1 / 23

Zabezpečení serverových systémů UNIX v bankách

Zabezpečení serverových systémů UNIX v bankách. Petr Marek petr.marek@cnb.cz. Obsah. bezpečnost obecně obrana testování zranitelnosti, fyzická bezpečnost, logická bezpečnost - řízení přístupu, údržba (patchování + změny konfigurace). Základní idea.

baakir
Télécharger la présentation

Zabezpečení serverových systémů UNIX v bankách

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Zabezpečení serverových systémů UNIX v bankách Petr Marek petr.marek@cnb.cz

  2. Obsah • bezpečnost obecně • obrana • testování zranitelnosti, • fyzická bezpečnost, • logická bezpečnost - řízení přístupu, • údržba (patchování + změny konfigurace).

  3. Základní idea • celý systém je zabezpečen tak, jak je zabezpečen jeho nejslabší článek • nutnost zabezpečit dostatečně všechny články IT • komplexní přístup k zabezpečení • analýza rizik

  4. Bezpečnost • Confidentiality (důvěrnost) • Integrity (integrita) • Availability (dostupnost) • Non-repudiation (neodmítnutelnost)

  5. Obecné základy zabezpečení • zabezpečit před zprovozněním • vypracovat zásady (např. aktualizace) • zapojení do bezp. diskusí • www.cert.org • underground.cz • definovat odpovědnosti (např. kontrola) • nainstalovat pouze potřebné komponenty • spouštět pouze potřebné služby

  6. Obrana (1/6) • antiviry?  • filesystémy pro Windows • FTP server • kontrola integrity • OS, aplikace • tripwire, aide • kontrola důležitých bin + config souborů, jádra, adresářů… • hash + inode + time + size + práva… • false positive (měnící se soubory) • neobvyklé změny zaplnění FS

  7. Obrana (2/6) • kontrola logů • online monitoring • proaktivní – drahé nástroje • syslogy přesměrované na jiný stroj (přes ttyS) • pravidelné časové značky • kontrola integrity • použití silných práv (přihlášení roota) hlášeno bezpečnosti

  8. Obrana (3/6) • (x)inetd • jen nutné služby • ne telnet, ftp, finger, rlogin, snmp… • TCP wrapper – tcpd • /etc/hosts.deny – ALL:ALL • /etc/hosts.allow – služba:IP • FW (iptables) • povolit jen nutné porty • vyhodnocování logů • filtrovat i odchozí provoz (DDoS) • kontrola zda není „.“ v PATH roota • SUID bit – kontrola

  9. Obrana (4/6) • odinstalovat nepotřebné balíky • zneužitelné analytické nástroje (tcpdump, telnet, ftp…) • vývojové nástroje (gcc, make…) • httpd (Apache, WebSphere…) • pasti • „obětovaný host“ • IDS (?IPS?) • hostbased • síťové

  10. Obrana (5/6) • zálohování • aplikační data (DB – binárky + data + logy…) • zálohování je důležitá věc, ale OBNOVA je klíčová • testovat, testovat, testovat • archivace • pouze důležitá data (logy, audity)

  11. Obrana (6/6) • obnova po havárii (disaster recovery) • vypracované postupy • krizová komunikace • testovat, aktualizovat • kontinuita podnikání (business continuity) • co je nutné pro udržení kontinuity provozu • (D)DoS útoky • dohody s poskytovatelem

  12. Testování zranitelnosti (1/3) • testování hesel • počet neúspěšných pokusů o přihlášení • auditní nástroje • síťové • SATAN (SAINT) • SARA (www-arc.com) • free • webové rozhraní • jednoduché používání

  13. Testování zranitelnosti (2/3) • auditní nástroje • lokální analýza konfigurace • kontrola nejběžnějších chyb • COPS (Tiger) • TARA (www-arc.com)

  14. Testování zranitelnosti (3/3) • penetrační testování externistou • zvnějšku • zevnitř • black-box • bez vědomí administrátorů • pozor na stabilitu produkčních systémů! • nepravidelné „přátelské útoky“ • test reakce • test aktuálnosti ochrany

  15. Fyzická bezpečnost (1/2) • zajistit konzoli proti zneužití • logování zadaných příkazů • heslo do „single-user modu“ • omezit možnost bootování z jiných médií • CD/DVD • pásky • modem – zvážit, zprovoznění zevnitř

  16. Fyzická bezpečnost (2/2) • přístup k zařízení • disky • pásky • modem • vzdálený přístup + podpora • SAN infrastruktura • zonování - přístup na základě WWN • (WiFi)

  17. Logická bezpečnost (1/4) • přístup jen na základě prac. náplně • odpovídající úroveň práv • dokumentace žádostí a přidělení • kontrola přístupových práv (mrtvé duše) • používat „shadow“ password • kontrolovat /etc/passwd, /etc/group • ACL

  18. Logická bezpečnost (2/4) • administrátorská práva jen prověřeným • několik měsíců jen „čekatel“ • hesla • vynucovat silná hesla, • pravidelnou změnu • různá hesla na jednotlivých strojích

  19. Logická bezpečnost (3/4) • zabránit přihlašování roota po síti (su) • zapnout všechny logy přihlašování (sulog) • root používat jen v případě nutnosti • skupinové účty – root, oracle • nezobrazovat informace o systému před přihlášením • zobrazit varování před zneužitím a o možném postihu • nepoužívat rlogin – napadení více strojů

  20. Logická bezpečnost (4/4) • LAN • dedikovaná administrátorská NIC • VLAN – pouze povolený provoz • přístup jen na IP:port na kterém běží služby • servisní zásahy • logování činnosti (script) • zamknuté účty – povolit jen na požádání

  21. Údržba (1/2) • patchování • postupy pro aplikaci patchů • analýza vlivu na ostatní technologie • odpovědnost za sledování nových záplat • odpovědnost za testování • schválení administrátory aplikací • evidence aplikovaných patchů • security patche • (obvykle) co nejrychlejší aplikace, • na všechny dotčené systémy

  22. Údržba (2/2) • patchování (pokračování) • patche na nekritické chyby • analýza potřebnosti • někdy je lépe počkat • kumulativní patche • změna konfigurace • testování na adekvátních systémech • ověření funkčnosti aplikací • dokumentace

  23. Otázky a odpovědi petr.marek@cnb.cz

More Related