Bezbednost racunarskih mreћa - opљti principi -

1
Bezbednost racunarskih mreža- opšti principi -

• Ðorde Smiljanic, dipl. Ing.
• CCNA Cisco Inforamtion Security Specialist
• Savetnik za racunarske mreže i sistemski sofver
• Služba za opšte i zajednicke poslove pokrajinskih
  organa

2
Atributi bezbednosti

• Raspoloživost
• Poverljivost
• Integritet
• Autentifikacija
• Neporicanje

Ako je bilo koji atribut ocenjen negativno
bezbednost je dovedena u pitanje!
CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
3
Opasnosti i mere zaštite

• Zabrana pristupa neovlašcenim licima
  komunikacionoj opremi
• postavljanje distibutivnih ormana sa kljucem
• zakljucavanje komunikacionih prostorija...
• Dobra praksa za pristup opremi je kombinacija
• Citaca ID kartica
• Video nadzora
• Alarmnog sistema

• Fizicki pristup uredajima

CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
4
Opasnosti i mere zaštite

• Zaštita uredaja od prenapona u mreži za napajanje
• Zaštita uredaja od prenapona u komunikacionim
  linijama

• Opasnost od prenapona

CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
5
Opasnosti i mere zaštite

• Hladenje prostorija
• Nezapaljivi materijali
• Materijali koji prilikom gorenja oslobadaju malu
  kolicinu dima
• Detektori
• Javljaci požara
• Automatsko gašenje požara
• Poštovanje standarda

• Opasnost od požara

CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
6
Opasnosti i mere zaštite

• Poštovati standarde prilikom izbora prostorije za
  cvorišta
• Sistemi detekcije
• Aktiviranje pumpi automatski
• Iskljucivanje napona

• Opasnost od poplave

CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
7
Opasnosti i mere zaštite

• Opasnost od glodara

CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
8
Opasnosti i mere zaštite

• Zlonamerni zaposleni
• Bivši zaposleni
• Jednostavne ljudske greške

• Ljudski faktor

Cak do 90 uspešnih upada u sistem ostvaruje se
iznutra!
CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
9
Opasnosti i mere zaštite

• Neprekidno napajanje (UPS)

• Oscilacije napona napajana

CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
10
Opasnosti i mere zaštite

• Opasnost od racunarskih virusa

• Nosioc antivirusne zaštite

SOPHOS

• Zadaci
• Ažurnost antivirusnih baza na svim racunarima
• Konfigurisanje antivirusnog paketa
• Pracenje otkivenih bezbednosnih rupa i
  instaliranje zakrpa (patch)
• Integracija sa drugim oblicima zaštite (firewall)
• Informisanje korisnika i stvaranje svesti o
  opasnostima i bezbednom ponašanju
• Izbor pouzdanog proizvodaca antivirusnih programa

CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
11
Opasnosti i mere zaštite

• Normalni bekap
• Diferencijalni bekap
• Inkrementalni bekap

• Gubitak podataka usled havarije

U okviru bezbednosnih procedura neophodno je
definisati strategiju bekapa.
U Izvršnom Vecu je u toku tenderski postupak za
nabavku bekap sistema.
CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
12
Opasnosti i mere zaštite

• Bezbednosne polise
• Bezbednosne procedure
• Bezbednosna praksa

CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
13
Opasnosti i mere zaštite

• Polisa je dokumentovan globalni plan za sigurnost
  racunara i informacija na nivou organizacije. Ona
  obezbeduje okvir za donošenje specificnih odluka,
  kao što su koji odbrambeni mehanizmi se koriste,
  kako se konfigurišu servisi, a predstavlja i
  osnovu za razvoj preporuka za programere i
  procedura za administratore i korisnike. Pošto je
  bezbedonosna polisa dugorocni dokument, iz
  njegovog sadržaja treba izostaviti detalje
  specificne za odredene tehnologije.

• Bezbednosne polise

CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
14
Opasnosti i mere zaštite

• Procedure se zasnivaju na bezbednosnoj polisi i
  predstavljaju konkretne aktivnosti propisane
  korake koje treba izvršavati.

• Bezbednosne procedure

CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
15
Opasnosti i mere zaštite

• Na internetu se mogu naci liste preporucenih
  koraka - chacklists

• Bezbednosna praksa

Bezbednosne polise gt bezbednosne procedure gt
bezbednosna praksa
CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
16
Opasnosti i mere zaštite

• obezbediti da svaki nalog ima lozinku i da su
  lozinke teške za razbijanje, preporucuje se
  korišcenje jednokratnih lozinki, podsticati ili
  zahtevati od zaposlenih da koriste lozinke koje
  nisu ocigledne i jednostavne.
• proveravati ažurnost antivirusne zaštite
• edukovati zaposlene o bezbedonosnim rizicima
• implementirati kompletnu i sveobuhvatnu zaštitu
  racunarske mreže
• periodicno procenjivati i proveravati
  bezbedonosno stanje racunarske mreže
• redovno proveravati kod proizvodaca da li su
  objavljene nove zakrpe (patch) i primenjivati
  zakrpe i unapredenja
• koristiti jake enkripcione tehnike i redovno
  proveravati intergitet softvera
• koristiti bezbedne tehnike programiranja pri
  pisanju softvera
• biti oprezni pri korišcenju i konfigurisanju
  mreže, po objavljivanju novootkrivenih slabosti
  korišcenih sistema adekvatno promeniti
  konfiguraciju
• redovno proveravati on-line arhive na temu
  bezbednosti
• voditi evidenciju korišcenja korisnickih naloga i
  sistemskih dogadaja (auditing) i proveravati
  redovno sistemske log fajlove
• Kada zaposleni napusti kompaniju ukinuti odmah
  prava pristupa mreži.
• Ne pokretati ni jedan nepotreban mrežni servis.

CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
17
Opasnosti i mere zaštite

• Opasnost od upada sa Interneta ili WAN linkova

• Firewall sistem ostale bezbednosne tehnike

Cisco Adaptive Security Appliance
CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
18
Opasnosti i mere zaštite

• Mogucnosti firewall-a

• Osnovne i napredne access liste za kontrolu
  pristupa prolaza
• Dinamicke access control liste
• Vremenski bazirane access control liste
• Policy bazirana kontrola pristupa
• Kontrola pristupa na osnovu sadržaja
• Blokiranje java i ActiveX apleta
• Translacija mrežnih adresa
• Translacija i mapiranje portova
• Detekcija upada i pokušaja upada u sistem
• Autentifikacija i autorizacija (AA putem TACACS
  i RADIUS protokola)
• Upozorenja (alerti) i logovanje u realnom vremenu
• DOS detekcija i odbrana
• Kriptovanje (DES, 3DES, AES)
• podrška za kvalitet servisa
• Autentifikacija rutera

CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
19

• VPN

• Povezivanje udaljenih lokacija u jedinstvenu
  mrežu
• Digitalne veze i telekomunikacioni operateri
• Postojeci Internet provajderi, i VPN
• Prisluškivanje
• IPSEC (IP Security)
• PPTP (Point to Point Tunneling protocol)
• Metode kriptovanja bazirane na sistemima javnog i
  tajnog kljuca
• MPPE (Microsoft Point to Point Encryption),
• DES (Data Encryption Standard) i 3DES (trostruki
  DES),
• AES (Advanced Encryption Standard),
• IDEA (International Data Encryption Algorithmm) i
• RSA/DSA (Digital Signature Algorithm) za
  kriptovanje javnog kljuca

VPN obezbeduje da se delovi mreže ponašaju kao da
su u jedinstvenoj LAN mreži. To se postiže
tehnikama tuneliranja.
CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
20
Opasnosti i mere zaštite

• Prekid WAN linkova

• Backup linkovi
• atributi sigurnosti
• raspoloživost,
• poverljivost,
• integritet,
• autentifikacija i
• Neporicanje
• Narušen bilo koji atribut gt backup link
• Raspoloživost najveci ponder

CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
21
Opasnosti i mere zaštite

• Zaštita od prisluškivanja saobracaja od strane
  korisnika mreže
• Zaštita od prisluškivanja prenosnih puteva
• Zaštitu od prisliškivanja kablova moguce je
  izvesti samo u sopstvenim objektima tj. na
  lokalnim mrežama.
• Na WAN vezama, koje se realizuju iznajmljivanjem
  servisa od telekomunikacionog operatera, nije
  moguce kontrolisati ni kablove, ni razdelnike na
  kojima oni završavaju, niti drugu opremu koja se
  koristi za ostvarivanje datog servisa.

• Prisluškivanje saobracaja

CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
22
Opasnosti i mere zaštite

• Potrebno je obezbediti
• Tajnost informacija (sprecavanje otkrivanja
  sadržaja).
• Integritet informacija (sprecavanje neovlašcene
  izmene informacija).
• Autenticnost informacija (definisanje i provera
  identiteta pošiljaoca).

• Prisluškivanje saobracaja

CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
23
Opasnosti i mere zaštite

• Kriptografske metode i mehanizmi javnog i tajnog
  kljuca.
• Digitalni potpis
• Digitalni sertifikati
• CA - certificate authority

• Prisluškivanje saobracaja

U Izvršnom Vecu smo, za potrebe provere
identiteta prilikom upotrebe wireless prenosnih
puteva, podigli vlastiti CA server.
CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
24
Opasnosti i mere zaštite

• protokol koji je razvila firma Netscape
• predstavlja najcešce korišcen metod za obavljanje
  sigurnih transakcija na mreži
• radi na transportnom sloju neposredno iznad TCP.
  To znaci da SSL mogu koristiti svi protokoli
  aplikacionog nivoa koji za transport imaju TCP
• http (https), ftp, smtp, pop3, imap i drugi

• SSL Security Socket Layer

CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
25
Opasnosti i mere zaštite

• Fizicki nadzor
• Softverski nadzor

• Nadzor i upravljanje mrežom

CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
26
Opasnosti i mere zaštite

• nadzor video kamerama.

• Fizicki nadzor nad objektima, prostorijama i
  uredajima

U Izvršnom Vecu je upravo u toku tenderski
postupak za Video nadzor. Njime su pokrivena sva
cvorišta i kljucna mesta racnarske mreže.
CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
27
Opasnosti i mere zaštite

• Vrši se komunikacija upravljacke stanice sa
  upravljanim uredajima,
• Prikupljaju se i prezentuju podaci
• Vrši se vizuelni prikaz mreže,
• Vrši se analiziranje mrežnog saobracaja
• Vrši se pracenje rada sistema

• Softverski nadzor uredaja
• Pretpostavlja se mogucnost udaljenog nadzora i
  upravljanja nad bitnim uredajima

LanManagementSystem, Cisco Works
SNMP
MRTG
CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
28
Opasnosti i mere zaštite

• Tehnicke mere
• Normativno uredenje

• Zaštita racunarske mreže i informacionog sistema
  u celini

Pravilnik o ponašanju u racunarskoj mreži pri
korišcenju informatickih resursa
CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
29
Opasnosti i mere zaštite

• Zaštita od glodara
• Zaštita od poplave
• Zaštita od požara
• ...

• Firewall
• ACLs
• VPN
• SSL
• ...

Ovo svakako nisu poslovi kojima ce se baviti
sistem inženjer. Njegov zadatak je da pobroji
moguce opasnosti, na pogodan nacin ih prezentuje
pretpostavljenima i sugeriše rešenje.
Bavi se bezbednošcu informacionog sistema u užem
smislu.
CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa
30
HVALA NA PAŽNJI

• djordje.smiljanic_at_vojvodina.sr.gov.yu
• 381 21 487-4699

CISCO event, 21. 11. 2007. g.
Služba za opšte i zajednicke poslove
pokrajinskih organa