Informatikai eszközök sérülékenység vizsgálata McAfee Foundstone FS1000 eszközzel



Hasonló dokumentumok
BMD Rendszerkövetelmények

Személyügyi nyilvántartás szoftver

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

Tű a szénakazalban. RSA envision

Seacon Access and Role Management

Az Evolut Főkönyv program telepítési és beállítási útmutatója v2.0

Symantec Endpoint Protection

Tartalom jegyzék 1 BEVEZETŐ SZOFTVER ÉS HARDVER KÖVETELMÉNYEK 2 2 TELEPÍTÉS 2 3 KEZELÉS 5

1. DVNAV letöltése és telepítése

Könyvtári címkéző munkahely

Web Security Seminar. Összefoglalás. Qualys InfoDay május 14.

KnowledgeTree dokumentumkezelő rendszer

3 A hálózati kamera beállítása LAN hálózaton keresztül

TECHNIKAI SEGÉDLET. EMIR Azonosító: TÁMOP /1/A Apertus Közalapítvány

Arconsult Kft. (1)

MSP4 A lega tfogo bb ipari mobil eszko zmenedzsment megolda s

BIRDIE. Business Information Reporter and Datalyser. Előadó: Schneidler József

Általános rendszergazda Általános rendszergazda

LOGalyze Telepítési és Frissítési Dokumentáció Verzió 3.0

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

OCSP Stapling. Az SSL kapcsolatok sebességének növelése Apache, IIS és NginX szerverek esetén 1(10)

OTRS bevezetése és tapasztalatok a DF-ISZK-n

ACTUAL Ügyviteli Rendszer TELEPÍTÉSI ÚTMUTATÓ. Felhasználói kézikönyv

A CAPICOM ActiveX komponens telepítésének és használatának leírása Windows 7 operációs rendszer és Internet Explorer 9 verziójú böngésző esetén

Ú J B E L É PŐK RÉSZÉRE NYÚJTOTT

Moodle -egy ingyenes, sokoldalú LMS rendszer használata a felsőoktatásban

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

Fábián Zoltán Hálózatok elmélet

1 Rendszerkövetelmények

SAP BUSINESSOBJECTS PROFITABILITY AND COST MANAGEMENT (PCM) BEMUTATÁSA

G Data MasterAdmin 9 0 _ 09 _ _ # r_ e p a P ch e T 1

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő

A készülék fő egységei X1 X1 (kizárólag vezeték nélküli kamera esetében X1 X1 X1 X1 X1

ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK

Telepítési Kézikönyv

WebEC kliens számítógép telepítése és szükséges feltételek beállítása, az alábbi ellenőrző lista alapján történik.

A t-method szoftver és szoftvermodulok bemutatása

1. Bevezető. 2. Sérülékenységek

KIRA. KIRA rendszer. Telepítési útmutató v1

PTE-PROXY VPN használata, könyvtári adatbázisok elérhetősége távolról

Novell ZENworks Configuration Management. Néhrer János konzultáns Novell PSH Kft.

BlackBerry Professional Server szoftver

Az ActiveX beállítása

ALKALMAZÁSOK ISMERTETÉSE

Bevezetés a hálózatok világába Forgalomirányítási és kapcsolási alapok Hálózatok méretezése Connecting Networks

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

CRA - Cisco Remote Access

Forgalmi grafikák és statisztika MRTG-vel

EgroupWare: A csoportmunka megoldás

Hegyi Béla, technikai tanácsadó. Cisco MARS Bemutatása

Tarantella Secure Global Desktop Enterprise Edition

WIN-TAX programrendszer hálózatban

Valós idejű információk megjelenítése web-alapú SCADA rendszerben Modbus TCP protokollon keresztül

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

Simon János György technikai tanácsadó, CCSP. Biztonsági incidensek hatékony kezelése

Félreértések elkerülése érdekében kérdezze meg rendszergazdáját, üzemeltetőjét!

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

A GeoEasy telepítése. Tartalomjegyzék. Hardver, szoftver igények. GeoEasy telepítése. GeoEasy V2.05 Geodéziai Feldolgozó Program

Csatlakozás az IBM i rendszerhez IBM i Access for Windows: Telepítés és beállítás

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

SuliXerver 3.5. Adminisztrátori kézikönyv

Előadás témája: DVR-ek és hálózati beállításuk Szentandrási-Szabó Attila Műszaki és kereskedelmi igazgató

Az Invitel adatközponti virtualizációja IBM alapokon

Magyar Nemzeti Bank - Elektronikus Rendszer Hitelesített Adatok Fogadásához ERA. Elektronikus aláírás - felhasználói dokumentáció

Telepítési útmutató a Solid Edge ST7-es verziójához Solid Edge

BaBér. Bérügyviteli rendszer. Telepítési segédlet 2014.

A telepítési útmutató tartalma

Vírusmentesítés naplóelemző eszközökkel

Pentaho 4: Mindennapi BI egyszerűen. Fekszi Csaba Ügyvezető október 6.

A GeoEasy telepítése. Tartalomjegyzék. Hardver, szoftver igények. GeoEasy telepítése. GeoEasy V2.05+ Geodéziai Feldolgozó Program

Gyorskalauz SUSE Linux Enterprise Desktop 11

Protection Service for Business. Az első lépések Windows-számítógépeken

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

SARM. Veszteségek minimalizálása visszaélés-felderítéssel. Csizmadia Attila CISA

Az IBM megközelítése a végpont védelemhez

1. AZ AUDITPRO RENDSZER ÁTTEKINTÉSE ALAPVETÕ TELEPÍTÉS AZ AUDITPRO TELEPÍTÉSE ÉS FELÜGYELETE HÁLÓZATOKON EREDMÉNYEK...

Optavias bázis verzió

Selling Platform Telepítési útmutató Gyakori hibák és megoldások

NOLLEX Nemzetközi Kft. Magyarországi kizárólagos disztribútor.

Vezeték nélküli hálózatok biztonsága október 8. Cziráky Zoltán ügyvezető igazgató vállalati hálózatok

Léteznek nagyon jó integrált szoftver termékek a feladatra. Ezek többnyire drágák, és az üzemeltetésük sem túl egyszerű.

RIEL Elektronikai Kft v1.0

IT szolgáltatás menedzsment bevezetés az IIER projektben

WorldSkills HU 2008 döntő Gyakorlati feladat

AJÁNLATTÉTELI FELHÍVÁS

Selling Platform Telepítési útmutató Gyakori hibák és megoldások

MŰSZAKI KÖVETELMÉNYEK, A KÖRKERESŐ SZOFTVER SPECIFIKÁCIÓJA, KÖLTSÉGVETÉS. A) Műszaki követelmények

AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI. Hungarian Cyber Security Package

Számítástechnikai kommunikációs lehetőségek a QB-Pharma rendszerrel. Előadó: Bagi Zoltán Quadro Byte Kft. ügyvezető

WLAN Biztonság és Megfelelőségi Irányelvek

Szilipet programok telepítése Hálózatos (kliens/szerver) telepítés Windows 7 operációs rendszer alatt

Virtual Call Center kliens program MSI csomag telepítése

Oracle Audit Vault and Database Firewall. Gecseg Gyula Oracle DBA

Windows hálózati adminisztráció

E-Freight beállítási segédlet

Átfogó megoldás a számlafolyamatok felgyorsításához ELO DocXtractor. Laczkó Kristóf ELO Digital Office Kft. Bálint András Prognax Kft.

NEMZETI MUNKAÜGYI HIVATAL Szak- és Felnőttképzési Igazgatóság

6. számú melléklet KÖLTSÉGVETÉSI SPECIFIKÁCIÓ. a Társadalmi Megújulás Operatív Program. Új tanulási formák és rendszerek Digitális Középiskola program

Bevezető. PoC kit felépítése. NX appliance. SPAN-Proxy

3Sz-s Kft. Tisztelt Felhasználó!

Átírás:

ESETTANULMÁNY Informatikai eszközök sérülékenység vizsgálata McAfee Foundstone FS1000 eszközzel ÚJ, Foundstone 6.5-ös verzióra aktualizált változat! Készítette: Székhely: 1188 Budapest, Tigriskő u. 5/a. Kapcsolattartó neve: Kaczúr Zsolt ügyvezető Telefon: 06 (20) 550 0020 E-mail: kaczur.zsolt@itbs.hu Budapest, 2009. augusztus 21. 1/1

Bevezető IT sérülékenységek és fenyegetettségek kihívása Minden szervezet a fenyegetésekről és sérülékenységekről szóló információáradattal néz szembe már maga a puszta adattömeg is szinte lehetetlenné teheti annak a meghatározását, hogy mely fenyegetések számítanak kritikusnak és melyek bírnak kisebb jelentőséggel. A rendszergazda figyelméért versengő tételek, sérülékenységek és fenyegetések nem egyformán fontosak. A sikeres sérülékenység menedzsment annak meghatározásával kezdődik, hogy mely tételek a legfontosabbak, az adott tételek sérülékenységének azonosításával, a fenyegetésekre adott válaszokkal és a kiegyensúlyozással. Egy hatékony, prioritásalapú kockázat menedzsment nélkül egy szervezet mindig veszélyben van. A McAfee Foundstone-ról röviden A McAfee Foundstone Enterprise egy prioritás-alapú sérülékenység-menedzsment megoldás: lehetővé teszi a szervezetek számára, hogy a hálózaton található eszközöket (operációs rendszereket, különféle adatbázisokat, Wi-Fi Access Pointokat, aktív eszközöket, stb.) különféle szabványi ajánlásokhoz (pl. ISO 17799, CoBiT, FBI Top20, stb.) hozzámérje. A talált sérülékenység komolysága és a fenyegetés kritikussága osztályozásra kerül, valamint képes kezelni és ezáltal csökkenteni a sérülékenységekhez társuló üzleti kockázatokat a fenyegetések és a közöttük levőkapcsolatok összevetésével (Threat Correlation). A Foundstone Enterprise ezen kívül nyomkövetést, helpdesk modult (Remediation), és részletes jelentéskészítést is tartalmaz. 2/2

Az FS 1000 appliance felépítése A McAfee Foundstone FS 1000 a Foundstone Enterprise 6.5 szoftvert futtató célhardver (appliance), amely komplett plug-and-play megoldás a sérülékenységmenedzseléshez és a kockázatok csökkentéséhez. A Foundstone FS 1000 appliance néhány óra alatt teljesen működésképes állapotba hozható, és hozzáigazítható bármilyen környezethez. A Foundstone FS 1000 típusú appliance 1U magas, RACK kivitelő Dell hardverre épül. Rendszerkövetelmények kliens oldalon IE 6.0 vagy újabb böngésző Appliance: 2 GB RAM Dual 2,8 GHz- es Intel Xeon Pentium 4 processzor 143 GB hibatűrő tárolóhely A szerverben 2 db 10/100/1000 integrált hálózati kártya található. A Foundstone alkalmazás képes mindkét kártyát külön használni, de alapvetően elég az egyik kártyát a hálózatba kötni. A Foundstone Enterprise 6.5 verziószámú alkalmazás Windows 2003 operációs rendszer alatt, MS SQL 2005 adatbázis és IIS 6.0 webszerver segítségével fut. Az FS1000 szerver nagymértékben módosított, gyárilag megerősített Windows 2003 operációs rendszerű, de különféle hardening eszközökkel a legtöbb Windows funkció és szerviz, valamint a hálózati portok tiltásra kerültek. A különféle hardening mechanizmusok hatására a szerver mint appliance működik, a teljesítménye és a működése nagymértékben optimalizált. Ezért a Foundstone programon kívül egyéb program telepítése nem javasolt (pl. víruskereső, tűzfal, Host IDS programok, stb.). A Windows operációs rendszerhez, valamint az MSSQL szerverhez kiadott szervizcsomagok és hotfix-ek telepíthetők és javasolt is a telepítésük (Windows Update-en keresztül). Megjegyzés: A FoundStone Enterprise 6.5 verzióját sikeresen teszteltük Windows 2003 SP2 operációs rendszerre történő frissítése mellett is, Internet Explorer 7.0 böngészővel. 3/3

Az FS 1000 appliance beüzemelése és finomhangolása Az FS 1000 mintegy fél óra alatt üzemkésszé tehető. A szükséges alapvető hálózati paraméterek megadása, valamint az aktuális frissítések letöltése után azonnal lehetővé válik a szervezetek számára, hogy ellenőrzésük alá vonhassák a hálózaton megtalálható eszközeiket. Természetesen az eszközön keresztül elérhető intranet portál csak az előre meghatározott felhasználói jogosultságokkal érhető el, így külön választható, hogy kinek van joga új sérülékenység vizsgálatot kezdeményezni, és azt milyen IP tartományokra teheti meg. Külön kezelhető a futtatást elrendelők és a hibajavítást végzők csoportja, valamint mód van arra, hogy a vezetők az éppen aktuális állapotot mutató grafikus riportot megtekinthessék. Természetesen ehhez az is szükséges, hogy az eszköz alap beállításai után a felhasználókat különféle csoportokba rendezzük, illetve az egyes IP címtartományok szerint meghatározott szervezeti egységeket hozzunk létre. A Host Asset Scan funkcióval felderíthetők különféle technikákkal (TCP és UDP port szkenneléssel) a hálózaton megtalálható eszközök, amelyeket ezután kritikusságuk szerint 5 csoportba oszthatunk be. A felderítéskor az eszköz típusa, neve, IP címe, operációs rendszere is meghatározásra kerül. A későbbi vizsgálatok eredménye az itt megadott kritikussági szint alapján kerül súlyozásra. Vizsgálatok lefolytatása A vizsgálatok lefuttatásához több ezer vizsgálható sérülékenységből és ajánlott beállítások ellenőrzéséből választhatunk. Ezen lista folyamatosan bővül, az érvényes licenc birtokában a Foundstone Research központi adatbázisán keresztül manuálisan vagy automatikusan elérhető frissítések révén. A vizsgálat összeállítását megkönnyítendő, különböző gyári template-ek állnak rendelkezésünkre, amelyeket felhasználva már könnyedén összeállíthatjuk a cégünkhöz leginkább megfelelő vizsgálat típust. Alapvetően kétféle vizsgálat típust különböztet meg a Foundstone: a Non-intrusive és az Intrusive tesztekből és különféle szabványi ajánlásokból álló vizsgálatok alapján hajszálpontosan állapítja meg a sérülékenységeket. (A vizsgálatok időzítve is futtathatók). Míg az Intrusive tesztek brute-force alapúak, valamint egyéb nem szabványos formában küldött forgalmakkal támadó behatolás vizsgálatot is tartalmaznak (FTP, Web szerverek, levelező szerverek, adatbázisok illegális belépésére), addig a Non-intrusive vizsgálat az esetek 99%-ában semmiféle panasszal nem jár. Ettől függetlenül a vizsgálatok elvégzése előtt nem árt az óvatosság: a szükséges biztonsági mentések, valamint az üzemidőn kívüli időpontban 4/4

történő vizsgálat mellett sem árt, ha a kritikus eszközöket felügyelő mérnök gárda követi nyomon a futtatás menetét, hiszen tapasztalatunk szerint az egyedileg fejlesztett és a nem-tipikus fejlesztésű alkalmazásokban okozhat váratlan leállást egy-egy vizsgálat. Ez nem az eszköz hibája, egyszerűen az ilyen eseteknél szokott felszínre kerülni a nem megfelelő kivételkezeléssel íródott applikációk hibája Az eszköz az alábbi szabványi ajánlások által összeállított template-eket tartalmazza: Federal Information Security Management Act (FISMA) Health Insurance Portability and Accounting Act (HIPAA) International Standards Organization (ISO) standards 17799 (United States) and BS7799 (United Kingdom), "Code of Practice for Information Security Management; Non- Intrusive Scan Payment Card Industry (PCI) SANS/FBI Top 20 Sarbanes- Oxley Vizsgálatok kiértékelése Természetesen a vezetők, illetve a rendszergazdák összefoglaló hirdetőtáblán azonnal értesülhetnek a hálózatukon lévő eszközök aktuális állapotáról különböző szempontok szerint csoportosítva. Mégis, a látványos grafikonok mellett a rendszergazdákat a mindenre kiterjedő részletességű riport érdekelheti igazán. Mivel a Foundstone alapvetően Asset-alapú orvoslás menedzselést folytat, meghatározható, hogy az egyes eszközöknek ki a gazdája. Sérülékenység észlelésekor így a megfelelő beállítások után hibajegy generálható az illetékes szakembereknek, akik már csak az adott eszközre érvényes sérülékenységekkel foglalkozhatnak. A hibajegy tartalmaz megoldási javaslatokat is, ez alapján az adott sérülékenységek kezelhetők. A hibajegy lezárása, valamint a hibajegy egyéb állapotai is nyomon követhetıek (pl. folyamatban, stb.). Az egy adott hiba és a hibára adott javítási javaslat esetében a hiba elhárításán túl a szabványi megfelelőséghez kötve különféle javaslatokat is olvashatunk. Természetesen a HTML riportok mellett lehetőség van PDF, CSV és XML riportok generálására is, így a jelentések elmenthetők és feldolgozhatók egyéb programokkal is. Az egyes futtatások eredményei nem csak a portálon olvashatóak, hiszen a program különböző szempontok szerint képes riasztások generálására is, amely azt jelenti, hogy egy új sérülékenység felbukkanásáról azonnal értesülhetünk. 5/5

Fenyegetettségek priorizálása Az egyes sérülékenységek besorolása (Magas, Közepes, Alacsony, Informatív) a szoftvergyártók általi osztályozás alapján kerülnek meghatározásra. Azonban a Foundstone képes összevetni és kiemelni azon sérülékenységeket, amelyek egy kritikus Host esetében jelennek meg (amennyiben az eszközök kritikusságát már előre beállítottuk). Ezen felül a Foundstone egy saját, folyamatosan frissülő adatbázisa alapján arra is képes, hogy összevesse, hogy a tapasztalt sérülékenység mennyire fenyegeti a rendszerünket. Hiszen előfordulhat pl. egy magas besorolású sérülékenység, amelynek a fenyegetettsége alacsony, mert nem készült hozzá a sérülékenységet kihasználó exploit. Az aktuális sérülékenységek, az azt kihasználó kártékony kódok közötti trendek kimutatására a Threat Correlation modul szolgálhat. Ezzel priorizálni lehet, hogy mely Host-ok a legfenyegetettebbek a hálózaton. A Foundstone Enterprise 6.5 rendszer főbb újdonságai Az FS 1000 appliance-en futó Foundstone Enterprise szoftver fejlesztése töretlen lendülettel halad. Jelen cikk írója immáron több éve használja az eszközt sérülékenységek felmérésére. Az évek során (az akkori 4.2-es verzió óta) számos újítás érte a szoftvert és egy-egy újabb verzió valóban jelentős változásokat hoz, nem csak hibajavítást takar! A Foundstone 6.5 verzió újdonságai (többek között): Újdonságok Audit Mode Centralized Scan Management Asset Synchronization with AD/LDAP User definied SNMP strings UI for MyWindows Policy Újabb Java verzió használata Előnyök Periodikusan lekérdezhető asset információ Microsoft Windows Active Directory vagy más egyéb szabványos LDAP címtárból Végszó - ajánlás A saját tesztjeink alapján a Foundstone FS 1000 kellőképpen gyors, emellett teljes alaposságú vizsgálatot képes végrehajtani nem csak operációs rendszer, de ismertebb üzleti alkalmazások, valamint adatbázisok, WiFi Access Pointok, hálózati eszközök 6/6

(routerek, switchek) és IP nyomtatók esetében is. Átlagban 1 percet vesz igénybe 1 host vizsgálata (Windows alapú rendszereknél ez átlag 2 percre nő). Természetesen a vizsgálat ideje nagyban függ az adott gépen található nyitott portok / alkalmazások számától, valamint a patch szintjétől. A Windows alapú rendszerek felmérése különösen hatékony, amennyiben az adott gépeken a Microsoft Networks és a File and Print szervizek futnak, valamint a mélységi vizsgálatot aktiváljuk ehhez a Foundstone vizsgálat összeállításakor egy adminisztrátori jogosultság megadása mellett van lehetıségünk. Az aktív eszközök mélységi vizsgálata szintén lehetséges, ha SSH vagy telnet belépési hozzáférést állítunk be az eszközön. Mint mindegyik hálózati alapú sérülékenység vizsgáló esetében, amennyiben tűzfal vagy IPS (behatolás-detektáló) meggátolja az egyes hálózati gépekhez történő hozzáférést, a Foundstone nem képes felismerni és megvizsgálni az adott host-ot. (Egy ügynök szerver alapú elemző rendszer esetében ez a probléma nem jelentkezik ott az agent telepítések jelentik a nehézséget.) A Foundstone a vizsgálatokat aszerint hajtja végre, hogy milyen felismert operációs rendszerrel / alkalmazással találkozik. Ha az operációs rendszer típusát nem, vagy rosszul ismeri fel, meg lehet tanítani, sőt, meg is kell a helyes eredmények elérése céljából. Sajnos, amennyiben az alkalmazást vagy az adatbázis típust nem ismeri fel, abban az esetben nincs mód annak tanítására. A Foundstone a felismert sérülékenységek tekintetében 98%-ban pontos találati arányú, tehát igen ritkán jelez false-positive találatot. A találatok pontossága tovább finomítható, amennyiben McAfee epo adatbázis létezik a szervezeten belül, innen a host-ok típusa, operációs rendszere teljes bizonyossággal megállapítható. Ez a tény mindenképpen megnyugtató egy vizsgálat hitelessége szempontjából, de ettől függetlenül a kapott eredmények birtokában az egyes sérülékenységek valódiságát ellenőrizni célszerű. A Foundstone-ról még akár oldalakat lehetne írni, hiszen a Remediation helpdesk modul, vagy athreat Correlation modulja egyedülállóvá teszik a konkurenciával szemben. Ez az esettanulmány inkább figyelemfelkeltésre törekedett, a teljesség igénye nélkül. További információért, árakért, ingyenes demó lehetőségért kérjük, forduljon hozzánk bizalommal! Üdvözlettel: Kaczúr Zsolt Ügyvezető 7/7

E-mail: kaczur.zsolt@itbs.hu Budapest, 2009. augusztus 21. 8/8

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés