SCI-Network Távközlési és Hálózatintegrációs zRt.
Kiegészítı biztonsági eszközök
T.: 467-70-30 F.: 467-70-49
[email protected] www.scinetwork.hu
Szabó Krisztián hálózatbiztonsági szakértı
Nem tudtuk, hogy lehetetlen, ezért megcsináltuk.
©SCI-Network zRt. – 2008. május 28.
Tartalomjegyzék
Fizikai biztonság
Biztonságos web-elérés
Infrastruktúra védelme Hibatőrı hardvereszközök Spyware Finjan Vital Security
Email menedzsment és archiválás
Email trendek EMA (E-mail Archive Appliance) ©SCI-Network zRt. – 2008. május 28.
2
Biztonság szintjei
Fizikai biztonság
Hálózati/határvédelmi biztonság
Infrastruktúra elektronikai védelme Hibatőrı hardvereszközök alkalmazása Tőzfalak; VPN tokenkártyás bejelentkezéssel; SSO; IDS/IPS; anti-virus; tartalomszőrés; spamszőrés; mentırendszerek; …
Adatok, adattárolás biztonsága
E-mail menedzsment ©SCI-Network zRt. – 2008. május 28.
3
Fizikai biztonság (1)
Infrastruktúra elektronikai (nem életerıs) védelme
Moduláris rackszekrények (pl. APC, Rittal) Szünetmentes áramellátás (pl. APC, Powerware) „Intelligens telephely” koncepció - SeaGuard • Behatolás védelem (riasztó) • Tőzjelzı- és oltórendszer rendszer • Beléptetı rendszer (pl. GE, SeaSec) – Integráció a munkaidıs nyilvántartással (SAP) – Kapcsolat az épületfelügyeleti alkalmazásokkal
• Kamerás megfigyelı- és rögzítı rendszer – IP-s kamerák (pl. Axis, Mobotix) – Rögzítırendszer (pl. NetAVIS)
©SCI-Network zRt. – 2008. május 28.
4
Fizikai biztonság (2)
Hibatőrı hardvereszközök alkalmazása
Ellenırzött eszközbeszerzések (brand – no-name) Redundáns alkatrészek • Hőtés, tápegység
Hibatőrı háttértár megoldások • RAID alrendszerek (RAID 0, 1, 5 szintek) • Intelligens háttértárak (SAN, NAS)
Központi gépek fürtözése (clusterezés) Katasztrófa gépterem létesítése • Hardver duplikálása más helyszínen
Rendszerfelügyeleti eszközök alkalmazása • Hibajavítás lerövidítése, hibák elırejelzése
©SCI-Network zRt. – 2008. május 28.
5
Biztonságos web-elérés …avagy a kritikus üzleti információk védelme a spyware-ekkel szemben
©SCI-Network zRt. – 2008. május 28.
6
Spyware - definíció
Olyan program, amely a felhasználó tudta nélkül automatikusan letöltıdik és végrehajtódik, majd a felhasználóról információt győjt és azt elküldi Jellemzık • Bármilyen webhely tartalmazhat spyware-t • Bizalmas információk (felhasználónév/jelszó) nyilvánosságra hozatala • Hálózati sávszélességet pazarolja • Lelassítja a gépeket • Hátsó ajtót nyit a hálózatra ©SCI-Network zRt. – 2008. május 28.
7
Spyware statisztikák
A Google több, mint 3 millió egyedi URL-t tartalmaz. Ezek közül kb. 250.000 weboldal automatikusan spyware-t telepít A weboldalak közel 2,5%-a hirdetésen keresztül spyware-t telepít A PC-k kb. 90%-a legalább egy spyware-rel fertızött A nagyvállalatok 95%-a komoly spyware problémákkal küzd, ezeknél a munkaállomások kb. 30%-a fertızött
©SCI-Network zRt. – 2008. május 28.
8
Spyware fertızési módszerek
Böngészı sebezhetıségének kihasználása Rejtett telepítés
Felhasználó tudta nélküli letöltés
Adott webhely megtekintése v. email olvasása alkalmával aktiválódik
Adware
Programok rejtett komponenseként települ fel
Olyan alkalmazás, amely a felhasználói információk nyomon követésére és jelentésére alkalmas komponensekkel jelenít meg hirdetéseket
Social Engineering
Felhasználói tudatlanság kihasználásával telepít szoftvert ©SCI-Network zRt. – 2008. május 28.
9
Spyware – védekezés? (1)
Anti-virus
Ismert támadások mintáit keresi Ismeretlen veszélyek ellen tehetetlen Kb. 4-10 óra alatt készíthetı fel új mintákra SSL és titkosított forgalommal nem tud megbirkózni
IDS/IPS
Hálózati protokollokat figyeli, nem pedig az oldalak tartalmát Ismert támadások mintáit keresi (reaktív) SSL és titkosított forgalommal nem tud megbirkózni Spyware – alkalmazásszintő vizsgálatot igényel ©SCI-Network zRt. – 2008. május 28.
10
Spyware – védekezés? (2)
URL és hírnév-alapú (reputáció) szőrés
A dolgozók produktivitását ellenırzi, nem törıdik a biztonsággal A megtekintendı URL-ket korábban feltérképezett webcímekkel hasonlítja össze (reaktív jellegő) A spyware-eket tartalmazó webhelyek általában rövid életőek annak érdekében, hogy elkerüljék a detektálást A megítélés alapja a tartomány/IP megbízhatósága és üzemeltetıje, nem pedig az ott található kód
©SCI-Network zRt. – 2008. május 28.
11
Spyware – védekezés! (3)
Finjan megoldás
Proaktív valós-idejő alkalmazásszintő tartalomelemzés Megérti, hogyan viselkedik egy weboldal, amikor a böngészı megjeleníti Értelmezi a komplex támadási mintákat is Az elıbbiekben ismertetett hagyományos biztonsági megoldásokat (AV, IDS/IPS, FW, URL szőrı) egyetlen termékben ötvözi
©SCI-Network zRt. – 2008. május 28.
12
Finjan-féle többszintőség
URL szőrés és kategorizálás • Döntés alapja: honnan érkezik a tartalom? • Pl. myspace.com • Megvalósítás: WebSense (SurfControl), IBM Proventia
Anti-vírus modul • Döntés alapja: hogyan fest a tartalom? • Pl. W32/Netsky, W32/MyDoom • Megvalósítás: Sophos, McAfee, Kaspersky
Valósidejő tartalomelemzés • Döntés alapja: mit csinál a kód? • Pl.: File Read(), File Write(), Delete File() ©SCI-Network zRt. – 2008. május 28.
13
Finjan Vital Security (1)
Anti-spyware védelem
Együttmőködés más rendszerekkel
HTTP/HTTPS/FTP/SSL tartalom kiértékelése WCCPv2 és ICAP támogatása Active Directory integráció Külsı logolás támogatása
Alkalmazásszintő ellenırzések
Bizalmas adatok védelme bejövı és kimenı irányban P2P, IM, Skype blokkolási képesség ©SCI-Network zRt. – 2008. május 28.
14
Finjan Vital Security (2)
Valósidejő monitorozás és jelentéskészítés
Skálázhatóság
IT, biztonsági és menedzsment szintő összefoglalók 25 - 250.000 felhasználó, többféle hardver Központi menedzsment
Törvényi megfelelés
HIPAA, Sarbanes-Oxley SOX, Basel II, EU adatvédelmi direktíva, ISO 17799:2000, BS7799-2:2005, UK DP Act, PCI DSS 1.1,… ©SCI-Network zRt. – 2008. május 28.
15
Email menedzsment és archiválás …avagy mi jöhet még a spam-ek után?
©SCI-Network zRt. – 2008. május 28.
16
Az email napjainkban (1)
Problémák a levelezéssel
Az email már nem csak egy kommunikációs eszköz A levelezést gyakran a bizalmas üzleti információk nyomon követésére használjuk A postafiók fontos üzleti adatok, informális kommunikáció és privát üzenetek sokaságát tartalmazza Gyakran nem léteznek vállalati szintő öregítési rendszabályok, azaz meddig kell egy email-t tárolnunk ©SCI-Network zRt. – 2008. május 28.
17
Az email napjainkban (2)
Néhány 2008. februári statisztikai adat
76 email/felhasználó/nap 80-100 KB/email 140 MB/hó/felhasználó 1,7 GB /év/felhasználó (kb. 25%-os éves növekedés) 300 felhasználó: 500 GB/év A cégek közel 85%-a használja az email-t üzleti tranzakciók/rendelések lezárására Átlagosan napi 10 üzenetet tart meg egy felhasználó ©SCI-Network zRt. – 2008. május 28.
18
Az email napjainkban (3)
Mi van a postafiókban?
Az email-ek 90%-ának nincs melléklete 10%-nak van melléklete • Ez megtölti a teljes postafiók 78%-át • Minden újabb szoftververzió megjelenésével nı a fájlméret
Régi email-ek • • • •
Alacsony hozzáférési igény Késıbbi esetleges beletekintés miatt ırizzük meg Az egységes hozzáféréssel komoly gondok vannak Törölni nem célszerő, „egyszer jól jöhet még” ©SCI-Network zRt. – 2008. május 28.
19
A beérkezett levelek sorsa Megtartott levelek száma
Magas
Alacsony
Többszöri hozzáférés, aktív feldolgozás (válasz, törlés) Egyszeri hozzáférés és gyors feldolgozás (olvasás, továbbítás) Ritka hozzáférés keresés után (olvasás, továbbítás)
Kor hónapokban
©SCI-Network zRt. – 2008. május 28.
20
Email menedzsment (1)
A felhasználók szemszögébıl
Töröljük az üzeneteket, amint lehet Mentsük el a saját gépünkön Maradjunk a kvótánk alatt Másoljuk a mellékleteket egy projekt könyvtárba, majd töröljük az üzenetet Tartsunk mindent a levelezıszerveren
©SCI-Network zRt. – 2008. május 28.
21
Email menedzsment (2)
A vállalat szemszögébıl (3C)
Jogi megfelelıség (Compliance) - kockázatcsökkentés • Jogszabályi megfelelıség (üzleti levelek tárolása min. 5 évig) • Mindenrıl biztonságos, auditált másolat készítése
Erıforrások optimalizálása (Capacity Management) • Háttértár, kapacitás, performancia • Kibıvített mentési és visszaállítási stratégiák
Költségoptimalizálás (Cost Management) • Adatbirtoklási költségek csökkentése • Felhasználót ne dolgoztassuk feleslegesen (email-ek törlése) ©SCI-Network zRt. – 2008. május 28.
22
Email archiválás (1)
EMA - Email Archive Appliance Email-ek és dokumentumok védelme titkosítással és digitális aláírással
Külsı háttértárak támogatása
Csak a tulajdonos tud rendelkezni saját email-jeivel A digitális aláírás garantálja az email-ek eredetiségét NAS megosztások (Windows, UNIX, NFS) SAN, Fibre Channel, iSCSI
Hozzáférés az levelekhez SSL titkosítással
Keresés (üzenetek, mellékletek, dokumentumok) Többszintő jogosultsági rendszer ©SCI-Network zRt. – 2008. május 28.
23
Email archiválás (2)
Könnyen integrálható meglévı levelezırendszerekkel
4szem funkcionalitás („Four-Eye Principle”)
MS Exchange, Lotus Notes, Exim, Sendmail, Postfix (BorderWare MXtreme), … Levelek importálása IMAP szerverektıl, Outlook archívumból, PST fájlokból Bizonyos tevékenységeket nem végezhet egyetlen személy Két adminisztrátornak egyszerre kell bejelentkeznie A privát adatokhoz való hozzáférés korlátozása Erıforrás-igényes mőveletek (pl. sok üzenet visszaállítása)
A törölt vagy elveszett üzenetek gyors visszaállítása ©SCI-Network zRt. – 2008. május 28.
24
Email archiválás (3)
„Single Sing-On”
Konzisztencia folyamatos ellenırzése
Sikerült-e az adatokat a külsı háttértárakon elhelyezni
Redundancia
Nem kell külön bejelentkezni a levelezı-, ill. az archiváló rendszerbe Nagyvállalati környezetben nem kell a hozzáférési kódokat az archiválórendszerhez külön létrehozni
Átmeneti beépített tároló, hidegtartalék eszköz
LDAP, OpenLDAP támogatása „Printing to Archive”
Dokumentumok archiválása nyomtatás közben Digitális aláírás, idıbélyeg, tartalom ©SCI-Network zRt. – 2008. május 28.
25
Email archiválás (4)
E-mail-ek háttértárolása (Overland REO4500)
12x SATA merevlemez RAID5 rendszerben 3 - 27 TB kapacitás (45 TB tömörítés esetén) Ethernet (iSCSI) és Fibre Channel csatlakozás REO Protection OS szoftverrel Virtualizáció támogatása 2U rack-es, redundáns kivitel Webes menedzsment, SNMP, email riasztási rendszer
©SCI-Network zRt. – 2008. május 28.
26
Köszönjük a figyelmüket!
[email protected]
©SCI-Network zRt. – 2008. május 28.
27