit keresi Ismeretlen veszélyek ellen tehetetlen Kb. 4-10 óra alatt készíthetı fel új mintákra SSL és titkosított forgalommal nem tud megbirkózni

IDS/IPS

Hálózati protokollokat figyeli, nem pedig az oldalak tartalmát Ismert támadások mintáit keresi (reaktív) SSL és titkosított forgalommal nem tud megbirkózni Spyware – alkalmazásszintő vizsgálatot igényel ©SCI-Network zRt. – 2008. május 28.

10

Spyware – védekezés? (2)

URL és hírnév-alapú (reputáció) szőrés

A dolgozók produktivitását ellenırzi, nem törıdik a biztonsággal A megtekintendı URL-ket korábban feltérképezett webcímekkel hasonlítja össze (reaktív jellegő) A spyware-eket tartalmazó webhelyek általában rövid életőek annak érdekében, hogy elkerüljék a detektálást A megítélés alapja a tartomány/IP megbízhatósága és üzemeltetıje, nem pedig az ott található kód


11

Spyware – védekezés! (3)

Finjan megoldás

Proaktív valós-idejő alkalmazásszintő tartalomelemzés Megérti, hogyan viselkedik egy weboldal, amikor a böngészı megjeleníti Értelmezi a komplex támadási mintákat is Az elıbbiekben ismertetett hagyományos biztonsági megoldásokat (AV, IDS/IPS, FW, URL szőrı) egyetlen termékben ötvözi


12

Finjan-féle többszintőség

URL szőrés és kategorizálás • Döntés alapja: honnan érkezik a tartalom? • Pl. myspace.com • Megvalósítás: WebSense (SurfControl), IBM Proventia

Anti-vírus modul • Döntés alapja: hogyan fest a tartalom? • Pl. W32/Netsky, W32/MyDoom • Megvalósítás: Sophos, McAfee, Kaspersky

Valósidejő tartalomelemzés • Döntés alapja: mit csinál a kód? • Pl.: File Read(), File Write(), Delete File() ©SCI-Network zRt. – 2008. május 28.

13

Finjan Vital Security (1)

Anti-spyware védelem

Együttmőködés más rendszerekkel

HTTP/HTTPS/FTP/SSL tartalom kiértékelése WCCPv2 és ICAP támogatása Active Directory integráció Külsı logolás támogatása

Alkalmazásszintő ellenırzések

Bizalmas adatok védelme bejövı és kimenı irányban P2P, IM, Skype blokkolási képesség ©SCI-Network zRt. – 2008. május 28.

14

Finjan Vital Security (2)

Valósidejő monitorozás és jelentéskészítés

Skálázhatóság

IT, biztonsági és menedzsment szintő összefoglalók 25 - 250.000 felhasználó, többféle hardver Központi menedzsment

Törvényi megfelelés

HIPAA, Sarbanes-Oxley SOX, Basel II, EU adatvédelmi direktíva, ISO 17799:2000, BS7799-2:2005, UK DP Act, PCI DSS 1.1,… ©SCI-Network zRt. – 2008. május 28.

15

Email menedzsment és archiválás …avagy mi jöhet még a spam-ek után?


16

Az email napjainkban (1)

Problémák a levelezéssel

Az email már nem csak egy kommunikációs eszköz A levelezést gyakran a bizalmas üzleti információk nyomon követésére használjuk A postafiók fontos üzleti adatok, informális kommunikáció és privát üzenetek sokaságát tartalmazza Gyakran nem léteznek vállalati szintő öregítési rendszabályok, azaz meddig kell egy email-t tárolnunk ©SCI-Network zRt. – 2008. május 28.

17


Néhány 2008. februári statisztikai adat

76 email/felhasználó/nap 80-100 KB/email 140 MB/hó/felhasználó 1,7 GB /év/felhasználó (kb. 25%-os éves növekedés) 300 felhasználó: 500 GB/év A cégek közel 85%-a használja az email-t üzleti tranzakciók/rendelések lezárására Átlagosan napi 10 üzenetet tart meg egy felhasználó ©SCI-Network zRt. – 2008. május 28.

18


Mi van a postafiókban?

Az email-ek 90%-ának nincs melléklete 10%-nak van melléklete • Ez megtölti a teljes postafiók 78%-át • Minden újabb szoftververzió megjelenésével nı a fájlméret

Régi email-ek • • • •

Alacsony hozzáférési igény Késıbbi esetleges beletekintés miatt ırizzük meg Az egységes hozzáféréssel komoly gondok vannak Törölni nem célszerő, „egyszer jól jöhet még” ©SCI-Network zRt. – 2008. május 28.

19

A beérkezett levelek sorsa Megtartott levelek száma

Magas

Alacsony

Többszöri hozzáférés, aktív feldolgozás (válasz, törlés) Egyszeri hozzáférés és gyors feldolgozás (olvasás, továbbítás) Ritka hozzáférés keresés után (olvasás, továbbítás)

Kor hónapokban


20

Email menedzsment (1)

A felhasználók szemszögébıl

Töröljük az üzeneteket, amint lehet Mentsük el a saját gépünkön Maradjunk a kvótánk alatt Másoljuk a mellékleteket egy projekt könyvtárba, majd töröljük az üzenetet Tartsunk mindent a levelezıszerveren


21

Email menedzsment (2)

A vállalat szemszögébıl (3C)

Jogi megfelelıség (Compliance) - kockázatcsökkentés • Jogszabályi megfelelıség (üzleti levelek tárolása min. 5 évig) • Mindenrıl biztonságos, auditált másolat készítése

Erıforrások optimalizálása (Capacity Management) • Háttértár, kapacitás, performancia • Kibıvített mentési és visszaállítási stratégiák

Költségoptimalizálás (Cost Management) • Adatbirtoklási költségek csökkentése • Felhasználót ne dolgoztassuk feleslegesen (email-ek törlése) ©SCI-Network zRt. – 2008. május 28.

22

Email archiválás (1)

EMA - Email Archive Appliance Email-ek és dokumentumok védelme titkosítással és digitális aláírással

Külsı háttértárak támogatása

Csak a tulajdonos tud rendelkezni saját email-jeivel A digitális aláírás garantálja az email-ek eredetiségét NAS megosztások (Windows, UNIX, NFS) SAN, Fibre Channel, iSCSI

Hozzáférés az levelekhez SSL titkosítással

Keresés (üzenetek, mellékletek, dokumentumok) Többszintő jogosultsági rendszer ©SCI-Network zRt. – 2008. május 28.

23


Könnyen integrálható meglévı levelezırendszerekkel

4szem funkcionalitás („Four-Eye Principle”)

MS Exchange, Lotus Notes, Exim, Sendmail, Postfix (BorderWare MXtreme), … Levelek importálása IMAP szerverektıl, Outlook archívumból, PST fájlokból Bizonyos tevékenységeket nem végezhet egyetlen személy Két adminisztrátornak egyszerre kell bejelentkeznie A privát adatokhoz való hozzáférés korlátozása Erıforrás-igényes mőveletek (pl. sok üzenet visszaállítása)

A törölt vagy elveszett üzenetek gyors visszaállítása ©SCI-Network zRt. – 2008. május 28.

24


„Single Sing-On”

Konzisztencia folyamatos ellenırzése

Sikerült-e az adatokat a külsı háttértárakon elhelyezni

Redundancia

Nem kell külön bejelentkezni a levelezı-, ill. az archiváló rendszerbe Nagyvállalati környezetben nem kell a hozzáférési kódokat az archiválórendszerhez külön létrehozni

Átmeneti beépített tároló, hidegtartalék eszköz

LDAP, OpenLDAP támogatása „Printing to Archive”

Dokumentumok archiválása nyomtatás közben Digitális aláírás, idıbélyeg, tartalom ©SCI-Network zRt. – 2008. május 28.

25


E-mail-ek háttértárolása (Overland REO4500)

12x SATA merevlemez RAID5 rendszerben 3 - 27 TB kapacitás (45 TB tömörítés esetén) Ethernet (iSCSI) és Fibre Channel csatlakozás REO Protection OS szoftverrel Virtualizáció támogatása 2U rack-es, redundáns kivitel Webes menedzsment, SNMP, email riasztási rendszer


26

Köszönjük a figyelmüket!

[email protected]


27

Kiegészítı biztonsági eszközök T.: F.:

Recommend Documents