2015.09.11. ELTE IT BIztonság Speci. IT biztonság 2015/2016 tanév

Hasonló dokumentumok
INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Bevezetés. Adatvédelmi célok

Megbízhatóság az informatikai rendszerekben

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Az ISO es tanúsításunk tapasztalatai

Nem attól secure, hogy drága! A vállalati Wi-Fi biztonságos bevezetése

Bevezetés az Informatikai biztonsághoz

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Mobil eszközökön tárolt adatok biztonsága

GDPR az EU Általános Adatvédelmi Rendelete - minden vállalkozás életét érintő jogszabály -

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

Sérülékenység kezelés. Komli József project manager PTA CERT-Hungary Központ

Információbiztonság fejlesztése önértékeléssel

Operációs rendszerek. A védelem célja. A fenyegetés forrásai. Védelmi tartományok. Belső biztonság. Tartalom

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Andrews Kft. A technológia megoldás szállító. <zambo.marcell@andrews.hu>

Webalkalmazás-biztonság. Hitelesítés, jelszókezelés, hozzáféréskontroll

Alkalmazások biztonsága

IT biztonsági törvény hatása

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

(appended picture) hát azért, mert a rendszerek sosem

Az információbiztonság egy lehetséges taxonómiája

Mesterséges Intelligencia (Hasonlóságelemzés) alkalmazása az információvédelem területén. Csizmadia Attila CISA

Információbiztonság. Tóth Balázs, CISSP Információbiztonsági tanácsadó

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő

Titkok. Oracle adatbázisok proaktív es reaktív védelmi eszközei. Mosolygó Ferenc, vezetı technológiai tanácsadó. <Insert Picture Here>

Informatikai Biztonsági szabályzata

Technológia az adatszivárgás ellen

A hibrid DB cloud biztonsági eszköztára. Kóródi Ferenc Budapest,

Muha Lajos: Informatikai biztonság

Információbiztonság irányítása

Az IBM megközelítése a végpont védelemhez

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

Felhasználók hitelesítése adatbiztonság szállításkor. Felhasználóknak szeparálása

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 5. óra. Kocsis Gergely, Supák Zoltán

Vezetéknélküli technológia

Oracle adatbázis biztonság a gyakorlatban és 12c újdonságok

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

A DOLLÁROS PIZZA TÖRTÉNETE, AVAGY MENNYIT ÉR A BITCOIN?

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

INFORMATIKAI BIZTONSÁG ALAPJAI

Budapesti Műszaki és Gazdaságtudományi Egyetem Gazdaság- és Társadalomtudományi Kar Információ- és Tudásmenedzsment Tanszék

A JGrid rendszer biztonsági architektúrája. Magyaródi Márk Juhász Zoltán Veszprémi Egyetem

IT hálózat biztonság. A WiFi hálózatok biztonsága

Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?)

hardver-szoftver integrált rendszer, amely Xwindow alapú terminálokat szervez egy hálózatba

5.1 Környezet Hálózati topológia

3/2010. sz. Gazdasági Főigazgatói Utasítás a PTE rendszereihez az egyetem külső partnerei részére adott távoli hozzáférések szabályozásáról

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

Dr. Horváth Zsolt Dr. Tóth Zoltán, 2011

Izsó Krisztián Péti Zoltán. Cisco Identity Services Engine

AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI. Hungarian Cyber Security Package

Oracle Audit Vault and Database Firewall. Gecseg Gyula Oracle DBA

Tudjuk-e védeni dokumentumainkat az e-irodában?

Utolsó módosítás:

Adatbázis kezelő szoftverek biztonsága. Vasi Sándor G-3S

IT-Shield Mss. Biztonság a javából. Kezelt biztonsági szolgáltatások üzletéhez igazítva!

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

IT üzemeltetés és IT biztonság a Takarékbankban

A Bankok Bázel II megfelelésének informatikai validációja

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok

eduroam konfiguráció workshop Mohácsi János NIIF Intézet

1 IdMatrix Identity Governance Válaszok a GDPR kihívásaira

Üzleti architektúra menedzsment, a digitális integrált irányítási rendszer

30 MB INFORMATIKAI PROJEKTELLENŐR

Syllabus 1.0 Ez a dokumentum részletesen ismerteti az ECDL IT-biztonság modult és megfelelő alapokat ad az elméleti és gyakorlati vizsgához is.

Fábián Zoltán Hálózatok elmélet

OE-NIK 2010/11 ősz OE-NIK ősz

Cloud Security. Homo mensura november Sallai Gyorgy

KÜRT Zrt. Logelemzés heti riport Felhasználói fiók, illetve felhasználói csoportkezelési műveletek

G Data MasterAdmin 9 0 _ 09 _ _ # r_ e p a P ch e T 1

2013 L. - tapasztalatok Antidotum 2015

Jogában áll belépni?!

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

IT ADVISORY. Biztonság a felhőben. Gaidosch Tamás CISA, CISM, CISSP január 20.

Copyright 2012, Oracle and/or its affiliates. All rights reserved.

Hálózati ismeretek. Az együttműködés szükségessége:

Áttekintés. Magyar Telekom gyakorlat. Hári Krisztián - ITB vezető - Magyar Telekom

Symfony kurzus 2014/2015 I. félév. Security: authentication, authorization, user provider, role-ok, access control, FOS user bundle


A Nemzeti Elektronikus Információbiztonsági Hatóság

A TÁRKI Társadalomkutatási Intézet Zrt. Adatvédelmi és Adatbiztonsági Szabályzata

GLOBÁLIS KIHÍVÁS, REGIONÁLIS VÁLASZOK

Átfogó EBK Oktatás. 1. Az adatkezelők jogos érdeke:

Jogosultságkezelés felhasználói leírás

Biztonságos mobilalkalmazás-fejlesztés a gyakorlatban. A CryptTalk fejlesztése során alkalmazott módszerek. Dr. Barabás Péter Arenim Technologies

Biztonság, védelem a számítástechnikában

Küls eszközök. Dokumentum cikkszáma: Ez az útmutató a külön beszerezhető külső eszközök használatát ismerteti

NGFW + IPS + anti-apt + BYOD = Sophos UTM 9.2

Felhasználók azonosítása Höltzl Péter

Átírás:

IT biztonság 2015/2016 tanév

Bemutatkozás

A kurzus célja Ismertetjük a vállalati IT biztonsági rendszerek feladatait, elemeit, felépítését. A téma tárgyalása során kiemelten kezeljük a módszertani, irányítási szempontokat. Bemutatjuk a biztonsági rendszerelemek működési elvét, valamint az egyes védelmi intézkedések bevezetésének és üzemeltetésének lépéseit. Nem hacker tanfolyam!!! Heti 90 percben lehetetlen A cél egy szemléletmód átadása Informatikusként tudni kell, hogy milyen eszközei, lehetőségei vannak a sötét oldalnak Programozóként meg aztán pláne! Programozók írják a programokat (amiket aztán a hackerek támadnak.)

Agenda Információbiztonság alapjai Sérülékenységelemzés és kezelés Fizikai biztonság Vírusvédelem Határvédelmi technológiák Behatolás védelem Hozzáférés-ellenőrzés és digitális aláírás Biztonsági kockázatok elemzése Szabályozások, módszertanok Naplófeldolgozás és elemzés Incidens menedzsment Szervezetek és biztonság-tudatosság

Előfeltételek Alapvetően nincs, de előnyt jelent Valamilyen programozási nyelv közép szintű ismerete Felhasználói szintű linux ismeret Hálózati alapismeret A tárgy sikeres elvégzése SOK-SOK MUNKA

Számonkérés A félév végén egy vizsgateszt (feleletválasztós, 4 lehetőséből mindig egy a helyes) A teszt 40 kérdést tartalmaz, 60 perc áll rendelkezésre

A tárgy honlapja Az előadások anyaga és egyéb információk megtalálhatók a http://compalg.inf.elte.hu/~attila/teaching.html lapon. Kérem a folyamatos visszajelzéseket!

Miért kell vele foglalkozni? A szervezetek informatika nélkül működésképtelenek Az informatikai függőség egyre nagyobb Az informatikai rendszerek fenyegetettsége kritikus A szervezeti adatok mindig informatikai adatok Létszükséglet a szolgáltatások folytonossága és az adatok bizalmas kezelése

Információbiztonság Information security deals with several different "trust" aspects of information. Another common term is information assurance. Information security is not confined to computer systems, nor to information in an electronic or machinereadable form. It applies to all aspects of safeguarding or protecting information or data, in whatever form. www.wordiq.com

Adat vs. információ I N F O R M Á C I Ó Mindig az információt védjük!!!

Információbiztonság vs. informatikai Információbiztonság Informatikai biztonság biztonság Személyi biztonság Hagyományos és elektronikus kommunikáció biztonsága Fizikai biztonság Hagyományos módon és elektronikusan tárolt adatok biztonsága

Informatikai biztonság Az informatikai biztonság a védelmi rendszer olyan, a védő számára kielégítő mértékű állapota, amely az informatikai rendszerben kezelt adatok bizalmassága, hitelessége, sértetlensége és rendelkezésre állása, illetve a rendszerelemek rendelkezésre állása és funkcionalitása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos.

Információ/adatbiztonság Amit meg kell őrizni: Bizalmasság (titkosság) Sértetlenség (változtatás nem történt, hiteles az adat, információ valódisága, letagadhatatlan, elszámoltatható) Folyamatos rendelkezésre állás (megbízhatóság, megbízható működés) Funkcionalitás (szolgáltatás minősége) Az első hármat CIA-elvnek is nevezik (Confidentiality, Integrity, Availability)

Az információ/adat esetében a bizalmasság azt jelenti, hogy azokhoz csak az arra jogosultak és csak az előírt módokon férhetnek hozzá. Bizalmasság

Sértetlenség Az információt/adatot csak az arra jogosultak, szabályozott módon változtathatják meg.

Rendelkezésre állás Az a tényleges állapot, amikor egy informatikai rendszer szolgáltatásai állandóan, illetve egy meghatározott időben rendelkezésre állnak, és a rendszer működőképessége sem átmenetileg, sem tartósan nincs akadályozva.

Biztonság és kockázat Nincs teljes biztonság, csak minimális kockázat. A biztonság tudatos kockázatvállalás

Néhány alapfogalom Fenyegetés Threat Sérülékenység Vulnerability Kockázat Risk Védelmi intézkedés Countermeasure Védelem Safeguard Vagyontárgy Asset Kitettség Exposure

McGraw-Hill: CISSP All-in-One Exam Guide 3rd Edition (Osborne Media)

Biztonsági modell McGraw-Hill: CISSP All-in-One Exam Guide 3rd Edition (Osborne Media)

Biztonsági alapelvek Ismerd meg magad és az ellenséged A biztonság kompromisszumok kérdése Mindent nem védhetünk 100%-os biztonsággal A védelem legyen egyenszilárdságú A védelem ne kerüljön többe, mint a védendő érték A biztonság nem egy állapot, hanem egy folyamat Mindig az egyszerű megoldást válasszuk Legyen a védelem több szintű

Információbiztonság, mint folyamat 1. Információvagyon felmérése, értékelése 2. Fenyegetések számba vétele 3. Kockázatok meghatározása 4. Kockázatok kezelése 5. Védelmi intézkedések foganatosítása 6. Védelmi intézkedések nyomon követése 7. GOTO 1

Védelmi intézkedések Elvárások: Teljes körű ( a rendszer összes elemére) Zárt (minden fenyegetés) Folytonos (megszakítás nélkül) PreDeCo-elv Preventív intézkedések Pl.: biztonsági frissítések telepítése Detektív intézkedések Pl.: IDS rendszerek Korrektív intézkedések Pl.: backup/visszaállás

Védelmi kontrollok Adminisztratív kontrollok Policy-k, eljárások, oktatás Fizikai kontrollok Backup-ok, kábelezés, kontroll zónák Technikai/Logikai kontrollok Hálózati architektúra, tűzfalak, titkosítás, audit

Adminisztratív védelem Törvények Szabványok, műszaki normák Ágazati végrehajtási utasítások Helyi szabályzatok Informatikai Szabályzat Dokumentumkezelési Szabályzat Katasztrófa-elhárítási terv

Fizikai védelem Vagyonvédelmi megoldások (videó, beléptető, behatolás-jelző ) Tűzvédelem (tűzjelző és oltórendszer ) Üzemeltetés védelem (szünetmentes megoldások, redundancia )

Technikai/Logikai védelem Informatikai betörésvédelmi megoldások Mentési rendszerek, archiválás Vírusvédelem Jogosultságkezelés Titkosítás, kriptográfia Tűzfal

Biztonsági program (ISO 17799 alapján) Szervezeti információbiztonsági politika Biztonsági infrastruktúra kialakítása Vagyonleltár és kontroll Személyi biztonság ( biztonsági őr ) Fizikai biztonság Kommunikációs és operatív menedzsment Hozzáférés-ellenőrzés Rendszerfejlesztés és karbantartás Üzletmenet folytonossági tervek A hatékony és biztonságos működéshez szükséges követelményeknek való megfelelés

Az informatikai biztonsági környezet A fenyegetettség állapota: ha az informatikai biztonsági környezet valamely eleme olyan állapotban van, hogy fennáll a bizalmasság, a sértetlenség, vagy a rendelkezésre állás sérülése, akkor az adott elem a fenyegetettség állapotába került ez az állapot éppen ellentétes a biztonságéval a fenyegetettség állapotában az informatikai biztonsági rendszer elemét illetve a sikeres támadáshoz szükséges titkot, kulcsot, stb. felfedhetik, módosíthatják, vagy megsemmisíthetik

Honnan származnak a fenyegetések? Belső támadók Hitelesített felhasználók, akik olyan adatokhoz vagy erőforrásokhoz akarnak hozzáférni, ami sérti a legkevesebb jogosultság elvet. Lehet szándékos vagy vétlen támadás. Külső támadók: Nem hitelesített felhasználók, akik a hitelesítési eljárások megkerülésével férnek hozzá az adatokhoz. Hackerek, crackerek A legveszélyesebbek a belső támadók.

Honnan származnak a fenyegetések? (Cybercrime) Source: Based on data from Computer Security Institute, 2009.

Mekkora a veszteség? Forrás: CSI/FBI 2007 Computer Crimeand Security Survey

Fenyegetések A fenyegetések kihasználásával egy támadó hozzáférést szerezhet a rendszerhez, alkalmazásokat futtathat, információt olvashat, hozhat létre, adhat hozzá és törölhet. Néhány példa lehetséges fenyegetésekre: Adat remanencia (data remanence): Akkor következik be, ha egy mágneses adattárolót felülírtak vagy töröltek, de továbbra is kinyerhető belőle információ. http://en.wikipedia.org/wiki/data_remanence Átejtés (spoofing): Akkor következik be, amikor egy személy vagy egy alkalmazás másnak adja ki magát az adatok meghamisításával, így szerezve jogosulatlan hozzáférését. Pl. az IP spoofing során a támadó hamisított IP címmel megbízható hosztnak adja ki magát. http://en.wikipedia.org/wiki/spoofing_attack

Fenyegetések Beágyazás (tunneling): Egy biztonsági rendszer megkerülése alacsonyszintű rendszerfunkciók elérésével. Pl. HTTP tunelling, melynek célja legális forgalomba ágyazott nem legális tartalommal kikerülni a tűzfalat. http://en.wikipedia.org/wiki/tunneling_protocol Célzott adatbányászat (targeted data mining): Adatbázisok áttekintése meghatározott információkért, melyek érzékeny adatokat szolgáltathatnak a rendszerről. http://en.wikipedia.org/wiki/data_mining Fizikai hozzáférés (physical access): Fizikai hozzáférés egy hálózathoz, berendezéshez vagy támogató rendszerhez. Hátsókapu (backdoor): Olyan szoftverbe vagy hardverbe épített eljárás, melynek segítségével ki lehet kerülni az adott entitás hitelesítési eljárásait. http://en.wikipedia.org/wiki/backdoor

Fenyegetések Jelszótörés (password cracking): olyan eljárás, melynek segítségével a hitelesítést szolgáló jelszavak visszaállíthatók, pl. gyenge lenyomatból vagy brute force módszerrel. http://en.wikipedia.org/wiki/password_cracking Kártékony kód (malicious code): Olyan kód, mely végrehajtása közben megsérti a biztonsági szabályzatot, és a felhasználó tudta nélkül károkat okoz. http://en.wikipedia.org/wiki/malware Kémkedés (spying): Hagyományos eszközökkel (pl. mikrofon, kamera) elkövetett jogosulatlan információszerzés. http://en.wikipedia.org/wiki/spying Kifigyelés (shoulder surfing): Érzékeny adatok direkt leolvasása a képernyőről. http://en.wikipedia.org/wiki/shoulder_surfing

Fenyegetések Kisugárzás (emanation): A hardvereszközökből származó elektromágneses sugárzásból visszaállított információk megszerzése. http://en.wikipedia.org/wiki/tempest Közbeékelődéses támadás (man-in-the-middle attack): olyan támadás, ahol a támadó a két fél közé, számukra láthatatlanul kapcsolódva mindegyik fél felé a másik partnerének adja ki magát. http://en.wikipedia.org/wiki/manin-the-middle Kukabúvárkodás (dumpster diving): A támadás célja leselejtezett (vö. kidobott) iratokból érzékeny információk visszaállítása. http://en.wikipedia.org/wiki/dumpster_diving Lehallgatás (eavesdropping): a hálózat adatforgalmának monitorozása abból a célból, hogy érzékeny adatok birtokába jusson a megfigyelő. http://en.wikipedia.org/wiki/eavesdropping

Fenyegetések Megszemélyesítés (impersonation): a támadás során a támadó egy hitelesített személynek adja ki magát, így szerez nem hitelesített hozzáférést, pl. lopott jelszóval. http://en.wikipedia.org/wiki/impersonation Mobil kód (mobile code): Olyan szoftver, ami a hálózaton keresztül érkezik, és a helyi gépen hajtódik végre, általában a felhasználó engedélyével, de károkat okozhat a tudta nélkül. Pl. rosszindulatú ActiveX vezérlők. http://en.wikipedia.org/wiki/mobile_code Objektum újrafelhasználás (object reuse): Az a lehetőség, hogy egy érzékeny adat rendelkezésre áll egy nem hitelesített felhasználónak, pl. egy érzékeny adat megmarad a swap memóriában, amit a gép egy másik felhasználója is láthat.

Fenyegetések Buffer túlcsordulás (buffer overflow): Talán a leggyakoribb támadás. Egy alkalmazás több adatot ír a memóriaterületére, mint amennyit lehetne, így felülír esetlegesen más alkalmazáshoz tartozó érzékeny memóriaterületet. A felülírás pl. tartalmazhat kártékony kódot vagy kikerülhet hitelesítési eljárást. http://en.wikipedia.org/wiki/buffer_overflow Rejtett csatorna (covert channel): Olyan kommunikációs csatorna, melyen a legális csatornák kapacitását használva nem engedélyezett adatforgalom halad keresztül. Az időzített csatornán az adás előfordulása, a tárolási csatornán a memória adott területének írása/törlése szolgáltat információt. http://en.wikipedia.org/wiki/covert_channel

Fenyegetések Személyes ráhatás (social engineering): olyan gépfüggetlen eljárás, melynek lényege az, hogy a támadó a rendszerrel dolgozó emberektől megszerzett adatok segítségével tör be a rendszerbe. http://en.wikipedia.org/wiki/social_engineering Szimatolás (sniffing): Információszerzés a hálózati csomagok elfogásának segítségével. A lehallgatással szemben (ami általános hálózati forgalomra vonatkozik) a szimatolás kimondottan csomagkapcsolt hálózatokra értelmezhető. http://en.wikipedia.org/wiki/packet_sniffer Visszajátszás (replay): A hitelesítési eljárás kijátszása egy hálózati csomag elfogásával és későbbi visszaküldésével. http://en.wikipedia.org/wiki/replay_attack

Hozzáférés-ellenőrzés A hozzáférés-ellenőrzés olyan biztonsági mechanizmusok gyűjteménye, amely meghatározza, hogy a felhasználók mit tehetnek a rendszerben, azaz milyen erőforrásokhoz férhetnek hozzá, és milyen műveleteket hajthatnak végre. Azok a védelmi intézkedések tartoznak ide, melyek szabályozzák, hogy egy felhasználó milyen felhatalmazással férhet a rendszerhez, milyen alkalmazásokat futtathat, mit olvashat, hozhat létre, adhat hozzá és törölhet egy információból. Három lépésből áll: azonosítás (identification), hitelesítés (authentication), Engedélyezés (authorization) A hozzáférés-ellenőrzés része az elszámoltathatóság.

Azonosítás, hitelesítés, engedélyezés Ki vagy? Én vagyok! Azonosítás Nem hiszem! Hitelesítés Engedélyezés Bebizonyítom! Oké, jöhetsz! McGraw-Hill: CISSP All-in-One Exam Guide 3rd Edition (Osborne Media)

A fő elvek Feladatok szétválasztása (Separation of Duties) Célja, hogy egy folyamat lépéseit különböző személyek végezzék el. Ehhez a folyamatot meg kell tervezni. Megakadályozza, hogy egy személy a teljes folyamatot ellenőrizze és manipulálja. Például egy könyvelési osztályon nem fogadhatja be ugyanaz a személy a számlákat, és nem kezdeményezheti ezek kifizetését.

A fő elvek Legkevesebb jogosultság (Least Privilege) Az elv betartásával a rendszer a felhasználók és az alkalmazások erőforrásokhoz való hozzáférését csak a legszükségesebbekre korlátozza. Ehhez meg kell határozni a felhasználók munkájához szükséges jogosultságok minimális halmazát. A felhasználók ehhez a halmazhoz kapnak csak hozzáférést, se többhöz, se kevesebbhez. Példa a Windows Vista User Account Control (UAC) megoldása.

Hitelesítés Tudás alapú Something you know Tulajdon alapú Something you have Tulajdonság alapú Something you are A jó hitelesítés során a háromból legalább kettőt, egymástól függetlenül kell használni! Ez az erős autentikáció vagy többlépcsős hitelesítés.

Tudás alapú: Jelszavak Jelszó politika (pl. korlátozott élettartam) Jelszó menedzsment (ne legyen szótári alakú, kisnagy+szám+speckar, min8kar, ) Jelszó hashelés Jelmondatok Lehetséges támadások: Brute-force vagy szótár alapú támadás, lehallgatás, social engineering

Tulajdonság alapú: Biometria (Ujjlenyomat, Retina, Írisz, Hang, Tenyér, Aláírás, Arc) Type 1 Error (hibás visszautasítási ráta) Type 2 Error (hibás elfogadási ráta) McGraw-Hill: CISSP All-in-One Exam Guide 3rd Edition (Osborne Media)

Tulajdon alapú: One Time Password One Time Password = Dynamic password Szinkron tokenek Számlálón alapuló token Időn alapuló token Aszinkron tokenek McGraw-Hill: CISSP All-in-One Exam Guide 3rd Edition (Osborne Media)

Azonosítás Alapértelmezés: elutasítás (deny/no access) Hitelesítés Azonosítás, hitelesítés - módszerek - Centralizált RADIUS (A kliens fogadja a felhasználói kéréseket, amit egy titkosított csatornán továbbít a szervernek. A szerver hitelesíti a felhasználót - pl. egy LDAP szerveren (http://padre.web.elte.hu/ldap.html) keresztül -, és visszaküldi a felhasználóra vonatkozó konfigurációs információkat. UDP alapú) TACACS+ (Terminal Access Controller Access-Control System, TCP alapú, 49-es porton)) Single-sign-on, (SSO) ha egy felhasználó több rendszerhez szeretne hozzáférni - Decentralizált Kerberos (pl. Microsoft Active Directory, 88-as porton, nem szabványos)

Kerberos séma AS = Hitelesítési Szerver SS = szolgáltatás Szerver TGS = Jegy Kiadó Szerver TGT = Jegy Kiadó Jegy

Hozzáférés ellenőrzési modellek Discretionary Access Control (DAC) Az objektum tulajdonosa mondja meg ki/mit tehet meg vele Linux filesystem jogosultság Windows ACL-ek Mandatory Access Control (MAC) Az AC mechanizmus felülbírálhatja a tulajdonos döntését security labels / sensitivity labels SELinux

Olvasinvalók Shon Harris All In One CISSP Exam Guide 4 th ed. Harold F. Tipton, Kevin Henry Official (ISC)2 Guide to the CISSP CBK http://biztostu.hu http://silentsignal.hu http://google.com :) A Kevin Mitnick által írt könyvek, főleg social engineering témakörben: - A megtévesztés művészete - A behatolás művészete - A legkeresettebb hacker Linkek: http://www.amazon.com/art-intrusion-exploits-intruders-deceivers/dp/0471782661/ http://www.amazon.com/art-deception-controlling-element-security/dp/076454280x/ http://www.libri.hu/konyv/a-legendas-hacker.html http://www.libri.hu/konyv/a-legendas-hacker-2.html Kevin Mitnick-ről szóló HACKERS 2 - Operation Takedown c. film (angolul) http://www.youtube.com/watch?v=nvpv5dzm0yy http://www.imdb.com/title/tt0159784/

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés