1 / 30

Bezbednost računarskih mreža - opšti principi -

Bezbednost računarskih mreža - opšti principi -. Đorđe Smiljanić, dipl. Ing. CCNA & Cisco Inforamtion Security Specialist Savetnik za računarske mreže i sistemski sofver Služba za opšte i zajedničke poslove pokrajinskih organa. Atributi bezbednosti. Raspoloživost Poverljivost Integritet

trevor-camacho
Télécharger la présentation

Bezbednost računarskih mreža - opšti principi -

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Bezbednost računarskih mreža- opšti principi - Đorđe Smiljanić, dipl. Ing. CCNA & Cisco Inforamtion Security Specialist Savetnik za računarske mreže i sistemski sofver Služba za opšte i zajedničke poslove pokrajinskih organa CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  2. Atributi bezbednosti Raspoloživost Poverljivost Integritet Autentifikacija Neporicanje Ako je bilo koji atribut ocenjen negativno bezbednost je dovedena u pitanje! CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  3. Opasnosti i mere zaštite • Zabrana pristupa neovlašćenim licima komunikacionoj opremi • postavljanje distibutivnih ormana sa ključem • zaključavanje komunikacionih prostorija... • Dobra praksa za pristup opremi je kombinacija: • Čitača ID kartica • Video nadzora • Alarmnog sistema • Fizički pristup uređajima CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  4. Opasnosti i mere zaštite • Zaštita uređaja od prenapona u mreži za napajanje • Zaštita uređaja od prenapona u komunikacionim linijama • Opasnost od prenapona CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  5. Opasnosti i mere zaštite • Hlađenje prostorija • Nezapaljivi materijali • Materijali koji prilikom gorenja oslobađaju malu količinu dima • Detektori • Javljači požara • Automatsko gašenje požara • Poštovanje standarda • Opasnost od požara CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  6. Opasnosti i mere zaštite • Poštovati standarde prilikom izbora prostorije za čvorišta • Sistemi detekcije • Aktiviranje pumpi automatski • Isključivanje napona • Opasnost od poplave CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  7. Opasnosti i mere zaštite • Opasnost od glodara CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  8. Opasnosti i mere zaštite • Zlonamerni zaposleni • Bivši zaposleni • Jednostavne ljudske greške • Ljudski faktor Čak do 90% uspešnih upada u sistem ostvaruje se iznutra! CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  9. Opasnosti i mere zaštite • Neprekidno napajanje (UPS) • Oscilacije napona napajana CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  10. Opasnosti i mere zaštite Zadaci : • Ažurnost antivirusnih baza na svim računarima • Konfigurisanje antivirusnog paketa • Praćenje otkivenih bezbednosnih rupa i instaliranje zakrpa (patch) • Integracija sa drugim oblicima zaštite (firewall) • Informisanje korisnika i stvaranje svesti o opasnostima i bezbednom ponašanju • Izbor pouzdanog proizvođača antivirusnih programa • Opasnost od računarskih virusa • Nosioc antivirusne zaštite SOPHOS CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  11. Opasnosti i mere zaštite • Normalni bekap • Diferencijalni bekap • Inkrementalni bekap • Gubitak podataka usled havarije U okviru bezbednosnih procedura neophodno je definisati strategiju bekapa. U Izvršnom Veću je u toku tenderski postupak za nabavku bekap sistema. CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  12. Opasnosti i mere zaštite • Bezbednosne polise • Bezbednosne procedure • Bezbednosna praksa CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  13. Opasnosti i mere zaštite • Polisa je dokumentovan globalni plan za sigurnost računara i informacija na nivou organizacije. Ona obezbeđuje okvir za donošenje specifičnih odluka, kao što su: koji odbrambeni mehanizmi se koriste, kako se konfigurišu servisi, a predstavlja i osnovu za razvoj preporuka za programere i procedura za administratore i korisnike. Pošto je bezbedonosna polisa dugoročni dokument, iz njegovog sadržaja treba izostaviti detalje specifične za određene tehnologije. • Bezbednosne polise CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  14. Opasnosti i mere zaštite • Procedure se zasnivaju na bezbednosnoj polisi i predstavljaju konkretne aktivnosti – propisane korake koje treba izvršavati. • Bezbednosne procedure CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  15. Opasnosti i mere zaštite • Na internetu se mogu naći liste preporučenih koraka - chacklists • Bezbednosna praksa Bezbednosne polise => bezbednosne procedure => bezbednosna praksa CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  16. Opasnosti i mere zaštite • obezbediti da svaki nalog ima lozinku i da su lozinke teške za razbijanje, preporučuje se korišćenje jednokratnih lozinki, podsticati ili zahtevati od zaposlenih da koriste lozinke koje nisu očigledne i jednostavne. • proveravati ažurnost antivirusne zaštite • edukovati zaposlene o bezbedonosnim rizicima • implementirati kompletnu i sveobuhvatnu zaštitu računarske mreže • periodično procenjivati i proveravati bezbedonosno stanje računarske mreže • redovno proveravati kod proizvođača da li su objavljene nove zakrpe (patch) i primenjivati zakrpe i unapređenja • koristiti jake enkripcione tehnike i redovno proveravati intergitet softvera • koristiti bezbedne tehnike programiranja pri pisanju softvera • biti oprezni pri korišćenju i konfigurisanju mreže, po objavljivanju novootkrivenih slabosti korišćenih sistema adekvatno promeniti konfiguraciju • redovno proveravati on-line arhive na temu bezbednosti • voditi evidenciju korišćenja korisničkih naloga i sistemskih događaja (auditing) i proveravati redovno sistemske log fajlove • Kada zaposleni napusti kompaniju ukinuti odmah prava pristupa mreži. • Ne pokretati ni jedan nepotreban mrežni servis. CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  17. Opasnosti i mere zaštite • Opasnost od upada sa Interneta ili WAN linkova • Firewall sistem + ostale bezbednosne tehnike Cisco Adaptive Security Appliance CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  18. Opasnosti i mere zaštite • Osnovne i napredne access liste za kontrolu pristupa – prolaza • Dinamičke access control liste • Vremenski bazirane access control liste • Policy bazirana kontrola pristupa • Kontrola pristupa na osnovu sadržaja • Blokiranje java i ActiveX apleta • Translacija mrežnih adresa • Translacija i mapiranje portova • Detekcija upada i pokušaja upada u sistem • Autentifikacija i autorizacija (AA – putem TACACS i RADIUS protokola) • Upozorenja (alerti) i logovanje u realnom vremenu • DOS detekcija i odbrana • Kriptovanje (DES, 3DES, AES) • podrška za kvalitet servisa • Autentifikacija rutera Mogućnosti firewall-a CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  19. Povezivanje udaljenih lokacija u jedinstvenu mrežu • Digitalne veze i telekomunikacioni operateri • Postojeći Internet provajderi, i VPN • Prisluškivanje • IPSEC (IP Security) • PPTP (Point to Point Tunneling protocol) • Metode kriptovanja bazirane na sistemima javnog i tajnog ključa • MPPE (Microsoft Point to Point Encryption), • DES (Data Encryption Standard) i 3DES (trostruki DES), • AES (Advanced Encryption Standard), • IDEA (International Data Encryption Algorithmm) i • RSA/DSA (Digital Signature Algorithm) za kriptovanje javnog ključa VPN VPN obezbeđuje da se delovi mreže ponašaju kao da su u jedinstvenoj LAN mreži. To se postiže tehnikama tuneliranja. CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  20. Opasnosti i mere zaštite • Prekid WAN linkova • Backup linkovi • atributi sigurnosti: • raspoloživost, • poverljivost, • integritet, • autentifikacija i • Neporicanje • Narušen bilo koji atribut => backup link • Raspoloživost – najveći ponder CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  21. Opasnosti i mere zaštite • Zaštita od prisluškivanja saobraćaja od strane korisnika mreže • Zaštita od prisluškivanja prenosnih puteva • Zaštitu od prisliškivanja kablova moguće je izvesti samo u sopstvenim objektima tj. na lokalnim mrežama. • Na WAN vezama, koje se realizuju iznajmljivanjem servisa od telekomunikacionog operatera, nije moguće kontrolisati ni kablove, ni razdelnike na kojima oni završavaju, niti drugu opremu koja se koristi za ostvarivanje datog servisa. • Prisluškivanje saobraćaja CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  22. Opasnosti i mere zaštite Potrebno je obezbediti: • Tajnost informacija (sprečavanje otkrivanja sadržaja). • Integritet informacija (sprečavanje neovlašćene izmene informacija). • Autentičnost informacija (definisanje i provera identiteta pošiljaoca). • Prisluškivanje saobraćaja CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  23. Opasnosti i mere zaštite • Kriptografske metode i mehanizmi javnog i tajnog ključa. • Digitalni potpis • Digitalni sertifikati • CA - certificate authority • Prisluškivanje saobraćaja U Izvršnom Veću smo, za potrebe provere identiteta prilikom upotrebe wireless prenosnih puteva, podigli vlastiti CA server. CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  24. Opasnosti i mere zaštite • protokol koji je razvila firma Netscape • predstavlja najčešće korišćen metod za obavljanje sigurnih transakcija na mreži • radi na transportnom sloju neposredno iznad TCP. To znači da SSL mogu koristiti svi protokoli aplikacionog nivoa koji za transport imaju TCP • http (https), ftp, smtp, pop3, imap i drugi • SSL – Security Socket Layer CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  25. Opasnosti i mere zaštite • Fizički nadzor • Softverski nadzor • Nadzor i upravljanje mrežom CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  26. Opasnosti i mere zaštite • nadzor video kamerama. • Fizički nadzor nad objektima, prostorijama i uređajima U Izvršnom Veću je upravo u toku tenderski postupak za Video nadzor. Njime su pokrivena sva čvorišta i ključna mesta račnarske mreže. CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  27. Opasnosti i mere zaštite • Vrši se komunikacija upravljačke stanice sa upravljanim uređajima, • Prikupljaju se i prezentuju podaci • Vrši se vizuelni prikaz mreže, • Vrši se analiziranje mrežnog saobraćaja • Vrši se praćenje rada sistema • Softverski nadzor uređaja Pretpostavlja se mogućnost udaljenog nadzora i upravljanja nad bitnim uređajima LanManagementSystem, Cisco Works SNMP MRTG CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  28. Opasnosti i mere zaštite • Tehničke mere • Normativno uređenje • Zaštita računarske mreže i informacionog sistema u celini Pravilnik o ponašanju u računarskoj mreži pri korišćenju informatičkih resursa CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  29. Opasnosti i mere zaštite • Zaštita od glodara • Zaštita od poplave • Zaštita od požara • ... • Firewall • ACLs • VPN • SSL • ... Ovo svakako nisu poslovi kojima će se baviti sistem inženjer. Njegov zadatak je da pobroji moguće opasnosti, na pogodan način ih prezentuje pretpostavljenima i sugeriše rešenje. Bavi se bezbednošću informacionog sistema u užem smislu. CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

  30. HVALA NA PAŽNJI djordje.smiljanic@vojvodina.sr.gov.yu +381 21 487-4699 CISCO event, 21. 11. 2007. g.Služba za opšte i zajedničke poslove pokrajinskih organa

More Related