IT alapok 11. alkalom. Biztonság. Biztonság

Átírás

1 Biztonság Biztonság

2 Alapfogalmak Biztonsági támadás: adatok biztonságát fenyegető támadás, legyen az fizikai, vagy szellemi termék támadása Biztonsági mechanizmus: detektálás, megelőzés, károk elhárítása Biztonsági szolgáltatás: rendszerbiztonság növelést okozó szolgáltatás 2

3 A biztonság fontossága Mindenki számára Adatlopás, adatvesztés, behatolás, fizikai sérülés Illetéktelen használat Erőforrás leterhelés Pénz, idő, energia Biztonsági szintek 3

4 Támadások fajtája 4

5 Biztonsági veszélyforrások Támadási típusok (fizikai, adat) Támadási irány (belső, külső) strukturálatlan strukturált Célok: - titkosság - integritás - rendelkezésre állás - nem engedélyezett felhasználás megakadályozása Problémák: felhasználóbarátság, nyitott architektúra, motiváció 5

6 Szolgáltatások Titkosság, bizalmasság biztosítása Autentikáció biztosítása Integritás Letagadhatatlanság Hozzáférés szabályozás Rendelkezésre állás 6

7 Védelmi módszerek Titkosítás Szoftveres hozzáférés-szabályozás Hardveres hozzáférés-szabályozás Biztonsági politika Fizikai hozzáférés-szabályozás 7

8 Kriptográfia rejtjelezés, kódolás, ezek előállítása, megfejtése Nyílt szöveg: titkosítandó adat Algoritmus: titkosító eljárás (kódolás, rejtjelezés) Titkosított szöveg: kiválasztott algoritmussal a nyílt szövegből titkosat csinálunk Dekódolás: visszafejtés Kulcs: segítségével lehet a rejtjelezett szöveget megfejteni Pl.: - ABC eltolás, ABC tükrözés, Morze - Playfair-rejtjel, Kircher-féle - AES, TEA, Blowfish 8

9 Támadási folyamat Felderítés, nyomkeresés Scannelés Kiértékelés Hozzáférés megszerzés Jogosultság kiterjesztés Hátsó ajtók kinyitása, nyomelfedés 9/19/16 9

10 A jelszó Az a jelszó biztonságos, amit nehéz másoknak megtippelni vagy amit egy erre alkalmas automatikus program nehezen talál ki, de te mégis meg lehet jegyezni. A jelszó legyen megfelelő hosszúságú (minél hosszabb annál jobb). A biztonságos jelszó ne legyen, vagy ne hasonlítson szótári szavakra, de ne legyen egyszerű karaktersor sem, illetve ne legyen a billentyűzet sorban egymásután következőbillentyűi. A jelszó ne utaljon közvetlenül a felhasználóra (pl. a felhasználó neve, beceneve, születési dátuma, lakcíme, stb.) Használjon kisbetűt, nagybetűt, számot, írásjelet. 9/19/16 10

11 A jelszó II. A jelszót titokban kell tartani. A jelszavát soha senkinek ne árulja el, vagy ha erre mégis sor kerül, akkor a következő belépést követően változtassa meg. Ne használjuk a böngésző által ajánlott jelszó megjegyzést. Nyilvános helyen vagy ott, ahol egy számítógéphez többen hozzáférnek soha ne használja ezt a funkciót. Különböző szolgáltatásokhoz használjunk különböző jelszavakat. Ne használjuk pl. a levelezéshez ugyanazt a jelszót mint az elektronikus bankszámlahasználathoz. 9/19/16 11

12 A jelszó III. Ha nem tudunk több jelszót megjegyezni, elegendő, ha keveset változtatunk az eredetin. Ha a legkisebb gyanúja is felmerül annak, hogy a jelszavát valaki már ismeri, azonnal változtassa meg. Kritikus webhelyeken rendszeresen változtassa a jelszavait. Ha feljegyzi a jelszavait, mindig bizonyosodjon meg róla, hogy biztonságos helyen tartja. Soha ne küldd el a jelszavát ben, MSN-en, Skype-on, Twitteren, stb. 9/19/16 12

13 A jelszó IV. 3 gyenge pont: kulcs Bruteforce Nyílt szöveg alapú 9/19/16 13

14 Biztonsági házirend Milyen értékeket kell védeni? Milyen lehetséges fenyegetések vannak? Mi a teendő egy biztonsági behatolás esetén? Kezelési folyamat: - megengedett tevékenységek - tiltott tevékenységek - naplózni kívánt események - hozzáférés - hitelesítési mód - fizikai védelem (belépés, kábelzár ) 9/19/16 14

15 Adatvédelem BIOS jelszó Bejelentkezési jelszó Titkosítás Fizikai és logikai hozzáférés védelem Portvédelem Biztonsági mentés (gyakoriság, hely, jelszó) Fájlrendszer választás (NTFS-naplózás) WEP, WPA (vezeték nélküli hálózatok titkosítása) Biztonsági frissítés OS frissítés 9/19/16 15

16 Hibaelhárítási folyamat Adatgyűjtés az ügyféltől Kézenfekvő problémák kiszűrése Típusmegoldások kipróbálása Adatgyűjtés a számítógépről Probléma kiértékelés, megoldás Eset lezárás 9/19/16 16

17 Hibaelhárítási folyamat II. Nyitott kérdések: - Mikor kezdődött a probléma? - Milyen problémát tapasztalt? - Van még valami, amit el tud mondani a problémáról? - Milyen weboldalakat látogatott utoljára? - Milyen biztonsági program van telepítve a számítógépre? - Hogyan csatlakozik az internetre? - Volt váratlan látogató a munkahelyén? Zárt kérdések: - Használta más valaki is a számítógépet? - A biztonsági program frissítve van? - Mostanában végzett a számítógépen vírusellenőrzést? - Megnyitott bármilyen gyanús mellékletet? - Volt már hasonló problémája? - Mostanában megváltoztatta a jelszavát? - Kapott hibaüzenetet a gépen? - Megadta valakinek a jelszavát? 9/19/16 17

18 Hibaelhárítási folyamat II. Kézenfekvő problémák kiszűrése: - Nem küldözgetett másoknak furcsa leveleket? - Az asztalán minden ugyanúgy van? - Nem fut lassabban a gépe? - Nem látott ismeretlen bejelentkezési nevet? - Internet kapcsolata nem lassú? Típusmegoldás kipróbálás - Újraindítás - Más felhasználóként belépés - Vírusdefiníciós adatbázis ellenőrzés, Kémprogram elh. - Ellenőrzés 9/19/16 18

19 Hibaelhárítási folyamat II. Adatgyűjtés: - Naplóbejegyzések ellenőrzése Probléma vizsgálat, megoldás - Tapasztalatok, feljegyzések megvizsgálása - Más szakemberrel konzultáció - Internetes keresés, GYIK, Hírcsoportok - Kézikönyvek - Fórumok - Megoldás Lezárás - Ügyfél ellenőrizzen - Papírmunka, Ticket zárás 9/19/16 19

20 Kérdések Csoport1 - Mi a vírus? Mi a féreg? Mi a trójai? Milyen vírusok vannak? Milyen szoftvereket érdemes használni? Vane ingyenes? Java (mire való, biztonságos?), Reklámprogram szűrés, Grayware, Maleware, SPAM, Szociális manipuláció Csoport2 - DoS, DDoS, TCP/IP támadások, Visszaélés a hardver elemekkel, Puffer túlcsordulás, Hálózati eszközök támadása, Phising Csoport3 - védekezési módok, DMZ, Tűzfal, Proxy, Alagút, Gateway IDS (behatolás érzékelés), IPS (behatolás megelőzés), Szimmetrikus/Asszimetrikus kulcs 9/19/16 20

21 Irodalomjegyzék Alapfogalmak. Biztonság. Hálózati biztonság Személyes adataink biztonsága Számítógépes biztonság (WikiPédia) Internet és adatbiztonság (nibiru.hu)