A távoli munkavégzés biztonsági kérdései Póserné Oláh Valéria poserne.valeria@nik.bmf.hu ROBOTHADVISELÉS 7 TUDOMÁNYOS KONFERENCIA

Miről lesz szó? A távelérés szükségessége A távoli munkavégzés biztonsága A kommunikáció biztonsága A válalati hálózat biztonsága Távelérés az elérni kívánt cél szerint Levelezés Teljeskörű használat Alkalmazások futtatása, távfelügyelet A távmunka rendszerekkel szembeni elvárások Példák a megoldásra 2007.11.27. Póserné Oláh Valéria

Növekvő igény 1. Technológia fejlődése, terjedése Vezeték nélkül bárhonnan (hotspot-ok, stb.). Hálózati kapcsolattal rendelkező háztartások száma. Speciális dolgozók (távmunkások), utazó felhasználók, ügyfelek, partnerek, beszállítók. A vállalat saját felhasználói egyre több és több opciót szeretnének elérni távolról is a munkahelyi hálózatból. A ZyXEL legutóbbi felmérésének eredménye: a távolról dolgozó felhasználók 87 %-a az otthoni számítógépét is használja a munkavégzés során. [1] 2007.11.27. Póserné Oláh Valéria

Fiókirodák VPN kapcsolódás Növekvő igény 2. [2] Network Access Server Hitelesítő Server (RADIUS) DHCP Server Címtár Dial-up kliens Levelek elérése Mobil eszközök Wireless Network Fiókirodák VPN kapcsolódás Vállalati hálózat VPN kliens 2007.11.27. Póserné Oláh Valéria

Elérés  biztonság dilemma A mobil munkavégzés sokszor nagyon hatékony, de komoly biztonsági kockázatot is jelenthet. A távoli elérés sosem biztonságos Mikor, kinek, mennyit, hogyan? 2007.11.27. Póserné Oláh Valéria

A távoli munkavégzés biztonsága A kommunikáció biztonsága Virtual Private Network (VPN) majd minden cégnél működik VPN-szerver, sok esetben felesleges, sőt akár kockázatos is lehet, esetenként kivitelezhetetlen (pl. OS nem tudja). Secure Shell (SSH) segédprogram Biztonságosan megvalósítható Microsoft és Unix/Linux rendszerek esetén egyaránt, de a kliens alkalmazások konfigurálása meghaladja egy átlagos felhasználó ismereteit. A vállalati hálózat védelme Biztonságos-e a távoli gép? Alapesetben nem hat semmilyen tartományi eszköz (csoportházirend, központi vírusirtó, frissítéseket ellenőrző és a naprakészségéről gondoskodó alkalmazások, stb.). Jelszavak problémája (Single Sign On) 2007.11.27. Póserné Oláh Valéria

Távelérés az elérni kívánt cél szerint 1. Levelezés, csoportmunka: az igények döntő többsége, a vállalatok túlnyomó része meri is és biztosítja is. Szükséges minimum Nem szükséges VPN, sőt veszélyes is lehet, bizonyos szakértelmet kívánhat meg a távoli felhasználótól. Számos, webes felületen elérhető levelező-alkalmazás: Outlook Webaccess, Outlook, Pop3, IMAP, Outlook Mobile Access – be lehet állítani, hogy titkosítatlanul ne közlekedjen soha a jelszó. 2007.11.27. Póserné Oláh Valéria

Távelérés az elérni kívánt cél szerint 2. Az erőforrások teljes körű (jogosultságoknak megfelelő) használata: nem túl gyakori, de időnként szükséges (pl. fájl megosztások elérése - megnyitás, szerkesztés, stb.). FTP: A legnépszerűbb, legelterjedtebb. Nehéz v. nem lehet megoldani az információ, a jelszavak titkosítását. Tiltsuk? A felhasználó attól még próbálkozhat és a jelszó akkor is átmegy a hálózaton (Elender feltörése) SSL-en keresztül a SharePoint segítségével közösségi csoportmunka, a webhelyek tartalmának és a felhasználók tevékenységének egyszerű felügyelete. 2007.11.27. Póserné Oláh Valéria

Távelérés az elérni kívánt cél szerint 3. [2] VPN: ha nincs lehetőség SharePoint használatára, VPN alagút (karantén alagút), csak bizonyos szolgáltatást lehet használni. VPN Hálózat Domain Controller Web Szerver Karantén policy Hitelesítő Szerver DNS Szerver File Szerver VPN Karantén hálózat 2007.11.27. Póserné Oláh Valéria

Távelérés az elérni kívánt cél szerint (4) Alkalmazások futtatása, távfelügyelet: RDP (Remote Desktop Protocol): a távoli asztal, az admin távvezérelheti a hálózatot (szervereket, kliens gépeket). Ha többre van szükség, mint a webes alkalmazások elérése, de nincs szükség teljes hálózati elérésre. 128 bites az alapértelmezett titkosítás. Remote Desktop Web Connection: egy ActiveX vezérlő segítségével böngészőből lehet használni az RDP kapcsolatot. Alacsony sávszélesség-igény – akár modemen is. Régi hardverek számára is ideális. Nemcsak Windows platformra alkalmazható. Az RDP over SSL-t nem támogatja. Az ActiveX vezérlők használata fokozott körültekintést kíván meg a klienstől, mert bizonyos weblapok olyan aktív tartalommal is rendelkezhetnek, amely veszélyezteti a számítógép biztonságát, ennek biztonságos kezelése további szakértelmet igényel. 2007.11.27. Póserné Oláh Valéria

Távelérés az elérni kívánt cél szerint (5) RDP over SSL technológia: ha nagyobb biztonságra van szükség, mint amennyit az RDP biztosít. TLS (Transport Level Security) hitelesítés és titkosítás. W2K3 üzemeltetés HTTPS-sel: a 8098-as porton https-sel elérhető a távfelügyelt szerver néhány beállítása pl. admin jelszó változtatása, szerver neve, a Webszerver szinte összes fontos beállítása, megtekinthetők és megváltoztathatók egy IP kapcsolat tulajdonságai, hozzá lehet férni a helyi felhasználói adatbázishoz, meg lehet nézni, törölni, letölteni a naplófájlokat, ha van SMTP kiszolgáló, riasztással e-mail küldését beállítani, szükség esetén le lehet állítani vagy újraindítani a szervert, stb.). 2007.11.27. Póserné Oláh Valéria

A távmunka rendszerekkel szembeni elvárások A bejelentkezés egyszerűen, lehetőleg „egy gombnyomásra” történjen, megfelelő sebesség a kliens oldalon, a kommunikáció olcsó legyen, és helyfüggetlen, a bejelentkezőt egyértelműen tudja azonosítani, a kommunikáció megfelelő algoritmussal titkosított legyen. 2007.11.27. Póserné Oláh Valéria

Megoldási lehetőségek (1) E-parlament területén szigorú szabályok mellett előre konfigurált notebook Csak bizonyos helyekről és célokra használható. X.509 digitális tanúsítvány, intelligens (smart) kártya (bejelentkezés, levelezés hitelesítés, titkosítás, elektronikus aláírás). Költséges. [3] BeCrypt: USB flash memóriákra épülő biztonságos rendszer [4] A notebook bekapcsolása után az OS egy USB flash memóriáról töltődik be. Ha a merevlemez tartalmaz is kártékony kódot, az nem tud tovább fertőzni. Cisco: „Önvédő hálózat” koncepciója (lényegében megegyezik a karantén VPN elveivel). [5] Microsoft: karantén VPN technológiája 2007.11.27. Póserné Oláh Valéria

Megoldási lehetőségek (2) VPN egyszerűen a Microsoft Connection Manager Administration Kit (CMAK) segítségével [6] Előredefiniált VPN kliens beállítások és (opcionálisan) kiegészítő eszközök (pl. proxy beállítások) csomagolhatók össze egy .exe fájlba. Előnye, hogy a kliens kötelezően azokkal a beállításokkal fog majd belépni a hálózatba, amit a csomagban számára előre előírtunk. Megadható, hogy hitelesítés, titkosítás szükséges-e és milyen a bejelentkezéshez, milyen kapcsolaton keresztül jelentkezhet be, mi történjen a kapcsolat felépítése után és a leváláskor, milyen telefonszámon kérhet segítséget probléma esetén, stb. Az .exe és proxybeállítás megadása esetén .txt fájlokat kell a felhasználóhoz eljuttatni, akár egy USB kulcs átadásával, a még nagyobb biztonság érdekében önkicsomagoló formában titkosítva. 2007.11.27. Póserné Oláh Valéria

Felhasznált irodalom [1] Biztonságportál: Aggodalmak a távoli munkavégzés miatt, http://www.biztonsagportal.hu/article3088.html , 2007.10.03. [2] Gál Tamás: Távoli elérés és munkavégzés, http://www.microsoft.com/hun/webcast/default.aspx?id=ddc36344-a968-4386-95b3-f990b46cb346, 2006.12.21. [3] Kertészné Gérecz Eszter: AZ E-PARLAMENT http://www.neumann-centenarium.hu/kongresszus/prog16.html?v%5Bid%5D=63, 2007.10.03. [4] Kristóf Csaba: Operációs rendszer USB-memórián http://computerworld.hu/operacios-rendszer-usb-memorian.html, 2007.04.18. [5] Cisco Systems: PREVENTING WORM AND VIRUS OUTBREAKS WITH CISCO SELF-DEFENDING NETWORKS, http://www.cisco.com/application/pdf/en/us/guest/netsol/ns481/c654/cdccont_0900aecd801dff73.pdf, 2007.10.05. [6] Microsoft TechNet: Microsoft Windows Server 2003 TechCenter, http://www.microsoft.com/technet/prodtechnol/windowsserver2003/hu/library/ServerHelp/5cd571d6-7fdc-483d-8899-0a337acc9cf9.mspx?mfr=true, 2007.06.01. 2007.11.27. Póserné Oláh Valéria

Köszönöm a figyelmet!