SZÁMÍTÓGÉP-HÁLÓZAT AUDIT

Átírás

1 SZÁMÍTÓGÉ-HÁLÓZAT AUDIT Előadás nyomdakész anyaga SZÁMÍTÓGÉ-HÁLÓZAT AUDIT, roteus Consulting Kft. ABSTRACT Nowadays Information and Communication Technology (ICT) plays quite important role in the daily routine of commercial, public administrative and private world. Expansion of networks in terms of both intellectual and regional domains, and number of users, the convergence of information and telecommunication and media technology, new criminal techniques and counter-measures surfaced. In this cat-and-mouse race computer networks play a central role as a target or facilitator. Besides technical and organisational measures, little mention is made of audit. In the presentation I will summarise the characteristics of auditing, define IT and computer network audit, its role and employment in security, and highlight possible computer network audit approaches, methods and techniques. BEVEZETÉS Manapság az infokommunikáció (ICT) jelentős szerepet játszik a gazdasági szervezetek, az államigazgatási szervek és a magánszemélyek mindennapjaiban. A hálózatok területi térhódítása (mind területi, mind intellektuális értelemben), a felhasználók számának növelése, a távközlés, információ- és médiatechnológia konvergencia fejlődése újabb számítógépes bűncselekményeket és védelmi intézkedéseket hoz a felszínre. Ebben a macska-egér játékban a hálózatok célpontként és segédeszközként is központi szerepet játszanak. A hálózatbiztonság technikai és szervezési intézkedései mellett kevés szó esik az ellenőrzésről (audit). Az előadásban összefoglalom az ellenőrzés jellemzőit, definiálom az informatikai és a számítógép hálózat ellenőrzés fogalmát, szerepét és helyét a védelemben, ismertetem a számítógép hálózatok ellenőrzésének lehetséges megközelítéseit, módszereit és technikáit. Az alábbi írásban ismertetem az ellenőrzés fogalmi elemeit, majd ezen ismérvek alapján bemutatom, hogy miképp minősíthető több ellenőrzés (minősítés, behatolási teszt és igazságügyi szakértés), illetve felvázolom az ellenőrzés prioritásait meghatározó tényezőket a számítógép-hálózat auditálás három különböző megközelítése esetén. Kulcsszavak: ellenőrzés, audit, számítógép-hálózat 1/8. oldal

2 SZÁMÍTÓGÉ-HÁLÓZAT AUDIT ELLENŐRZÉS A számítógép-hálózatok biztonságával és védelmével kapcsolatban rengeteg szó esik a fizikai, logikai, szervezési intézkedésekről, technikákról és technológiákról. A megelőző, felfedező, javító kontrollok között csak viszonylag kevés szó esik az ellenőrzésről, Azonban érdemes erre a kevésbé ismert és használt felfedező kontrollra is figyelmet szentelni, mivel fontos helyet foglal el a rendszertervezés, bevezetés és üzemeltetés életciklusában, mivel ellenőrzés célja valamilyen követelmények és tények összevetése, és ezek alapján az eltérések okainak értékelése. Az ellenőrzés tevékenység összefoglalását a következő ábra foglalja össze: 1. ábra Ellenőrzési tevékenység ([1.] 28. oldal) Az ellenőrzés legfőbb jellemzői a(z) ellenőrzés időpontja, lépései, tartalma, fajtája, tárgya és terjedelme, megbízó, gyakoriság, részletessége, módszere. [1.] Az ellenőrzés időpontja a megfigyelt eseményekhez képest értelmezhető, így végrehajtható valamilyen esemény előtt (előzetes vizsgálat) közben, vagy azzal párhuzamosan (egyidejű), vagy után (utólagos ellenőrzés). A számítógép-hálózatok esetében mindhárom fenti ellenőrzési megközelítés értelmezhető, vagy a védelmi intézkedések kiadásának, végrehajtásának, vagy valamilyen hálózati incidens bekövetkeztének függvényében. Az ellenőrzés lépései a vizsgálat menetéhez kapcsolódnak: helyzet megértése, adatgyűjtés (obtaining and understanding) kontrollmechanizmusok értékelése (evaluation), megfelelőség értékelése (compliance testing), megfelelőség felmérése (substantive testing), Az ellenőrzés lépéseinek sajátos céljai és sajátos termékei lehetnek, és az egymás után következő lépések egyre nagyobb garanciát jelentenek a vizsgálat eredményeinek 2/8. oldal

3 SZÁMÍTÓGÉ-HÁLÓZAT AUDIT megalapozottságát illetően. Az ellenőrzés lépéseinek kapcsolatát egymással (valamint az utóellenőrzéssel) és az audit jelentéssel a 2. ábra szemlélteti. 2. ábra Az ellenőrzés menete és termékei ([2.] alapján szerkesztette ) A számítógép-hálózatok vizsgálata során elképzelhető, hogy idő vagy költség megfontolások, vagy egyéb menedzsment döntések alapján csak a lépések egy részét hajtja végre az auditor, így kevesebb idő alatt, kisebb költséggel, de alacsonyabb garanciaszint mellett szolgáltat eredményeket. Az ellenőrzés tartalma arra utal, hogy az ellenőr milyen szakmai szempontok szerint hajtja végre a vizsgálatot. Könyvvizsgálói szempontból ez a tartalom vagy pénzügyigazdasági, vagy szakmai, de általánosító értelmezés szerint a pénzügyi-gazdasági is csak egy szakma, így tartalom sokkal részletezőbben értelmezhető, az ellenőrzés tehát lehet pénzügyi-gazdasági, informatikai, minőségügyi, környezetvédelmi stb. A számítógéphálózatok esetében a szakmai tartalom az információ-technológiához, az informatikairányítási folyamatokhoz kapcsolódik. Az ellenőrzés fajtája határozza meg, hogy terméket, eljárást vagy rendszert vizsgál-e az auditor. A számítógép-hálózat auditnál mindhárom ellenőrzési fajta előfordulhat, hisz az ellenőr vizsgálhat egy-egy hálózati komponenst, vizsgálhat egy hálózati szegmenst vagy alrendszert, illetve vizsgálhatja a hálózat üzemeltetésének folyamatát, valamint hálózatnak és a hálózat üzemeltetésnek a szervezetbe ágyazottságát. Az ellenőrzés tárgya és terjedelme az ellenőrzés fajtájához kapcsolódó jellemző és azt határozza meg, hogy a vizsgálat hogyan határolható el attól a rendszertől (szervezeti, technikai és egyéb értelemben), amelyben a vizsgálat történik. Az ellenőrzés tárgya és terjedelme alapján lehet átfogó ellenőrzés, amely egy terület egészét értékeli, s amelynek célja a vizsgált terület komplex értékelése, célvizsgálat, amely valamilyen határozott cél (részfeladat, konkrét kérdés, esemény stb.) egy szervezeten (vagy szervezeti egységen) belül, 3/8. oldal

4 SZÁMÍTÓGÉ-HÁLÓZAT AUDIT témavizsgálat, amely azonos tartalmú és jellegű feladat végrehajtását értékeli rendszerint több szervezeti egységnél vagy szervezetnél, utóellenőrzés, amely egy korábbi ellenőrzés eredményinek utólagos értékelését végzi, és a fő célja a javítóintézkedések bevezetésének és azok hatásának elemzése. Az ellenőrzés szempontjából lényeges megbízójának és az ellenőrnek a kapcsolata. Így megkülönböztethető külső ellenőrzés, ahol az ellenőr független a szervezet belső működésétől/ vezetésétől, illetve belső ellenőrzést, ahol az ellenőr része a szervezetnek, amelyet ellenőriz, így a teljes függetlenség nem valósulhat meg. Az ellenőrzés gyakoriság Az ellenőrzés részletessége az ellenőrzésbe bevont események, személyek, tárgyak, bizonylatok stb. vizsgálati terjedelmét határozza meg. Az ellenőrzés a részletesség szerint lehet tételes ellenőrzés, amely során az ellenőr valamennyi mintát (esemény, személy, tárgy stb.) egyenként megvizsgál, próba szerű, amely során az ellenőr a lehetséges vizsgálati mintának csak egy részét vizsgálja véletlenszerűen (szúrópróbaszerűen) kiválasztott minták alapján, mintavételes, amely során az ellenőr a lehetséges vizsgálati mintának valamilyen részhalmazát vizsgálja tételesen. A számítógép-hálózat audit során bár mindhárom részletességű vizsgálat számításba jöhet, de az idő és költség és erőforrás korlátok miatt rendszerint csak próba szerű vagy mintavételes vizsgálatra van lehetőség. Kétféle módszerrel lehet az ellenőrzés során eredményre jutni: vagy a több forrásból származó ellenőrzési adatokat (bizonylat, okmány, naplóállomány) összehasonlítva (találkozó ellenőrzés), vagy a rendelkezésre álló adatok, tények és információk összevetése és elemző értékelése alapján (összefüggésekre alapozott ellenőrzés). Számítógép-hálózat audit során mindkét módszer alkalmazható, azonban az összefüggésekre alapozott ellenőrzésnél az ellenőr ismeretei és gyakorlata jelentősen befolyásolhatja az eredmények minőségét, így ezt a fajta vizsgálatot célszerű specialistával végeztetni. [1.] A fentiek alapján három olyan ellenőrzési formának az értékelését és összehasonlítását végeztem el, amelyek jellemzőek a számítógép-hálózatokra. Ezek a minősítés, a behatolási teszt, és az igazságügyi szakértés. A minősítés során az ellenőr (minősítő) valamely szabványnak való megfelelőséget vizsgálja például a hálózat egy-egy eleme esetében (pl. tűzfal biztonsági minősítés az ISO15408 szerint), a szervezet számítógép-hálózat üzemeltetésére (ISO 9001 szerint). A vizsgálat alapjául szolgáló módszerek és eljárások rögzítettek, az ellenőr ezeknek a szigorú szabályoknak megfelelően végzi el a tevékenységét. A behatolási teszt (penetration test) során az ellenőr (penetration tester, ethical hacker) a számítógép-hálózat komponenseinek vagy az azt működtető szervezet hibáit és sebezhetőségét kihasználva próbálja felderíteni a célpontot, illetve bejutni a védett hálózatba, jogtalanul használni a védett erőforrásokat, adatokat, továbbá részlegesen vagy teljesen működésképtelenné tenni a hálózatot vagy annak komponenseit. Az igazságügyi szakértés során az ellenőr (eseti szakértő, bejegyzett igazságügyi szakértő vagy szakértői szervezet) valamilyen jogszabályba ütköző, vagy polgári peres ügyekben valamely jogkérdés eldöntése érdekében valamilyen eset vagy állapot elemzését, szakértői értékelésesét végzi el a kirendelő határozat vagy megbízás alapján. Az 1., a 2. és a 3. táblázat ezeknek az ellenőrzéseknek az értékelését ismerteti. 4/8. oldal

5 SZÁMÍTÓGÉ-HÁLÓZAT AUDIT ÁLTALÁNOS JELLEMZŐ MINŐSÍTÉS MEGJEGYZÉS időpont követő csak befejezett lépés lényegi minősítési módszer (szabvány) függvénye fajtája [bármilyen] minősítési módszer (szabvány) függvénye tárgy és terjedelem témavizsgálat minősítési módszer (szabvány) függvénye megbízó külső akkreditált auditor (cég vagy személy) gyakoriság egyszeri vagy minősítési módszer (szabvány) függvénye rendszeres részletesség [bármilyen] minősítési módszer (szabvány) függvénye módszere [bármilyen] minősítési módszer (szabvány) függvénye 1. táblázat Minősítés ÁLTALÁNOS JELLEMZŐ MINŐSÍTÉS MEGJEGYZÉS időpont [bármilyen] megbízási szerződés alapján lépés lényegi fajtája [bármilyen] megbízási szerződés alapján tárgy és terjedelem célvizsgálat megbízási szerződés alapján megbízó külső gyakoriság egyszeri részletesség tételes megbízási szerződés alapján módszere [bármilyen] megbízási szerződés alapján 2. táblázat Behatolási teszt (enetration test) ÁLTALÁNOS JELLEMZŐ MINŐSÍTÉS MEGJEGYZÉS időpont követő főleg polgári vagy büntető ügyben lépés lényegi jogeset függvényében változik fajtája [bármilyen] minősítési módszer (szabvány) függvénye tárgy és terjedelem célvizsgálat kirendelő/ megbízó határozatban rögzített megbízó külső külső: állam vagy jogalany auditor/szakértő (p. és Be.) gyakoriság egyszeri részletesség tételes módszere [bármilyen] probléma függő 3. táblázat Igazságügyi szakértés Természetesen a számítógép-hálózat ellenőrzésének világára nem csak ez a három ellenőrzési típus jellemző, de az itt nem kategorizált auditok a megbízás egyedi jellegéből következően esetlegesek és nem osztályozhatók. 5/8. oldal

6 SZÁMÍTÓGÉ-HÁLÓZAT AUDIT Az ellenőrzés fajtái, típusai és csoportosítási jellemzői mellett az ellenőrzés során jelentős szerepet játszanak az ellenőrzési alapelvek. Ezek minden ellenőrzésre érvényesek és minden ellenőrnek szem előtt kell tartania ezeket. Az ellenőrzés alapelvei a következők: függetlenség, tisztesség, tárgyilagosság, szakértelem és kellő gondosság, titoktartás, hivatáshoz méltó magatartás, szakmai standardok. SZÁMÍTÓGÉ-HÁLÓZATOK BIZTONSÁGI ELLENŐRZÉSÉNEK MEGHATÁROZÁSA Az auditálás tervezése során az egyik probléma az, hogy miként lehet a vizsgálati területet felosztani olyan részterületekre, melyek lehetővé teszik az ellenőrzés felosztását olyan alterületekre, amelyek még önmagukban is értelmes egységeket alkotnak és segítik a strukturált megközelítést. A következő fejezetekben javaslatot teszek a számítógép-hálózat audit terület felosztására, figyelemmel a számítógép-hálózatokkal kapcsolatos jelenlegi elképzelésekre. A felosztásban elsődlegesnek () jelöltem azokat a területeket, amelyek közvetlenül kapcsolódnak a számítógép-hálózatokhoz, másodlagosnak (S) jelöltem azokat a területeket, amelyek csak kisebb mértékben vagy csak közvetve kapcsolódnak a számítógép-hálózatokhoz. Rétegelt megközelítés 1: Hibrid TC/I referencia modell alapján Ennek a vizsgálatnak az alapja a Tanenbaum által leírt hibrid TC/I hivatkozási modell ([3.] 64. oldal), amely az ISO-OSI referencia modell és a TC/I referencia modell házasításából jött létre. Az audit az egyes rétegek vizsgálata azoknak az eszközöknek, protokolloknak és technológiáknak a vizsgálatát jelenti, amelyek jellemzően valamely réteghez kötődnek (pl. kábelezés az 1. réteghez, a hálózati kapcsolók a 2. réteghez, az útválasztók a 3. réteghez). Ezt szemlélteti a 4. táblázat: RÉTEG Alkalmazási réteg (5-7) Szállítási réteg (4) Hálózati réteg (3) Adatkapcsolati réteg (2) Fizikai réteg (1) RIORITÁS S S 4. táblázat Audit prioritások hibrid TC/I modell alapú vizsgálat esetén Rétegelt megközelítés 2: C/I/A hármas alapján A számítógép-hálózat ellenőrzése rendszerint biztonsági auditot jelent, ezért célszerű az egyes hálózati eszközöket is megvizsgálni, hogy az egyes hálózati eszközök és szolgáltatások melyik biztonsági követelmények (bizalmasság, sértetlenség és rendelkezésre állás) kielégítésében játszanak szerepet. Erre a felosztásra mutat példát az 5. táblázat: 6/8. oldal

7 SZÁMÍTÓGÉ-HÁLÓZAT AUDIT HÁLÓZATI KOMONENS BIZALMASSÁG SÉRTETLENSÉG RENDELKEZÉSRE ÁLLÁS (A) (C) (I) alkalmazási kontroll backup adattitkosítási szolgáltatások digitális aláírás, hash hibatűrő szolgáltatások tűzfal szolgáltatások S honey pot (csali, könnyű préda) S S S betörésvédelmi rendszerek (IDS) S S naplók S S S hálózati hitelesítési szolgáltatások hálózatmenedzsment eszközök hálózati biztonsági protokollok S 5. táblázat Audit prioritások C/I/A hármas alapú vizsgálat esetén Rétegelt megközelítés 4: Munka-tényező alapján A hálózatbiztonság tervezés, illetve a betörési kísérletei rávilágítottak arra, hogy a támadó szempontjából a számítógép-hálózatok egyes komponenseinek támadása és védelme nem egyenszilárd, vannak a hálózatnak megbízható és nehezen kompromittálható elemei, és vannak sérülékenyebb, könnyebben leküzdhető elemei [4.]. Ennek a modellnek megfelelő audit felosztást szemlélteti a 6. táblázat: HÁLÓZATI ZÓNA határvédelem () hálózat () gazdagép/ host (S) alkalmazás (S) adat (S) KONTROL tűzfal hálózati vírusvédelmi rendszer VN titkosítás betörésvédelmi és betörés megelőző rendszerek (IDS/IS) sebezhetőség vizsgálat hálózati hozzáférés-védelem hozzáférés-védelem/ felhasználó hitelesítés gazdagép alapú IDS gazdagép sebezhetőség vizsgálat (VA) hálózati hozzáférés-védelem vírusvédelmi rendszer hozzáférés-védelem/ felhasználó hitelesítés alkalmazás védelmi rendszere hozzáférés-védelem/ felhasználó hitelesítés adatbevitel hitelesítés titkosítás hozzáférés-védelem/ felhasználó hitelesítés 6. táblázat Audit prioritások Munka-tényező alapú vizsgálat esetén 7/8. oldal

8 SZÁMÍTÓGÉ-HÁLÓZAT AUDIT Felhasznált irodalom [1.] Vörös László: Az ellenőrzés rendszere és módszertana erfekt, Budapest, [2.] CobiT3 Auditálási Útmutató Az Információ-Technológia Irányításához, Kontrolljához és Ellenőrzéséhez, IT Governance Institute, Budapest, [3.] Andrew S. Tanenbaum: Számítógép-hálózatok, anem rentice-hall, Budapest, [4.] Mitchell Ashley: Layered Network Security 2006: A best-practices approach, StillSecure, ( ) 8/8. oldal