Upload
trevor-camacho
View
120
Download
0
Embed Size (px)
DESCRIPTION
Bezbednost računarskih mreža - opšti principi -. Đorđe Smiljanić, dipl. Ing. CCNA & Cisco Inforamtion Security Specialist Savetnik za računarske mreže i sistemski sofver Služba za opšte i zajedničke poslove pokrajinskih organa. Atributi bezbednosti. Raspoloživost Poverljivost Integritet - PowerPoint PPT Presentation
Citation preview
Bezbednost računarskih mreža- opšti principi -
Đorđe Smiljanić, dipl. Ing.CCNA & Cisco Inforamtion Security SpecialistSavetnik za računarske mreže i sistemski sofverSlužba za opšte i zajedničke poslove pokrajinskih organa
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Atributi bezbednosti
•Raspoloživost•Poverljivost•Integritet•Autentifikacija•Neporicanje
Ako je bilo koji atribut ocenjen negativno bezbednost je dovedena u pitanje!
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite
• Zabrana pristupa neovlašćenim licima komunikacionoj opremi
• postavljanje distibutivnih ormana sa ključem
• zaključavanje komunikacionih prostorija...
• Dobra praksa za pristup opremi je kombinacija:– Čitača ID kartica– Video nadzora– Alarmnog sistema
Fizički pristup uređajima
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
• Zaštita uređaja od prenapona u mreži za napajanje
• Zaštita uređaja od prenapona u komunikacionim linijama
Opasnosti i mere zaštite
Opasnost od prenapona
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
• Hlađenje prostorija• Nezapaljivi materijali• Materijali koji prilikom gorenja
oslobađaju malu količinu dima• Detektori• Javljači požara• Automatsko gašenje požara• Poštovanje standarda
Opasnosti i mere zaštite
Opasnost od požara
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
• Poštovati standarde prilikom izbora prostorije za čvorišta
• Sistemi detekcije• Aktiviranje pumpi automatski• Isključivanje napona
Opasnosti i mere zaštite
Opasnost od poplave
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite
Opasnost od glodara
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
• Zlonamerni zaposleni• Bivši zaposleni• Jednostavne ljudske greške
Opasnosti i mere zaštite
Ljudski faktor
Čak do 90% uspešnih upada u sistem ostvaruje se iznutra!
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
• Neprekidno napajanje (UPS)
Opasnosti i mere zaštite
Oscilacije napona napajana
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Zadaci :• Ažurnost antivirusnih baza na svim računarima• Konfigurisanje antivirusnog paketa• Praćenje otkivenih bezbednosnih rupa i
instaliranje zakrpa (patch)• Integracija sa drugim oblicima zaštite (firewall)• Informisanje korisnika i stvaranje svesti o
opasnostima i bezbednom ponašanju• Izbor pouzdanog proizvođača antivirusnih
programa
Opasnosti i mere zaštite
Opasnost od računarskih virusa
SOPHOS
• Nosioc antivirusne zaštite
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
• Normalni bekap• Diferencijalni bekap• Inkrementalni bekap
Opasnosti i mere zaštite
Gubitak podataka usled havarije
U Izvršnom Veću je u toku tenderski postupak za nabavku bekap sistema.
U okviru bezbednosnih procedura neophodno je definisati strategiju bekapa.
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite
Bezbednosne polise Bezbednosne procedure Bezbednosna praksa
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
• Polisa je dokumentovan globalni plan za sigurnost računara i informacija na nivou organizacije. Ona obezbeđuje okvir za donošenje specifičnih odluka, kao što su: koji odbrambeni mehanizmi se koriste, kako se konfigurišu servisi, a predstavlja i osnovu za razvoj preporuka za programere i procedura za administratore i korisnike. Pošto je bezbedonosna polisa dugoročni dokument, iz njegovog sadržaja treba izostaviti detalje specifične za određene tehnologije.
Opasnosti i mere zaštite
Bezbednosne polise
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
• Procedure se zasnivaju na bezbednosnoj polisi i predstavljaju konkretne aktivnosti – propisane korake koje treba izvršavati.
Opasnosti i mere zaštite
Bezbednosne procedure
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
• Na internetu se mogu naći liste preporučenih koraka - chacklists
Opasnosti i mere zaštite
Bezbednosna praksa
Bezbednosne polise => bezbednosne procedure => bezbednosna praksa
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
• obezbediti da svaki nalog ima lozinku i da su lozinke teške za razbijanje, preporučuje se korišćenje jednokratnih lozinki, podsticati ili zahtevati od zaposlenih da koriste lozinke koje nisu očigledne i jednostavne.
• proveravati ažurnost antivirusne zaštite • edukovati zaposlene o bezbedonosnim rizicima• implementirati kompletnu i sveobuhvatnu zaštitu računarske mreže• periodično procenjivati i proveravati bezbedonosno stanje računarske mreže• redovno proveravati kod proizvođača da li su objavljene nove zakrpe (patch) i primenjivati
zakrpe i unapređenja• koristiti jake enkripcione tehnike i redovno proveravati intergitet softvera• koristiti bezbedne tehnike programiranja pri pisanju softvera • biti oprezni pri korišćenju i konfigurisanju mreže, po objavljivanju novootkrivenih slabosti
korišćenih sistema adekvatno promeniti konfiguraciju• redovno proveravati on-line arhive na temu bezbednosti• voditi evidenciju korišćenja korisničkih naloga i sistemskih događaja (auditing) i proveravati
redovno sistemske log fajlove• Kada zaposleni napusti kompaniju ukinuti odmah prava pristupa mreži.• Ne pokretati ni jedan nepotreban mrežni servis.
Opasnosti i mere zaštite
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite
Opasnost od upada sa Interneta ili WAN linkova
Cisco Adaptive Security Appliance
• Firewall sistem + ostale bezbednosne tehnike
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite
• Osnovne i napredne access liste za kontrolu pristupa – prolaza• Dinamičke access control liste• Vremenski bazirane access control liste• Policy bazirana kontrola pristupa• Kontrola pristupa na osnovu sadržaja• Blokiranje java i ActiveX apleta• Translacija mrežnih adresa• Translacija i mapiranje portova• Detekcija upada i pokušaja upada u sistem• Autentifikacija i autorizacija (AA – putem TACACS i RADIUS protokola)• Upozorenja (alerti) i logovanje u realnom vremenu• DOS detekcija i odbrana• Kriptovanje (DES, 3DES, AES)• podrška za kvalitet servisa• Autentifikacija rutera
Mogućnosti firewall-a
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
• Povezivanje udaljenih lokacija u jedinstvenu mrežu• Digitalne veze i telekomunikacioni operateri• Postojeći Internet provajderi, i VPN• Prisluškivanje
• IPSEC (IP Security)• PPTP (Point to Point Tunneling protocol)• Metode kriptovanja bazirane na sistemima javnog i tajnog ključa
– MPPE (Microsoft Point to Point Encryption),– DES (Data Encryption Standard) i 3DES (trostruki DES),– AES (Advanced Encryption Standard),– IDEA (International Data Encryption Algorithmm) i– RSA/DSA (Digital Signature Algorithm) za kriptovanje javnog ključa
VPN
VPN obezbeđuje da se delovi mreže ponašaju kao da su u jedinstvenoj LAN mreži. To se postiže tehnikama tuneliranja.
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite
Prekid WAN linkova • Backup linkovi• atributi sigurnosti:
– raspoloživost, – poverljivost, – integritet, – autentifikacija i – Neporicanje
• Narušen bilo koji atribut => backup link• Raspoloživost – najveći ponder
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
• Zaštita od prisluškivanja saobraćaja od strane korisnika mreže
• Zaštita od prisluškivanja prenosnih puteva– Zaštitu od prisliškivanja kablova moguće je izvesti
samo u sopstvenim objektima tj. na lokalnim mrežama.
– Na WAN vezama, koje se realizuju iznajmljivanjem servisa od telekomunikacionog operatera, nije moguće kontrolisati ni kablove, ni razdelnike na kojima oni završavaju, niti drugu opremu koja se koristi za ostvarivanje datog servisa.
Opasnosti i mere zaštite
Prisluškivanje saobraćaja
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Potrebno je obezbediti:• Tajnost informacija (sprečavanje
otkrivanja sadržaja).• Integritet informacija (sprečavanje
neovlašćene izmene informacija).• Autentičnost informacija (definisanje i
provera identiteta pošiljaoca).
Opasnosti i mere zaštite
Prisluškivanje saobraćaja
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
• Kriptografske metode i mehanizmi javnog i tajnog ključa.
• Digitalni potpis• Digitalni sertifikati • CA - certificate authority
Opasnosti i mere zaštite
Prisluškivanje saobraćaja
U Izvršnom Veću smo, za potrebe provere identiteta prilikom upotrebe wireless prenosnih puteva, podigli vlastiti CA server.
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
• protokol koji je razvila firma Netscape• predstavlja najčešće korišćen metod za
obavljanje sigurnih transakcija na mreži
• radi na transportnom sloju neposredno iznad TCP. To znači da SSL mogu koristiti svi protokoli aplikacionog nivoa koji za transport imaju TCP
• http (https), ftp, smtp, pop3, imap i drugi
Opasnosti i mere zaštite
SSL – Security Socket Layer
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
• Fizički nadzor• Softverski nadzor
Opasnosti i mere zaštite
Nadzor i upravljanje mrežom
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
• nadzor video kamerama.
Opasnosti i mere zaštite
Fizički nadzor nad objektima, prostorijama i uređajima
U Izvršnom Veću je upravo u toku tenderski postupak za Video nadzor. Njime su pokrivena sva čvorišta i ključna mesta račnarske mreže.
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
• Vrši se komunikacija upravljačke stanice sa upravljanim uređajima,
• Prikupljaju se i prezentuju podaci• Vrši se vizuelni prikaz mreže,• Vrši se analiziranje mrežnog
saobraćaja• Vrši se praćenje rada sistema
Opasnosti i mere zaštite
Softverski nadzor uređaja Pretpostavlja se mogućnost udaljenog nadzora i upravljanja nad bitnim uređajima
LanManagementSystem, Cisco Works
MRTG SNMP
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
• Tehničke mere• Normativno uređenje
Opasnosti i mere zaštite
Zaštita računarske mreže i informacionog sistema u celini
Pravilnik o ponašanju u računarskoj mreži pri korišćenju informatičkih resursa
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite
Zaštita od glodara Zaštita od poplave Zaštita od požara ...
Ovo svakako nisu poslovi kojima će se baviti sistem inženjer. Njegov zadatak je da pobroji moguće opasnosti, na pogodan način ih prezentuje pretpostavljenima i sugeriše rešenje.
Bavi se bezbednošću informacionog sistema u užem smislu.
Firewall ACLs VPN SSL ...
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
HVALA NA PAŽNJI
[email protected]+381 21 487-4699
CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa