Gflimited. A Megállapodás és a feladat. - Belső elkülönített hálózat kialakítása és monitorozása üzemeltetése.



Hasonló dokumentumok
Weboldalak Biztonsági Kérdései

A NÉGY BŰVÖS HÁRMAS WWW FTP SQL PHP. BRKK::Békéscsaba Linux rendszergazda képzés 2008

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok

Technikai tudnivalók a Saxo Trader Letöltéséhez tűzfalon vagy proxy szerveren keresztül

Webapp (in)security. Gyakori hibákról és azok kivédéséről fejlesztőknek és üzemeltetőknek egyaránt. Veres-Szentkirályi András

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

Az Internet. avagy a hálózatok hálózata

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

Weboldalak biztonsága

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

Adatkezelési nyilatkozat

Titkosítás mesterfokon. Tíz évvel a titkosítás után. Előadó: Tóthi Dóra Kovárczi Béla András

Vezetéknélküli technológia

ADATVÉDELEM. Adatvédelem

IT hálózat biztonság. A WiFi hálózatok biztonsága

IT hálózat biztonság. A hálózati támadások célpontjai

A NÉGY BŰVÖS HÁRMAS WWW FTP SQL PHP. BRKK::Békéscsaba Linux rendszergazda képzés 2008

Teljes körű weboldal, API és DDoS védelmi szolgáltatás

ELEKTRONIKUS MUNKABÉRJEGYZÉK MODUL

Silent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András Marketingtorta - 4 1

Adatkezelési nyilatkozat, szabályzat

OE-NIK 2010/11 ősz OE-NIK ősz

ECDL Információ és kommunikáció

A számítási felhő világa

Felhőalkalmazások a. könyvvizsgálatban

Non-stop hozzáférés az üzleti információkhoz bárhol, bármikor és bármilyen eszközzel

(appended picture) hát azért, mert a rendszerek sosem

Adatbázisok biztonsága. Biztonságtervezési stratégiák Biztonságos kommunikáció. Statisztikai adatok védelme

Felhőszámítástechnika (Cloud Computing) helye és szerepe az on-line világ folyamataiban. Dr. Élő Gábor Széchenyi István Egyetem ITOK 2013

INFORMATIKAI PROJEKTELLENŐR 30 MB DOMBORA SÁNDOR ADATBÁZISOK ÉS STATISZTIKAI ADATOK VÉDELME MMK- Informatikai projektellenőr képzés

IP alapú távközlés. Virtuális magánhálózatok (VPN)

8. Hálózatbiztonsági alapok. CCNA Discovery 1 8. fejezet Hálózatbiztonsági alapok

Számítógépes munkakörnyezet II. Szoftver

TELJESÍTÉNYMÉRÉS FELHŐ ALAPÚ KÖRNYEZETBEN AZURE CLOUD ANALÍZIS

S, mint secure. Nagy Attila Gábor Wildom Kft.

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA


Fábián Zoltán Hálózatok elmélet

Biztonság a glite-ban

NGFW + IPS + anti-apt + BYOD = Sophos UTM 9.2

A JGrid rendszer biztonsági architektúrája. Magyaródi Márk Juhász Zoltán Veszprémi Egyetem

Tartalom. I. Rész A számítógép megosztása 5. Bevezetés 1. 1 n Saját profilt mindenkinek 7. Biztonsági programok 3 A könyvben használt jelek 4

Adott egy szervezet, és annak ügyfelei. Nevezzük a szervezetet bank -nak. Az ügyfelek az Interneten keresztül érzékeny információkat, utasításokat

Hogy miért akarnak lehallgatni minket az lehallgatónként változik.

Védené értékes adatait, de még nem tudja hogyan?

Gyakorlati vizsgatevékenység. Graf Iskola

A DOLLÁROS PIZZA TÖRTÉNETE, AVAGY MENNYIT ÉR A BITCOIN?

5.1 Környezet Hálózati topológia

VIZSGÁLATI BIZONYÍTVÁNY

1. A Windows Vista munkakörnyezete 1

20. Tétel 1.0 Internet felépítése, OSI modell, TCP/IP modell szintjenek bemutatása, protokollok Pozsonyi ; Szemenyei

Hálózati alapismeretek

Üdvözlöm Önöket a Konferencián!

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009

Szilipet programok telepítése Hálózatos (kliens/szerver) telepítés Windows 7 operációs rendszer alatt

HÁLÓZATBIZTONSÁG III. rész

Tudjuk-e védeni dokumentumainkat az e-irodában?

A számítógép-hálózat egy olyan speciális rendszer, amely a számítógépek egymás közötti kommunikációját biztosítja.

Budapest Főváros Kormányhivatala. Földmérési, Távérzékelési és Földhivatali Főosztály. Általános Szerződési Feltételek.

Személyes adatok védelmi alapelvei

E mail titkosítás az üzleti életben ma már követelmény! Ön szerint ki tudja elolvasni bizalmas leveleinket?

IT alapok 11. alkalom. Biztonság. Biztonság

SC Kérdés. SC Kérdés. SC Kérdés

Elektronikus Információs és Nyilvántartási Rendszer a Doktori Iskolák fiatal kutatói részére

Windows biztonsági problémák

Új Magyarország Fejlesztési Terv Tájékoztató A ZMNE-n bevezetett wifi szolgáltatásról KMOP-4.2.1/B

ALKALMAZÁSOK ISMERTETÉSE

Titkosítás NetWare környezetben

Az internet az egész világot behálózó számítógép-hálózat.

API tervezése mobil környezetbe. gyakorlat

1. Bevezető. 2. Sérülékenységek

TestLine - zsoltix83 hálozat 1 Minta feladatsor

Sapientia Egyetem, Matematika-Informatika Tanszék.

IRÁNY AZ Internet! Ismeretterjesztő előadás 3. Rész Előadó:Pintér Krisztina etanácsadó.

Baár-Madas Elektronikus Tanúsítvány

Webes alkalmazások fejlesztése 1. előadás. Webes alkalmazások és biztonságuk

FELHASZNÁLÓI KÉZIKÖNYV. WF-2322 Vezetéknélküli Hozzéférési Pont

Telepítés, újratelepítés több számítógépre, hálózatos telepítés Kulcs-Bér program

Bevezető. Az informatikai biztonság alapjai II.

A magánélet biztosítása Szabad Szoftverekkel. Varga Csaba Sándor.

Kriptográfiai alapfogalmak

MINŐSÍTÉS. az 1. számú mellékletben részletezett feltételrendszer teljesülése esetén

OCSP Stapling. Az SSL kapcsolatok sebességének növelése Apache, IIS és NginX szerverek esetén 1(10)

WebEC kliens számítógép telepítése és szükséges feltételek beállítása, az alábbi ellenőrző lista alapján történik.

MYSEC TALK SPECIAL SPAMMING BOTNET KLIENS A BONCASZTALON

Aurum-Protector Law IT csomag. Professzionális IT megoldások kifejezetten az ügyvédek igényei szerint összeállítva elérhető áron

Testnevelési Egyetem VPN beállítása és használata

Számítástechnikai kommunikációs lehetőségek a QB-Pharma rendszerrel. Előadó: Bagi Zoltán Quadro Byte Kft. ügyvezető

Tanúsítványkérelem készítése, tanúsítvány telepítése Microsoft Internet Information szerveren

Andrews Kft. A technológia megoldás szállító. <zambo.marcell@andrews.hu>

COOKIE (SÜTI) SZABÁLYZAT

Kezdő lépések Microsoft Outlook

SZOFTVEREK (programok)

Advanced PT activity: Fejlesztési feladatok

Kiterjedt hálózatok. 8. Hálózatok fajtái, topológiájuk. Az Internet kialakulása 1

Osztott alkalmazások fejlesztési technológiái Áttekintés

A számítástechnika gyakorlata WIN 2000 I. Szerver, ügyfél Protokoll NT domain, Peer to Peer Internet o WWW oftp opop3, SMTP. Webmail (levelező)

Adatbiztonság PPZH május 20.

COOKIE KEZELÉSI TÁJÉKOZTATÓ. A HTTP-cookie (köznyelvben csak cookie, vagy süti) egy olyan fájl, (egy adatsor)

Átírás:

Gflimited A Megállapodás és a feladat A feladat egy olyan szerverkörnyezet kiválasztása és üzemeltetése, ami nem köthető sem személyhez sem céghez. A szerverek és a kliensgépek titkosítása jelszavazása és egy olyan biztonságos munkakörnyezet kialakítása, ami megfelel a jelen kor követelményeinek. Feladat tehát: -server kiválasztása -belső levelezés kialakítása -Behatolás védelem web adatvédelem kialakítása -Kliens gépek titkosítása -Biztonsági protokolok kialakítása lokális adatlopás ellen. - Belső elkülönített hálózat kialakítása és monitorozása üzemeltetése. -Website biztonsági tesztelése javaslatétel az esetleges védelmi hiányosságok kijavítására -IBSZ elkészítése Ezen lokális rendszer üzemeltetését havi 100 ezer forintért vállaltam további költségek a havi 2500 forint internet használati díj amit havi rendszerességgel. A projekt április 20.-án kezdődött. Ezek a költségek a külső szakértők esetleges bevonását nem fedezik.

Szerver választás A szerver választásnál fontos tényező volt az Eu-n kívüli helyszín mivel ez volt a megrendelő kifejezett kérése. A választás ezért egy olyan szerverszolgáltatóra esett akik cloud technológiát alkalmaznak. Az adatokat (e-mailek, címjegyzékek, naptárbejegyzések, és kedvenc linkek) internetes szerveren való tárolásának egyik legnagyobb előnye, hogy bárhonnan könnyen elérhetők, és akkor sem vesznek el, ha a saját számítógépünk tönkremegy. Ez egyben a cloud computing hátránya is: mivel nem tudjuk pontosan hol tárolják a fájlt nem lehetünk biztosak afelől, hogy mindig épségben fog maradni, vagy hogy illetéktelenek nem férnek hozzá. Ezeknek a problémáknak a megoldására természetesen léteznek biztonságos technológiák, a kérdés inkább arról szól, hogy mi magunk mennyire bízunk meg egy szolgáltatóban. Az alapján, hogy az egyes informatikai rétegek (felhasználói rendszerek és felhasználók; alkalmazások; adattárolás; felső rétegeket kiszolgáló infrastrukturális szolgáltatások; hardver) hová

kerülnek fizikai értelemben, melyik server kezeli őket, mennyire változtathatók, többféle számítási felhőről beszélhetünk. Előnye: A serveren tárolt adatok fizikális értelemben nem lokalizálható és nem egy szerveren tároltak a felhő több szerverből áll ami a világ több részén tárolódik. A site kiléte nehezen lokalizálható. Könnyen átmozgatható a világ bármely tájára akár 15 percen belül. Hátránya: Mivel több site is használja a felhőt egy azon ip cím alatt, ezért ha a többi site-ot támadás éri akkor a mi serverünk is átmeneti üzemzavart szenvedhet. Megoldás: Több szerverre támaszkodva és kellő szinkronizációval elkerülhető, ha megfelelő szinkronban vannak egy esetleges támadás során kiiktatják ez egyik szervert és a másik működésbe lép. Ez csak a károkozó támadások ellen nyújt védelmet a célzott adatlopó technikák ellen más módszerekkel kell védekezni. Ilyen pl az SSL SSL: Az SSL (Secure Socket Layer) egy protokoll réteg, amely a szállítási rétegbeli protokoll (pl. TCP/IP) és valamely alkalmazási rétegbeli protokoll (pl. HTTP) között helyezkedik el, az OSI terminológia szerinti viszony- és megjelenítési réteg feladatait látva el. Webböngészésnél például az SSL biztosítja a biztonságos kommunikációt a kliens (böngésző) és a szerver (webszerver) között. Autentikációhoz digitálisan aláírt tanusítványokat használ, a kommunikáció titkosítva zajlik (az SSL handshake során közösen megegyeznek egy kulcsban, ebből generálják azután az egy session erejéig használatos session keyt, és ezt használják valamely szimmetrikus titkosító algoritmussal, pl. DES, AES, stb). E szerver (HUP) is támogatja az SSL-en keresztüli böngészést. Az SSL fontos tényező a web titkosításban és megnehezíti az egyszerű adatlopási kísérleteket. Támadási Formák A ezek a legelterjedtebb támadási formák az oldal ezeknek a technikáknak a nagy részének nem képes ellenállni. SQL Injection XSS - Cross Site Scripting (Perzisztens és nem perzisztens) CSRF - Cross-Site Request Forgeries Smuggling (SQL Smuggling, XSS Smuggling, stb.) HTTP header injection

SQL Column Truncation (MySql max_packet_size 1M) LFI és RFI (Locale és Remote File Include ) DoS, DDoS (Denial of Service, Distributed Denial of Service) ebbe már belefutottunk amúgy egy roppant egyszerű de hatásos metódus Brute Force (viharszerű támadások) Social Engineering/Aranymosás Megoldás: További tesztelés szükséges egy átmeneti tárhellyel hogy a szükséges védelmi hibák kijavításra kerüljenek. Amit az Ervin javasolt a lokális server véleményem szerint több okból sem biztonságos mivel alkalom adtán a magyar szerverparkokban sokkal könnyebben megjelennek busónak öltözött úriemberek mivel a gép egy fizikai helyhez van kötve Belső Levelezés A belső levelezés kialakításra került, amivel, nagyobb biztonsággal tudunk egymás között levelezni mivel ez is a felhő részét képezi így szerves része a site-nak. A levelezőrendszerünk képes titkosított levelezésre az adott bealításokkal. Előnye: Belső levelezés nem megfigyelhető Hátránya: Hozzá kell szokni.

Kliens gépek védelme. Kliens gépek gépek vagy lokális gépek védelme talán az egyik legfontosabb része a tevékenységünknek. A lokális gépek tikosítása és biztonságossá tétele több layer-en keresztülműködik. Lokális biztonság: A Lokális biztonságra bár az emberek 90 %- a azt hiszi elég a 4 karakteres jelszó nagyot tévednek. A mai technikákkal ez a kb 15 perces munkát jelent bármilyen középszintű informatikus számára. A Windows jelszavak, mint olyanok hamis biztonságot nyújtanak, de semmi többet. Több metódus is létezik ennek a problémának a megoldására. File Vault: Ez egy széf, amely a merevlemezen egy tikosított részt képez, amely különálló rekeszként működik. Ez nem rossz technika, de vannak ennél jóval kifinomultabb technikák is amelyek a Komoly szakemberek számára is fejtörést okoznak. Javaslatom a következő: Az elfogadható tagadás (plausible deniability) a esetében egy olyan két részből álló, szteganográfiára jellemző védelem, ami a jelszó ismeretének esetén is meggátolhatja a titkosított adatok illetéktelen fél általi felfedését. A program segítségével készíthető rejtett kötet. A már létező titkosított köteten belül létrehozható még egy kötet, amit egy másik jelszóval vagy kulcsfájllal nyithatunk meg. A kötet lényege, hogy teljes mértékben felfedhetetlen. Még ha a külső titkosított kötet meg is van nyitva, a belső rejtett kötet létét semmilyen formában nem lehet bizonyítani. Rejtett kötet készítésénél ajánlott, ha a külső kötet FAT fájlrendszerű, mert NTFS esetében kétszer több helyre van szükségünk (az NTFS a meghajtó közepén tárol a lemezzel kapcsolatos fontos adatokat). Viszont csak NTFS rendszeren tudunk 4GB-nál nagyobb fájlokat létrehozni a fájlrendszert az adott kötet létrehozásánál lehet meghatározni. A titkosított kötetek azonosíthatatlanok. Amennyiben védett adatainkat egy tároló fájlban raktározzuk el, erről a fájlról nem lehet megmondani, hogy valóban tároló fájl. A jelszó ismerete vagy a kulcsfájl használata nélkül a tároló fájlról semmilyen módszerrel nem lehet eldönteni, hogy tényleg tároló fájl-e, ami védve van vagy pedig valóban nem tároló fájl. Bocsi de ezt nem tudom egyszerűbben leírni. Metódus 2

Windows operációs rendszert tartalmazó partíció illetve meghajtó teljes titkosítására. Ennek értelmében rendszerindítás előtt meg kell adni a szükséges jelszót, ahhoz hogy az betöltsön, illetve írni vagy olvasni lehessen a merevlemezre. Ez a jogosultság ellenőrzés nem csak az operációs rendszert, hanem az egész tárterületet védi. A legbiztonságosabb metódus mikor a gépen van egy csali op rendszer semmilyen adatot nem tartalmaz csupán egy félrevezetés ezt a technikát a hírszerzés a mai napig használja. Míg a valódi adat egy másik jelszóval elérhető, így még ha az alanyt kényszerítik is a jelszó átadására akkor sem kell aggódnia az adatok biztonságáért. Az Merevlemez képe az álcázás után. Biztonságos böngészés a neten avagy itt az ip hol az ip Mi az ip??? Az internetet használó számítógépek minden tranzakció során (például egy weboldal megjelenítésekor) megadják IP-címüket, ami révén elvileg be lehet azonosítani az adott gép helyét és tulajdonosát, illetve egy adott géppel végzett tevékenységekről sok információt lehet gyűjteni. A gyakorlatban a számítógépek jelentős része az internetszolgáltatójától rendszeresen új IP-címet kap, így azonosítása csak a szolgáltató együttműködésével lehetséges, aki csak rendőri megkeresésre és más jól meghatározott esetekben adhatja ki az információkat. Mivel kifejezett kérés volt hogy a gépek ne használjanak hazai ip-ket a regisztráció érdekében ezért több módszert is javasoltam. Ilyen Pl az Ip changer ami folyamatosan ugráltatja az ip-t. Cserébe nagyon lassítja a rendszert.

A Proxy A proxy egy tűzfalszerver jobbára, ami továbbítja esetünkben a kéréseket így az ip címünket is el tudjuk rejteni, de nem teljes biztonsággal. proxynak, helyesebben proxy szervernek (angol helyettes, megbízott, közvetítő ) nevezzük az olyan szervert (számítógép vagy szerveralkalmazás), ami a kliensek kéréseit köztes elemként más szerverekhez továbbítja. A kliens csatlakozik a proxyhoz, valamilyen szolgáltatást (fájlt, csatlakozást, weboldalt vagy más erőforrást) igényel, ami egy másik szerveren található. A proxy szerver a kliens nevében eljárva csatlakozik a megadott szerverhez, és igényli az erőforrást a számára. Torrent jellegű kommunikáció (biztonságos és gyors) 3. megoldás belső hálózat használata, Amely egy belső hálózaton, mint pl torrent kliens futtatja végig az a böngésző álltal küldött fogadott információt. Fejlesztését eredetileg az Amerikai Tengerészgyalogság kezdeményezte, majd az Electronic Frontier Foundation vette kézbe. Az alapelv A felhasználó (kezdeményező) egy klienst futtat a gépén, amely csatlakozik a hálózathoz. Időnként megújítja az egész kimenő útvonalat (circuit). A hálózatban résztvevő tagok opcionálisan konfigurálhatják a kliensüket úgynevezett node-nak. A node engedélyezi, hogy rajta keresztül csomagok fussanak, de nem engedélyezi a hálózatból való kilépést a hagyományos internetre. A hálózat minden tagja titkosítva kommunikál egymással 128 bites szimmetrikus kulcsolású kódokat használva, melyeket egy aszimmetrikus kulcsolású ún. handshake (kézfogás) után hoztak létre.

A kezdeményező minden csomagra először rátesz egy véletlenszerű mester-kulcsot (egy kódot, melyet csak ő és végül a exit gép ismer) majd mind a mesterkulccsal titkosított csomag és a mesterkulcs három részre tagolódik és minden csomagrészlet kap külön-külön egy-egy első szintű kulcsot. Az első-szintű kulcs az a kulcs amelyet az első szintű node-okkal (a közvetlen kapcsolatokkal) hoztunk létre a handshake után. Ez valahogy így néz ki. Végeredményképpen a hálózat Ezzel megpróbálta felhívni a figyelmet, hogy a nem titkosításra, hanem anonimizálásra szolgál, tehát nem az átküldött adatot védi, hanem a névtelenséget. A csak egy dolgot garantál : a szerver nem fogja ismerni a kliens valódi IP címét. Ez a megoldás is mind sok más sajnos lassítja a kapcsolatot. Megjegyzés: Mivel egyikőtök sem nagyon használja a klienseket így sajnos a regisztrációk 75% a Bláthy Ottó utcából és a saját internetszolgáltatótoktól jön ezeket a bejegyzéseket a serveretek naplózza. Így könnyen kideríthető hogy minden regisztrációt ti kézzel csináltok.

Összegzés Jelen pillanatban a rendszer Lokálisan igen sebezhető a helyi gépek jelszavai gyengék és a file lockert senki sem használja. A hálózatomon rendre megjenek gépek megosztott dokumentumokkal ezért játszi könnyedséggel el lophatják az adataitokat a házban dolgozók akik rácsatlakoznak a wifimre. A megosztásokat rendbe kéne rakni a gépen. Jelen pillanatban a biztonsági skálátok az 1-10 es skálán 2 re taksálom a hálózaton nagyon védtelenek vagytok és a website-ra is ráfér egy kis biztonsági tesztelés Ennek a rendszernek az üzemeltetése és a monitorozása is fontos tényező. A site-on történő mozgás nem pusztán jó indulatú és csak magyarországról érdeklődnek utána tréfás kedvű hackerek. Ez a grafikon jelöli a Gflimited oldal látogatóit országokra lebontva. Nem mind jószándékú.

A szerver tűzfala az elmult hónapban némi módosítással együtt több bot támadást vészelt át nagyját hiba nélkül. Robots/Spiders visitors (Top 25) - Full list - Last visit Az oldal és a hálózat biztonságossá tétele és üzemeltetése véleményem szerint még koránt sem ért véget rengeteg megoldatlan feladat áll még a gfl előtt.

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés