Tartalom. 8.1 ISP biztonsági megfontolások 8.2 ISP felelősség 8.3 Szolgáltatói szerződés 8.4 Biztonsági mentések és katasztrófahelyzet helyreállítás

Átírás

1 ISP felelősség

2 Tartalom 8.1 ISP biztonsági megfontolások 8.2 ISP felelősség 8.3 Szolgáltatói szerződés 8.4 Biztonsági mentések és katasztrófahelyzet helyreállítás

3 ISP biztonsági megfontolások 8.1 Vissza a tartalomjegyzékre

4 ISP biztonsági szolgáltatások Internet kapcsolat esetén a számítógép rosszindulatú támadások célpontjává válhat, levélben, letöltéseknél, weboldalak megnyitásával érkezhetnek. károkozó vagy rosszindulatú szoftver vírusok férgek kémprogramok

5 ISP biztonsági szolgáltatások A ISP szolgáltatásai: webhelyek biztosítása e-kereskedelmi oldalak (webáruház) adattárolás (bizalmas kereskedelmi és bankszámlákkal kapcsolatos adatokat is tárolhat) az előfizetők adatainak biztonságos tárolása elengedhetetlen követelmény Ha egy internetszolgáltató tárhely és levelező szolgáltatást nyújt, fontos feladata az adatok védelme a rosszindulatú támadásokkal szemben!

6 Alapvető biztonsági lehetőségek az ügyfél számítógépén: jelszóvédelem ISP biztonsági intézkedések alkalmazások javítási és frissítések folyamatos figyelése felesleges, nem használt programok és szolgáltatások eltávolítása operációs rendszerek frissítéseinek rendszeres figyelemmel kisérése és telepítése felhasználói jogosultságok alkalmazása biztonsági vizsgálat rendszerbiztonsági gyengeségek felülvizsgálata

7 ISP biztonsági intézkedések Alapvető biztonsági lehetőségek az ügyfél számítógépén: tűzfal és vírusmentesítő program alkalmazása biztonsági ellenőrzések elvégzése felhasználói adatok védelme : "lehető legkevesebb előjog elve" - merevlemezek titkosítása - jogosultságok alkalmazása állományok és könyvtárak elérése - felhasználói azonosító alapján történő hozzáférés szabályozás - többszintű hozzáférési jogosultságok használata

8 ISP biztonsági intézkedések AAA RFC 2903-ban rögzített protokoll amely leírja, hogy ki és hogyan érheti el a hálózatot vagy a rendszert, illetve hogy milyen események történnek kapcsolódáskor A hitelesítési adatbázisokat általában RADIUS vagy TACACS protokollt használó kiszolgálókon tárolják.

9 Adattitkosítás Az internet szolgáltatóknak a kiszolgálók közötti adatforgalom védelmét is biztosítaniuk kell. A digitális titkosítás az ügyfél és a kiszolgáló közötti forgalom titkosítását teszi lehetővé. Legjobb minden esetben a protokoll biztonságos változatát használni, valahányszor bizalmas adatokat kell továbbítani állomások között.

10 Adattitkosítás biztonsági protokollok Web kiszolgálók - HTTPS, Biztonságos átviteli protokoll (SSL - Secure Socket Layer) Levelező kiszolgálók - POP3 és IMAP4 a felhasználó bejelentkezése során felhasználónevet és jelszót kér a hitelesítéshez (SSL Secure Socket Layer, TLS - Transport Layer Security) Telnet kiszolgálók - a Biztonságos Parancshéj (SSH - Secure Shell) protokoll használatával a hitelesítés és a munka biztonságos módon történik.

11 Adattitkosítás biztonsági protokollok FTP kiszolgálók - SSL használatával a biztonságos adatküldés megvalósítható, és némely verzió SSH alkalmazására is képes. Állománykiszolgálók - A számítógép operációs rendszerétől függően több különböző általában nem biztonságos protokollt is használhatnak adattovábbításra. IP Biztonság (IPSec - IP Security) - egy hálózati rétegbeli protokoll, amellyel bármely alkalmazás rétegbeli protokoll használata biztonságos kommunikációt eredményez.

12 Adattitkosítás biztonsági protokollok Laborgyakorlat: A helyi és a továbbított adatok védelme

13 ISP felelősség 8.2 Vissza a tartalomjegyzékre

14 Hozzáférési listák és portszűrés Sok különböző típusú támadás ellen kell az ISP-nek védekeznie. Különösen sebezhetők a Szolgáltatásmegtagadási támadásokkal (DoS - denial-ofservice) szemben DoS támadások alapformája a kiszolgáló vagy szolgáltatás elleni támadás a jogos felhasználók hozzáférésének megakadályozására SYN elárasztás - véletlenszerűen megnyit TCP portokat, majd hamis kérésekkel túlterheli a hálózati- és számítógépes erőforrásokat Land támadás - az eszköznek küldött megfertőzött csomag forrás és célcíme ugyanaz Buffer túlcsordulás a megérkezett adatok a fix méretű ideiglenes tároló határain túlcsordulnak, az extra adatok felülírják a szomszédos memóriacellákat

15 Hozzáférési listák és portszűrés DDoS - (DDoS - distributed denial-of-service) elosztott szolgáltatásmegtagadási támadás esetén több számítógép egyszerre lép fel egy meghatározott célpont ellen DRDoS - (DRDoS - distributed reflected denial-of-service) elosztott reflektált szolgáltatásmegtagadási támadás alkalmával a támadó ál- vagy látszatüzenetkérést küld egyszerre több számítógépnek az interneten keresztül, módosítva a forrás címet a célpont számítógép címére.

16 Hozzáférési listák és portszűrés A portszűrés (Port filtering) és a hozzáférési lista (ACL - access control list) segítségével a kiszolgáló és más hálózati eszközök felé menő adatforgalom szabályozható Portszűrés Meghatározott TCP vagy UDP portok alapján ellenőrzi az adatforgalmat. Több operációs rendszerekben van lehetőség a hozzáférések korlátozására. Hálózati forgalomirányítókon és kapcsolókon is gyakran használják a forgalom ellenőrzésére és az eszközökhöz való biztonságos hozzáféréshez. Hozzáférési listák A hozzáférési listákkal definiálható a tiltott vagy engedélyezett hálózati forgalom a forrás és cél IP-címek alapján, valamint a használt protokoll forrás- és célportjai alapján. Az ICMP üzenetek és a forgalomirányító protokollok frissítései is ellenőrizhetők. A rendszergazda ACL-eket hoz létre olyan hálózati eszközökön, mint például a forgalomirányító, annak eldöntésére, vajon a forgalom átengedhető-e vagy sem Laborgyakorlat: Hozzáférési listák és portszűrők tervezése

17 Tűzfalak A tűzfal olyan hálózati hardver vagy szoftver, amely meg határozza, melyik forgalom jöhet be vagy távozhat a hálózat bizonyos részeiből, illetve hogyan kell az adatokat kezelni. A tűzfalak hozzáférési listákat használnak az átengedhető és a letiltandó forgalom ellenőrzésére. Állandóan fejlődnek, ahogy új képességeket fejlesztenek ki, és új fenyegetéseket fedeznek fel Laborgyakorlat: Hálózat-alapú tűzfalak tervezése

18 Tűzfalak A tűzfalak a hálózat egész területének határbiztonságát és a belső, helyi szegmensek, például kiszolgáló-farmok, védelmére is jól használhatók. DMZ - demilitarized zone az internet felől érkező felhasználók számára hozzáférhető kiszolgálókat tárolja és kizárólag az a forgalom érkezhet ide, amelyiknek engedélyezett ezekhez a kiszolgálókhoz történő hozzáférése Laborgyakorlat: Hálózat-alapú tűzfalak tervezése

19 IDS és IPS Behatolásérzékelő rendszer (IDS - Intrusion Detection System) Hálózati forgalmat passzívan figyelő szoftver- vagy hardver alapú megoldás. Olyan hálózati eszköz, mely a tűzfalak által átengedett támadások ellen véd. Átvizsgál minden be- és kimenő hálózati eseményt és azonosítja a hálózatot vagy a rendszert fenyegető támadások gyanús jeleit.

20 IDS és IPS Behatolás megelőző rendszer (IPS - Intrusion Prevention System) Az IPS aktív fizikai eszköz vagy szoftver. A forgalom az IPS egyik interfészén megy be és a másikon megy ki. Megvizsgálja a hálózati forgalomban résztvevő aktuális adatcsomagokat, és valós időben működve engedi vagy tíltja a hálózatot elérni kívánó csomagokat. Az IDS megoldások reaktívak, a behatolás észlelésekor riasztanak. A tűzfallal blokkolható a legtöbb rosszindulatú forgalom. Bármely felbukkanó vészjel azt mutatja, hogy rosszindulatú forgalom lett átengedve a tűzfalon.

21 IPS - Behatolás megelőző rendszer (IPS - Intrusion Prevention System) IPS megoldásai proaktívak Minden gyanús eseményt azonnal blokkolnak. Az IPS egy behatolás detektáló berendezés, nem pedig egy program. Az IPS-nek kevesebb számú adatcsomagot kell megvizsgálnia, ellenőrizheti az egész csomagot, így azonnal blokkolhatja az újabb támadásokat, amelyek a tűzfal eredeti konfigurációjában még nem voltak tiltva

22 IPS - Behatolás megelőző rendszer (IPS - Intrusion Prevention System)

23 Vezetéknélküli hálózatok biztonsága WLAN - Wireless Local-Area Network Mivel a vezetéknélküli jelek áthaladnak a falakon, a vállalat területén kívülről is elérhetők. Védhetők: alapértelmezett beállítások megváltoztatásával Az SSID, a felhasználónév és a jelszó alapértelmezett beállításait ajánlott megváltoztatni, illetve az SSID üzenetszórását kikapcsolni.

24 Vezetéknélküli hálózatok biztonsága WLAN - Wireless Local-Area Network Védhetők: hitelesítéssel Az a folyamat, mely során hitelesítő információk alapján dől el a belépés engedélyezése. A kapcsolódni kívánó eszközök megbízhatóságának eldöntésére MAC-cím szűrés beállításával használják A MAC-cím szűrés megakadályozza az illetéktelen számítógép hálózatra csatlakozását. Más biztonsági megoldásokkal együtt alkalmazandó!

25 Vezetéknélküli hálózatok biztonsága - Hitelesítés Nyílt hitelesítés Személytől függetlenül, bármely felhasználó kaphat hozzáférést. Általában nyilvános vezetéknélküli hálózatokban használják. Előre megosztott kulcs (PSK - Pre-shared key) A kiszolgálónak és az ügyfélnek is, egy megegyező, előre konfigurált kulcsra van szüksége. az titkosít - AP egy véletlen bájtsorozatot küld a felhasználónak, amelyet (vagy összekever) a kulcs alapján, majd visszaküld. - Az AP a titkosított karaktersorozatot a kulcs segítségével visszafejti (vagy. - Egyezés esetén a hitelesítés sikeres.

26 Vezetéknélküli hálózatok biztonsága - Hitelesítés Kiterjeszthető hitelesítő protokoll. (EAP - Extensible Authentication Protocol) Kölcsönös vagy két-utas hitelesítést és felhasználóhitelesítést tesz lehetővé. Ha EAP-ot használó programot telepítettek egy állomásra, az ügyfél egy kiszolgáló oldali hitelesítő szerverrel kommunikál, mint például a RADIUS.

27 Vezetéknélküli hálózatok biztonsága - Titkosítás Vezetékessel egyenértékű titkosítás (WEP - Wired Equivalent Privacy) Vezetéknélküli csomópontok között küldött adatok titkosítására szolgál. 64, 128, vagy 256 bites, előre kiosztott kulcsokat alkalmaz. Legnagyobb hibája a kulcsok állandóságából adódik Számos WEP feltörő eszköz érhető el az Interneten WiFi védett hozzáférés (WPA - Wi-Fi Protected Access) egy továbbfejlesztett titkosítási algoritmust, az Átmeneti kulcsintegritás protokollt (TKIP - Temporal Key Integrity Protocol) használja. A TKIP egyedi kulcsot generál minden ügyfél számára, amelyeket egy konfigurálható intervallumon belül forgat. Kölcsönös hitelesítési eljárást nyújt, mivel a felhasználó és a hozzáférési pont egyaránt rendelkezik a kulccsal, amelyet sohasem küldenek át a hálózaton.

28 Vezetéknélküli hálózatok biztonsága - Titkosítás WPA március 13-tól kezdődően gyártott minden vezetéknélküli eszköz kötelezően a WPA2 szabvány szerint készült, tehát Wi-Fi -jelöléssel ellátott. A WPA2 a biztonságosabb Fejlett titkosítási szabványt (AES - Advanced Encryption Standard) használja.

29 A munkaállomás biztonsága Egy ISP számára kritikus, hogy szervereit védje az ismert és ismeretlen sebezhetőségeikkel szemben Megoldást jelentenek az állomásalapú tűzfalak, amely közvetlenül a munkaállomás operációs rendszerén futó program. Megvédi a számítógépet az olyan rosszindulatú támadástól, amelyik a védelem összes többi rétegén keresztüljutott. A hálózaton belüli és kívüli forgalmat egyaránt ellenőrzi Ismert támadások: blokkolja a forgalmat azon a portokon, amelyekről köztudott, hogy társítva vannak rosszindulatú tevékenységgel Kihasználható szolgáltatások A web és levelező kiszolgálók népszerű célpontjai a szolgáltatás támadásoknak, de csomagvizsgálatra alkalmas állomásalapú tűzfalak alkalmazásával megvédhetők.

30 Férgek és vírusok A munkaállomás biztonsága Férgek és vírusok a szolgáltatások sebezhetőségének kiaknázásával és az operációs rendszerek más gyengeségeivel terjednek Back Doors és Trójai falovak A vírus általában üzenetet küld a hekkernek, tudatva vele a behatolás sikerességét, majd lehetőséget ad a rendszerhez való hozzáféréséhez. Az állomásalapú tűzfal a kimenőforgalom korlátozásával megakadályozhatja a trójai faló üzenetküldését. Az anti_x segít a számítógép védelmében a vírusok, férgek, kémprogramok, rosszindulató programok, adathalászat és még a spam támadásokkal szemben is. Több internetszolgáltató nyújt anti_x programot a teljeskörű biztonsági szolgáltatásaik részeként. Számos anti_x programcsomag tesz lehetővé távoli felügyeletet.

31 Szolgáltatói szerződés 8.3 Vissza a tartalomjegyzékre

32 Szolgáltatói szerződés (SLA - Service Level Agreement) Az internetszolgáltató és az előfizető között rendszerint szolgáltatói szerződés jön létre, mely meghatározza a felek elvárásait és kötelességeit. Szolgáltatásleírás Meghatározza a szolgáltatások választékát. (Pl. szolgáltatások számát, idejét, stb) Költségek Leírja a felhasználó költségeit (szolgáltatás - általánydíj, számlázás) Megfigyelés és tájékoztatás Felhasználó által igénybevett szolgáltatások szintje, tájékoztatás gyakorisága.

33 Szolgáltatói szerződés (SLA - Service Level Agreement) Problémakezelés Probléma esetén: reagálási idő, megoldás, intézkedés, felelősök meghatározása Biztonság (Security) Biztonsági irányelveket, intézkedéseket tartalmazzák az ISP és előfizető részéről Végződtetés A szolgáltatás befejezési illetve az idő előtti felmondás feltételeit tartalmazza Kártérítés szolgáltatáskimaradás esetén Az előfizető számára megbecsült összeg ha a szolgáltatás nem lenne elérhető Rendelkezésre állás, teljesítmény és megbízhatóság

34 A hálózati összeköttetések teljesítményének megfigyelése A szolgáltató köteles figyelemmel kísérni és ellenőrizni az eszközök közötti kapcsolatot. A felügyelet és a beállítások történhetnek: - közvetlen konzol kapcsolaton keresztül, - sávon kívül kezdeti konfigurációnál hasznos, amikor az eszköz még nem érhető el hálózaton keresztül, - sávon belül, hálózati kapcsolaton keresztül - eszközök könnyebb adminisztrációjára ad módot - több felügyeleti funkciót tesz lehetővé - Telnet, SSH, HTTP, és az Egyszerű hálózatfelügyeleti protokoll (SNMP) IP hálózatok esetén Telnet ügyfélprogrammal, sávon belül lehet az eszközhöz kapcsolódni a felügyeleti és adminisztrációs teendők elvégzése érdekében

35 Telnet protokoll Megfelelő jogosultság esetén a felhasználó elindíthat és leállíthat folyamatokat, konfigurálhatja az eszközt, vagy akár a rendszert is leállíthatja. a telnet egy virtuálisterminál-protokoll a TCP/IP protokollkészlet egyik eleme a telnet által használt kapcsolatot Virtuális treminál (VTY) kapcsolatnak hívják. a Telnet egy kiszolgáló/ügyfél protokoll. Microsoft Windowst használó számítógépeken a Telnet, parancssorból indítható. a forgalomirányítók, a Telnet-démon és a Telnet-ügyfélprogramot egyaránt támogatják Telnetkapcsolatot az alábbi módszerekkel lehet létrehozni: Denver>connect paris Denver>paris Denver> Denver>telnet paris Ctrl-Shift-6 X billentyűkombinációval lehet a Telnet kapcsolatok között választani. show sessions paranccsal megjeleníthetők az ügyfélkapcsolatok.

36 Eszközfelügyelet sávon belüli eszközökkel A telnet a felhasználók hitelesítését támogatja, a hálózaton átküldött adatok titkosítását nem. SSH (Secure Shell ) - biztonságos távoli bejelentkezést - más hálózati szolgáltatásokat nyújt - a Telnetnél erősebb hitelesítési módszert - titkosított adatszállítást biztosít

37 SNMP és SYSLOG használata Simple Network Managment Protokoll Az SNMP hálózatfelügyeleti protokoll, amely a rendszergazda számára lehetővé teszi hálózati és más eszközökről az adatok összegyűjtését. Az SNMP felügyeleti ügynök programokat gyakran a kiszolgálók, forgalomirányítók és kapcsolók operációs rendszerébe ágyazzák be. Az SNMP négy fő összetevőből áll: Felügyeleti állomás A rendszergazda által, a hálózat megfigyelésre és konfigurálására használt állomás, melyen SNMP felügyeleti alkalmazás fut. Felügyeleti ügynök (Management agent) Az SNMP által felügyelt eszközön telepített program. Felügyeleti információs adatbázis (MIB - Management Information Base) Adatbázis, amelyet az eszközök maguk vezetnek a hálózati teljesítmény paramétereiről. Hálózatfelügyeleti protokoll A felügyeleti állomás és az ügynökök között használt kommunikációs protokoll.

38 SNMP működése 1. A felügyelő állomás futtatja a rendszergazda által a hálózati eszközök konfigurálására használt SNMP alkalmazást. 2. Itt tárolódnak az adatok ezekről az eszközökről. A felügyeleti állomás az eszközök lekérdezésével gyűjti az adatokat, információkat kér egy ügynöktől. 3. Az ügynök tájékoztatást ad, válaszolva a lekérdezésre. Amikor a felügyelő állomás lekérdez egy ügynököt, az ügynök előveszi a felügyeleti adatbázisban összegyűjtött statisztikát.

39 SNMP működése 3. Az SNMP ügynökök nem csak lekérdezhetők, trap-nek nevezett önálló riasztóüzenet elküldésére is konfigurálhatók. A trap egy eseményvezérelt jelzés. 4. Az ügynökökön egy küszöb- vagy maximumértéket konfigurálnak, amely például egy meghatározott porton áthaladó adatforgalom mennyiségére vonatkozik. Ha a forgalom mennyisége a küszöböt eléri, az ügynök riasztóüzenetet küld a felügyelő állomásnak,így mentesülnek az eszközök a folyamatos lekérdezésétől. 5. A felügyelő állomások és a felügyelt eszközök hitelesítése egy közösségi azonosítónak nevezett karakterlánc alapján történik

40 SYSLOG használata CiscoWorks Hálózati eszközök megfigyelhetők Konfigurációs fájlok karban tarthatók Hálózati hibák felderíthetők SunNet, HP OpenView, IBM NetView Device log (eszköz napló) Egy eszköz műveleteiről, folyamatairól és beállításáról készített bejegyzések sorozata. Karbantartása, tárolása, rendszeres felülvizsgálata a hálózat felügyelet része. Syslog A rendszeresemények naplózására kidolgozott szabvány. Ügyfél/kiszolgáló alapú protokoll, mely hálózati és biztonsági események üzeneteit továbbítja. A Syslog rendszer egy kiszolgálóból és egy ügyfélből áll.

41 Biztonsági mentések és katasztrófahelyzet helyreállítás 8.4 Vissza a tartalomjegyzékre

42 Archiválás A felhasználók weboldalait és leveleit tároló ISP kötelessége biztosítani az adatvesztés elleni védelmet. Az adatok mentése elengedhetetlen. Egy informatikai szakember munkaköréhez tartozik az adatvesztés kockázatának csökkentése, és egy esetleges helyreállítási eljárás megtervezése. Az ISP-nek adat archiválásakor a lehetőségek költségének és hatékonyságának egyensúlyban kell lennie Adat mennyisége Tárolóhely költsége Tárolóhely teljesítménye Tárolóhely megbízhatósága A külső tárolás egyszerűsége

43 Archiválási hordozók Szalagos egység nagy kapacitású, és máig a piac leginkább költséghatékony tárolója hibaérzékenysége nagy, a vezérlőeszközt rendszeresen tisztítani kell könnyen elkopik, ezért csak meghatározott ideig használható. Digitális adattároló (DDS - Digital data storage) Digitális hangszalag (DAT - Digital audio tape) Digitális lineáris szalag (DLT - Digital linear tape) Nyílt (formátumú) lineáris szalag (LTO - Linear tape-open) Optikai lemez kis mennyiségű adat esetén a legkedveltebb tárolóeszköz. CD MB, DVD GB HD-DVD és a Blue-Ray lemezek kapacitása a 25 GB

44 Archiválási hordozók Merevlemez alapú mentés egyre közkedveltebbé válnak alacsony költségük és nagy tárolási kapacitásuk következtében. Többszintű biztonsági mentés esetén a merevlemezes és a szalagos lehetőségek egyaránt gyors helyreállítási időt tesznek lehetővé Tipusai: közvetlenül csatlakoztatott tároló (DAS - direct attached storage), hálózathoz kapcsolt tároló (NAS - network attached storage) tároló hálózatok (SAN - storage area network) Félvezető alapú tároló Az összes nemfelejtő tárolóeszköz, amelyben nincsenek mozgó részek Az adatok gyors tárolási és visszakereshetőségi igénye esetén kitűnő. Pl: adatbázisgyorsítók, a HD videó letöltők és szerkesztők, az informaciószolgáltatók és a tárolóhálózatok. Kapacitás: 1GB 1 TB Ára folyamatosan zuhan.

45 Az állománymentés módszerei Normál vagy teljes mentés Az összes kijelölt állományról másolat készül, teljes egészében. Utána mindegyik állomány kap egy "másolva" jelet. Normál mentések esetén elegendő mindig a legutolsó mentést megtartani, Különbségi a mentési ciklus első napján teljes mentés szükséges ezt követően pedig mindig csak az ahhoz képest történt változásokat mentik, majd következik a ciklus végét jelentő legközelebbi teljes mentés ezáltal a folyamat kevesebb időt vesz igénybe. az adatok helyreállításához az utolsó teljes és az utolsó különbségi mentés szükséges nem állítja be az archív bitet

46 Az állománymentés módszerei Növekményes mentés az utolsó növekményes mentés óta bekövetkezett változásokat kell elmenteni. az archiválási közegen mindig csak az aznapi változások tárolódnak. a leggyorsabb, viszont a helyreállítási folyamata a igényli a legtöbb időt mivel az utolsó normál és az utána következő összes növekményes mentés szükséges hozzá.

47 Az állománymentés módszerei A mentési rendszerek a helyes működés érdekében rendszeres karbantartást igényelnek! Az adathordozók cseréje Ha a szalagot vagy lemezt nem cserélik napi rendszerességgel, adatvesztés léphet fel. Mivel a szalagok cseréje kézzel végezhető feladat, ki van téve a hiba bekövetkezésének. A felhasználónak szükségük van egy feljegyzési módszerre, mint a naptár vagy határidőnapló. A mentési naplózások áttekintése Jóformán az összes mentésre szolgáló program létrehoz naplózási állományokat. Ezek az állományok tájékoztatnak a művelet sikerességéről, vagy meghatározzák a hiba helyét. Helyreállítási folyamatok kipróbálása Az adatok rendszeres próba helyreállításával ellenőrizhető az elmentett adatok használhatósága és a mentési eljárás megfelelő működése. Az eszközvezérlő karbantartása Sok archiválási rendszer speciális hardvereket igényel, amelyek rendszeres időközönként karbantartást ígényelnek. (pl. tisztítás, defragmentálás, formázás, BIOS frissítés, stb )

48 Cisco IOS mentése és helyreállítása A hálózati eszközöken használt, az ISP tulajdonában lévő Cisco IOS és konfigurációs állományok védelmét is biztosítani kell. 1. A ping parancs segítségével a TFTP kiszolgálóval fenntartott kapcsolat ellenőrzése 2. A forgalomirányító flash memóriájában tárolt IOS kód ellenőrzése: show flash

49 Cisco IOS mentése és helyreállítása 3. Router# copy flash tftp Az IOS rendszerkód TFTP kiszolgálóra történő másolása az alábbi parancs segítségével. 4. Router# copy tftp flash A TFTP kiszolgálón tárolt rendszerkód állományok segítségével a hálózat forgalomirányítóinak és kapcsolóinak Cisco IOS szoftvere helyreállítható vagy frissíthető.

50 Cisco IOS mentése és helyreállítása ROMmon mód használata ha Cisco IOS rendszerkódot kitörölték, megsérült vagy helyhiány következtében nem elérhető, azt helyre kell állítani. Leggyorsabb módja a TFTP használata ROM monitor (ROMMON) módban. A ROMMON TFTP átvitel egy meghatározott LAN interfészen keresztül történik, amely alapértelmezésben az első elérhető LAN interfész. 1. a felhasználónak be kell állítania a környezeti változókat (set paranccsal ellenőrzés) 2. a tftpdnld parancs segítségével helyreállítani a fájlt (!) 3. a forgalomirányító újraindítása reset parancs, vagy az i begépelésével A szükséges környezeti változók a következők: IP_ADDRESS - a LAN interfész IP-címe IP_SUBNET_MASK - a LAN interfész alhálózati maszkja DEFAULT_GATEWAY - a LAN interfész alapértelmezett átjárója TFTP_SERVER - a TFTP kiszolgáló IP-címe TFTP_FILE - a Cisco IOS állományneve a kiszolgálón

51 Cisco IOS mentése és helyreállítása

52 Katasztrófa-helyreállítási terv A katasztrófahelyzet helyreállítási terv a vállalat katasztrófa alatti és utáni folyamatos működésének fenntartási feltételeiről. Célja a vállalat katasztrófa okozta fizikai és szociális változásokhoz történő alkalmazkodásának biztosítása Katasztrófahelyzet esetén is elérhetőnek kell lennie Adatbázisok Alkalmazáskiszolgálók Rendszerfelügyeleti kiszolgálók Web Adattárolók Címtár

53 Katasztrófa-helyreállítási terv A katasztrófahelyzet-helyreállítási terv készítésénél fontos megérteni a szervezet igényeit. A tervhez először a vezetőséget kell megnyerni, majd végül mindenkit, aki a kritikus vállalati folyamatokban dolgozik. Sebezhetőség felmérés a kritikus vállalati folyamatok és alkalmazásaik sérülékenységének felmérése Kockázatfelmérés Elemezni kell az esetleges katasztrófa és hatásainak kockázatát illetve költségét.

54 Katasztrófa-helyreállítási terv Szervezési tudatosság El kell nyerni a felsőbb vezetés támogatását a katasztrófahelyzethelyreállítási projekthez. (helyreállítás igen költséges lehet). Tervező csoport felállítása Tervező csoport létrehozása a katasztrófahelyzet-helyreállítási stratégia és terv kidolgozására és megvalósítására. Elsőbbségi sorrend felállítása Prioritást kell rendelni minden, a vállalat hálózatát, alkalmazásait és rendszereit érintő lehetséges katasztrófahelyzethez, úgymint kritikus, fontos vagy kevésbé fontos.

55 Katasztrófa-helyreállítási terv 1. lépés - Hálózathelyreállító stratégia A hálózat tervének elemzése. 2. lépés - Leltár és dokumentáció Leltár készítése az összes helyről, az összes eszközről, gyártóról, a felhasznált szolgáltatásokról és a kapcsolatok neveiről! 3. lépés - Ellenőrzés Olyan tesztfolyamat létrehozása, melynek segítségével ellenőrizhető a helyreállítási stratégia működőképessége.

56 Katasztrófa-helyreállítási terv 4. fázis - Jóváhagyás és megvalósítás A felsővezetők jóváhagyásának elnyerése, és a terv megvalósítási költségvetésének elkészítése. 5. fázis - Felülvizsgálat A katasztrófa helyreállítási tervezet megvalósítását követő első évben a terv felülvizsgálata.

57 Ez a minősített tanári segédanyag a HTTP Alapítvány megbízásából készült. Felhasználása és bárminemű módosítása csak a HTTP Alapítvány engedélyével lehetséges. info@http-alapitvany.hu A segédanyag a Cisco Hálózati Akadémia CCNA Discovery tananyagából tartalmaz szöveges idezeteket és képeket. A tananyag a Cisco Inc. tulajdona, a cég ezzel kapcsolatban minden jogot fenntart.