Management bezpečnosti fyzické vrstvy Ing. Petr Sedlák
Služby a kvalita služeb 27.11.2013
Tento workshop je podporována projektem č. CZ.1.07/2.2.00/28.0062 "Společné aktivity VUT a VŠB-TUO Š O při ř vytváření ář í obsahu b h a náplně á l ě odborných db ý h akreditovaných k d ý h kurzů k ů ICT" C "
IMS IMS (Integrated Management System) - Integrovaný systém řízení je filozofie komplexního řízení organizací. g
QMS (Quality Management System) – ISO 9001 EMS (Enviromental Management System) – ISO 14001 OHSMS (Occupational Health and Safety Management System) – OHSAS 18001 + ISMS – Information Security Management System – systém řízení bezpečnosti informací ČSN IEC/ISO 27001 + ITSM - IT Service Management - řízení služeb informačních technologií ČSN IEC/ISO 20000 Management informační bezpečnosti
2
Normy bezpečnostní ISMS (Information security managemet system) - systém řízení bezpečnosti informací je specifikován v normách řady ISO/IEC 27000 ISO/IEC 27001, což je specifikace ISMS ISO/IEC 27002 (ISO/IEC 17799) – soubor postupů ISO/IEC 27003 – směrnice pro implementaci ISMS ISO/IEC 27004 – metriky ISMS ISO/IEC 27005 – metody řízení rizik ISO/IEC 27006 – pravidla certifikace ISMS ISO/IEC 27007 – směrnice auditora ISMS atd. až po specifické normy jako: ISO/IEC 27033 – Informační technologie – Bezpečnostní techniky – Síťová bezpečnost Management informační bezpečnosti
3
Soubor norem řady ISO/IEC 27033 ISO/IEC 27033 - Informační technologie – Bezpečnostní techniky – Síťová bezpečnost Jde o otevřený soubor norem s postupným vydáváním poskytující podrobný návod na implementaci bezpečnostních mechanizmů, které jsou zmíněny v normě ISO/IEC 27002. Týkají se bezpečnosti zařízení připojených do sítě, síťových služeb, uživatelů přistupujících do sítě, informací přenášených po síti a také správy těchto bezpečnostních opatření. Síťová bezpečnost je pojem označující soubor norem obsahující doporučení pro implementaci opatření, které se vztahují k bezpečnosti sítí (vnitřní ochrany a ochrany perimetru). Bezpečnost síťové infrastruktury znamená stupeň zabezpečení digitálního přenosového prostředí zajišťujícího důvěrnost a neporušenost komunikace. Poznámka:
Pojem „perimetr sítě“ značí přípojné body vnitřní sítě s externími (cizími) sítěmi.
Snaží se poskytnout srozumitelný přehled síťové bezpečnosti bez jakékoli zmínky o síťovém modelu OSI. Určuje architekturu síťové bezpečnosti bezpečnosti, která může být aplikována na nejrůznější typy sítí bez ohledu na technologii nižších síťových vrstev. Normy ISO/IEC 27033
4
ISO/IEC 27033 - pokračování ISO/IEC 27033-1:2009 - popisuje cesty, principy a koncept řešení ISO/IEC 27033-2:2012 - definuje architekturu bezpečnosti sítě ISO/IEC 27033-3:2010 - definuje rizika, techniky návrhu a řešení problému spjatých se správou sítí ISO/IEC 27033-4:2012 mezisíťová bezpečná komunikace s využitím bezpečnostních bran - definuje rizika, techniky návrhu a řešení problémů spjatých se zabezpečením datových toků mezi sítěmi. ISO/IEC 27033-5:2013 zabezpečená komunikace v sítích VPN - definuje rizika, techniky návrhu a řešení problémů spjatých se spojením pomocí VPN.
ISO/IEC 27033-6: IP konvergence – bude popisovat rizika, projektování a kontrolní mechanizmy pro konvergenci signálů data, hlas a video ISO/IEC 27033 27033-7: 7: příručka pro zabezpečené bezdrátové sítě - hrozby, hrozby projekční techniky a kontrolní mechanizmy - bude definovat rizika, techniky návrhu a řešení problémů spjatých se zabezpečením bezdrátových a radiových sítí. ISO/IEC 27033-8+: příručka pro zabezpečení – otevřená část pro oblasti LAN, WAN, Broadband, hlasové sítě, architekturu Web Hostingu, architekturu internetového e-mailu, směrovaný (routing) přístup do sítí třetích stran Normy ISO/IEC 27033
5
Základní pojmy Síťová infrastruktura - je pojem zahrnující všechny síťové prvky a zařízení použité při realizaci ICT prostředí. Může také značit aktiva v oblasti informačních a komunikačních technologií sloužící k vytváření a podpoře informačního systému. Počítačová síť - je součástí síťové infrastruktury sloužící k realizaci komunikačního prostředí mezi uživateli sítě. ------
ISO/OSI model – je sedmivrstvý referenční komunikační model podle něhož dochází k propojování systémů.
Management informační bezpečnosti
6
MCN – Mission Critical Network MCN – jsou sítě s maximální dostupností Dodržením tří základních pravidel při návrhu sítě lze dosáhnout snadnější správy a nižší poruchovosti (výsledkem je spolehlivá síť s levným provozem). 3 základní pravidla pro MCN: - jednoduchost (provozní) - separátní át í rutinní ti í provoz - spolehlivost
V síťové íť é iinfrastruktuře f k ř znamená á jjednoduchost d d h používání ží á í těchto ě h vlastností: l í - činnost na co nejnižší vrstvě ISO odelu (L1, L2, L3) včetně zabezpečení -p používání HW p podporujícího p j hot-swap p a modularitu - používání správy s grafickým rozhraním - rozsegmentování sítě na snáze upravovatelné celky
MCN
7
ISO/OSI model
SD
SD
SD
SD
L1 ažž L4 jsou j vrstvy t ISO/OSI referenčního f č íh modelu d l ISI/OSI
8
Pasivní vrstva počítačové sítě L1 – první (fyzická) vrstva ISO/OSI referenčního komunikačního modelu je vrstva fyzická. fyzická Je tvořena kabelážním systémem systémem, který je složen ze síťových komponentů. K nim zejména patří: • kabely k b l v dané d é ttopologii l ii ((metalické t li ké i optické) ti ké) • kabelové trasy (svazky kabelů) • konektory (RJ-45) • přípojné boxy (pro konektory RJ-45) • rozvodné panely (patch panely) v datovém rozvaděči Zabezpečení na úrovni pasivní vrstvy je dáno fyzickým řešením a lze ho nazvat Management bezpečnosti fyzické vrstvy nebo lépe Management bezpečnosti pasivní vrstvy – například NISS (Network Infrastructure Security Solution). Solution) Poznámka: Bezpečnostní opatření dle ČSN ISO/IEC 27002:2006 Soubor popisů pro řízení bezpečnosti informací A9 A.9 F i ká bezpečnost Fyzická b č tab bezpečnost č t prostředí tř dí A.9.2.3 Bezpečnost kabelových rozvodů (ochrana datových linek na úrovni fyzické, EMC,…) ISO/OSI
9
Network Infrastructure Security Solution NISS společnosti PANDUIT Je komplexní řešení bezpečnosti na úrovni kabelážního systému (definuje 3 stupně bezpečnosti – 0, 1 a 2)
NISS
10
NISS stupně 0 Bezpečnostní stupeň 0 – IDENTIFIKÁTORY Tento stupeň nezajišťuje žádnou fyzickou ochranu komunikace, usnadňuje pouze správu systému a naviguje správce sítě na správný způsob zapojení pomocí barevného rozlišení prvků prvků. Lze využít širokou škálu barev u metalických Jacků, FO adapterů, PatchCordů, popiskových štítků na panely, Jumpery, PatchCordy i barevných značkovacích kroužků na PatchCordy.
NISS
11
NISS - identifikátory Barevné značkovací kroužky na PatchCordy (používají se obvykle místo barevných PatchCordů, v některých ý p případech p iv kombinaci s nimi).
NISS
12
NISS stupně 1 Bezpečnostní stupeň 1 – BLOKÁTORY Do tohoto stupně jsou zařazeny prostředky, které chrání nebo blokují prvky kabeláže a konektivity: - prvky k na blokování bl k á í metalických t li ký h portů tů RJ45, RJ45 FO LC d duplex l portů tů a FO SC – portů - prvky na ochranu proti vytažení (uzamčení) metalických PatchCordů a optických LC duplex Jumperů - datové zásuvky s omezenou přístupností portů - kabelové žlaby se zabezpečeným víkem
NISS
13
NISS - blokátory Prvky na blokování portů RJ-45 proti připojení
NISS
14
NISS – blokátory (metalika) Postup při aplikaci prvků na blokování portů RJ-45 proti připojení
NISS
15
NISS - blokátory (optika) Prvky na blokování optických portů proti připojení Konektor LC (duplexní)
NISS
Konektor SC
16
NISS - blokátory (USB) Blokátor USB portu typu „A“ (Instalace a odinstalace speciálním nástrojem)
NISS
17
NISS – permanentní blokátory (USB) Permanentní blokátor USB portu typu „A“ (Jednorázová blokace - bez nástroje)
NISS
!!!
18
NISS – blokátory metalika se zámkem Prvky na blokování portů RJ-45 proti odpojení
NISS
19
NISS – aplikace blokátoru proti odpojení
Blokování portů RJ-45 v Patch Panelu
Blokování portu RJ-45 v aktivním prvku
NISS
20
NISS – blokátory optika se zámkem Prvky na blokování portů LC duplex proti odpojení (Lze použít pouze s originálními LC konektory výrobce blokovacího zámku)
NISS
21
NISS – blokace datových zásuvek Datové zásuvky s omezenou přístupností portů
NISS
22
NISS – kabelové trasy Kabelové žlaby se zabezpečeným víkem • řada T45 - 61 x 33mm • řada T70 - 104 x 45mm • řada T702 - dvojitý žlab z T70 - 185 x 45mm • řada TG70/80/86 - velkokapacitní - 136 x 69mm
NISS
23
NISS stupně 2 Bezpečnostní stupeň 2 – KLÍČOVÁNÍ Do tohoto stupně jsou zařazeny prostředky, které znemožňují připojení skupin metalických PatchCordů a LC duplex Jumperů do nepovolených portů. portů Jde o technické řešení s využitím klíčování Jacků s Plugy a FO LC duplex adapterů s LC konektory. Princip: -neklíčovanýý Plug g nelze zasunout do žádného klíčovaného Jacku - klíčovaný Plug nelze zasunout do neklíčovaného Jacku a ani do Jacku s jiným typem klíčem - stejný princip platí i pro FO LC duplex adaptery a LC konektory
NISS
24
NISS stupně 2 - provedení Provedení klíčování na jednotlivých typech konektorů: • UTP i STP Jacky v Cat. 5,6 i 6a(10GE) - klíče odlišeny barvami Jacku • UTP i STP PatchCordyy v Cat. 5,, 6 i 6a - klíče Plugu g odlišeny y barvami v provedení PatchCordu - Plug KEY / Plug NO KEY • LC duplex p adapter p MM i SM - klíče odlišenyy barvami adapteru p • LC duplex Jumper MM i SM - klíče LC konektoru odlišeny barvami v provedení Jumperu - LC KEY / LC KEY nebo LC KEY / LC NO KEY • LC Pigtal MM i SM - klíče LC konektoru odlišeny barvami • LC MM i SM OptiCam konektor - klíče LC konektoru odlišeny barvami • FJ MM Jack i Plug - klíče odlišeny barvami Poznámka: Řešení klíčování je nejlépe formou dodávky, nikoliv prostého prodeje - do bezpečnostního projektu se dodávají konektory společně s PatchCordy!
NISS
25
NISS – klíčované metalické konektory Klíčované metalické konektory RJ-45 Konektor UTP Cat 5, 6, 6A
NISS
Konektor STP Cat 5, 6, 6A
26
NISS – klíčování RJ RJ-45 45
NISS
27
NISS – klíčované PatchCordy UTP
STP
UTP a STP klíčované PatchCordy v Cat. 5, 6, 6a - verze Plug KEY / Plug NO KEY NISS
28
NISS – klíčování optiky FJ – klíčovaný ý Opti-Jack™p SFF Jack - řešení místo FO duplex p adapterů p
NISS
29
NISS – klíčování LC konektorů Klíčované řešení v LC adapterech a konektorech
NISS
30
NISS – klíčované LC Jumpery Klíčované řešení na duplexních p LC propojovacích p p j kabelech (Jumperech) ( p )
NISS
31
NISS – klíčování LC konektorů Varianty klíčů LC adapterů a konektorů
NISS
32
NISS – klíčování optiky v praxi Modulární FO kazety
FO panely do optických van v provedení LC NISS
33
End of story story.
Děkuji za pozornost.
NISS
34
