SCI-Network Távközlési és Hálózatintegrációs Rt. T.: 467-70-30 F.: 467-70-49 info@scinetwork.hu www.scinetwork.hu Kommunikációs rendszerek biztonsági megoldásai Szabó Krisztián hálózatbiztonsági szakértő Nem tudtuk, hogy lehetetlen, ezért megcsináltuk. SCI-Network Rt. 2006. június 8.
Tartalomjegyzék Kihívások, előzmények, e-kormányzat Tévhitek (kifogások) A biztonság Biztonsági politika Fizikai biztonság Hálózati biztonság Szerverek biztonsága Adatok biztonsága SCI-Network Rt. 2006. június 8. 2
Kihívások, problémák Számítógépek és hálózatok egyre szélesebb körű elterjedése Jogszabályban megfogalmazott kötelezettségek (KET) Fokozott függés az informatikai rendszerektől egyre több az elektronikus adat Egyre összetettebb önkormányzati rendszerek Sokféle alkalmazás és adatbázis jelenléte Állandó erőforráshiány (emberi, gépi, anyagi) Földrajzilag szétszórt hálózatok (vezetékes, ill. nélküli) Tanulság: nem kerülhetjük ki! SCI-Network Rt. 2006. június 8. 3
Előzmények www.ekormanyzat.hu portál (2001. december) Dokumentumok, ügyleírások és kormányzati hírek Cég-, Gépjármű- és Ingatlankereső szolgáltatás www.magyarorszag.hu portál (2003. február) Többször is megújult Ügyfélkapu (2006. április 1.) ügyfél azonosítása 2004. évi CXL. törvény ( KET ) Közigazgatási hatósági eljárás és szolgáltatás általános szabályairól Elektronikus közigazgatás új szabályainak leírása 193/2005. (IX. 22.) kormányrendelet Elektronikus ügyintézés részletes szabályai SCI-Network Rt. 2006. június 8. 4
Fejlődési fázisok 1. fázis Információközlés Online információ a közigazgatási szolgáltatásokról Hivatalok nyitva tartása, ügyleírások, statikus weboldalak 2. fázis Egyirányú kommunikáció Űrlapok, nyomtatványok letöltésének lehetősége 3. fázis Kétirányú interaktivitás Űrlapok, nyomtatványok online benyújtása, feldolgozása Ügyfélkapus regisztráció vagy elektronikus aláírás 4. fázis Teljes körű elektronikus ügyintézés Egyedi elbírálások lehetősége, döntéshozatal, fizetések Ügyek papíron már nem jelennek meg a rendszerben SCI-Network Rt. 2006. június 8. 5
Interaktivitás szintjei A szolgáltatás értékével a komplexitás is nő. Érték Tranzakci zakció Interaktivit ktivitás Informáci cióközlés Komplexitás SCI-Network Rt. 2006. június 8. 6
Tévhitek a biztonságról (1) Senki sem akar minket megtámadni, hiszen mi csak egy kis szervezet vagyunk. A támadások 75%-a az internet felől érkezik. (Nagy, kicsi) (Gyors, lassú) Egy éve telepítettük a biztonsági rendszerünket, azóta jól működik. A biztonság nem egyfajta termék, hanem folyamat. A védelmi rendszert folyamatosan menedzselni kell. Hozzánk még nem törtek be. (Hogyan) tudjuk detektálni a betöréseket? SCI-Network Rt. 2006. június 8. 7
Tévhitek a biztonságról (2) Csupán egyetlen internetes tűzfalra van szükségünk. Mi van, ha valami nem megy át a tűzfalon (belsősök, kósza modemek)? Nálunk van vírusirtó. Biztos, hogy hatásosan működik? (elavult adatbázis, spam-ek) Csak a fontos gépeket kell védeni. Csak megbízható munkatársaink vannak. A veszteségek 85%-át (ex)belsősök okozzák. SCI-Network Rt. 2006. június 8. 8
Tévhitek a biztonságról (3) Ha bármilyen probléma adódik, percek alatt helyre tudjuk állítani a rendszert. Próbálta már valaki visszaállítani mentésből a rendszert? Csak Windows/Linux rendszereket használunk, így tökéletes biztonságban vagyunk. Megfelelő konfigurálással lehet Idejétmúlt (hiányzó) programjavítások SANS Institute Windows/Unix TOP20 lista (a húsz leggyakoribb támadási felület) SCI-Network Rt. 2006. június 8. 9
Tévhitek a biztonságról (4) Nincs szükség oktatásra, szakembereink hamar beletanulnak a rendszerbe. Talán a legjellemzőbb hiba az emberi tényező figyelmen kívül hagyása. Nálunk minden jelszóval védett. Minden? gyenge (hiányzó) jelszavak. A biztonság lassú és drága. Optimalizálás: jó olcsó gyors (legfeljebb két döntési kritérium teljesülhet egyszerre). SCI-Network Rt. 2006. június 8. 10
Biztonság - használhatóság Cél: védendő érték - potenciális veszély - használhatóság egyensúlya. Magas Biztonság Költségoptimum Alacsony Biztonsági szint Használhat lhatóság Magas SCI-Network Rt. 2006. június 8. 11
Informatikai biztonság Az informatikai rendszerekben kezelt adatok bizalmasságának (confidentality), A felhasználók nem szeretnék, ha személyes adataikat nem kellő biztonságban kezelnénk sértetlenségének (integrity) és A felhasználók nem szeretnék, ha valaki más használná a személyes hozzáférési kódjaikat rendelkezésre állásának (availability) A felhasználó mindig hozzáférhet az adatokhoz egy adott szolgáltatási (jogosultsági) szinten védelme. SCI-Network Rt. 2006. június 8. 12
Biztonsági politika A biztonság megteremtése érdekében szükséges intézkedések Összetevők: MIÉRT? a biztonság szükségessége MIT? a védelmi igény leírása HOGYAN? az intézkedések fő irányai KINEK? feladatok/felelősségek meghatározása MIKOR? - időterv SCI-Network Rt. 2006. június 8. 13
Biztonság szintjei Fizikai biztonság Számítógépekhez való fizikai hozzáférés korlátozása Hálózati/határvédelmi biztonság Tűzfalak; VPN; tartalomszűrés; betörés-detektálás Szerverek/alkalmazások biztonsága Szerverek és alkalmazások megbízható működése Rendszeres mentések Adatok, szerverek, adattárolás biztonsága Adattárolók védelme, titkosítás (belsősök ellen) SCI-Network Rt. 2006. június 8. 14
Fizikai biztonság (1) Mechanikai vagy fizikai védelem (meg)akadályozza a védendő objektumba való illetéktelen behatolást és a védendő értékekhez történő illetéktelen hozzáférést Kerítés, falak, nyílászárók, zárak, rácsok, biztonsági fóliák, páncélszekrény, biztonsági táska Élőerővel történő őrzés Az ember kreatív és intelligenciával rendelkezik Az ember szabad akarattal rendelkezik Az ember érzelmi lény SCI-Network Rt. 2006. június 8. 15
Fizikai biztonság (2) Elektronikai védelem A védett területre történt illetéktelen behatolásról már a behatolás kezdeti időszakában jelzést ad és továbbít Szabotázsvédelem, riasztórendszer, zártláncú megfigyelő rendszer (kamerák), beléptető rendszer Klimatizálás (hőmérséklet, páratartalom, pormentes levegő), tűzoltó rendszerek Szünetmentes áramellátás SCI-Network Rt. 2006. június 8. 16
Hálózati biztonság (1) Tűzfal Szabályozza a kimenő és a bejövő forgalmat Két vagy több hálózat (általában a saját belső hálózat és az internet) közötti kapcsolat ellenőrzésére, szűrésére alkalmas Egyetlen belépési pontot biztosít a külvilág felől Elrejti a teljes belső hálózatot a külvilágtól Megvédi a szervezet belső (megbízhatónak tekintett) hálózatát a külső (nem megbízható) hálózatról érkező nem kívánatos hozzáférésekkel szemben, valamint Lehetővé teszi a szervezet számára a külső hálózat szolgáltatásainak kontrollált elérését. Egyebek: VPN, publikus szolgáltatások (DMZ) SCI-Network Rt. 2006. június 8. 17
Hálózati biztonság (2) Virtuális magánhálózat (VPN) Olyan magánhálózat, amely közös mások által is használt infrastruktúrán (pl. internet) működik. A kommunikáló felek között biztonságos csatorna jön létre (kommunikáló felek azonosítása, kommunikáció titkosítása) Típusok Site-to-site VPN (hálózatok összekapcsolása) Client-to-site VPN (távoli munkavégzés, távmunkások) SCI-Network Rt. 2006. június 8. 18
Hálózati biztonság (3) Tartalomszűrés Feladata Annak kontrollálása, hogy mi közlekedhet a belső hálózat és a külvilág között Csoportosítás Vírusszűrés» Férgek (általában nem igényel felhasználói beavatkozást, pl. operációs rendszerben található sebezhetőségek kihasználása» Vírusok (általában felhasználói beavatkozást igényelnek, pl. állomány megnyitása, vagy egy program végrehajtása) Webes tartalomszűrés (szexoldalak, álláskeresés, szerencsejáték) E-mail tartalomszűrés (spam) SCI-Network Rt. 2006. június 8. 19
Hálózati biztonság (4) Betörés-detektálás A betörés-detektálás egy számítógépes hálózat megfigyelése a támadási kísérletek érzékelése céljából Betörés Egy erőforrás biztonságát (integritását, bizalmasságát vagy elérhetőségét) veszélyeztető események összessége Az aktuális biztonsági politika megsértésére irányuló törekvések Támadás, amely egy biztonsági rés kihasználásával (1) a biztonsági politika megsértését eredményezi (2) SCI-Network Rt. 2006. június 8. 20
Szerverek biztonsága (1) Hibatűrő hardvereszközök alkalmazása Ellenőrzött eszközbeszerzések (brand no-name) Hibatűrő memóriamodulok Hibatűrő háttértár megoldások RAID alrendszerek (RAID 0, 1, 5 szintek) Intelligens háttértárak (SAN) Központi gépek fürtözése (clusterezés) Katasztrófagépterem létesítése Hardver duplikálása más helyszínen Rendszerfelügyeleti eszközök alkalmazása Hibajavítás lerövidítése, hibák előrejelzése SCI-Network Rt. 2006. június 8. 21
Szerverek biztonsága (2) Szoftverek (operációs rendszer, alkalmazások) karbantartása Javítócsomagok, biztonsági frissítések Folyamatos dokumentálás Rendszeres mentések A működés naplózása Biztonságos tervezés Minimális jogosultsági szinten történő futtatás Bevitt adatok teljes körű ellenőrzése SCI-Network Rt. 2006. június 8. 22
Adatok biztonsága (1) Adatok védelme a felhasználókkal szemben Autentikáció: Ki vagyok? Valamit tudok (gyakran egy közös titok) pl. jelszó vagy a bankkártya PIN kódja Valamivel rendelkezem (egy token) Pl. USB-kulcs, smartcard, vagy kocsikulcs Valami vagyok (pl. biometrika, ujjlenyomat) Minél több faktor, annál biztonságosabb a rendszer Autorizáció: Mit tehetek? Fájlokat, alkalmazásokat milyen jogosultsággal lehet elérni Auditálás: Mit tettem? Erőforrások használatának naplózása (archiválása), elemzése SCI-Network Rt. 2006. június 8. 23
Adatok biztonsága (2) Hordozható eszközök (laptop, USB pendrive) Nagymennyiségű adat kis helyen elfér Ritkán van beépített adattitkosítás Az ellopott számítógépek 97%-át soha nem lehet visszaszerezni Minden 14 laptopból egyet még a vásárlás évében elloptak Hollandia: a főállamügyész laptopja - a titkos ügynökök névsorával a szemetes kukából került elő USA: ellopták a Nemzetközi Vérbank laptopját, amely AIDS betegek névsorát tartalmazta SCI-Network Rt. 2006. június 8. 24
Adatok biztonsága (3) Adatok titkosítása Szimmetrikus algoritmusok Az üzenet titkosítása és visszafejtése ugyanazzal a kulccsal DES, 3DES, IDEA, RC4, AES Aszimmetrikus (nyíltkulcsú) algoritmusok A titkosítás és visszafejtés különböző kulccsal történik A nyilvános (publikus) kulccsal titkosított adatok csak a magánkulccsal (privát) fejthetők vissza Általában jóval lassabb/nehezebb kiépíteni, mint a szimmetrikus algoritmus RSA, Diffie-Hellman, elektronikus aláírás (ügyfélkapus azonosításhoz) Titkosítás erőssége (algoritmus, alkalmazott kulcshossz) SCI-Network Rt. 2006. június 8. 25
A biztonság nem egyfajta termék, hanem folyamat. (Bruce Schneier, Counterpane) SCI-Network Rt. 2006. június 8. 26
Köszönjük a figyelmüket! kszabo@scinetwork.hu SCI-Network Rt. 2006. június 8. 27