A hálózatbiztonsági eszközöket az alábbi csoportokba soroljuk:

Átírás

1

2 AZ INFORMATIKAI RENDSZEREK ZAVARTALAN MÛKÖDÉSÉNEK BIZTOSÍTÁSA MA MÁR MINDEN VÁLLALATNÁL AZ EGYIK LEGFONTOSABB FELADAT. INFORMATIKA NÉLKÜL NINCS , VÁLLALATIRÁNYÍTÁSI RENDSZER, ONLINE HÍRFORRÁS, DE MÉG PAPÍRALAPÚ ÜGYKEZELÉS SEM, HISZEN MA MÁR EZEK IS KIZÁRÓLAG SZÁMÍTÓGÉPPEL SZERKESZTETT, NYOMTATOTT DOKUMENTUMOKAT JELENTENEK. KÉTFÉLEKÉPP NÖVELHETJÜK A RENDSZEREK ELÉRHETÔSÉGÉT: A HARDVERES ÉS BIZONYOS SZOFTVERES MEGHIBÁSODÁSOKKAL SZEMBEN A REDUNDANCIA FOKOZÁSA NYÚJT MEGOLDÁST, MÍG AZ ILLETÉKTELEN BELSÔ VAGY KÜLSÔ TÁMADÁSOKKAL SZEMBEN A BIZTONSÁGI RENDSZEREK ADNAK VÉDETTSÉGET. A biztonsági rendszereket több fô csoportba sorolhatjuk: Hálózatbiztonság (tûzfalak, VPN, IDS/IPS) Azonosító eszközök Identitás- és hozzáférés-védelem Naplózás Vírusvédelem Kém- és reklámprogram elleni védelem (spyware- és adware-védelem) Forgalomszûrô megoldások (tartalomszûrés, SPAM elleni védelem) Munkaállomások védelme Komplex PKI rendszerek Módszertan Hálózatbiztonság A biztonsági rendszerek egyik területe a hálózatbiztonság. Hálózatbiztonságon azokat a megoldásokat értjük, amelyek egyrészt védik a hálózati eszközöket, másrészt magukkal a hálózati eszközökkel védik az informatikai rendszereket. A hálózatbiztonság kiemelkedô fontossága abból fakad, hogy a támadások legnagyobb része a hálózaton keresztül történik, vagyis a hálózati eszközök egyfelôl potenciális célpontok, másfelôl a védekezés kézenfekvô eszközei. A Synergon hálózatbiztonsági portfóliója teljes körû, integrált megoldást nyújt a vállalatok hálózatbiztonsági kérdéseire, igényeire. A hálózatbiztonsági eszközöket az alábbi csoportokba soroljuk: tûzfalak, határvédelmi eszközök és megoldások VPN-eszközök és -megoldások (VPN Virtual Private Network, virtuális magánhálózat) behatolásérzékelô eszközök (IDS/IPS Intrusion Detection System) azonosítást, jogosultság-ellenôrzést és naplózást végzô szerverek (AAA Authentication, Authorization and Accounting) hálózatbiztonsági menedzsment szoftverek

3 A tûzfal és a határvédelmi rendszerek használata ma már alapvetô követelmény egy vállalat biztonságos internetkapcsolatának, illetve internetjelenlétének megvalósításához. Ezen túl tûzfalat nemcsak a vállalat nyilvánosan elérhetô demilitarizált, illetve belsô határvédelmi zónáinak kialakítására célszerû használni, hanem a vállalat hálózatának további szegmentálásához, további határvédelmi zónáinak kialakításához is, mint a partner vállalatok közötti B2B kommunikáció megvalósításához, kiemelkedô vagy eltérô biztonsági igényû rendszerek leválasztásához. A Synergon által ajánlott tûzfaltermékek széles skálája az egyszerûbb kisvállalati megoldástól a magas rendelkezésre állású (HA high availability) nagyvállalati megoldásokig kielégíti az igényeket. A portfólió tartalmaz szoftveres és hardveres megoldásokat egyaránt, így az adott feladatnak leginkább megfelelôt tudjuk ajánlani. A VPN rendszerek biztonságos és költséghatékony módjai a vállalat különbözô telephelyei közötti Intranet, a partnervállalatok közötti Extranet kommunikáció, illetve a távoli és mobil hozzáférés (home-working, mobile-working) megvalósítására. Általában az erôsebb fenyegetettségû, Internet vagy vezeték nélküli WLAN hálózatokon alkalmazzák a kommunikáció biztonságának növelése érdekében. A VPN szerver oldali kialakítása lehetséges dedikált VPN eszközök alkalmazásával, illetve a tûzfalhoz integrált módon. A tûzfalakba további sávszélesség-szabályozó modulokat is lehet integrálni, így a vállalat szempontjából kritikus alkalmazások forgalma priorizálható. Az informatikai rendszerek elleni belsô és külsô támadások érzékelése, illetve a lehetôség szerint idôben történô automatikus ellenintézkedés alapvetô fontosságú a kár elkerülése, s ha ez már nem lehetséges, akkor a kár mértékének csökkentése érdekében. Míg a tûzfalak a védelem passzív eszközeinek tekinthetôk, addig a behatolásérzékelô rendszerek (Intrusion Detection Sysem IDS) aktív védelmet nyújtanak. A betörésérzékelô/ beavatkozó rendszerek az informatikai rendszer több pontján, a kritikus hálózati szegmenseken és a kritikus alkalmazás szervereken képesek az ismert betörési minták felismerésére, a lehetséges ellenintézkedés megtételére, így a kommunikációs csatorna megszakítására, a felhasználó kizárására, az esemény jelentésére a központi menedzsmentállomás felé, illetve meghatározott eszközök konfigurációjának módosítására. A hálózatbiztonsági rendszerek üzemeltetését nagyban megkönnyítik a hálózatbiztonsági menedzsment eszközök. Ezek jórészt gyártófüggô, speciális rendszerek, ahol a szükséges szabályrendszerek rendszerszinten, grafikus felületen keresztül adhatók meg. Ide sorolandók a kevésbé gyártófüggô naplótároló és -elemzô eszközök, valamint a szintén gyártóhoz kötôdô általános eszközmenedzsmentet megvalósító rendszerek. A szükséges emberi erôforrás csökkenthetô a modern biztonsági menedzsment eszközökkel és a naplóelemzô szoftverekkel. Azonosító eszközök Az azonosítást, jogosultság ellenôrzést és naplózást végzô szerverek (AAA) kettôs szerepet töltenek be a hálózatbiztonság kialakításában. Egyrészt az eszközök adminisztratív hozzáférését ellenôrzik, másrészt a felhasználói forgalom AAA kontrollját biztosítják. A legelterjedtebb megoldás erre a felhasználónév jelszó pár alkalmazása, mely azonban számos támadható tulajdonsággal rendelkezik (továbbadható, kitalálható, lehallgatható stb.). Ezen hiányosságok kiküszöbölésére fejlesztették ki a különbözô, erôs autentikációs rendszereket, melyek a jelszón kívül valamilyen fizikai eszközhöz is kötik a felhasználók hiteles azonosítását.

4 Az erôs autentikációs rendszereket alapvetôen kétféle fizikai eszköz köré lehet építeni. Az idô + titkos kulcs alapú token kártya elônye, hogy nem igényel speciális olvasó hardvert a kliens oldalon, míg az intelligens kártya (smart card) alkalmazásakor erre szükség van. Fokozott kockázattal járó esetekben alkalmazható egy további azonosító faktor is, a biometrikus azonosítás, amely az azonosítandó személy valamely egyedi testi jellegzetességét (ujjlenyomat, hang stb.) vizsgálja. A biometrikus azonosító rendszerek közül a legelterjedtebb az ujjlenyomatazonosítás. Az azonosító rendszerek az ujjlenyomat vizsgálatán túl ellenôrzik a felhasználó testhômérsékletét, pulzusát, kizárva annak másolási lehetôségét. Identitás- és hozzáférés-védelem A személyazonosságot és hozzáférést kezelô rendszer olyan kulcsfontosságú elemet biztosít a vállalatoknak, amelynek segítségével átfogó és hatékony azonosíthatóság, illetve hozzáférés-védelem alakítható ki. Használatával egyszerûbbé válik a végfelhasználói személyazonosságok kezelése, és csökkenthetôk az ezzel járó kockázati tényezôk. Az egyedi üzleti igényeknek megfelelôen egy átfogó azonosíthatósági stratégia hatékony megtervezéséhez, megvalósításához és kezeléséhez nyújt segítséget. Mint ismeretes, a vállalatok üzleti sikerének egyik fontos tényezôje a szoros B2B partnerkapcsolatok kialakítása, amelyek biztosítják az információ hatékony cseréjét. Ennek a folyamatnak a rugalmasságát növeli meg a összekapcsolt azonosságkezelô szolgáltatás, továbbá a kínált megoldás jelentôs mértékben segíti a vállatoknál végzett rendszeres biztonsági auditot az igényekhez mérten testre szabott és mindig naprakész információ szolgáltatásával. A rendszer bevezetését követôen azonnal tapasztalható az adminisztratív munka jelentôs csökkenése, a hatékonyabb és gyorsabb jogosultságkezelés, a zökkenômentesebb változáskezelés és kisebb biztonsági kockázat a teljes infrastruktúra tekintetében. Vírusvédelem Napjaink egyik leggyakoribb fenyegetését a vírusok, férgek és egyéb rosszindulatú programok jelentik. A vírusok elleni védekezéshez nem elegendô csupán egy vírusellenôrzô program telepítése, gondoskodni kell annak folyamatos, megbízható üzemelésérôl, valamint a vírusinformációk rendszeres frissítésérôl. Vállalati környezetben ezért csak központi menedzsmentrendszer alkalmazásával lehet a védekezés hatékony, ahol a felhasználó nem tud beavatkozni a vírusvédelmi rendszer mûködésébe, és a vírusinformációk frissítése automatikusan történik. Kém- és reklámprogram elleni védelem (spyware- és adware-védelem) A vírusvédelmen túl fontos figyelmet szentelni a kém- és reklámprogramok elleni védelemre is, mivel ezek néha jogilag elfogadott módon kerülnek a felhasználók gépeire. A hatásukban és elôfordulásuk gyakoriságában sokkal kellemetlenebbek, mint egyes vírusok. Az adware (reklámprogram) akadályozza a munkát az interneten, kéretlenül jelenít meg hirdetéseket a számítógépen, ezzel elvonja a felhasználók figyelmét, és ingerülté teszi ôket. Ezzel érzékelhetô mértékben csökkenti a hatékony napi munkavégzést. A spyware (kémprogram) olyan program, amely a felhasználó és a vállalat konkrét engedélye nélkül küld információkat a felhasználóról, viselkedésérôl, a számítógéprendszerrôl, illetve használatáról. Ezzel a módszerrel fontos üzleti titkot tartalmazó adatok is kikerülhetnek a vállalattól. A Synergon biztonsági portfóliójában kínált megoldás segít ezeket a programokat felderíteni, automatikusan karanténba helyezni vagy törölni. Manapság a kémprogramok egyre nagyobb fenyegetést jelentenek valamennyi vállalat számára. Jelentôs pénzveszteséget okoznak nem beszélve a szellemi tulajdon megszerezhetôségérôl. A Synergon valós üzleti értéket biztosító technológiát kínál a vállalatok számára, melynek segítségével valamennyi végponti eszközön leküzdi a kémés reklámprogramokat, és véd az adatlopástól, a visszaéléstôl és a pénzügyi veszteségtôl. Forgalomszûrô megoldások (tartalomszûrés, SPAM elleni védelem) Az informatikai védelmi rendszerekben ma már széles körben alkalmazott tûzfalak és vírusvédelmi eszközök megfelelô védelmet nyújthatnak nyílt külsô támadásokkal szemben, azonban ezek az információk kiszivárgását nem tudják megakadályozni.

5 A Synergon segít megakadályozni a nemkívánatos és rosszindulatú információk interneten keresztüli ki- és beáramlását. A csomag az alábbi fôbb elemeket tartalmazza: internet és -használati szabályzat elkészítése; szabályzat bevezetése, belsô kommunikációja; a szabályzat alapján a levelezôrendszerhez kapcsolódó szoftvermegoldás segítségével az forgalom kontrollálása; internethasználati szabályrendszer szoftveres megvalósítása (látogatható/tiltott weboldalak listája, letöltésekre vonatkozó korlátozások, valós idejû tartalomvizsgálat); nemkívánatos állományok (MP3, AVI, MPEG) kezelése; beépített, központilag rendszeresen frissített, valamint helyileg is kiegészíthetô feketelista; DoS-támadások, illetve az ben érkezô vírusok elleni védekezés; jól áttekinthetô grafikonok formájában percrekész adatok elôállítása a levélforgalom összetételérôl és megoszlásáról. Az interneten legelterjedtebb alkalmazás a levelezés, mely a mindennapos üzletmenet részévé vált. Az interneten terjedô úgynevezett SPAM levelek elterjedésével a levelezô rendszerek használhatósága, rendelkezésre állása került veszélybe, és így az üzletmenet folytonossága is. Erre a problémára nyújt megoldást a SPAM-filtering (SPAM szûrés). Alkalmazásával automatikusan kiszûrhetô a nemkívánatos levélforgalom a hasznos, produktív levélforgalomból. A szûrô különbözô módszerekkel megvizsgálja a beérkezô leveleket, és tartalmuk, forrásuk szerint kiválogatja a hasznos levelezést, melyet a megszokott módon továbbít, a SPAM leveleket pedig a beállított akciók szerint kezeli, ami lehet eldobás, karanténba helyezés, megjelölés. Munkaállomások védelme Napjainkban a mobil számítógépek, illetve a távoli munkavégzés elterjedésével egyre lényegesebb a munkaállomások védelme. A belsô, védett hálózaton kívül esô számítógépek védelme kritikus fontosságú. Lényeges a tárolt adatok védelme is a lopás, illetéktelen hozzáférés megelôzésének érdekében. A Synergon mindezen problémák kiküszöbölésére egy teljes körû védelemi rendszer kialakítását javasolja, amely magában foglalja a személyes tûzfalrendszert, személyes IDS-t, illetve a merevlemezek teljes titkosítását, hozzáférés-védelmének kialakítását. Az ily módon kialakított biztonsági megoldás alkalmazható belsô, védett hálózatokon található, kritikus fontosságú munkaállomások védelmére is. Komplex PKI-rendszerek A titkosítás, digitális hitelesítés és azonosítás meghatározó architektúrája a PKI (Public Key Infrastructure nyilvános kulcsú infrastruktúra). Ennek központi komponense a CA (Certificate Authority Hitelesítô Hatóság) és az e köré csoportosuló feladatokat (directory-szolgáltatás, tanúsítványkibocsátás és -visszavonás stb.) megvalósító rendszerek. A PKI-rendszer kiterjedt feladatkörre nyújt megoldást egy komplex szoftvercsomag keretében, mely a védelem olyan széles spektrumát fedi le, amit még néhány éve több gyártó több szoftvere tudott csak megoldani. A teljes lefedettségû PKI-kiépítési projekt keretében olyan rendszerintegrátori és tanácsadói szolgáltatásokat nyújtunk, mint a szabályozás kialakítása, a rendszertervezés, a szerverkörnyezet kialakítása, a hálózati integráció, a széles körû biztonsági megoldások, a projektmenedzsment. Módszertan Tanácsadóink nemzetközileg elfogadott és széles körben alkalmazott módszertanokra alapozva végzik munkájukat. Az alkalmazott módszertanok közt megtalálható az ISO 17799, ISO 13335, Cobit, Common Criteria, ITIL. A vállalatok biztonságának megtervezésekor nagyon fontos, hogy ne termékekben, hanem rendszerben gondolkodjanak. Az internetkapcsolatra kell egy tûzfal típusú igénymegfogalmazás nem szerencsés, hiszen a konkrét feladat és környezet határozza meg a védelemhez szükséges eszközöket. A rendszerek tervezésekor elôször a vállalat biztonsági igényeit, a védendô adatok jellemzôit és a szükséges forgalmakat kell felmérni, csak ezután következhet a szükséges eszközök, és rendszerben elfoglalt helyük meghatározása. Minden biztonsági rendszernél már a beruházás tervezésekor figyelembe kell venni az implementációra fordított jelentôs élômunkát, illetve a mûködtetéshez szükséges erôforrásokat. Nem szerencsés, ha a biztonsági rendszert ellenôrzô munkatársak az üzemeltetôi csapatból kerülnek ki; egyrészt nem ellenôrizhetik önmagukat, másrészt várhatóan a gyakran túlterhelt üzemeltetôi csapatnak nincs elég erôforrása a biztonsági naplófájlok alapos átvizsgálására. A Synergon jelentôs tapasztalattal és szakembergárdával rendelkezik a biztonsági feladatok sikeres elvégzésében, így a vállalatnál felmerülô minden informatikai biztonsági feladatot magas szinten képes megtervezni és kivitelezni.

6 Synergon Informatika Nyrt Budapest, Baross utca Tel.: (06 1) , (06 1) Fax: (06 1)