Esettanulmány Összetett informatikai biztonsági rendszer kiépítése pénzintézetben 1.1 verzió 2012.11.10. Készítette Tel.: 23/889-107 Fax: 23/889-108 E-mail: telvice@telvice.hu Web: http://www.telvice.hu/
2. oldal Ügyfél: Pénzintézet (nem kiadható) Feladat: összetett IT-biztonsági rendszer kiépítése. A kiépített rendszer topológiája
3. oldal Megvalósítás A LAN IEEE 802.1X képes Cisco switchekből áll. Az intelligens hozzáférés-vezérlést a Juniper UAC megoldása biztosítja az alábbiak szerint: 1. A szerverek szabadon hozzáférhetnek a hálózathoz, a switchek megfelelő portjai nincsenek IEEE 802-1X-re beállítva. 2. A nyomtatók és buta vékony kliensek csak akkor férnek hozzá a hálózathoz, ha MAC-címük szerepel az UAC megoldás központi elemének, az Infranet Controller 4000-nek (továbbiakban: IC 4000) a MACadatbázisában. 3. Az okos vékony klienseket digitális tanúsítvány segítségével azonosítja az IC 4000. 4. A számítógépeken fut az UAC megoldás kliens oldali része, az Odyssey Access Client (továbbiakban: OAC) szoftver. Ez egyrészt hitelesíti a számítógépet (machine account), másrészt a számítógépbe belépni szándékozó felhasználót. Ezen hitelesítések Windows AD-vel történnek. a. A machine account segítségével bejelentkezett felhasználó nélkül is fel tud egy számítógép kapcsolódni a hálózatra, így pl. éjszaka a rendszergazdák távolról tudják frissíteni a rajta lévő programokat. b. A sikeres hitelesítést követően az OAC Host Checker komponense ellenőrzi, hogy a számítógép megfelel-e a vele szemben támasztott feltételeknek (működő antivírus szoftver, Windows patchek megléte, stb.). c. Az OAC Host Enforcer komponense (tulajdonképpen egy kliens oldali tűzfal) a Host Checker ellenőrzésének eredménye alapján, az IC 4000 utasítása szerint vezérli a számítógép hálózathoz való hozzáférését (teljes, vagy részleges).
4. oldal 5. A hálózatban támogatott a távmunka, melyet a távmunkások laptopjaira telepített Juniper NetScreen-Remote program és a központban elhelyezett Juniper SSG-140-SH tűzfal között kiépülő IPSec VPN tesz lehetővé. A távmunkások számítógépein szintén fut az OAC, és a LAN számítógépeihez hasonló módon férhetnek csak hozzá a belső erőforrásokhoz. Annyi különbség van csak, hogy itt nem IEEE 802.1X-alapú a hozzáférés vezérlése, hanem a tűzfal és az IC 4000 együttműködése szabályozza azt. A tűzfal ún. Infranet Enforcerként működik, a Host Checker ellenőrzésének eredménye alapján az IC 4000 letölti a megfelelő policy-t rá, ami meghatározza, hogy a távmunkás mit és hogyan ér el a belső hálózatból. A laptopokon lévő adatok illetéktelen kezekbe kerülését (pl. a laptop ellopása, vagy elvesztése esetén) az Utimaco SafeGuard Easy programjával végzett merevlemez titkosítás védi. Ennek feloldásához a gép operációs rendszerének elindításához szükséges erős azonosítás Aladdin etokenekkel valósul meg. A hálózatot a külvilágtól két, sorba kötött tűzfal védi. Ezek közül a belső a projekt előtt is megvolt, a külső pedig egy Juniper SSG-140-SH berendezés, mely egy intelligens, állapottartó, csomagszűrű tűzfal. Ennek kiválasztásához az alábbiak vezettek: 1. A jelenleg kapható (egyik) legmagasabb tudású intelligens csomagszűrő tűzfal. 2. Képes támogatni a remote-access IPSec VPN-t a távmunkához. 3. Képes együttműködni a Juniper UAC megoldással, így csökkentve a távmunkának a pénzintézet számára jelentett biztonsági kockázatát. 4. Képes több Internet kapcsolat kezelésére. A pénzintézet egy bérelt vonallal és egy ADSL kapcsolattal csatlakozik az Internetre. Előbbi a fő, normál esetben működő kapcsolat, míg utóbbi ennek meghibásodása esetén lép működésbe. A kialakított topológia lehetővé teszi, hogy a külvilágnak nyújtott szolgáltatások (pl. e-mail szerver) bármelyik Internet kapcsolat működése esetén elérhetők, sőt a VPN is működik a NetScreen-Remote Redundant Gateway funkciójának segítségével mindegyik Internet kapcsolattal.
5. oldal A pénzintézetet a külvilágból érkező spamektől, vírusoktól, stb. az adatútba helyezett Secure Computing Webwasher berendezés védi. E security gateway az anti-x funkciókon túl ún. secure proxy funkciót, valamint URL szűrést is nyújt, sőt képes a HTTPS forgalom ellenőrzésére is. Az illetéktelen adatoknak a külvilágba való kijutását pedig adatszivárgás kiszűrő funkciója segítségével akadályozza meg. A hálózat védelmét fokozza a kitüntetett szegmenseken haladó forgalomban támadásokat figyelő és gátló Juniper IDP 200 betörés-elhárító eszköz. A Juniper eszközök menedzsmentjére a Juniper Netscreen-Security Manager szolgál. Központosított naplózó elemző rendszerként a Zuriel LOGalyze lett üzembe állítva. Ennek a működéséhez el kellett készíteni, majd importálni kellett a fentiekben ismertetett eszközök naplóformátumait leíró sablonokat. A teljes rendszer átfogó (eszköz- és gyártófüggetlen) menedzselését az op5 cég Network Management Suite családjának op5 Monitor és op5 Statistics szoftverei végzik. Előbbi egy (Nagios-ra épülő) központosított monitorozási és riasztási (jelenleg e-mail-ben és smsben) rendszert, utóbbi egy kapacitástervezéshez jól használható (Cactira épülő) grafikus, statisztikai rendszert jelent. A nagyobb rendelkezésre állás biztosítása végett az IT-rendszer fent felsorolt elemeit APC UPS-ek védik a tápellátásban bekövetkező hibáktól (túl alacsony/magas feszültség, stb.), továbbá 30 perces áthidalási időt biztosítanak az áramszolgáltatás kiesése esetén. (Ezek nem e projekt keretében lettek telepítve.) Az informatikai rendszer megbízható működését segíti a mentő és archiváló rendszer, mely azonban nem e projekt keretében lett kiépítve. Bár a külön licencelhető ún. Coordinated Threat Control funkció révén az IDP 200 képes lenne együttműködni az IC 4000-rel, de e funkciót jelen megvalósítás során nem kérték. A rendszerben alkalmazott valamennyi elem SSG-140-SH, IDP 200, IC 4000, op5 és NMS szoftverek, Webwasher támogatja az eszközredundanciát, de jelen projektben ezt nem kellett bevezetni.