Bezpečnostní projekt Případová studie V Brně dne 24. a 31.10.2013
Metodika zabezpečení síťové infrastruktury Potenciální hrozbou pro síťovou infrastrukturu jsou lidé (nedbalost či neznalost uživatelů nebo úmyslné útoky, krádeže) a přírodní faktory (blesk, požár, záplavy). Před plánováním zabezpečení vlastní sítě, je třeba nejdříve zvážit, jakou cenu mají aktiva (hardware, software, data) a jaká jsou s jejich případným zneužitím, odcizením či poškozením spojená rizika (ztráta zákazníků, poškození dobrého jména organizace) tak, aby plánované prostředky vynaložené na zabezpečení č íbyly na jednu stranu dostatečné t č ale nikoliv zase přemrštěné (viz grafické vyjádření přiměřená bezpečnost za akceptovatelnou cenu). V souvislosti s možným výskytem bezpečnostních incidentů (narušení bezpečnosti) je třeba mít připraven plán jejich zvládání (adekvátních reakcí na ně) včetně plánu zachování (či rychlého obnovení) chodu organizace až do jejich úplného vyřešení a návratu do původního stavu. Těmito problematikami se zabývá zejména: Bezpečnostní projekt 2
Pokračování 1 risk management - dentifikace aktiv a stanovení jejich j hodnoty - identifikace hrozeb a slabin - stanovení závažnosti hrozeb a míry zranitelnosti disaster recovery plan (DRP) - prevence bezpečnostních incidentů - detekce bezpečnostních incidentů - obnova po výskytu bezpečnostního incidentu business continuity management (BCM) - porozumění činnosti organizace - návrh a implementace bezpečnostních opatření (interní předpisy, bezpečnostní politika, DRP, BCP, strategie reakcí na incidenty) - audit, testování, hodnocení a případná změna bezpečnostních opatření business continuity plan (BCP) - aktualizované off-site úložiště dat a dokumentů (smlouvy, pojištění, účetnictví) - kontakty kt na zaměstnance, ě krizové vedení a obchodní partnery -směrnice a postupy pro aktivaci disaster recovery plánu Bezpečnostní projekt 3
Pokračování 2 strategie reakcí na incidenty - ochrana životů a zdraví - zamezení dalších škod - hodnocení škod - použití BCP (a následná obnova běžného chodu organizace dle DRP) Bezpečnost sítě lze rozdělit na fyzickou bezpečnost, bezpečnost sítě a služeb a bezpečnost lidských zdrojů. Stejným způsobem lze zpracovat metodiku zabezpečení síťové infrastruktury: Bezpečnostní projekt 4
Fyzická bezpečnost Fyzická bezpečnost vhodná lokalita pro sídlo organizace (či pro umístění jejího IT zázemí) - dobrá dopravní dostupnost (optimálně alespoň dvěma způsoby auto, MHD, vlak,...) - ochrana před nepříznivými přírodními vlivy - zvýšené podlaží (záplavy) - neumísťovat v záplavovém pásmu - neumísťovat pod kopec či do svahu (riziko zavalení či sesuvu půdy) - neumísťovat blízko stromům (nebezpečí jejich pádu atd.) splnění elektrotechnických předpisů - správné dimenzování vodičů a jističů - dostatečné uzemnění a izolace - správné IP krytí zařízení - proudové chrániče - bleskojistky a přepěťové ochrany (před bleskem a přepětím) Bezpečnostní projekt 5
Fyzická bezpečnost - pokračování 1 splnění požárních předpisů - použití žáruvzdorných materiálů (bezhalogenní provedení kabeláží) - výběr hasicího systému - EPS (požární hlásič) - únikový východ zabezpečení klíčových prostor - uzamykatelné prostory, bezpečnostní dveře, bezpečnostní fólie -EZS - kamerový dohled, ostraha - evidence vstupu povolaných osob (čipové karty, otisk prstu apod.) -ochrana budovy (mříže na oknech, plot, betonové zátarasy apod.) zajištění vhodného prostředí pro provoz informační a komunikační techniky - spolehlivé dodávky elektrické energie (UPS, motorgenerátor, náhradní dodavatel) - instalace klimatizace Bezpečnostní projekt 6
Fyzická bezpečnost - pokračování 2 dostatečné označení a dokumentace - označení zařízení (název, inv. číslo, ip adresa, mac adresa, kontakt na správce) - označení zásuvek a portů v patch panelech (dle normy EIA/TIA 606-A) - projektově zpracovaná topologie sítě používání kvalitních komponent splňujících standardy - certifikovaná instalace kabeláže - autorizované dodávky aktivních prvků sítě a IT zařízení dodavatelský servis a pojištění pravidelné on-site a off-site zálohování klíčových dat (konfigurací, logů, aplikací) a dokumentů (směrnic, smluv, obchodních kontaktů) redundantní topologie - záložní linky Bezpečnostní projekt 7
Fyzická bezpečnost - pokračování 3 redundantní zařízení a komponenty - mirroring - záložní boxy (dle stavu připravenosti): - studená záloha - vlažná záloha - horká záloha Bezpečnostní projekt 8
Bezpečnost sítě aslužeb Bezpečnost sítě a služeb vypnutí nepotřebných služeb (každá komponenta má dělat pouze to, na co byla určena) zabezpečení přístupu ke zdrojům a službám - AAA (lokální nebo serverová) - autentizace (ověření totožnosti uživatele) heslem (dostatečně dlouhým a složitým) biometrie (otisk prstu, oční duhovka) čipové karty asymetrické kryptování, elektronický podpis - autorizace (přístupová práva ověřeného uživatele) - accounting (záznam činnosti uživatele) stanovení priorit it služeb upřednostněním ř ě kritických ký systémových či služeb v reálném čase Bezpečnostní projekt 9
Bezpečnost sítě a služeb pokračování 1 správné rozdělení sítě - bezpečnostní zóny (internet, extranet DMZ, intranet) - virtuální sítě (VLAN) dle skupin uživatelů s podobným oprávněním či dle logických seskupení (finanční oddělení, správci sítě, ostatní zaměstnanci apod.) perimeter security (ochrana na rozhraní bezpečnostních zón a/nebo virtuálních sítí) - NAT (PAT, NAPT) skrytí vnitřní sítě použitím privátních adres s následným překladem na jednu nebo více veřejných adres - firewall (s vlastnostmi:) - rate limiting (ICMP, UDP), ochrana před útoky typu DoS, DDoS - antispoofing (ochrana proti podvrhování falešných dat např. zahazování zvenčí příchozích paketů se zdrojovou adresou pocházející z vnitřní sítě apod.) - omezení přístupu (ACL - např. povolení zahájit komunikaci pouze z vnitřní sítě ven) - content filter (filtrování provozu na základě jeho obsahu) antivirus, antispam, antimalware, omezení přístupu na některé webové stránky apod. Bezpečnostní projekt 10
Bezpečnost sítě a služeb pokračování 2 endpoint security (ochrana koncových zařízení) -osobní firewall - IPS (při výskytu příznaků naznačujících útok zablokuje odpovídající provoz) - IDS (detekuje a ohlásí případný útok, na detekci je citlivější než IPS) ochrana sítě před uživatelem (DHCP snooping, port security, 802.1x, antispoofing) ochrana vzdáleného přístupu SSH, VPN (IPsec, SSL) používání zabezpečených služeb https, smtps dohledové d centrum - sledování funkčnosti síťových prvků (ping, Management SW sítě) - vyhodnocování logů, odhalování abnormalit - řešení problémů ochrana paměťových médií (šifrování, důkladná likvidace dat při jejich vyřazování) Bezpečnostní projekt 11
Bezpečnost sítě a služeb pokračování 3 správa sítě - management konfigurací - adekvátní SW licence - aktualizace SW a OS -logování (lokálně či šifrovaně na vzdálený server) -přístupů a využívání služeb -změn stavů sítě a služeb (výpadek služby či linky, změna konfigurace, změna v routovací tabulce apod.) - statistiky provozu (NetFlow) redundanci zajišťující protokoly (STP, MRP) bezpečné směrování - stabilní - použití statických cest - od důvěryhodných zdrojů (ACL, volitelná authentizace zařízení u protokolů RIP, OSPF) - jen nutné směrovací informace (policy routing, distribute lists, route maps) - reverse-path filtering (v případech, kdy se nepoužívá asymetrické směrování) Bezpečnostní projekt 12
Bezpečnost lidských zdrojů Bezpečnost lidských zdrojů splnění předpisů OHASMS (dříve BOZP) minimalizace přístupových oprávnění zastupitelnost, informovanost, komunikace BCM Business Continuity Management právní prostředí školení - pravidelné a s odpovídající náplní dle daných cílových skupin - interní předpisy, bezpečnostní politika - hrozby na síti, prevence a obrana - správné ovládání IT (OS, IS, SW a HW) Bezpečnostní projekt 13
Aplikace síťových opatření Příklad bezpečnostního projektu Výběr doporučených technických opatření Centrální AAA server ano Centrální firewall ano IDS, IPS konfigurovatelný switch podporující QoS a zabezpečení (802.1X) ano zavedení synchronizace času (PTP) syslog server network monitoring station backup server ano vlastní mail server Endstation firewall ano Endstation antivirus ano Endstation antispam ano Bezpečnostní projekt 14
Aplikace síťových opatření pokračování 1 Základní kroky při aplikaci opatření Obecný postup zavádění zabezpečení krok za krokem může být např. následující: změnit hesla (zatím pouze na dočasná) aplikovat FW (centrálního) vypnutí nepotřebných služeb aplikovat synchronizaci času (time server) aplikovat logování (syslog server) network monitoring aplikovat zálohování (backup server) zabezpečení směrování (je-li třeba) v případě nutnosti update (či upgrade) OS aplikovat FW a antivirus (anti-malware) na ostatních (koncových) stanicích zavedení bezpečnějších č služeb (antispam na mailserveru) update (či upgrade) používaného aplikačního SW v případě používání zastaralé technologie zavést přepínaný ethernet, nejlépe GE Bezpečnostní projekt 15
Aplikace síťových opatření pokračování 2 port security, DHCP snooping změna hesel na hesla trvalejšího rázu reverse-path filtering (pokud se nepoužívá asymetrické směrování) centrální AAA server 802.1X, klíče, certifikáty EZS - evidence vstupu (čipové karty), kamerový systém Ekonomické zhodnocení a cenové odhady Předpokládáme stávající nezabezpečenou síť pro 50 PC s požadovanými atributy: připojení k Internetu (poslední míle včetně směrovače) stávající služby (email, www, DNS, IS) LAN, Wi-Fi, koncová zařízení Bezpečnostní projekt 16
Aplikace síťových opatření ekonomická náročnost Ekonomická náročnost potřebných základních síťových opatření pro potřeby zabezpečení popis ks cena/ks cena celkem cena celkem Poznámka bez DPH s DPH Infrastruktura DR 42U/ 600x1000 1 13900 13900 16819 Alternativně Open Frame 42U/750 950 1 13600 13600 16456 kabeláž UTP IBDN Cat 6 100 1500 150000 181500 certifikovaná switch 48 port GE HP V 1910 48G 1 13000 13000 15730 Alternativně switch PoE 24 port HP V 1910 24PoE 2 16200 32400 39204 klima serverovna 1 42000 42000 50820 přístupový systém serverovna 1 7900 7900 9559 Firewall appliance ASA 5510 1 49900 49900 60379 AAA RADIUS svr Intel 1 200000 200000 242000 HW + SW Zálohování NAS QNAPTS 469 U QNAP 1 28900 28900 34969 1U, iscsi NAS HDD 2 TB Constellation ES 4 2900 11600 14036 RAID zabezpečení Wi Fi AP HP MSM410 8 5650 45200 54692 zabezpečení PC SW multilicence ESET Endpoint AV5 50 1300 65000 78650 50 uživatelů/3 roky CELKEM 646 500 782 265 Bezpečnostní projekt 17
Aplikace síťových opatření model zabezpečené sítě Model zabezpečené sítě je patrný na následujícím obrázku. Bezpečnostní projekt 18
Aplikace síťových opatření model zabezpečené sítě s redundancí Model zabezpečené sítě s redundandním ISP Bezpečnostní projekt 19