SCI-Network Távközlési és Hálózatintegrációs Rt. T.: 467-70-30 F.: 467-70-49 A hálózatbiztonság a tervezéstől az üzemeltetésig info@scinetwork.hu www.scinetwork.hu Szabó Krisztián Hálózatbiztonsági szakértő Nem tudtuk, hogy lehetetlen, ezért megcsináltuk. SCI-Network Rt. 2004. november 23.
Tartalomjegyzék Kihívások, tévhitek (kifogások) Biztonsági politika Életfogytig tartó biztonsági megoldások (életciklus modell) Biztonság @ SCI-Network Mentés, tűzfal, levelezés 2
Kihívások, problémák Számítógépek és hálózatok egyre szélesebb körű elterjedése Fokozott függés az informatikai rendszerekről (egyre több az elektronikus adat) Egyre összetettebbek a vállalati rendszerek Sokféle alkalmazás és adatbázis van jelen Állandó erőforráshiány (emberi, gépi, anyagi) Földrajzilag szétszórt hálózatok Tanulság: nem kerülhetjük ki! 3
Tévhitek a biztonságról Senki sem akar minket megtámadni, hiszen mi csak egy kis cég vagyunk. A támadások 75%-a az internet felől érkezik. (Nagy, kicsi) (Gyors, lassú) Egy éve telepítettük a biztonsági rendszerünket, azóta jól működik. A biztonság nem egyfajta termék, hanem folyamat. A védelmi rendszert folyamatosan menedzselni kell. Hozzánk még nem törtek be. (Hogyan) tudjuk detektálni a betöréseket? 4
Tévhitek a biztonságról (2) Csupán egyetlen internetes tűzfalra van szükségünk. Mi van, ha valami nem megy át a tűzfalon (belsősök, kósza modemek)? Ha egy e-mail átmegy a tűzfalon, akkor az biztosan nem spam? Be van kapcsolva az XP tűzfala. Csak a fontos gépeket kell védeni. 5
Tévhitek a biztonságról (3) Ha bármilyen probléma adódik, percek alatt helyre tudjuk állítani a rendszert. Próbálta már valaki visszaállítani mentésből a rendszert? Csak Windows/Unix rendszereket használunk, így tökéletes biztonságban vagyunk. Megfelelő konfigurálással lehet Idejétmúlt (hiányzó) programjavítások SANS Institute Windows/Unix TOP20 lista (a húsz leggyakoribb támadási felület) 6
Tévhitek a biztonságról (4) Nincs szükség oktatásra, szakembereink hamar beletanulnak a rendszerbe. Talán a legjellemzőbb hiba az emberi tényező figyelmen kívül hagyása. Nálunk minden jelszóval védett. Minden? gyenge (hiányzó) jelszavak. A biztonság lassú és drága. Optimalizálás: jó olcsó gyors (legfeljebb két döntési kritérium teljesülhet egyszerre). 7
Tévhitek a biztonságról (5) Csak megbízható munkatársaink vannak. A veszteségek 75%-át (ex)belsősök okozzák. Nálunk van vírusirtó. Biztos, hogy hatásosan működik? (elavult adatbázis) 8
Biztonság - használhatóság Cél: védendő érték - potenciális veszély - használhatóság egyensúlya. Magas Biztonság Költségoptimum Alacsony Biztonsági szint Használhatóság Magas 9
Biztonsági politika Minden betörési kísérletet a biztonsági politikához viszonyítva kell megítélni. Anélkül, hogy tudnánk, vajon mi engedélyezett, és mi tiltott egy szervezetben, lehetetlen a betörések felderítése. Egy szervezet informatikai biztonságának követelményei. 10
Biztonsági politika (2) A biztonság megteremtése érdekében szükséges intézkedések Összetevők: MIÉRT? a biztonság szükségessége MIT? a védelmi igény leírása HOGYAN? az intézkedések fő irányai KINEK? feladatok/felelősségek meghatározása MIKOR? - időterv 11
A biztonság nem egyfajta termék, hanem folyamat. (Bruce Schneier, Counterpane) 12
Életciklus modell Strukturált keretrendszer az optimális biztonság kialakításához. Előzetes átvilágítás Biztonsági politika, szabályzat, eljárások kialakítása A biztonsági rendszer megtervezése A megoldási változatok kiválasztása és megvalósítása Oktatás, továbbképzés Visszacsatolás, a rendszer működtetése Kritikus események kezelése 13
Előzetes átvilágítás Fontosabb feladatok Kritikus rendszerek és hálózati elemek behatárolása Külső kapcsolódási pontok feltérképezése Kihasználható gyenge pontok azonosítása A meglévő szabályozás feltérképezése és hatékonyságának vizsgálata Az erőforrások teljes körű dokumentálása Az eredő kockázati szint meghatározása 14
Bizt. politika kialakítása A szervezet kritikus információinak és folyamatainak védelmére irányuló megelőző intézkedés. Fontosabb területek: Jelszókezelés Mentések Internet-használat szabályozása Levelezés, hozzáférés Vírusvédelem 15
Rendszertervezés Sikerkritériumok Ne túl gyorsan, ne túl sokat! A legkritikusabb rendszereken található réseket foltozzuk be először. Egyenszilárdság elve, ne csak egy részterületet a sok közül. Megfelelő idő és erőforrás allokáció. A menedzsment folyamatos elkötelezettségének megszerzése. Folyamatos kommunikáció. 16
Megoldás implementálása Sikerkritériumok Mit szeretnénk védeni? A megfelelő szintű védelem kiválasztása. Prioritási sorrend felállítása. Megoldásokat keressünk, ne termékeket. Többféle gyártótól származó, szabványos termékeket keressünk. Megfelelő terméktámogatás. Beszállító tapasztalatai. 17
Szervezett továbbképzés A rendszer sikeres implementálása csupán az első lépés, a lényeg a folyamatos üzemeltetés. Jellemzők: Az emberi tényező figyelembe vétele elengedhetetlen egy projekt sikeréhez. Speciális ismeretek átadása a menedzsment és a rendszergazdák számára. A jelszavak használatából adódó kockázat jelentősen csökkenthető. 18
Visszacsatolás, működtetés Sikerkritériumok A frissen megvalósított rendszer mennyire tud beépülni a szervezet életébe? Egységes felügyeleti rendszer létrehozása. Konfigurációs hibák kiküszöbölése. A biztonsági alkalmazások hatékony működésének folyamatos ellenőrzése. Az esetlegesen felmerülő anomáliák és betörési kísérletek érzékelése. 19
Kritikus események Sikerkritériumok Kritikus események hatékony érzékelése, megfelelő válaszlépések kidolgozása és a helyreállítás elvégzése. Hatékony katasztrófa-elhárítási tervek. 7x24 típusú, centralizált rendszerfelügyelet. Kedves Hackerek! Kérjük szíveskedjenek munkaidőn kívül mellőzni a behatolási kísérleteket, mivel rendszergazdáink ekkor nem tudnak a betörési kísérletekkel foglalkozni. 20
Biztonság @ SCI-Network Néhány gyakorlati építőelem: Komplex mentőrendszer Veritas Backup Exec Integrált tűzfalrendszer BorderWare Firewall A levelezés vírus- és tartalomszűrése BorderWare MXtreme 21
Veritas Backup Exec Piacvezető biztonsági mentési és helyreállítási megoldás, mely átfogó, költséghatékony és tanúsított védelmet nyújt Windows környezetben Komponensek Mentőszerver Ezen fut a központi szoftver, ide történik a mentés Távoli állomány- és alkalmazásszintű elemek Különféle opciók 22
Veritas Backup Exec (2) Remote Agent (CAL) for Windows Servers Windows szerverek hálózaton keresztüli mentése Ingyenesen felhasználható munkaállomások védelmére XP Home/Pro, 98/ME, NT/2000Pro, Unix/Linux, Mac Advanced Open File Option Megnyitott állományok használat közbeni mentése 23
Veritas Backup Exec (3) Agent for Microsoft Exchange Server Exchange Server 5.5, 2000, 2003 online mentése Postafiókok levél szintű visszaállítása Agent for Lotus Domino Domino 5, 6 és tranzakciós naplók mentése Agent for Microsoft SQL Server SQL 7, 2000, 32/64 bites rendszerekhez Oracle Agent 8i, 8.x, 9i változatok mentése 24
Veritas Backup Exec (4) Desktop and Laptop Option Munkaállomásokon és notebook-okon tárolt kritikus adatok védelme Adatok szabályozott szinkronizálása Intelligent Disaster Recovery (IDR) Option Automatizált helyreállítási technológia rendszerösszeomlás esetére Nem kell alaptelepítést végrehajtani 25
BorderWare Firewall (1) Fontosabb jellemzők: Operációs rendszertől független Speciális, S-Core operációs rendszer Könnyű menedzselhetőség Nincs feljegyzett betörés Windows-alapú GUI Terméktámogatás 7x24 gyártói és SCI-Network support 26
BorderWare Firewall (2) Extra opciók DMZ (demilitarizált zóna) 4db VPN opció Hibatűrés (tűzfaltükrözés és terhelésmegosztás) SurfControl URL-szűrés Integrált szerverek beépített belső és külső DNS szerver integrált HTTP, POP3, SMTP, FTP szerver Squid Web-proxy 27
BorderWare MXtreme Új termékkategória a levelezés alkalmazásszintű tűzfalas védelmét ellátó célberendezés Fontosabb jellemzők Fejlett spamszűrők Beépített antivírus (Kaspersky) Mellékletek ellenőrzése pl. EXE, MP3 küldésének tiltása Tartalomszűrés 28
BorderWare MXtreme (2) Web-alapú menedzsment igény szerint CryptoCard/SecurID tokenkártyával kiegészítve Rugalmas logikai elhelyezés Tűzfallal párhuzamosan Demilitarizált zónában A tűzfal mögött, a belső hálózaton Biztonságos Webmail Fejlett jelentéskészítő eszközök SNMP monitorozás (MIB változók) 29
Köszönöm a figyelmüket! kszabo@scinetwork.hu 30