Bezbednost računarskih mreža- opšti principi -

Đorđe Smiljanić, dipl. Ing.CCNA & Cisco Inforamtion Security SpecialistSavetnik za računarske mreže i sistemski sofverSlužba za opšte i zajedničke poslove pokrajinskih organa

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

Atributi bezbednosti

•Raspoloživost•Poverljivost•Integritet•Autentifikacija•Neporicanje

Ako je bilo koji atribut ocenjen negativno bezbednost je dovedena u pitanje!

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

Opasnosti i mere zaštite

• Zabrana pristupa neovlašćenim licima komunikacionoj opremi

• postavljanje distibutivnih ormana sa ključem

• zaključavanje komunikacionih prostorija...

• Dobra praksa za pristup opremi je kombinacija:– Čitača ID kartica– Video nadzora– Alarmnog sistema

Fizički pristup uređajima

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

• Zaštita uređaja od prenapona u mreži za napajanje

• Zaštita uređaja od prenapona u komunikacionim linijama

Opasnosti i mere zaštite

Opasnost od prenapona

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

• Hlađenje prostorija• Nezapaljivi materijali• Materijali koji prilikom gorenja

oslobađaju malu količinu dima• Detektori• Javljači požara• Automatsko gašenje požara• Poštovanje standarda

Opasnosti i mere zaštite

Opasnost od požara

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

• Poštovati standarde prilikom izbora prostorije za čvorišta

• Sistemi detekcije• Aktiviranje pumpi automatski• Isključivanje napona

Opasnosti i mere zaštite

Opasnost od poplave

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

Opasnosti i mere zaštite

Opasnost od glodara

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

• Zlonamerni zaposleni• Bivši zaposleni• Jednostavne ljudske greške

Opasnosti i mere zaštite

Ljudski faktor

Čak do 90% uspešnih upada u sistem ostvaruje se iznutra!

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

• Neprekidno napajanje (UPS)

Opasnosti i mere zaštite

Oscilacije napona napajana

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

Zadaci :• Ažurnost antivirusnih baza na svim računarima• Konfigurisanje antivirusnog paketa• Praćenje otkivenih bezbednosnih rupa i

instaliranje zakrpa (patch)• Integracija sa drugim oblicima zaštite (firewall)• Informisanje korisnika i stvaranje svesti o

opasnostima i bezbednom ponašanju• Izbor pouzdanog proizvođača antivirusnih

programa

Opasnosti i mere zaštite

Opasnost od računarskih virusa

SOPHOS

• Nosioc antivirusne zaštite

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

• Normalni bekap• Diferencijalni bekap• Inkrementalni bekap

Opasnosti i mere zaštite

Gubitak podataka usled havarije

U Izvršnom Veću je u toku tenderski postupak za nabavku bekap sistema.

U okviru bezbednosnih procedura neophodno je definisati strategiju bekapa.

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

Opasnosti i mere zaštite

Bezbednosne polise Bezbednosne procedure Bezbednosna praksa

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

• Polisa je dokumentovan globalni plan za sigurnost računara i informacija na nivou organizacije. Ona obezbeđuje okvir za donošenje specifičnih odluka, kao što su: koji odbrambeni mehanizmi se koriste, kako se konfigurišu servisi, a predstavlja i osnovu za razvoj preporuka za programere i procedura za administratore i korisnike. Pošto je bezbedonosna polisa dugoročni dokument, iz njegovog sadržaja treba izostaviti detalje specifične za određene tehnologije.

Opasnosti i mere zaštite

Bezbednosne polise

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

• Procedure se zasnivaju na bezbednosnoj polisi i predstavljaju konkretne aktivnosti – propisane korake koje treba izvršavati.

Opasnosti i mere zaštite

Bezbednosne procedure

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

• Na internetu se mogu naći liste preporučenih koraka - chacklists

Opasnosti i mere zaštite

Bezbednosna praksa

Bezbednosne polise => bezbednosne procedure => bezbednosna praksa

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

• obezbediti da svaki nalog ima lozinku i da su lozinke teške za razbijanje, preporučuje se korišćenje jednokratnih lozinki, podsticati ili zahtevati od zaposlenih da koriste lozinke koje nisu očigledne i jednostavne.

• proveravati ažurnost antivirusne zaštite • edukovati zaposlene o bezbedonosnim rizicima• implementirati kompletnu i sveobuhvatnu zaštitu računarske mreže• periodično procenjivati i proveravati bezbedonosno stanje računarske mreže• redovno proveravati kod proizvođača da li su objavljene nove zakrpe (patch) i primenjivati

zakrpe i unapređenja• koristiti jake enkripcione tehnike i redovno proveravati intergitet softvera• koristiti bezbedne tehnike programiranja pri pisanju softvera • biti oprezni pri korišćenju i konfigurisanju mreže, po objavljivanju novootkrivenih slabosti

korišćenih sistema adekvatno promeniti konfiguraciju• redovno proveravati on-line arhive na temu bezbednosti• voditi evidenciju korišćenja korisničkih naloga i sistemskih događaja (auditing) i proveravati

redovno sistemske log fajlove• Kada zaposleni napusti kompaniju ukinuti odmah prava pristupa mreži.• Ne pokretati ni jedan nepotreban mrežni servis.

Opasnosti i mere zaštite

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

Opasnosti i mere zaštite

Opasnost od upada sa Interneta ili WAN linkova

Cisco Adaptive Security Appliance

• Firewall sistem + ostale bezbednosne tehnike

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

Opasnosti i mere zaštite

• Osnovne i napredne access liste za kontrolu pristupa – prolaza• Dinamičke access control liste• Vremenski bazirane access control liste• Policy bazirana kontrola pristupa• Kontrola pristupa na osnovu sadržaja• Blokiranje java i ActiveX apleta• Translacija mrežnih adresa• Translacija i mapiranje portova• Detekcija upada i pokušaja upada u sistem• Autentifikacija i autorizacija (AA – putem TACACS i RADIUS protokola)• Upozorenja (alerti) i logovanje u realnom vremenu• DOS detekcija i odbrana• Kriptovanje (DES, 3DES, AES)• podrška za kvalitet servisa• Autentifikacija rutera

Mogućnosti firewall-a

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

• Povezivanje udaljenih lokacija u jedinstvenu mrežu• Digitalne veze i telekomunikacioni operateri• Postojeći Internet provajderi, i VPN• Prisluškivanje

• IPSEC (IP Security)• PPTP (Point to Point Tunneling protocol)• Metode kriptovanja bazirane na sistemima javnog i tajnog ključa

– MPPE (Microsoft Point to Point Encryption),– DES (Data Encryption Standard) i 3DES (trostruki DES),– AES (Advanced Encryption Standard),– IDEA (International Data Encryption Algorithmm) i– RSA/DSA (Digital Signature Algorithm) za kriptovanje javnog ključa

VPN

VPN obezbeđuje da se delovi mreže ponašaju kao da su u jedinstvenoj LAN mreži. To se postiže tehnikama tuneliranja.

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

Opasnosti i mere zaštite

Prekid WAN linkova • Backup linkovi• atributi sigurnosti:

– raspoloživost, – poverljivost, – integritet, – autentifikacija i – Neporicanje

• Narušen bilo koji atribut => backup link• Raspoloživost – najveći ponder

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

• Zaštita od prisluškivanja saobraćaja od strane korisnika mreže

• Zaštita od prisluškivanja prenosnih puteva– Zaštitu od prisliškivanja kablova moguće je izvesti

samo u sopstvenim objektima tj. na lokalnim mrežama.

– Na WAN vezama, koje se realizuju iznajmljivanjem servisa od telekomunikacionog operatera, nije moguće kontrolisati ni kablove, ni razdelnike na kojima oni završavaju, niti drugu opremu koja se koristi za ostvarivanje datog servisa.

Opasnosti i mere zaštite

Prisluškivanje saobraćaja

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

Potrebno je obezbediti:• Tajnost informacija (sprečavanje

otkrivanja sadržaja).• Integritet informacija (sprečavanje

neovlašćene izmene informacija).• Autentičnost informacija (definisanje i

provera identiteta pošiljaoca).

Opasnosti i mere zaštite

Prisluškivanje saobraćaja

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

• Kriptografske metode i mehanizmi javnog i tajnog ključa.

• Digitalni potpis• Digitalni sertifikati • CA - certificate authority

Opasnosti i mere zaštite

Prisluškivanje saobraćaja

U Izvršnom Veću smo, za potrebe provere identiteta prilikom upotrebe wireless prenosnih puteva, podigli vlastiti CA server.

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

• protokol koji je razvila firma Netscape• predstavlja najčešće korišćen metod za

obavljanje sigurnih transakcija na mreži

• radi na transportnom sloju neposredno iznad TCP. To znači da SSL mogu koristiti svi protokoli aplikacionog nivoa koji za transport imaju TCP

• http (https), ftp, smtp, pop3, imap i drugi

Opasnosti i mere zaštite

SSL – Security Socket Layer

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

• Fizički nadzor• Softverski nadzor

Opasnosti i mere zaštite

Nadzor i upravljanje mrežom

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

• nadzor video kamerama.

Opasnosti i mere zaštite

Fizički nadzor nad objektima, prostorijama i uređajima

U Izvršnom Veću je upravo u toku tenderski postupak za Video nadzor. Njime su pokrivena sva čvorišta i ključna mesta račnarske mreže.

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

• Vrši se komunikacija upravljačke stanice sa upravljanim uređajima,

• Prikupljaju se i prezentuju podaci• Vrši se vizuelni prikaz mreže,• Vrši se analiziranje mrežnog

saobraćaja• Vrši se praćenje rada sistema

Opasnosti i mere zaštite

Softverski nadzor uređaja Pretpostavlja se mogućnost udaljenog nadzora i upravljanja nad bitnim uređajima

LanManagementSystem, Cisco Works

MRTG SNMP

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

• Tehničke mere• Normativno uređenje

Opasnosti i mere zaštite

Zaštita računarske mreže i informacionog sistema u celini

Pravilnik o ponašanju u računarskoj mreži pri korišćenju informatičkih resursa

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

Opasnosti i mere zaštite

Zaštita od glodara Zaštita od poplave Zaštita od požara ...

Ovo svakako nisu poslovi kojima će se baviti sistem inženjer. Njegov zadatak je da pobroji moguće opasnosti, na pogodan način ih prezentuje pretpostavljenima i sugeriše rešenje.

Bavi se bezbednošću informacionog sistema u užem smislu.

Firewall ACLs VPN SSL ...

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa

HVALA NA PAŽNJI

djordje.smiljanic@vojvodina.sr.gov.yu+381 21 487-4699

CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa