Zabezpečení kolejní sítě

Zabezpečení kolejní sítě Informační a administrační systém P@wouk Bezpečnostní hrozby, základní zabezpečení a prevence

Ing. Tomáš Petránek [email protected]

Seminář o bezpečnosti a anonymitě na Internetu 2013 Opava, 28. 2. 2013

Obsah prezentace 1. Informační a administrační systém P@wouk a) b) c) d) e) f) g)

Okolnosti vzniku a stručná historie IS P@wouk Architektura a struktura systému Fyzické prostředí a rozhraní systému Uživatelé systému Funkcionalita, moduly systému Bezpečnost a zálohování DEMO – evidence uživatelů, poplatky

2. Bezpečnostní hrozby a základní zabezpečení a) Malware a další bezpečnostní hrozby b) Základní pravidla zabezpečení a prevence c) Zásady bezpečného hesla

P@wouk

P@wouk - Jak to všechno začalo V souvislosti s provozem bylo nutno zajistit: a) Samotnou správu sítě - zajištění funkčnosti jednotlivých síťových prvků, jejich monitoring a odstraňování případných závad b) Administrativní záležitosti - evidence uživatelů a jejich zařízení, evidence plateb za připojení a další služby, omezování přístupu uživatelů do sítě v souvislosti s těmito úhradami apod.

c) Uživatelská podpora

Správa sítě a jejich uživatelů správa sítě

IS2

IS administrativa

Cílem bylo vyvinout vlastními silami informační systém založený na Open source produktech, který bude splňovat následující podmínky: 1) Pro efektivní správu a odstraňování poruch v síti bude umožňovat kdykoliv přístup k aktuálním a detailním informacím o jednotlivých uživatelích sítě, připojených zařízení, ale také údajích o pohledávkách a platbách za jednotlivé poskytované služby. 2) Vzájemně provázat administrativní činnosti se samotnou správou a maximálně toto spojení zautomatizuje. 3) Bude zajišťovat všechny činnosti spojené s užíváním sítě - od registrace nového uživatele, přes evidenci plateb, až po ukončení připojení - spojit do jednoho rozhraní a maximálně je zjednoduší.

Od verze 1.x k P@woukovi

Verze 7.x (P@wouk 2010/2011/2012)

10/2009 10/2007

Verze 5.x

Verze 6.x (P@wouk)

02/2007

10/2006 Verze 3.x

10/2005

01/2005 Verze 1.x

Verze 4.x

09/2004

Verze 2.x

Architektura systému Klientská vrstva

{css} (JavaScript)

Aplikační vrstva

Datová vrstva

Struktura systému Informační systém AUTENTIZACE

Uživatelské rozhraní AUTENTIZACE

Registrace

Uživatelský informační systém

DATOVÁ ZÁKLADNA

Administrátorské rozhraní

Administrátorské a uživatelské rozhraní

Fyzické prostředí a rozhraní systému Konfigurační soubory a pravidla

DHCP, firewall, Radius

E-mailové zprávy POP3/IMAP

INFORMAČNÍ SYSTÉM Oprávnění uživatelé vyúčtování tisku

RESTART

HTTP DOTAZ/ODPOVĚĎ

CSV

- Webová stránka (HTML+CSS) - Exportovaná sestava (PDF, XLS, CSV) - Email (automatický, klasický)

UŽIVATELÉ (správci sítě + uživatelé sítě)

Uživatelé systému

SPRÁVCI

- přístup ke všem funkcím (včetně aktivních operací)

AUTENTIZOVANÍ UŽIVATELÉ SÍTĚ

- data související s jejich užíváním sítě (informace o uživateli, zařízení, přípojce, vyúčtování apod.)

NEAUTENTIZOVANÍ (NÁHODNÍ) UŽIVATELÉ

- obecné informace o síti, návody, možnost registrace

Funkcionalita (1) • • • •

• • • •

webová prezentace sítě – prezentace základních údajů o síti, zveřejnění důležitých dokumentů, návodů a kontaktů, jednoduchý redakční systém pro správu webové prezentace, registrace nových uživatelů služeb sítě prostřednictvím webového formuláře, možnost schválení/zamítnutí nově registrovaných uživatelů, evidence uživatelů a připojovaných zařízení – databáze s údaji o uživatelích služeb sítě a jejich zařízení včetně archivace těchto údajů, možnost prohledávání, filtrování, zobrazování a export přehledů, rozhraní pro e-mailovou komunikaci s registrovanými uživateli – možnost odeslání jednotlivých i hromadných e-mailů na uživateli registrované e-mailové adresy, rozhraní pro vnitřní komunikaci mezi správci sítě, evidence poplatků – zpracování a evidence přijatých plateb za služby sítě od uživatelů, tisk stvrzenek a generování příslušných ekonomických a účetních sestav, evidence a účtování tisku na síťové tiskárně – evidence počtu stran vytištěných jednotlivými uživateli na síťové tiskárně, zpracování vyúčtování za tento tisk a odeslání vyúčtování prostřednictvím e-mailu, export oprávněných uživatelů do tiskového systému, import dat z tiskového systému pro účely vyúčtování,

Funkcionalita (2) • • • • • • •

• •

generování pravidel firewallu, skriptu pro DHCP server a konfiguračního souboru pro Radius server na základě stanovených parametrů, systém technické podpory pro uživatele sítě, přehled hospodaření sítě, sledování příjmů a výdajů, evidence majetku sítě, sledování zápůjček majetku uživatelům sítě, rozhraní pro snadnou administraci samotného informačního systému, archivace záznamů z minulých let, rozhraní pro uživatele síťových služeb umožňující zobrazení a editaci vybraných údajů (přehled registrovaných údajů o uživateli a zařízení, změna hesla, restartování zapomenutého hesla, přehled pohledávek a poplatků apod.). export vybraných dat, možnost členění sítě (na sítě a virtuální podsítě).

Moduly systému Informační portál

Databáze uživatelů

E-mail

Můj profil

Nastavení systému

Poplatky

Informační systém P@wouk

Server

Síťová tiskárna

Správa webu

Majetek

Podpora

Hospodaření

Bezpečnost a zálohování • zajištění různé úrovně přístupových práv, • monitorování veškerého přístupu k systému a aktivních operací na základě autentizace a jednoznačné identifikace uživatele (autentizace a logování), • možnost zálohování dat i aplikace prostřednictvím standardních nástrojů pro MySQL a GNU Linux, • možnost manuální zálohy databáze prostřednictvím nástroje v IS P@wouk, • bezpečnostní opatření administrativní povahy (vhodné zabezpečení hardwarových součástí, ochrana osobních údajů).

DEMO Evidence uživatelů Poplatky

Malware malware = malicious + software VIRY MAKRO VIRY

ČERVI

ROOTKITY

BACKDOORY

SPYWARE

ADWARE TROJSKÉ KONĚ

Další bezpečnostní hrozby Spam Phishing

Hoax

Základní pravidla zabezpečení a prevence (1) • • • • •

Vždy používejte pravidelně aktualizovaný antivirový program Pravidelně aktualizujte operační systém a další programy Používejte Firewall Používejte aktualizovaný antispywarový software Věnujte pozornost odkazům, na které klikáte v e-mailech, při chatu, na webových stránkách nebo Facebooku - může se jednat o podvod, i když odesílatele znáte • Nedůvěryhodné zprávy nebo přílohy rovnou smažte a neotevírejte je, přílohy vždy nejprve prověřte aktuálním antivirovým programem • Stažené soubory vždy nejprve prověřte pomocí antivirových programů, programy stahujte přímo ze stránek výrobce daného softwaru nebo renomovaných a důvěryhodných serverů • Vyhněte se návštěvě stránek s rizikovým obsahem (porno, cracky, drogy, nelegální stahování hudby, softwaru nebo filmů)

Základní pravidla zabezpečení a prevence (2) • Nepoužívejte peer-to-peer sítě pro získávání nelegálního obsahu a sami nesdílejte žádná data • Buďte opatrní při výměně dat prostřednictvím přenosných médií (USB klíčenky, externí HDD) – pozor na funkci autorun • V prostředí internetu (na sociálních sítích) neuvádějte žádné citlivé údaje – např. telefonní číslo nebo adresu, nevěřte každé informaci a buďte obezřetní při používání webové kamery • Připojujte počítač pouze do bezpečných sítí • Chraňte informace, používejte silná hesla, zálohujte data

Nikdy nikomu a ničemu nevěřte, buďte obezřetní!!!

Zásady bezpečného hesla • Používejte dostatečně dlouhá hesla, minimálně 8 znaků • Kombinujte malá a velká písmena, číslice a zvláštní znaky • Nepoužívejte jednoduché řady, stejné znaky, písmena ležící vedle sebe na klávesnici • Nepoužívejte v heslu své přihlašovací jméno • Nepoužívejte hesla ze slovníku (v žádném jazyce) • Používejte různá hesla • Hesla neukládejte, nikomu nesdělujte a pravidelně měňte

Děkuji za pozornost. [email protected]