FIZIKAI BIZTONSG MAXIMLIS FIZIKAI BIZTONSG CGEKNL A lthatan
FIZIKAI BIZTONSÁG
MAXIMÁLIS FIZIKAI BIZTONSÁG CÉGEKNÉL A láthatóan gyenge minőségű zárszerkezetek növelik a betörések motiváltságát. Biztonságos, zárható, riasztóval ellátott épület és szerverterem. Az épületbe és a terembe a belépések naplózása (külön riasztókód a jogosultaknak). Tervezésnél gondoljuk végig, hogyan jutnánk be, ha elvesztenénk a kulcsot: gyenge ajtók, gipszkartonfal, pince. . . A tervezés során gondoljuk át, hogyan juthatna be valaki, amennyiben lehallgató készüléket akarna felszerelni: tetőtér. . . Tervezéskor gondoljuk meg, miként jutnánk ki, ha tűz ütne ki: csak belülről oldható rácsok az ablakon, zárak az ajtón… Vasbeton épületszerkezethez (falhoz, padlóhoz) szegecselt számítógépház, avagy a beépített rackszekrény lelakatolása. Az épület ablakain, ajtajain elhelyezett rácsok, zárak csökkentik a betörések esélyét.
MAXIMÁLIS FIZIKAI BIZTONSÁG CÉGEKNÉL Zárható számítógépház, ha ez nem adott, akkor olyan szekrénybe, beépítőkeretbe helyezni, ami zárható. Saját kikeverésű és „egyedi” színű festékkel bekent csavarok a házon, nyitásra szakadó matricák használata, hogy látszódjék, ha valaki eltávolította a fedlapot. A publikus adatokat tároló gép fizikai különválasztása a titkos adatokat tartalmazótól. A kulcsok, pótkulcsok biztonságos helyen való tárolása. Ide értendő a papíron rögzített jelszó is. Mobil gépek esetén Kensington zár alkalmazása.
MINIMÁLIS FIZIKAI BIZTONSÁG CÉGEKNÉL Minimális fizikai biztonság Ha a fentiek nem megvalósíthatók, akkor az összes fontos adatot lehetőleg titkosított fájlrendszerrel ellátott, hordozható winchesteren kívánatos tárolni, és a munkaidő végén biztonságos helyre célszerű elszállítani. Ha olyan helyen dolgozunk, amit munka közben többször őrizetlenül szoktunk hagyni, akkor érdemes kulccsal zárható mobilracket választani.
FIZIKAI VÉDELEM OTTHON A lakás védelme. Odafigyelés: a kulcs és a lakcím ne legyen könnyen összekapcsolható.
ÁRAMELLÁTÁS CÉGEKNÉL Szünetmentes tápegységekkel, aggregátorokkal, villám- és túláramvédelemmel
ÁRAMELLÁTÁS OTTHON túláramvédelem, esetleg szünetmentes tápegység .
HARDVERES BIZTONSÁG Hardveres biztonsági védelem hardverkulcs segítségével. TCG (régebbi nevén TCPA), chipkártya, USB token.
OPERÁCIÓS RENDSZEREK VÉDELME CÉGEKNÉL Bootolás védelme A hardverkulcsos, chipkártyás számítógépházak további akadályt jelenthetnek az illetéktelenek számára. BIOS jelszó alkalmazása oly módon, hogy a gép csak a rendszerlemezről induljon. Ha nincs lezárva a számítógépház, csak elrettentésnek jó, védelmet nem nyújt. Ha le van zárva a számítógépház, akkor is törhető, csak a támadónak ismernie kell a gyári kódot. A bootloadert védjük jelszóval, és csak akkor használjunk 'restricted' opciót, ha a folyamatos áramellátás nem biztosított. Erősítsük meg a kernelt biztonságot növelő patchekkel (Grsecurity, Pa. X, SELinux, RSBAC, App. Armor. . . ). Használjunk titkosított merevlemezeket Használjunk integritásvédelmet (tripwire). Használjunk féreg- (rootkit, trójai, spyware, vírus. . . ) kereső, -irtó és védőprogramokat (rkhunter, Clam. AV. . . ). Mindennapos munkánk során ne használjuk rendszergazdai üzemmódban rendszereinket.
OPERÁCIÓS RENDSZEREK VÉDELME CÉGEKNÉL Használjunk biztonságos jelszavakat, amelyek legyenek: nehezen törhetőek, könnyen megjegyezhetőek (pwgen), gyorsan és leleshetetlenül gépelhetőek. Ha munka közben őrizetlenül szoktuk hagyni számítógépünket, használjunk azonnal indítható jelszavas képernyővédőt, vagy egyéb jelszóval védhető munkaterület-zárolást. Használjunk a rendszer védelmét növelő, illetve sebezhetőségét vizsgáló programokat: bastille, nessus, tiger, nmap, logcheck, checksecurity. Sohase használjunk megbízhatatlan forrásból (tehát nem a disztribúció csomagbázisából vagy az adott program fejlesztőitől) származó programforrásokat, binárisokat, csomagokat. Időzítsük a disztribúciófrissítést minél gyakoribbra. Tegyük biztonságossá a swaphasználatot (Biztonságos swap).
OPERÁCIÓS RENDSZEREK VÉDELME OTTHON Használjunk féreg- (rootkit, trójai, spyware, vírus. . . ) kereső, -irtó és védőprogramokat (rkhunter, Clam. AV. . . ). Mindennapos munkánk során otthon se használjuk rendszergazdai üzemmódban rendszereinket. Használjunk biztonságos jelszavakat, amelyek legyenek: nehezen törhetőek könnyen megjegyezhetőek (pwgen), gyorsan és leleshetetlenül gépelhetőek. Sohase használjunk megbízhatatlan forrásból (tehát nem a disztribúció csomagbázisából vagy az adott program fejlesztőitől) származó programforrásokat, binárisokat, csomagokat. Használjuk az automatikus frissítést.
INTERNETET HASZNÁLÓ ALKALMAZÁSOK VÉDELME CÉGEKNÉL Használjunk állapottartó csomagszűrő és alkalmazásszintű (proxy) tűzfalakat. Használjunk titkosítást (SSL, SSH, IPsec stb. ) Használjunk behatolásérzékelő és védőmegoldásokat (psad, snort stb. ) vagy direkt honeypot (nagy pontosságú, korai veszélyjelző) rendszert.
INTERNETET HASZNÁLÓ ALKALMAZÁSOK VÉDELME OTTHON Használjunk különálló tűzfalakat. Beállításukat szakember végezze! VAGY Használjunk integrált vírus–kémprogramirtó és tűzfalprogramokat.
FÁJLOK, ADATOK, DOKUMENTUMOK VÉDELME CÉGEKNÉL Használjunk fájlrendszerkarbantartó programokat (fsck). Használjunk adatelpusztító programokat (pl. : wipe). Használjunk fájltitkosító programokat (PGP).
FÁJLOK, ADATOK, DOKUMENTUMOK VÉDELME OTTHON Használjuk az operációs rendszer fájlrendszer-karbantartó programjait. Semmisítsük meg a kidobott adathordozókat (Kérd szüleid segítségét, mert az adathordozók szennyezik a környezetet. ) Használjunk különböző felhasználói profilokat és elkülönülő tárhelyet a gépünkön.
- Slides: 15