Az intézményi hálózatk biztnsága - és ehhez még wireless eszközök? Követelmények a mbilszlgáltatástól a vállalati hálózatn át a végfelhasználó készülékéig Dr. Szenes Katalin CISA, CISM, CGEIT szenes.katalin@nik.bmf.hu Budapesti Műszaki Főiskla Neumann Jáns Infrmatikai Kar Alkalmaztt Infrmatikai Intézet 1
intézményi (hálózat)biztnság - drótnélküli veszélyek - teeendők kérdés: mely 2 pnt között nincs kábel? (mindenki telefnál) mi ez a drótnélküli? kinek engedelmeskedik? testületek, szövetségek pr és cntra - jó-e, vagy nem jó a wireless? támadás - I. veszélyek specifikus veszélyekhez védelmi lehetőségek a védekezés KÖZÖS alapelvei - ISACA - ISO, összevetés (+CRM2009) min múlik a védelem a mbilszlgáltatónál védekezési stratégia: az előfizető bejelentkezésének védelme ISACA - COBIT, ISO a szlgáltató infrastruktúrája + milyen érzékeny adatkat kell védeni? a szlgáltatásból eredő követelmények Dr. Szenes wireless veszélyek, követelmények 2 2
intézményi (hálózat)biztnság - drótnélküli veszélyek - teeendők mi a baj az elektrnikus szlgáltatást nyújtó partnercégeknél? - APACS védelem a partnercégnél védekezési stratégiák egyszerűsített példa hálózat, biztnsági elemekkel hagymánys hálózati veszélyek nagyjából kivédve? ha ez bank - használjuk-e az elektrnikus csatrnáit? példa egy szállítói védelmi javaslatra tervezett felkészülés - felmérés, feladatk indítási stratégia elkészítése üzem közbeni felügyelet magyarázatk Dr. Szenes wireless veszélyek, követelmények 3 3
mi ez a drótnélküli? kinek engedelmeskedik? IEEE, Wi-Fi Alliance O a 0/1 bitek - jelek - adtt rádiófrekvencia csatrnákn mennek, a levegőben esetleg pnt tt, ahl pl. a mikrhullámú sütő, vagy az rvsi eszközök 1999: drótnélküli hálózat szabvány, IEEE 802.11/b Wi-Fi - Wireless Fidelity 2003: nagysebességű kiterjesztés: 11/g, mst 802.11 b/g hl tartunk mst? http://gruper.ieee.rg/grups/802/11/index.html legfrissebb anyag (2009.05.26-án): Wireless LAN Medium Access Cntrl (MAC) and Physical Layer (PHY) Specificatins - munkaanyag,...rögzített, hrdzható és mzgó állmásk drótnélküli kapcslata... szintén 1999: a WLAN termékszállítók, termékeik együttműködése érdekében, megalapítják a Wi-Fi Alliance-t, ez a tagknak prduct certificatin-t ad ki www.wi-fi.rg tagja "minden" telefntársaság és gyártó, mst 20 PageDwn-nyi 2003: htspt-k certificatin-ja htspt: WLAN hzzáférés közösségi helyekről - szállda, repülőtér hl tartunk mst? 2009.05.19.: WiFi Alliance kiterjesztette a WPA2 -t (Wi-Fi Prtected Access) Dr. Szenes wireless veszélyek, követelmények 4 4
mi ez a drótnélküli? kinek engedelmeskedik? WIMAX, LTE WIMAX O nagy sávszélességű internet hzzáférés - a vezetékes, vagy a 3g versenytársa? WIMAX szigetszerűen a 3g-ben, vagy együttműködés? remélhetőleg együtt, sőt: lesz glbális raming prgram USA WIMAX szlgáltatás: 2.5 gigahertz, Hllandia: 3.5 gigahertz hl tartunk mst? 2001. WIMAX fórum alapítása www.wimaxfrum.rg több, mint 500 telefnszlgáltató, részegység- és eszközgyártó taggal minősítés az IEEE 802.16e termékek együttműködése érdekében bázisállmásk, PC kártyák, USB mdemek, stb. LTE a következő lépés a mbil rádióhullámű kmmunikációban LTE: 3GPP Lng Term Evlutin - 3rd Generatin Partnership Prject www.3gpp.rg - szélessávú mbil kmmunikáció szabványai megalktására 1998-ban! ETSI és egyéb szervezetek vannak benne remények: a WIMAX fejlesztéseit be lehetne építeni az LTE-be? Dr. Szenes wireless veszélyek, követelmények 5 5
pr és cntra - jó-e, vagy nem jó, ha drótnélküli eszközöket használunk? - PRO előre visz, új üzleti lehetőség, presztizs - merthgy tudjuk ezt is kezelni a mbil terjed, képességei bővülnek az intézmény flyamats működését támgathatja kritikus rendszerek elérhetősége pl. i-bank földrajzi függetlenség - mzghatunk a "terminállal" vevőink szállítóink munkatársaink elérik a vállalati hálózatt + internetet is esetleges tartalék összeköttetési lehetőség telepítési rugalmasság nem kell kábelezni USA-ban gyakri belső WLAN is már, Magyarrszágn inkább levelezés, de kkal! Dr. Szenes wireless veszélyek, követelmények 6 6
pr és cntra - jó-e, vagy nem jó, ha drótnélküli eszközöket használunk? - CON bizalmas adat kikerül az intézményi védelem hatóköréből a levegőbe az adat eddig többnyire belül maradt, csak távlról nyúltak bele a felelősség bent maradt, HA ügyesek vltunk "elég" vlt a hzzáférési utat biztnságssá tenni adat eddiginél könnyebben kerülhet ki - úgy tűnik, de ez igaz is lehallgatás - ÜZLETI, SZEMÉLYES ADATOK könnyebben kerül kártevő az eszközre, és irányítását átveszi vírus, féreg, trójai rendelkezésre állási hiánysságk sávszélesség interferencia könnyebben ellpják, mint egy - nagybb - számítógépet követhetetlen, nagy raming díjak meglepetés - drága használat Dr. Szenes wireless veszélyek, követelmények 7 7
támadás -I. a támadók - kik? alkalmaztt haszn partner tudatlanság szerződő fél: vevő, szállító rsszindulat versenytárs szórakzás hacker, cracker, diák, bűnöző, kém, ügynök, terrrista hnnan jön a támadás, és mit támad? a "sávs" "levegőből" vállalati hálózatt kívülről: war driving, war chalking belülről valamelyik mbil szlgáltató hálózatatát magát a mbil eszközt, vagy rajta keresztül Dr. Szenes wireless veszélyek, követelmények 8 8
veszélyek minden, ami a vezetékes hálózatra veszélyes + a speciális architektúrából eredők általáns péládk lehallgatás IP cím spfing - hamisítás smurf teardrp vírusk, férgek, trójaiak, stb., speciális példák signaling channel DOS attack silent SMS DOS attack az eszköz elvesztése, ellpása egészségkársító hatás? számtalan kutatás szerint mégse (használata elterelheti a figyelmet) Dr. Szenes wireless veszélyek, követelmények 9 9
veszély - signaling channel DOS attack / védelmi lehetőség signaling channel DOS attack drótnélküli esetben, pl. a jelenlegi 3G szabványknál skkal több jeladó üzenet / handshake kell, mint vezetékesnél CDMA2000 vagy UMTS szabványn alapuló 3G hálózatkra: a 3G hálózat "vezérlését" terheli túl, ritka, és kicsi csmagkkal egyre újabb rádiócsatrna létrehzására készteti a hálózatt, így jelentős teljesítményvisszaesés, de még az eszközöknek is árt mivel ritkák és kicsik a csmagk, az intrusin detectin eszközök nem veszik észre, hiszen azk pnt a nagy frgalmra vannak kihegyezve lehetséges megldás pl.: Lee, Bu, W: On the Detectin f Signaling Wireless Attack n 3G Wireless Netwrks kb. 2006., http://www.cse.cuhk.edu.hk/ frgalm mnitrzás - az eredmény satatisztikai módszeren alapuló feldlgzása Dr. Szenes wireless veszélyek, követelmények 10 10
veszély - Smurf attack / védelmi lehetőség Smurf attack a támadó sk ICMP csmagt küld a megtámadtt hálózatba, a csmagk az áldzat gép hamisíttt címét tartalmazzák. Bradcast az üzenet Ha a ruter rsszul van knfigurálva, vagy gyenge minőségű, kiengedi a válaszkat, amelzeket mind az áldzat számítógép kap meg, és összemlik a frgalmtól védelem lehet: a hálózati elemek mnitrzásában adatbányászati módszerek alkalmazása Shwe, Lee, Lee: DOS Attack Mining in Sensr Nde Replacement 2007. www.springerlink.cm Dr. Szenes wireless veszélyek, követelmények 11 11
veszély - silent SMS DOS attack / védelmi lehetőség silent SMS DOS attack silent SMS: pl. rendőrségicéllal, az eszköz helymeghatárzására a képernyőn nem íródik ki, hangjelzést nem ad, így maga a támadás észrevehetetlen a GSM architektúra lehetővé teszi, hgy tömeges SMS-t küldjenek a hálózatba az SMS Mbile Switching Centre-n keresztül silent SMS is küldhető, prtkll manipulálással védelemről: Crft, Olivier: A Silent SMS Denial f Service DOS Attack kb. 2007., http://m.c.za Dr. Szenes wireless veszélyek, követelmények 12 12
veszély - teardrp / védelmi lehetőség Teardrp: Olyan DOS támadás, amikr fragmentált csmagkat úgy hamisítanak, hgy átfedjék egymást akkr, amikr a fgadó hst megpróbálja őket összerakni védelem reménye lehet wireless esetben: a neurális hálón alapuló IDS: Liu, Tian, Wei: A Wireless Intrusin Detectin Methd based n Neural Netwrk www.actapress.cm 2006. Dr. Szenes wireless veszélyek, követelmények 13 13
a védekezés szlgáltatóra és partnerre is KÖZÖS alapelvei - ISACA - ISO ne csak védjünk, javítsunk is! kiindulópnt az infrmataikai biztnságban mindig: a stratégiai célk ebből lesznek a generikus ellenőrzési célk 3(+2) - ISO (emlékszünk a CRAMM-ra?) és ISACA és COBIT: rendelkezésre állás, bizalmasság, integritás mi a plusz 2? a funkcinaitás és a dkumentáció - és miért?!! sérülékenységmentes(ebb) alkalmazásk fejlesztése: ISO/IEC 12207:1995 nemzetközi szabvány - MSZ ISO/IEC 12207 2000. május COBIT + ISO egyaránt üzletmenetflytnsság infrastruktúrális elem (asset) menedzsment - knfigurációkezelés váltzáskezelés - -re, fejlesztésre, infratsuktúrára is!! stb.! COBIT + ISO - de COBIT tárgyszerűbb: COBIT 4 (4.0, 4.1) ISO 17799-27002, 27001 Dr. Szenes wireless veszélyek, követelmények 14 14
ISO / COBIT - 1. ISO 27001 COBIT 4.1 A.6.1.4 : Authrizatin prcess fr infrmatin prcessing facilities A.6.2.1:Identificatin f risks related t external parties, A.6.2.3: Addressing security in third party agreement A.8.1.1: Rles and respnsibilities A.8.2.1 : Management respnsibilities DS5.3 Identity Management, DS5.4 User Accunt Management DS2 Manage Third-party Services (13 detailed...) PO4.6 Establishment f Rles and Respnsibilities, PO4.8 Respnsibility fr Risk, Security and Cmpliance,...! Dr. Szenes wireless veszélyek, követelmények 15 15
ISO / COBIT - 2. szükség vlt a CISA Review Manual-re! ISO 27001 COBIT 4.1... 3) Explanatin: The term wner identifies an individual r entity that has apprved management respnsibility... A.10.1.3 : Segregatin f duties PO2.3 Data Classificatin Scheme:... criticality and sensitivity,... include details abut data wnership;... PO4.9 Data and System Ownership PO4.11 Segregatin f Duties A.11.7 Mbile cmputing and telewrking Objective: T ensure infrmatin security when using mbile cmputing and telewrking facilities. CRM 5.4.3 Wireless Security Threats and Risk Mitigatin 5.3.7... Access Issues With Mbile Technlgy... Dr. Szenes wireless veszélyek, követelmények 16 16
védekezési stratégiák - a mbilszlgáltatónál előfizető bejelentkezésének védelme: autentikáció csak regisztrált előfizetők fgadása (IMSI - Internatinal Mbile Subscriber Identity) tárlás a SIM kártyán de a SIM kártya máslható PIN, PUK kódk infrastruktúrára: a szlgáltatói hálózat elemeire érzékeny adatbáziskra egész működésre betartandóak: védelmi követelmények: ISO, ISACA - COBIT a 3 + 2 ellenőrzési cél érdekében, megakadályzó, vizsgálati, javító ellenőrzési intézkedések Dr. Szenes wireless veszélyek, követelmények 17 17
a mbilszlgáltató infrastruktúrája tipikus 3G infrastruktúra - UMTS (vagy CDMA) 1 UTRAN - UMTS Terrestrial Radi Access Netwrk az előfizetőt a szlgáltató "frgalmi" hálózatáhz köti (energiaellátás, erőfrráskezelés, készülék helymeghatárzás támgatás...) 2 "frgalmi" hálózat - összekötés (bázisállmásk, stb. segítségével): az UTRAN és a szlgáltató belső hálózata az internet és a szlgáltató távközlési, illetve más mbilszlgáltatók között itt elérhető érzékeny adat: a kmmunikáció és az előfizetők adatai 3 belső hálózat mint egy vállalat, de speciális. /. úgymint Dr. Szenes wireless veszélyek, követelmények 18 18
a mbilszlgáltató belső hálózata + milyen érzékeny adatkat kell védeni? 3. a belső hálózat legfntsabb érzékeny elemei: számlázó rendszer CDR (Call Detail Recrd) feldlgzásk vevőszlgálat adattárház csalásfelderítés vállalati működéstámgatás - a szkáss vállalati infrmációs rendszer érzékeny adatk = üzleti titkk + előfizetői adatk személyi ill. a szerződő vállalat adatai, szlgáltatásszerződési adatk frgalmi, számlázási hl van éppen az egyén szent : CDR plusz: a dlgzóknak is vannak személyi adatai! Dr. Szenes wireless veszélyek, követelmények 19 19
a szlgáltatásból eredő követelmények a mbilszlgáltatóra a szlgáltatásból eredő követelmények: a legtöbb alkalmazás és szlgáltatás időérzékeny tárlási követelmények - idő, bizalmasság adatkiszlgáltatási követelmények Európai Úniós, és hazai követelmények pech: Személyi adatk védelme terrristák elleni harcnak ellentmnd (1992. évi LXIII. törvény, 2003. évi XLVIII. törvény) Dr. Szenes wireless veszélyek, követelmények 20 20
és mi a baj azknál a partnercégeknél, amelyek az elektrnikus szlgáltatáskat akarják nyújtani? Clin Whittaker, biztnsági vezető, APACS UK Payments Assciatin - bankk és egyéb pénzügyi szervezetek szövetsége CERT knferencia, 2008. az elektrnikus bűnözés elleni védekezés nehézségei: a támadók, eszközeik, technikájuk, szervezetők, kmmunikációjuk nehezen felés ismerhetőek a vevőket és a külső környezetet támadják, így a bank erre nehezen reagál mind a vevők, mind a személyzet nehezen ismeri el, ha hibázik (infrmációt ad ki, fertőzés, stb.) a veszélyek, illetve a támadásk hatásainak átfgóképét nehéz megalktni az állami szervekkel elégtelen együttműködés az infrmációgyűjtésben, és megsztásában az ilyen incidensek kezelése időbe (és persze pénzbe) kerül, és speciális szakismeretet igényel Dr. Szenes wireless veszélyek, követelmények 21 21
védekezési stratégiák - a partnercégnél védelem a partnercégnél egyszerűsített hálózat, biztnsági elemekkel hagymánys hálózati veszélyek nagyjából kivédve? ha ez bank - használjuk-e az elektrnikus csatrnáit? példa egy szállítói védelmi javaslatra tervezett felkészülés indítási stratégia elkészítése üzem közbeni felügyelet váltásk esetén: kivezetés (egyénenként / mbilszlgáltatónként) Dr. Szenes wireless veszélyek, követelmények 22 22
Tűzfal Pécs M unkaálmásk DM Z Szer ver ek 1. 2. Tűzfal I nternet IS P NAT 225.1. 1. 0/30 IB ISP DM Z Tűzfal web szer ver ek IDS/IPS 1. 2. Budapest Szer verek Pécs M unkaálmásk DM Z 1. 2. Szerv erek NA T IB ID S/I PS Tűzfal Bud apest ISP 225. 1.1. 0/30 ISP DMZ 1. 2. Szer ver ek Kel eti p. u. AP Sr s Ethernet I nternet Tűzfal Pécs M unkaál másk web szerver ek Kel eti p. u. AP Sr s Et hernet DM Z Szer ver ek 1. 2. Tűzfal NAT Tűzfal Budapest Pécs IB IDS/IPS M unkaál m ásk IS P DM Z 1. 2. Szer ver ek 225.1. 1. 0/30 ISP DM Z 1. 2. Szer verek NAT IB IDS/IPS Tűzfal Budapest I nternet web szer ver ek IS P 225.1. 1. 0/30 I SP DM Z 1. 2. Szer verek Kel eti p. u. AP Sr s Ethernet I nternet Tűzfal Pécs Munkaál m ásk web szer ver ek Kel eti p. u. AP Sr s Ethernet DM Z Szer ver ek 1. 2. NAT IB IDS/IPS Tűzfal Budapest IS P 225.1. 1. 0/30 ISP DM Z 1. 2. Szer verek I nternet web szer ver ek Kel eti p. u. AP Sr s Ethernet Dr. Szenes Katalin - wireless veszélyek, követelmények védelem a partnercégnél - egyszerűsített példa hálózat, biztnsági elemekkel hagymánys hálózati veszélyek nagyjából kivédve? ha ez bank - használjuk-e az elektrnikus csatrnáit? ISP Internet 225.1.1.0/30 DMZ ISP telephely 2 Tűzfal IDS/IP telephely 1 1. 2. Szerverek web szerverek DMZ Tűzfal bizt. távli bejelentkezés AP 1. Szerverek 2. Munkaállmásk Srs Ethernet Dr. Szenes wireless veszélyek, követelmények 23 23
Cisc Adaptive Wireless Intrusin Preventin System védelem a partnervállalatnál - a szállító javaslata ideális védelemre - mi legyen? http://www.cisc.cm/en/us/prd/cllateral/wireless/ps9733/ps9817/data_sheet_c78-501388.html 2009.05.26. Dr. Szenes wireless veszélyek, követelmények 24 24
Tervezett felkészülés - FEL KELL MÉRNI: milyen eszköz, milyen hálózati elérés, milyen fnts adat? eszközfajták hálózati elérés milyen fnts adat(rajta/elérh.) mbiltelefn Bluetth (pár m) személyes adatk, pl. intelligens telefn WLAN-k telefnjegyzék pendrive WAN: 3G, GPRS,... naptár zenelejátszó kódk, jelszavak esetleg tthn: intézményi adatk, pl. egyéb USB prtba ált. tűzfallal - vevők adatai dugható egybeépített ruter - munkatársak adatai vezetékes / WIFI - üzleti titkk, pl. prezi palmtp kliensekkel laptp a ruter-ben kell intézményi adatkhz állítani a titksítást jutás lehetősége Dr. Szenes wireless veszélyek, követelmények 25 25
Tervezett felkészülés - infrmatikai és infrmatikai biztnsági feladatk tervezés & kiválasztás plusz infrastruktúrális elemek megtervezése, kiválasztása, meglévők esetleges átalakítása a technlógiai követelmények ÉS következmények figyelembe vételével pl. eszköz perációs rendszerének (Windws, Symbian, Palm,...) kitettsége, kapcslatk blkklása (Bluetth) beszerzés (tender, fltta,...) mbil eszköz átadás / átvételi rendjének kialakítása jgsultság tervezés üzem közbeni felügyelet védelmi berendezések, beállításk, módszerek, stb. a cég hálózatában és számítástechnikai berendezésein a mbil eszközökön (vírusirtó, patch-elés, bekapcsláskr aktivizálandó lehetőségek,...) elvesztésre reagálás megtervezése - ne legyen büntetés, jbb, ha rögtön kiderül! Dr. Szenes wireless veszélyek, követelmények 26 26
indítási stratégia elkészítése az indítási stratégia fő elemei: célmeghatárzás - ebből következik a felső vezetés céljai: ISACA, ISO kinek, milyen fajta eszközt akarunk biztsítani? ez a vállalati hálózatban mely infrastruktúrális elemeket igényli érinti követelmények meghatárzása: üzleti felhasználó infrmatikai szervezet infrmatikai biztnság egyéb külső / belső támgató szervezeti egységek Dr. Szenes wireless veszélyek, követelmények 27 27
üzem közbeni felügyelet mbil eszköz átadás / átvétele jgsultság menedzsment védelmi berendezések üzemeltetése lglás incidensekre reagálás a mbileszköz menedzselése beállítás átadás előtt (vírusirtó, patch-elés, bekapcsláskr aktivizálandó lehetőségek,...) karbantartás - karbantartási támgatás visszavnás kilépéskr elvesztés kezelése (tartalm titksítás / törlés, jelszó,..) Dr. Szenes wireless veszélyek, követelmények 28 28
magyarázatk www.cellular.c.za/technlgies/3g/3g.htm nymán: 3G - 3. generáció mbil technlógiák összefglaló neve, 2001 végétől, nagysebességű internet, adat, vide, CD-minúségű zeneszlgáltatásra, [így] legalább 2 Megabit / sec hálózat - kézi készülék - bázis állmás -switch - stb. segítségével CDMA - Cde Divisin Multiple Access - digitális wireless technlógia, amely lehetővé teszi, hgy több user használja ugyanazt a frekvenciát, interferencia nélkül, a hívás egy egyedi kódt kap, ami a többitől megkülönbözteti CDMA2000 - CDMA upgrade UMTS - W-CDMA - Wideband CDMA neve Európában UMTS: Universal Mbile Telecmmunicatins System Dr. Szenes wireless veszélyek, követelmények 29 29
ha hazamegy a partnercég alkalmazttja: ne legyen a titksítás törhető WEP 64 vagy 128 bites kódlás a WEP kulcs hexa számjegyek keveréke: 0,1,... 9, A, B,... F sőt, van gyártó, amely enged decimális kulcst is! a 64 bites 5 db 2-jegyű hexadecimális szám, pl. CC AB F6 23 66 a 128 bites 13 db 2-jegyű hexa szám ezt kell a ruter-ben megadni, aztán, a hzzáférés knfigurálásakr, az összes kliensben, ami majd a ruter-hez kapcslódik már a Windws is többféle titksítási algritmust tud kezelni a Wi-Fi Alliance a WPA2 -t fgadta el ez AES Advanced Encryptin Standard titksítást használ, max. 256 bites a kulcs Dr. Szenes wireless veszélyek, követelmények 30 30
magyarázatk hacker - Wikipédia nymán - guru, varázsló prgramzó, aki prgram kód, vagy erőfrrásk módsításával próbál valami sérülékenységet kihasználni lehet lyan infrmatikai biztnsági szakértő, aki jól ismeri a számítógép, a számítógéphálózatk biztnsági lehetőségeit, és felhívja a figyelmet gyengeségeikre, vagy megpróbálja ezeket kihasználni cracker: a "feketekalaps", a rsszindulatú hacker - néha frdítva van a cracker a jó, hacker a rssz Dr. Szenes wireless veszélyek, követelmények 31 31
magyarázatk infrastruktúrális elem - amit sérülékenység szempntjából érdemes megkülönböztetni: - Az infrmatikai infrastruktúra kmpnensei. Maga a számítógép is infrastruktúrális elem, a rajta futó szftverrel, az adatbázis kezelő rendszerrel, a számítógépes kmmunikációt biztsító hálózati elemekkel, az infrmatikai szlgáltatás megfelelő minőségét, sértetlenségét és bizalmasságát biztsító védelmi elemekkel (azk részeivel - infrastruktűrális elemeivel) és persze az ezek segítségével működő, az üzleti flyamatkat szlgáló alkalmazói prgramrendszerekkel együtt. Dr. Szenes wireless veszélyek, követelmények 32 32