Bezbednost Računarskih Mreža DjordjeSmiljanić

Bezbednost raunarskih mrea- opti principi -ore Smiljani, dipl. Ing.CCNA & Cisco Inforamtion Security SpecialistSavetnik za raunarske mree i sistemski sofverSluba za opte i zajednike poslove pokrajinskih organaCISCO event, 21. 11. 2007. g. Sluba za opte i zajednike poslove pokrajinskih organa

CISCO event, 21. 11. 2007. g. Sluba za opte i zajednike poslove pokrajinskih organa

Atributi bezbednostiRaspoloivostPoverljivostIntegritetAutentifikacijaNeporicanjeAko je bilo koji atribut ocenjen negativno bezbednost je dovedena u pitanje!CISCO event, 21. 11. 2007. g. Sluba za opte i zajednike poslove pokrajinskih organa

Opasnosti i mere zatiteZabrana pristupa neovlaenim licima komunikacionoj opremipostavljanje distibutivnih ormana sa kljuem zakljuavanje komunikacionih prostorija...

Dobra praksa za pristup opremi je kombinacija:itaa ID karticaVideo nadzoraAlarmnog sistema

Fiziki pristup ureajima


Zatita ureaja od prenapona u mrei za napajanjeZatita ureaja od prenapona u komunikacionim linijamaOpasnosti i mere zatiteOpasnost od prenapona


Hlaenje prostorijaNezapaljivi materijaliMaterijali koji prilikom gorenja oslobaaju malu koliinu dimaDetektoriJavljai poaraAutomatsko gaenje poaraPotovanje standardaOpasnosti i mere zatiteOpasnost od poara


Potovati standarde prilikom izbora prostorije za voritaSistemi detekcijeAktiviranje pumpi automatskiIskljuivanje naponaOpasnosti i mere zatiteOpasnost od poplave


Opasnosti i mere zatiteOpasnost od glodara


Zlonamerni zaposleniBivi zaposleniJednostavne ljudske grekeOpasnosti i mere zatiteLjudski faktor

ak do 90% uspenih upada u sistem ostvaruje se iznutra!CISCO event, 21. 11. 2007. g. Sluba za opte i zajednike poslove pokrajinskih organa

Neprekidno napajanje (UPS)Opasnosti i mere zatiteOscilacije napona napajana


Zadaci :Aurnost antivirusnih baza na svim raunarimaKonfigurisanje antivirusnog paketaPraenje otkivenih bezbednosnih rupa i instaliranje zakrpa (patch)Integracija sa drugim oblicima zatite (firewall)Informisanje korisnika i stvaranje svesti o opasnostima i bezbednom ponaanjuIzbor pouzdanog proizvoaa antivirusnih programaOpasnosti i mere zatiteOpasnost od raunarskih virusa

SOPHOSNosioc antivirusne zatiteCISCO event, 21. 11. 2007. g. Sluba za opte i zajednike poslove pokrajinskih organa

Normalni bekapDiferencijalni bekapInkrementalni bekapOpasnosti i mere zatiteGubitak podataka usled havarije

U Izvrnom Veu je u toku tenderski postupak za nabavku bekap sistema.U okviru bezbednosnih procedura neophodno je definisati strategiju bekapa.CISCO event, 21. 11. 2007. g. Sluba za opte i zajednike poslove pokrajinskih organa

Opasnosti i mere zatiteBezbednosne poliseBezbednosne procedureBezbednosna praksa


Polisa je dokumentovan globalni plan za sigurnost raunara i informacija na nivou organizacije. Ona obezbeuje okvir za donoenje specifinih odluka, kao to su: koji odbrambeni mehanizmi se koriste, kako se konfiguriu servisi, a predstavlja i osnovu za razvoj preporuka za programere i procedura za administratore i korisnike. Poto je bezbedonosna polisa dugoroni dokument, iz njegovog sadraja treba izostaviti detalje specifine za odreene tehnologije. Opasnosti i mere zatiteBezbednosne polise


Procedure se zasnivaju na bezbednosnoj polisi i predstavljaju konkretne aktivnosti propisane korake koje treba izvravati.Opasnosti i mere zatiteBezbednosne procedure


Na internetu se mogu nai liste preporuenih koraka - chacklistsOpasnosti i mere zatiteBezbednosna praksa

Bezbednosne polise => bezbednosne procedure => bezbednosna praksaCISCO event, 21. 11. 2007. g. Sluba za opte i zajednike poslove pokrajinskih organa

obezbediti da svaki nalog ima lozinku i da su lozinke teke za razbijanje, preporuuje se korienje jednokratnih lozinki, podsticati ili zahtevati od zaposlenih da koriste lozinke koje nisu oigledne i jednostavne.proveravati aurnost antivirusne zatite edukovati zaposlene o bezbedonosnim rizicimaimplementirati kompletnu i sveobuhvatnu zatitu raunarske mreeperiodino procenjivati i proveravati bezbedonosno stanje raunarske mreeredovno proveravati kod proizvoaa da li su objavljene nove zakrpe (patch) i primenjivati zakrpe i unapreenjakoristiti jake enkripcione tehnike i redovno proveravati intergitet softverakoristiti bezbedne tehnike programiranja pri pisanju softvera biti oprezni pri korienju i konfigurisanju mree, po objavljivanju novootkrivenih slabosti korienih sistema adekvatno promeniti konfiguracijuredovno proveravati on-line arhive na temu bezbednostivoditi evidenciju korienja korisnikih naloga i sistemskih dogaaja (auditing) i proveravati redovno sistemske log fajloveKada zaposleni napusti kompaniju ukinuti odmah prava pristupa mrei.Ne pokretati ni jedan nepotreban mreni servis.Opasnosti i mere zatiteCISCO event, 21. 11. 2007. g. Sluba za opte i zajednike poslove pokrajinskih organa

Opasnosti i mere zatiteOpasnost od upada sa Interneta ili WAN linkova

Cisco Adaptive Security ApplianceFirewall sistem + ostale bezbednosne tehnikeCISCO event, 21. 11. 2007. g. Sluba za opte i zajednike poslove pokrajinskih organa

Opasnosti i mere zatiteOsnovne i napredne access liste za kontrolu pristupa prolazaDinamike access control listeVremenski bazirane access control listePolicy bazirana kontrola pristupaKontrola pristupa na osnovu sadrajaBlokiranje java i ActiveX apletaTranslacija mrenih adresaTranslacija i mapiranje portovaDetekcija upada i pokuaja upada u sistemAutentifikacija i autorizacija (AA putem TACACS i RADIUS protokola)Upozorenja (alerti) i logovanje u realnom vremenuDOS detekcija i odbranaKriptovanje (DES, 3DES, AES)podrka za kvalitet servisaAutentifikacija ruteraMogunosti firewall-aCISCO event, 21. 11. 2007. g. Sluba za opte i zajednike poslove pokrajinskih organa

Povezivanje udaljenih lokacija u jedinstvenu mreuDigitalne veze i telekomunikacioni operateriPostojei Internet provajderi, i VPNPrislukivanje

IPSEC (IP Security)PPTP (Point to Point Tunneling protocol)Metode kriptovanja bazirane na sistemima javnog i tajnog kljuaMPPE (Microsoft Point to Point Encryption),DES (Data Encryption Standard) i 3DES (trostruki DES),AES (Advanced Encryption Standard),IDEA (International Data Encryption Algorithmm) iRSA/DSA (Digital Signature Algorithm) za kriptovanje javnog kljuaVPNVPN obezbeuje da se delovi mree ponaaju kao da su u jedinstvenoj LAN mrei. To se postie tehnikama tuneliranja. CISCO event, 21. 11. 2007. g. Sluba za opte i zajednike poslove pokrajinskih organa

Opasnosti i mere zatitePrekid WAN linkova

Backup linkoviatributi sigurnosti: raspoloivost, poverljivost, integritet, autentifikacija i Neporicanje

Naruen bilo koji atribut => backup linkRaspoloivost najvei ponderCISCO event, 21. 11. 2007. g. Sluba za opte i zajednike poslove pokrajinskih organa

Zatita od prislukivanja saobraaja od strane korisnika mreeZatita od prislukivanja prenosnih putevaZatitu od prislikivanja kablova mogue je izvesti samo u sopstvenim objektima tj. na lokalnim mreama.Na WAN vezama, koje se realizuju iznajmljivanjem servisa od telekomunikacionog operatera, nije mogue kontrolisati ni kablove, ni razdelnike na kojima oni zavravaju, niti drugu opremu koja se koristi za ostvarivanje datog servisa.

Opasnosti i mere zatitePrislukivanje saobraaja


Potrebno je obezbediti:Tajnost informacija (spreavanje otkrivanja sadraja).Integritet informacija (spreavanje neovlaene izmene informacija).Autentinost informacija (definisanje i provera identiteta poiljaoca).

Opasnosti i mere zatitePrislukivanje saobraaja


Kriptografske metode i mehanizmi javnog i tajnog kljua.Digitalni potpisDigitalni sertifikati CA - certificate authorityOpasnosti i mere zatitePrislukivanje saobraaja

U Izvrnom Veu smo, za potrebe provere identiteta prilikom upotrebe wireless prenosnih puteva, podigli vlastiti CA server.CISCO event, 21. 11. 2007. g. Sluba za opte i zajednike poslove pokrajinskih organa

protokol koji je razvila firma Netscapepredstavlja najee korien metod za obavljanje sigurnih transakcija na mreiradi na transportnom sloju neposredno iznad TCP. To znai da SSL mogu koristiti svi protokoli aplikacionog nivoa koji za transport imaju TCPhttp (https), ftp, smtp, pop3, imap i drugiOpasnosti i mere zatiteSSL Security Socket Layer


Fiziki nadzorSoftverski nadzorOpasnosti i mere zatiteNadzor i upravljanje mreom


nadzor video kamerama.Opasnosti i mere zatiteFiziki nadzor nad objektima, prostorijama i ureajimaU Izvrnom Veu je upravo u toku tenderski postupak za Video nadzor. Njime su pokrivena sva vorita i kljuna mesta ranarske mree.CISCO event, 21. 11. 2007. g. Sluba za opte i zajednike poslove pokrajinskih organa

Vri se komunikacija upravljake stanice sa upravljanim ureajima,Prikupljaju se i prezentuju podaciVri se vizuelni prikaz mree,Vri se analiziranje mrenog saobraajaVri se praenje rada sistemaOpasnosti i mere zatiteSoftverski nadzor ureaja Pretpostavlja se mogunost udaljenog nadzora i upravljanja nad bitnim ureajimaLanManagementSystem, Cisco WorksMRTGSNMPCISCO event, 21. 11. 2007. g. Sluba za opte i zajednike poslove pokrajinskih organa

Tehnike mereNormativno ureenjeOpasnosti i mere zatiteZatita raunarske mree i informacionog sistema u celiniPravilnik o ponaanju u raunarskoj mrei pri korienju informatikih resursaCISCO event, 21. 11. 2007. g. Sluba za opte i zajednike poslove pokrajinskih organa

Opasnosti i mere zatiteZatita od glodaraZatita od poplaveZatita od poara...Ovo svakako nisu poslovi kojima e se baviti sistem inenjer. Njegov zadatak je da pobroji mogue opasnosti, na pogodan nain ih prezentuje pretpostavljenima i sugerie reenje.

Bavi se bezbednou informacionog sistema u uem smislu.

FirewallACLsVPNSSL...CISCO event, 21. 11. 2007. g. Sluba za opte i zajednike poslove pokrajinskih organa

HVALA NA PANJI [email protected]+381 21 487-4699CISCO event, 21. 11. 2007. g. Sluba za opte i zajednike poslove pokrajinskih organa

Documents

Bezbednost Računarskih Mreža DjordjeSmiljanić