IT hálózati biztonság a szabvány tükrében avagy az MSZ/ISO szabvány sorozat Harsán Péter szervező mérnök alapító tag Hétpecsét Információbiztonsági Egyesület
2 A szabvány sorozat Az ISO/IEC az Informatika. Biztonságtechnika. IT-hálózatbiztonság sorozatcím alatt a következő részekből áll: 1. A hálózatbiztonság irányítási rendszere 2. Hálózatbiztonsági architektúra 3. Hálózatok közötti biztonságos kommunikáció biztonsági átjárók alkalmazásával 4. Biztonságos távoli hozzáférés 5. Hálózatokon keresztüli biztonságos kommunikáció virtuális magánhálózatok alkalmazásával
3 MSZ ISO/IEC Hálózatok közötti biztonságos kommunikáció 1.Alkalmazási terület 2.Rendelkező hivatkozások 3.Szakkifejezések és meghatározásuk 4.Rövidítések és magyarázatuk 5.Biztonsági követelmények 6.A biztonsági átjárók technikái 7.A biztonsági átjárók komponensei 8.Biztonságiátjáró-architektúrák 9.Kiválasztási és konfigurációs irányelvek
4 MSZ ISO/IEC Hálózatok közötti biztonságos kommunikáció Téma: A biztonsági átjárók, a komponensek és a biztonságiátjáró-architektúrák különböző típusainak és a kapcsolódó eljárások áttekintése. Irányelvek definiálása a biztonsági átjárók kiválasztásához és konfigurációjához. Cél közönség: A műszaki és a vezetői személyzet, pl. IT-vezetők, rendszeradminisztrátorok, hálózati adminisztrátorok, IT-biztonsági személyzet.
5 MSZ ISO/IEC Hálózatok közötti biztonságos kommunikáció Cél: Segítse a felhasználót abban, hogy egy adott biztonsági átjáróhoz azt a megfelelő típusú architektúrát válassza ki, amely a legjobban illeszkedik a biztonsági követelményeihez
6 MSZ ISO/IEC Hálózatok közötti biztonságos kommunikáció 5. Biztonsági követelmények Egy megfelelő biztonságiátjáró-elrendezésnek képesnek kell lennie arra, hogy megvédje a szervezet belső rendszereit, és biztonságosan irányítsa és szabályozza a rajta keresztül menő forgalmat a dokumentált biztonságpolitikával összhangban. 6. A biztonsági átjárók technikái Az egyszerű csomagszűréssel kezdődően az alkalmazás szintű biztonsági átjáró (proxy) és az állapotkövető csomagvizsgálaton keresztül a hálózati címfordítást, és a tartalomszűrést írja le ez a fejezet.
7 MSZ ISO/IEC Hálózatok közötti biztonságos kommunikáció 7. A biztonsági átjárók komponensei A biztonsági átjárók Áttekintése: kapcsolók, útvonalválasztók, alkalmazás szintű átjárók (gateway), tűzfalak. 8. Biztonságiátjáró-architektúrák A strukturált megközelítés hálózati tervezési elveken és az internetprotokoll által biztosított választható biztonsági beállításokon alapul. Tárgyalt architektúrák: csomagszűrő tűzfal, kettős interfészű átjáró, védett gazdagép, védett alhálózat.
8 MSZ ISO/IEC Hálózatok közötti biztonságos kommunikáció A lépcsőzetes megközelítés a biztonsági területekkel és azokkal a védelmi intézkedésekkel kapcsolatos, amelyeket a területek határzónáin kell megvalósítani a szervezet biztonsági politikájában meghatározott biztonsági követelményeknek megfelelően. Tárgyalt biztonsági mechanizmusok: hitelesítés, csomagszűrés, behatolás észlelés, naplózás. Egylépcsős biztonságiátjáró-architektúra: jellemzően a felhasználó azonosítása. Kétlépcsős biztonságiátjáró-architektúra: egy csomagszűrő és egy hitelesítési fokozat.
9 MSZ ISO/IEC Hálózatok közötti biztonságos kommunikáció Többlépcsős biztonságiátjáró-architektúra: több alhálózat, demilitarizált zóna. 9. Kiválasztási és konfigurációs irányelvek Fordítson figyelmet az összes lehetséges fenyegetésre, amelyekbe beletartoznak a belső fenyegetések is. Fordítson figyelmet az emberi tényezőre, pl. az adminisztráció és az oktatás területén. A lehető legegyszerűbb megoldásra törekedjen, habár az erősebb biztonsági követelmények tipikusan összetettebb architektúrákat kívánnak meg. Az egyes komponenseket és eszközöket a kijelölt funkcióikkal és konfigurációjukkal használja.
10 MSZ ISO/IEC Hálózatok közötti biztonságos kommunikáció Részletesebben: –Biztonságiátjáró-architektúra és a megfelelő összetevők kiválasztása –Hardver- és szoftverplatform kiválasztása –Konfiguráció –Biztonsági jellemzők és beállítások –Adminisztráció –Naplózás –Dokumentáció –Audit –Oktatás/képzés
11 MSZ ISO/IEC Biztonságos távoli hozzáférés 1.Alkalmazási terület 2.Szakkifejezések, meghatározások és rövidítések 3.A szabvány célja 4.Áttekintés 5.Biztonsági követelmények 6.A távoli hozzáférés csatlakozási típusai 7.A távoli hozzáférés csatlakozási technikái 8.A kiválasztásra és konfigurálásra vonatkozó útmutatók 9.Következtetés Mellékletek
12 MSZ ISO/IEC Biztonságos távoli hozzáférés Téma: A távoli hozzáférés biztonságos használata. Egy számítógépnek összekötése távolról, akár egy másik számítógéppel, akár pedig nyilvános hálózat felhasználásával egy hálózattal. Tárgyalja a távoli hozzáférés különböző típusait a használt protokollokat is beleértve, továbbá a távoli hozzáférésre vonatkozó hitelesítési kérdéseket és segítséget ad a távoli hozzáférés biztonságos megvalósításához is.
13 MSZ ISO/IEC Biztonságos távoli hozzáférés Cél közönség: Hálózati adminisztrátorok és műszakiak akik tervbe vették ennek a fajta összeköttetésnek a használatát, vagy akik már használják, de szükségük van a biztonságos megvalósításra és működtetésre vonatkozó tanácsokra. Cél: Segítse a felhasználót biztonságos hozzáférés kialakításában, használatában, annak a megfelelő architektúrának kiválasztásában, amely a legjobban illeszkedik a biztonsági követelményeihez.
14 MSZ ISO/IEC Biztonságos távoli hozzáférés 4. Áttekintés A Távoli Hozzáférés Szolgáltatást (RAS) általában az alábbiakra használják: –az egyedülálló munkaállomások bekötésére ( azaz, hogy az egyes alkalmazottak otthonról távmunkában dolgozhassanak, –a mobil számítógépek bekötésére (azaz a külső helyszíneken dolgozó, vagy üzleti úton lévő munkatársak segítségére), –teljes LAN-ok bekötésére ( azaz távoli helyszínek helyi hálózatainak vagy leányvállalatoknak a központi LAN-ra való bekötésére), –a távoli számítógépekhez való felügyeleti hozzáférés biztosítására (pl. távkarbantartás céljaira).
15 MSZ ISO/IEC Biztonságos távoli hozzáférés 5. Biztonsági követelmények RAS hozzáférésnél alkalmazott biztonsági szempontok, eljárások: hitelesítés, hozzáférés ellenőrzés, kommunikáció biztonsága, rendelkezésre állás. 6. A távoli hozzáférés csatlakozási típusai –A hozzáférési szerver közvetlen betárcsázása, –Egy Internet Szolgáltató (ISP) hozzáférési szerverének betárcsázása és a távoli LAN elérése az Interneten keresztül, –Nem betárcsázási hozzáférés egy másik hálózathoz való állandó kapcsolat útján.
16 MSZ ISO/IEC Biztonságos távoli hozzáférés 7. A távoli hozzáférés csatlakozási technikái A kommunikációs szerverekhez való hozzáférés –Általános kommunikációs védelem –Az elektronikus levelek védelme –Az FTP összeköttetés védelme A LAN erőforrásokhoz való hozzáférés Karbantartási célú hozzáférés 8. A kiválasztásra és konfigurálásra vonatkozó útmutatók A RAS kliens védelme A RAS szerver védelme
17 MSZ ISO/IEC Biztonságos távoli hozzáférés Az összeköttetés védelme Vezeték nélküli biztonság Szervezeti intézkedések A törvényi szabályozások figyelembevétele Mellékletek Távoli hozzáférés biztonsági szabályzat minta A RADIUS bevezetésének és üzembe helyezésének jól bevált gyakorlata Az FTP két működési módja A biztonságos levelező szolgáltatás ellenőrző listája
18 MSZ ISO/IEC Biztonságos távoli hozzáférés A web szolgáltatások biztonságát szolgáló ellenőrző lista Vezeték nélküli LAN biztonsági ellenőrző listája
19 Köszönöm figyelmüket Harsán Péter