Az informatikai hálózati infrastruktúra biztonsági kockázatai és kontrolljai

Átírás

1 Az informatikai hálózati infrastruktúra biztonsági kockázatai és kontrolljai Készítő: MTA SZTAKI Státusz: Harmadik mérföldkő lezárása; nyilvános! Utolsó mentés:

2 IHM MTA-SZTAKI, A tanulmány elkészítésében és belső lektorálásában részt vettek: Becz Tamás, Martos Balázs, Pásztor Szilárd, Rigó Ernő, Tiszai Tamás, Tóth Beatrix

3 1 Bevezető Jelen tanulmány az IHM-MTA Kutatási Program keretében végzett Internet védelmi rendszer struktúrájának kidolgozása című kutatási projekt (Sorszám: E4, Iktatószám: 4671/4/2003) részét képezi. A projekt fázisait magába foglaló mérföldkövek és a hozzájuk kapcsolódó határidők (kiemelve a jelen tanulmány által lefedni szándékozó részt): 1. mérföldkő: 1-2 kutatási fázis (Informatikai hálózati infrastruktúra biztonsági kockázatainak elemzése, és a kockázat-kezelési lehetőségek feltárása), lezárás: június mérföldkő: 3 fázis (Biztonsági mintarendszerek kidolgozása), lezárás: szeptember mérföldkő: 4 fázis (A biztonsági rendszerek üzemeltetési módszertanának kidolgozása, oktatási anyagok kidolgozása), lezárás: május 10. Az Informatikai Hálózati Infrastruktúra Biztonsága (továbbiakban IHIB) magában foglalja a hálózat működéséért felelős hardver és szoftver elemeket, és ezeken felül számításba veszi a humán faktort és az egészet körülvevő adminisztratív jellemzőket is. 1.1 Röviden a tartalomról és a célokról Az anyagban foglaltak segítséget kívánnak nyújtani a non-profit szervezetek (akadémiai intézmények, önkormányzatok) számára abban a nehéz munkában, hogy kialakítsák saját számítógép hálózatuk biztonságáért felelős szervezetüket gyakorta alkalmazott betűszóval CERT, illetve CSIRT. Ennek érdekében a jelen mérföldkőhöz kapcsolódó dokumentáció két jól elkülöníthető részre togolódik: Az első rész egy elképzelt CERT/CSIRT kialakításának alapelveit, továbbá az ott dolgozók alapvető tájékoztatását célzó minta-szabályzatot tartalmaz. Ez a szabályzat felsorolja mindazon alapvető intézkedést, amely egy tényleges incidens kezelő szervezet kialakításakor feladatként merül fel, és a lehetőségek szerint megoldási módokat, irányokat vázol fel az alapítási folyamat lebonyolítására. Természetesen ez a minta-szabályzat nem térhet ki valamennyi felmerülő feladat részletekbe menő szabályozására, de a szerzők megítélése és tapasztalatai alapján megbízható alapul szolgálhat a tényleges szabályzat kidolgozásához. E szerteágazó munkához az itt található minta-szabályzaton túl segítséget nyújtanak e kutatási munka megelőző szakaszaiban kidolgozott és korábban már leadott más dokumentumok is, amelyek a számítógéphálózati incidensek értelmezésének, kezelésének, megelőzésének továbbá esetleges bekövetkezésüket követő adatgyűjtő / rögzítő / elemző munkának mibenlétével, a speciális szakterület fogalmainak megismertetésével, valamint az igénybe vehető további források felsorolásával foglalkoznak. E dokumentum második része egy terjedelmes oktatási anyag, amely a speciális területen a hálózati incidensek kezelésében már részleges ismereteket szerzett személyek számára nyújt rendszerezett fogalom magyarázatokat, valamint részletekbe menő ismeretanyagot. Az oktatási anyag vetített bemutató ábrák (slide) formájában, amelyeket alkalmanként az előadó munkáját, illetve a megértést segítő jegyzetek egészítenek ki végigvezet a hálózati incidenskezelés számos aspektusán, kezdve az alapelvek ismertetésétől, az incidenskezelő szervezetek működésének ismertetésén át, a terület specializált szabványainak és azok egymás közti viszonyainak bemutatásán keresztül az incidenskezelés és elhárítás technikai alapjainak és eszközeinek bemutatásáig.

4 Míg a kutatási feladathoz kapcsolódó korábbi tanulmányok közül az első bővebben ismertette az elméleti alapokat és az ezeken nyugvó gyakorlati alkalmazásokba adott betekintést, addig a második rész és különösen a jelen harmadik rész sokkal gyakorlatiasabb, így szűkszavúbb, ezáltal informatikai képzettséget vár el és feltételez a tárgyalt megoldások telepítése, alkalmazása és beállítása során. A tanulmány két része miközben szoros összefüggésben van, ugyanakkor egymástól függetlenül is megismerhető és értelmezhető. Az olvasók bizonyos köre számára az egyes részek eltérő fontossággal bírnak, de elképzelhető, hogy mindkét rész megismerésére is szükségük lehet. Ezek megismerésének sorrendje azonban az igényeknek megfelelően tetszőleges lehet. 1.2 Szerzői jogi nyilatkozatok A szerzői jogról szóló törvényi szabályok szellemében kell a tanulmánnyal eljárni mind a készítőkre, az átvevőkre és az olvasókra vonatkozóan. Hasonló módon az Adatvédelmi törvény ide vonatkozó paragrafusait is alkalmazni kell. A szerzők nem vállalnak semmilyen felelősséget az anyagok téves felhasználásából, részben kiragadott vagy jogszerűtlen felhasználásából eredő károkért, és az általuk készített anyagokkal kapcsolatban is csak azt tudják vállalni, hogy legjobb szakmai tudásuk szerint állították össze azokat. A tanulmány olyan linkeket (kapcsolódási pontokat) tartalmazhat, amelyek az Internet más és más oldalaira vezetnek. Ezen oldalak tartalmáért és szolgáltatóik adat-, valamint információvédelmi gyakorlatáért a szerzők nem vállalnak felelősséget. A tanulmányban említett konkrét rendszerek a védjegyet birtokló cég tulajdonában vannak, a példák csak az adott témakör szemléltetésére szolgálnak, azokból általános következtetéseket nem érdemes levonni. A mellékelt CD csak egy példányban készült a tanulmányban használt fontosabb hivatkozások archiválására. A CD nem másolható, és tartalma nem tehető nyilvánossá, csak a tanulmányt olvasó használhatja segítségként, amennyiben az anyagban előforduló fontosabb hivatkozások nem lennének elérhetők a megadott címen, vagy nincs Internet-kapcsolata. IHM-MTA-E4-3.doc 4/296

5 Szervezet - Szabályzat Szervezet CSIRT alapszabályzat kézikönyv május IHM-MTA-E4-3.doc 5/296

6 Szervezet - Szabályzat IHM MTA-SZTAKI, A szabályzat kidolgozásában és lektorálásában részt vettek: Becz Tamás, Martos Balázs, Pásztor Szilárd, Rigó Ernő, Tiszai Tamás, Tóth Beatrix IHM-MTA-E4-3.doc 6/296

7 Szervezet - Szabályzat Tartalomjegyzék 1 Bevezető A dokumentum státusza Helyzetkép és felmerült igények Történeti áttekintés Más hazai CERT-ek A Szervezet Alapinformációk 11 2 A Szervezet által nyújtott szolgáltatások Osztályozás Reaktív szolgáltatások Proaktív szolgáltatások Minőségmenedzsment szolgáltatások Jelentések, statisztikák Témacsoportok Kapcsolódó területek, egyéb szolgáltatások Szervezeti struktúra A beosztások rövid leírása Szakértők és szakemberek Beérkező feladatok osztályozása A szakértői adatbázis Belső oktatás Keresztkontroll Az infrastruktúra Informatikai eszközök Informatikai rendszert kiszolgáló eszközök Biztonsági megoldások Tárolás RTIR Az incidenskezelő eszköz Ismertetés A jegyek életútja a rendszerben A rendszer használatának folyamata Kommunikáció a rendszerrel A rendszer szolgáltatásai Kötegelt vizsgálatkérés Egyéb eszközök A napi tevékenység módja A támogatásnyújtás módjai Bemeneti csatornák Kimeneti csatornák Prioritások Incidensek életciklusa (RTIR támogatás) Munkarend Tevékenységek és időszakok Kommunikáció az ügyfelekkel Miben segíthetnek az ügyfelek? 44 6 A Szervezet jogai, jogosultságai, kötelességei Irányadó jogszabályok Jogosultságok és kötelességek Anyagi feltételek biztosítása Kapcsolattartás módjai Bevezetés A kapcsolattartás céljai Nemzetközi hálózatbiztonsági szervezetek, társulások FIRST TERENA TF-CSIRT és Trusted Introducer EGC CSIRT ecsirt.net EISPP ENISA 52 IHM-MTA-E4-3.doc 7/296

8 Szervezet - Szabályzat 8.3 Az incidensekkel kapcsolatos szabványtervezetek INCH WG (IETF Incident Handling Working Group) IETF Intrusion Detection Workgroup (IDWG) Common Advisory Interchange Format (CAIF) Automated Incident Reporting (AirCERT) Bizonyítékok gyűjtésének és tárolásának irányelvei (RFC 3227) Információforrások a sebezhetőségekről Konferenciák, rendezvények Oktatás, kutatás, továbbképzés CSIRT-ek közti biztonságos kommunikáció Titkosítás és digitális aláírás az elektronikus kommunikációban Kriptográfiai kulcsok és tanúsítványok Kulcskezelés 56 9 Hivatkozások Mellékletek A képviseltek köre Egy-egy tipikus hibabejelentés szokásos kezelése Téves bejelentés Nem hatáskörbe tartozó bejelentés Felveendő bejelentések Hibabejelentő fák Prioritások meghatározása Hibabejelentő űrlapok Elektronikus eszközök FAQ és hasznos információforrások Levelezési listák Weblapok Konferenciák Hazai CERT-ek elérési adatai Külföldi CERT-ek adatai A Szervezet beosztottjai Szakértők és szakemberek listája Külső tanfolyamok és vizsgák Rövidítések, fogalmak...81 Táblázatok Táblázat 1. Szolgáltatások csoportosítása és besorolása...14 Táblázat 2. Tevékenységek és időszakok...43 Táblázat 3. OpenPGP és S/MIME tulajdonságok...55 Táblázat 4. Képviseltek köre...60 Táblázat 5. Prioritási szintek meghatározása...62 Táblázat 6. Elektronikus eszközök nyilvántartás...64 Táblázat 7. Hazai CERT-ek elérési adatai...69 Táblázat 8. Külföldi CERT-ek adatai...78 Táblázat 9. Beosztásokat betöltő személyek adatai...79 Táblázat 10. Szakértők és szakemberek szakterület szerinti listája...79 Táblázat 11. Szakértők és szakemberek névszerinti listája...79 Táblázat 12. Tanfolyam- és vizsgabizonyítványok és kiadó szervezetek...80 Ábrák Ábra 1. Általános szervezeti felépítés...22 Ábra 2. Bejelentések kezelésének folyamata...31 Ábra 3. A bejelentések kezelésének munkafolyamatai...33 Ábra 4. Jegytípusok keletkezési lehetőségei...34 Ábra 5. Az incidensek életciklusa...42 IHM-MTA-E4-3.doc 8/296