Zabezpečení kolejní sítě Informační a administrační systém P@wouk Bezpečnostní hrozby, základní zabezpečení a prevence Ing. Tomáš Petránek tomas@petranek.eu Seminář o bezpečnosti a anonymitě na Internetu 2013 Opava, 28. 2. 2013
Obsah prezentace 1. Informační a administrační systém P@wouk a) Okolnosti vzniku a stručná historie IS P@wouk b) Architektura a struktura systému c) Fyzické prostředí a rozhraní systému d) Uživatelé systému e) Funkcionalita, moduly systému f) Bezpečnost a zálohování g) DEMO evidence uživatelů, poplatky P@wouk 2. Bezpečnostní hrozby a základní zabezpečení a) Malware a další bezpečnostní hrozby b) Základní pravidla zabezpečení a prevence c) Zásady bezpečného hesla
P@wouk - Jak to všechno začalo V souvislosti s provozem bylo nutno zajistit: a) Samotnou správu sítě - zajištění funkčnosti jednotlivých síťových prvků, jejich monitoring a odstraňování případných závad b) Administrativní záležitosti - evidence uživatelů a jejich zařízení, evidence plateb za připojení a další služby, omezování přístupu uživatelů do sítě v souvislosti s těmito úhradami apod. c) Uživatelská podpora
Správa sítě a jejich uživatelů správa sítě IS2 IS administrativa Cílem bylo vyvinout vlastními silami informační systém založený na Open source produktech, který bude splňovat následující podmínky: 1) Pro efektivní správu a odstraňování poruch v síti bude umožňovat kdykoliv přístup k aktuálním a detailním informacím o jednotlivých uživatelích sítě, připojených zařízení, ale také údajích o pohledávkách a platbách za jednotlivé poskytované služby. 2) Vzájemně provázat administrativní činnosti se samotnou správou a maximálně toto spojení zautomatizuje. 3) Bude zajišťovat všechny činnosti spojené s užíváním sítě - od registrace nového uživatele, přes evidenci plateb, až po ukončení připojení - spojit do jednoho rozhraní a maximálně je zjednoduší.
Od verze 1.x k P@woukovi Verze 7.x (P@wouk 2010/2011/2012) Verze 5.x 10/2009 10/2007 02/2007 Verze 6.x (P@wouk) Verze 3.x 10/2006 10/2005 Verze 4.x 01/2005 Verze 2.x Verze 1.x 09/2004
Architektura systému Klientská vrstva Aplikační vrstva Datová vrstva <HTML> {css} (JavaScript)
Struktura systému Informační systém Uživatelské rozhraní AUTENTIZACE Registrace AUTENTIZACE Administrátorské rozhraní Uživatelský informační systém DATOVÁ ZÁKLADNA
Administrátorské a uživatelské rozhraní
Fyzické prostředí a rozhraní systému E-mailové zprávy POP3/IMAP Konfigurační soubory a pravidla DHCP, firewall, Radius INFORMAČNÍ SYSTÉM RESTART Oprávnění uživatelé vyúčtování tisku CSV HTTP DOTAZ/ODPOVĚĎ - Webová stránka (HTML+CSS) - Exportovaná sestava (PDF, XLS, CSV) - Email (automatický, klasický) UŽIVATELÉ (správci sítě + uživatelé sítě)
Uživatelé systému SPRÁVCI - přístup ke všem funkcím (včetně aktivních operací) AUTENTIZOVANÍ UŽIVATELÉ SÍTĚ - data související s jejich užíváním sítě (informace o uživateli, zařízení, přípojce, vyúčtování apod.) NEAUTENTIZOVANÍ (NÁHODNÍ) UŽIVATELÉ - obecné informace o síti, návody, možnost registrace
Funkcionalita (1) webová prezentace sítě prezentace základních údajů o síti, zveřejnění důležitých dokumentů, návodů a kontaktů, jednoduchý redakční systém pro správu webové prezentace, registrace nových uživatelů služeb sítě prostřednictvím webového formuláře, možnost schválení/zamítnutí nově registrovaných uživatelů, evidence uživatelů a připojovaných zařízení databáze s údaji o uživatelích služeb sítě a jejich zařízení včetně archivace těchto údajů, možnost prohledávání, filtrování, zobrazování a export přehledů, rozhraní pro e-mailovou komunikaci s registrovanými uživateli možnost odeslání jednotlivých i hromadných e-mailů na uživateli registrované e-mailové adresy, rozhraní pro vnitřní komunikaci mezi správci sítě, evidence poplatků zpracování a evidence přijatých plateb za služby sítě od uživatelů, tisk stvrzenek a generování příslušných ekonomických a účetních sestav, evidence a účtování tisku na síťové tiskárně evidence počtu stran vytištěných jednotlivými uživateli na síťové tiskárně, zpracování vyúčtování za tento tisk a odeslání vyúčtování prostřednictvím e-mailu, export oprávněných uživatelů do tiskového systému, import dat z tiskového systému pro účely vyúčtování,
Funkcionalita (2) generování pravidel firewallu, skriptu pro DHCP server a konfiguračního souboru pro Radius server na základě stanovených parametrů, systém technické podpory pro uživatele sítě, přehled hospodaření sítě, sledování příjmů a výdajů, evidence majetku sítě, sledování zápůjček majetku uživatelům sítě, rozhraní pro snadnou administraci samotného informačního systému, archivace záznamů z minulých let, rozhraní pro uživatele síťových služeb umožňující zobrazení a editaci vybraných údajů (přehled registrovaných údajů o uživateli a zařízení, změna hesla, restartování zapomenutého hesla, přehled pohledávek a poplatků apod.). export vybraných dat, možnost členění sítě (na sítě a virtuální podsítě).
Moduly systému Informační portál Databáze uživatelů E-mail Můj profil Nastavení systému Správa webu Informační systém P@wouk Poplatky Server Síťová tiskárna Majetek Hospodaření Podpora
Bezpečnost a zálohování zajištění různé úrovně přístupových práv, monitorování veškerého přístupu k systému a aktivních operací na základě autentizace a jednoznačné identifikace uživatele (autentizace a logování), možnost zálohování dat i aplikace prostřednictvím standardních nástrojů pro MySQL a GNU Linux, možnost manuální zálohy databáze prostřednictvím nástroje v IS P@wouk, bezpečnostní opatření administrativní povahy (vhodné zabezpečení hardwarových součástí, ochrana osobních údajů).
DEMO Evidence uživatelů Poplatky
Malware malware = malicious + software VIRY MAKRO VIRY ČERVI ROOTKITY BACKDOORY SPYWARE TROJSKÉ KONĚ ADWARE
Spam Další bezpečnostní hrozby Phishing Hoax
Základní pravidla zabezpečení a prevence (1) Vždy používejte pravidelně aktualizovaný antivirový program Pravidelně aktualizujte operační systém a další programy Používejte Firewall Používejte aktualizovaný antispywarový software Věnujte pozornost odkazům, na které klikáte v e-mailech, při chatu, na webových stránkách nebo Facebooku - může se jednat o podvod, i když odesílatele znáte Nedůvěryhodné zprávy nebo přílohy rovnou smažte a neotevírejte je, přílohy vždy nejprve prověřte aktuálním antivirovým programem Stažené soubory vždy nejprve prověřte pomocí antivirových programů, programy stahujte přímo ze stránek výrobce daného softwaru nebo renomovaných a důvěryhodných serverů Vyhněte se návštěvě stránek s rizikovým obsahem (porno, cracky, drogy, nelegální stahování hudby, softwaru nebo filmů)
Základní pravidla zabezpečení a prevence (2) Nepoužívejte peer-to-peer sítě pro získávání nelegálního obsahu a sami nesdílejte žádná data Buďte opatrní při výměně dat prostřednictvím přenosných médií (USB klíčenky, externí HDD) pozor na funkci autorun V prostředí internetu (na sociálních sítích) neuvádějte žádné citlivé údaje např. telefonní číslo nebo adresu, nevěřte každé informaci a buďte obezřetní při používání webové kamery Připojujte počítač pouze do bezpečných sítí Chraňte informace, používejte silná hesla, zálohujte data Nikdy nikomu a ničemu nevěřte, buďte obezřetní!!!
Zásady bezpečného hesla Používejte dostatečně dlouhá hesla, minimálně 8 znaků Kombinujte malá a velká písmena, číslice a zvláštní znaky Nepoužívejte jednoduché řady, stejné znaky, písmena ležící vedle sebe na klávesnici Nepoužívejte v heslu své přihlašovací jméno Nepoužívejte hesla ze slovníku (v žádném jazyce) Používejte různá hesla Hesla neukládejte, nikomu nesdělujte a pravidelně měňte
Děkuji za pozornost. tomas@petranek.eu