Bezbednost raunarskih mrea opti principi ore Smiljani dipl
Bezbednost računarskih mreža - opšti principi Đorđe Smiljanić, dipl. Ing. CCNA & Cisco Inforamtion Security Specialist Savetnik za računarske mreže i sistemski sofver Služba za opšte i zajedničke poslove pokrajinskih organa CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Atributi bezbednosti • Raspoloživost • Poverljivost • Integritet • Autentifikacija • Neporicanje Ako je bilo koji atribut ocenjen negativno bezbednost je dovedena u pitanje! CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Fizički pristup uređajima • Zabrana pristupa neovlašćenim licima komunikacionoj opremi • postavljanje distibutivnih ormana sa ključem • zaključavanje komunikacionih prostorija. . . • Dobra praksa za pristup opremi je kombinacija: – Čitača ID kartica – Video nadzora – Alarmnog sistema CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Opasnost od prenapona CISCO event, 21. 11. 2007. g. • Zaštita uređaja od prenapona u mreži za napajanje • Zaštita uređaja od prenapona u komunikacionim linijama Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Opasnost od požara CISCO event, 21. 11. 2007. g. • Hlađenje prostorija • Nezapaljivi materijali • Materijali koji prilikom gorenja oslobađaju malu količinu dima • Detektori • Javljači požara • Automatsko gašenje požara • Poštovanje standarda Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Opasnost od poplave CISCO event, 21. 11. 2007. g. • Poštovati standarde prilikom izbora prostorije za čvorišta • Sistemi detekcije • Aktiviranje pumpi automatski • Isključivanje napona Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Opasnost od glodara CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Ljudski faktor • Zlonamerni zaposleni • Bivši zaposleni • Jednostavne ljudske greške Čak do 90% uspešnih upada u sistem ostvaruje se iznutra! CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Oscilacije napona napajana CISCO event, 21. 11. 2007. g. • Neprekidno napajanje (UPS) Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Opasnost od računarskih virusa SOPHOS CISCO event, 21. 11. 2007. g. • Nosioc antivirusne zaštite Zadaci : • Ažurnost antivirusnih baza na svim računarima • Konfigurisanje antivirusnog paketa • Praćenje otkivenih bezbednosnih rupa i instaliranje zakrpa (patch) • Integracija sa drugim oblicima zaštite (firewall) • Informisanje korisnika i stvaranje svesti o opasnostima i bezbednom ponašanju • Izbor pouzdanog proizvođača antivirusnih programa Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Gubitak podataka usled havarije • Normalni bekap • Diferencijalni bekap • Inkrementalni bekap U okviru bezbednosnih procedura neophodno je definisati strategiju bekapa. U Izvršnom Veću je u toku tenderski postupak za nabavku bekap sistema. CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Bezbednosne polise Ø Bezbednosne procedure Ø Bezbednosna praksa CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Bezbednosne polise CISCO event, 21. 11. 2007. g. • Polisa je dokumentovan globalni plan za sigurnost računara i informacija na nivou organizacije. Ona obezbeđuje okvir za donošenje specifičnih odluka, kao što su: koji odbrambeni mehanizmi se koriste, kako se konfigurišu servisi, a predstavlja i osnovu za razvoj preporuka za programere i procedura za administratore i korisnike. Pošto je bezbedonosna polisa dugoročni dokument, iz njegovog sadržaja treba izostaviti detalje specifične za određene tehnologije. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Bezbednosne procedure CISCO event, 21. 11. 2007. g. • Procedure se zasnivaju na bezbednosnoj polisi i predstavljaju konkretne aktivnosti – propisane korake koje treba izvršavati. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Bezbednosna praksa • Na internetu se mogu naći liste preporučenih koraka - chacklists Bezbednosne polise => bezbednosne procedure => bezbednosna praksa CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite • • • • obezbediti da svaki nalog ima lozinku i da su lozinke teške za razbijanje, preporučuje se korišćenje jednokratnih lozinki, podsticati ili zahtevati od zaposlenih da koriste lozinke koje nisu očigledne i jednostavne. proveravati ažurnost antivirusne zaštite edukovati zaposlene o bezbedonosnim rizicima implementirati kompletnu i sveobuhvatnu zaštitu računarske mreže periodično procenjivati i proveravati bezbedonosno stanje računarske mreže redovno proveravati kod proizvođača da li su objavljene nove zakrpe (patch) i primenjivati zakrpe i unapređenja koristiti jake enkripcione tehnike i redovno proveravati intergitet softvera koristiti bezbedne tehnike programiranja pri pisanju softvera biti oprezni pri korišćenju i konfigurisanju mreže, po objavljivanju novootkrivenih slabosti korišćenih sistema adekvatno promeniti konfiguraciju redovno proveravati on-line arhive na temu bezbednosti voditi evidenciju korišćenja korisničkih naloga i sistemskih događaja (auditing) i proveravati redovno sistemske log fajlove Kada zaposleni napusti kompaniju ukinuti odmah prava pristupa mreži. Ne pokretati ni jedan nepotreban mrežni servis. CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Opasnost od upada sa Interneta ili WAN linkova • Firewall sistem + ostale bezbednosne tehnike Cisco Adaptive Security Appliance CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Mogućnosti firewall-a • • • • Osnovne i napredne access liste za kontrolu pristupa – prolaza Dinamičke access control liste Vremenski bazirane access control liste Policy bazirana kontrola pristupa Kontrola pristupa na osnovu sadržaja Blokiranje java i Active. X apleta Translacija mrežnih adresa Translacija i mapiranje portova Detekcija upada i pokušaja upada u sistem Autentifikacija i autorizacija (AA – putem TACACS i RADIUS protokola) Upozorenja (alerti) i logovanje u realnom vremenu DOS detekcija i odbrana Kriptovanje (DES, 3 DES, AES) podrška za kvalitet servisa Autentifikacija rutera CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
VPN • • Povezivanje udaljenih lokacija u jedinstvenu mrežu Digitalne veze i telekomunikacioni operateri Postojeći Internet provajderi, i VPN Prisluškivanje • IPSEC (IP Security) • PPTP (Point to Point Tunneling protocol) • Metode kriptovanja bazirane na sistemima javnog i tajnog ključa – – – MPPE (Microsoft Point to Point Encryption), DES (Data Encryption Standard) i 3 DES (trostruki DES), AES (Advanced Encryption Standard), IDEA (International Data Encryption Algorithmm) i RSA/DSA (Digital Signature Algorithm) za kriptovanje javnog ključa VPN obezbeđuje da se delovi mreže ponašaju kao da su u jedinstvenoj LAN mreži. To se postiže tehnikama tuneliranja. CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Prekid WAN linkova • Backup linkovi • atributi sigurnosti: – – – raspoloživost, poverljivost, integritet, autentifikacija i Neporicanje • Narušen bilo koji atribut => backup link • Raspoloživost – najveći ponder CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Prisluškivanje saobraćaja • Zaštita od prisluškivanja saobraćaja od strane korisnika mreže • Zaštita od prisluškivanja prenosnih puteva – Zaštitu od prisliškivanja kablova moguće je izvesti samo u sopstvenim objektima tj. na lokalnim mrežama. – Na WAN vezama, koje se realizuju iznajmljivanjem servisa od telekomunikacionog operatera, nije moguće kontrolisati ni kablove, ni razdelnike na kojima oni završavaju, niti drugu opremu koja se koristi za ostvarivanje datog servisa. CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Prisluškivanje saobraćaja Potrebno je obezbediti: • Tajnost informacija (sprečavanje otkrivanja sadržaja). • Integritet informacija (sprečavanje neovlašćene izmene informacija). • Autentičnost informacija (definisanje i provera identiteta pošiljaoca). CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Prisluškivanje saobraćaja • Kriptografske metode i mehanizmi javnog i tajnog ključa. • Digitalni potpis • Digitalni sertifikati • CA - certificate authority U Izvršnom Veću smo, za potrebe provere identiteta prilikom upotrebe wireless prenosnih puteva, podigli vlastiti CA server. CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø SSL – Security Socket Layer CISCO event, 21. 11. 2007. g. • protokol koji je razvila firma Netscape • predstavlja najčešće korišćen metod za obavljanje sigurnih transakcija na mreži • radi na transportnom sloju neposredno iznad TCP. To znači da SSL mogu koristiti svi protokoli aplikacionog nivoa koji za transport imaju TCP • http (https), ftp, smtp, pop 3, imap i drugi Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Nadzor i upravljanje mrežom CISCO event, 21. 11. 2007. g. • Fizički nadzor • Softverski nadzor Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Fizički nadzor nad objektima, prostorijama i uređajima • nadzor video kamerama. U Izvršnom Veću je upravo u toku tenderski postupak za Video nadzor. Njime su pokrivena sva čvorišta i ključna mesta račnarske mreže. CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Softverski nadzor uređaja • Vrši se komunikacija upravljačke stanice sa upravljanim uređajima, Pretpostavlja se mogućnost udaljenog nadzora i upravljanja nad bitnim • Prikupljaju se i prezentuju podaci uređajima • Vrši se vizuelni prikaz mreže, • Vrši se analiziranje mrežnog saobraćaja • Vrši se praćenje rada sistema Lan. Management. System, Cisco Works SNMP MRTG CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Zaštita računarske mreže i informacionog sistema u celini • Tehničke mere • Normativno uređenje Pravilnik o ponašanju u računarskoj mreži pri korišćenju informatičkih resursa CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
Opasnosti i mere zaštite Ø Ø Ø Firewallod glodara Zaštita od poplave ACLs Zaštita od požara VPN. . . SSL. . . Bavi svakako Ovo se bezbednošću nisu poslovi informacionog kojima će se sistema baviti sistem u užeminženjer. smislu. Njegov zadatak je da pobroji moguće opasnosti, na pogodan način ih prezentuje pretpostavljenima i sugeriše rešenje. CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
HVALA NA PAŽNJI djordje. smiljanic@vojvodina. sr. gov. yu +381 21 487 -4699 CISCO event, 21. 11. 2007. g. Služba za opšte i zajedničke poslove pokrajinskih organa
- Slides: 30