BOF Ntskerhet Segmentering av ntfirewallexponering Autenticering Avlyssningkryptering kom
BOF - Nätsäkerhet -Segmentering av nät/firewall/exponering -Autenticering -Avlyssning/kryptering – kom vi inte att prata mycket om. SUSEC/Kalmar 26 april 06 1
Innan – Ropen skalla ”Internet till alla” Nu – Nätet stödja verksamheten Segmentering Nätdesign (VLAN) efter datorers uppgift, inte tvunget organisationsstyrt Klienter/webservrar/skrivare – olika behov av nätkoppling, externt åtkommliga etc. SUSEC/Kalmar 26 april 06 2
Exponering. Ej uppkoppling utifrån mot ”normala” datorer. Många har/håller på att blockera uppkopplingar. -Om uppgiften kräver att datorn är nåbar utifrån – då skall den vara det. - Om uppgiften inte kräver att den är nåbar utifrån då skall den inte vara det. - Klienter – klienter? Behövs detta? - P 2 P? SUSEC/Kalmar 26 april 06 3
Exponering/Segmentering/Nätuppdelning kräver kunskap och närvaro i verksamheten, kan inte ske allför centralt. Lättare på små lärosäten med färre driftställen och tätare kontakter. Motivering, möjlighet. ”Ordning och reda” Vilka resurser har/erbjuder myndigheten mot omvärlden? SUSEC/Kalmar 26 april 06 4
Segmentering. Ett VLAN/dator: (nästan) all trafik skall ändå routas, varför skall man switcha i korridoren? Koax-arv, tradition. Stadsnät byggs med VLAN/kund - ger avlyssningssäkrare nät. Muxar i stället för switchar! Ekonomihögskolan i Lund gjorde ett försök, men hade inte switchar som klarade många VLAN. SUSEC/Kalmar 26 april 06 5
Säkra nät? Räcker inte – ens om dom finns. Patchning, antivirus, säkra installationer (avst tjänster, kryperade inloggningar …. ) SUSEC/Kalmar 26 april 06 6
Det goda exemplet GU (m fl) – erbjuder centrala tjänster ”gratis”. Förhoppningen är att dessa tjänster skall vara så bra att prefekter inte vill betala för att använda en sämre lokal lösning! LUDD i Lund är ett liknande erbjudande. Bromsas av tradition, NIH, personalproblematik, akademisk frihet, tron att man är speciell SUSEC/Kalmar 26 april 06 7
Autenticering Av datorer 802. 1 x (dottetteks) WLAN-teknik – funkar kanske dåligt på tråd. Karantännät. GU har ett nät där man enbart får begränsad access innan man laddar ner en klient som kontrollerar säkerheten på datorn (patch/antivirus/…) I homogena nät kan man automatiskt kolla/rensa datorer innan de får access. SUSEC/Kalmar 26 april 06 8
Autenticering Till speciella resurser (VPN – men internet) Halmstad "Low-tek" lösning till en MS-SQL server - Billig dator + linux + iptables mellan Internet och resursen - Web-sida där man authenticerar sig och öppnar - Detta IP-nummer har sedan access en viss tid till denna tjänst. Websida, 30 -40 rader perl-script, linux, iptables. Magnus. Moren@cite. hh. se SUSEC/Kalmar 26 april 06 9
Policy Skydd mot bus utifrån – ”fysiska skydd”, FW, segmentering, block. . . Skydd mot bus innifrån – samma saker + Policy! Policy: Sunt förnuft på papper Policy som inte är förankrad och accepterad blir bara att inlägg i debatten. SUSEC/Kalmar 26 april 06 10
Policy Inte bara ”skall vara ledande …” Utan också budord: Du skall. . - inte koppla in egen utrustning på nätet - se till att institutionens datorer servas. - se till att institutionens utrustning inte (för)stör för andra inom eller utom universitetet. IT är daglig och väsentlig verksamhet. Den får inte riskeras med slarv, ignorans, okunnighet eller dumhet. SUSEC/Kalmar 26 april 06 11
- Slides: 11