ISMS Případová studie Síťová bezpečnost V Brně dne 7. a 14. listopadu 2013
Zadání - infrastruktura Modelová firma je výrobní firma, která síťové zabezpečení doposud nijak zásadně neřešila, a do jisté míry jí stačilo, že vše funguje podle očekávání. Má nasazené některé moderní technologie, např. ř relativně ě nové servery nebo VoIP telefonní řešení. Firma se vyskytuje ve dvou vzdálených lokalitách, které nejsou z pohledu IT nijak propojeny. V lokalitě A je továrna a administrativní centrum společnosti, jsou zde umístěny hlavní servery, např. webový, poštovní nebo ekonomický systém. Webové a poštovní služby jsou nakonfigurované na jednom fyzickém serveru, který je přístupný pomocí přeposílání portů na směrovači. Pracuje zde 120 uživatelů na osobních počítačích a dalších 10 mobilních uživatelů (většinou obchodníků), kteří mají notebooky, nemají stálá pracovní místa a do sítě se připojují bezdrátově. Každý uživatel má svůj vyhrazený počítač nebo notebook, o který se s nikým nedělí. Síťová bezpečnost 2
Zadání infrastruktura (pokračování) Dále má svůj VoIP stacionární telefon, který se připojuje k místní ústředně. Mobilní uživatelé využívají pouze svoje mobilní telefony. Připojení do internetu obstarává vysokorychlostní linka zakončená modemem s konektorem RJ-45. V lokalitě B je druhá továrna. Továrna do značné míry podléhá řízení z lokality lit A, má tedy jen nejnutnější administrativní i ti pracovníky, nemá žádný management ani mobilní uživatele. Celkově zde pracuje 30 uživatelů na osobních počítačích, každý z nich má stacionární VoIP telefon, který se připojuje přímo k poskytovateli VoIP služeb. K elektronické poště uživatelé přistupují přes internet na poštovní server v lokalitě A, a pokud potřebují přístup k centrálnímu ekonomickému systému, děje se tak přes terminálovou službu v lokalitě A. Podobně jako v lokalitě A je i zde vysokorychlostní připojení k internetu zakončené modemem s konektorem RJ-45. Síťová bezpečnost 3
Zadání aktuální topologie Aktuální topologie sítí v objektech A a B Síťová bezpečnost 4
Bezpečnostní rizika Bezpečnostní rizika Cíle útoků se přesunuly do vyšších vrstev a míří přímo na aplikace, odkud pak narušují bezpečnost celé sítě. Většina útočníků se zaměřuje na protokoly HTTP, XML a SQL, protože tyto obvykle mají právo přenosu celou podnikovou sítí a vstupují i do datových center. Některé hrozby ovlivňující vnitřní datové centrum: - Neautorizovaný přístup k datům - Neautorizovaný přístup k aplikacím - Neautorizovaný přístup k zařízením -Přerušení kritických služeb pomocí útoků typu DoS - Neodhalené útoky - Ztráta dat - Nemožnost obnovy dat - Útoky cílené na změnu dat - Vysoká úroveň oprávnění - Instalace nežádoucích programů - Neautorizované využití služeb, což zahrnuje i porušení podnikových předpisů Síťová bezpečnost 5
Bezpečnostní opatření Bezpečnostní opatření Technické zajištění bezpečnosti datového centra bude tedy zahrnovat: - Bezpečnostní brány na vstupu do datového centra - Nasazení systémů detekce a prevence průniku do datového centra - Kontrola na přítomnost škodlivých programů na přistupujících stanicích - Zabezpečený managementový přístup k aktivním prvkům - Zaznamenávání všech událostí v datovém centru podpořené synchronizací času ve všech zařízeních í - Plán provozní udržitelnosti pro případ selhání zařízení - Topologie sítě počítající s redundancí zařízení a tras - Pravidelné kontroly integrity dat kvůli odhalení případných neautorizovaných změn - Konfiguraci virtuálních sítí pro různé služby kvůli ochraně citlivějších zařízení - Aktivní prvky konfigurované tak, aby nebylo možné svévolně měnit MAC adresy připojených zařízení - Používání zabezpečených managementových protokolů Síťová bezpečnost 6
Navržené opatření Na základě analýzy a doporučení uvedených v normách jsou navrženy následující změny: -DMZ- zavedení demilitarizované zóny do fyzické topologie (smysl DMZ spočívá v tom, že neexistuje žádné přímé spojení mezi internetem a vnitřní sítí, což v důsledku zvyšuje bezpečnost sítě, umožňuje pokročilé řízení přístupu uživatelů ke zdrojům v internetu a také zaznamenávání jejich aktivity) - Proxy server -přístup uživatelů do internetu je umožněn přes proxy server (po zaslání požadavku uživatelem proxy vyhodnotí oprávněnost pak pošle požadavek dále do Internetu a předá uživateli očekávanou odpověď, proxy obvykle vyžaduje ověření uživatele) - Elektronická pošta změnila se manipulace s poštou, kdy poštovní server je umístěn vevnitřní vnitřní síti, v DMZ je umístěn SMTPserverpřeposílající zprávy do Internetu nebo do vnitřní sítě (po kontrole splnění požadovaných kritérií), uživatelé v Internetu nemají přímý přístup k poštovnímu serveru Síťová bezpečnost 7
Navržené opatření - pokračování - WWW server - byl rozdělen na dva, jeden se nyní nachází v DMZ a slouží pro prezentaci veřejně přístupných informací formou www stránek, druhý server zůstal ve vnitřní síti a na něm se nachází aplikace pro vnitřní použití, které využívají www rozhraní Implementace DMZ vyžaduje vytvoření sítě oddělené od vnitřní sítě. To lze teoreticky realizovat vytvořením virtuální sítě na stávajícím přepínači, nicméně mezi vnitřní sítí a DMZ je firewall a norma doporučuje, aby obě strany firewallu nebyly připojeny na stejný fyzický přepínač. Z toho plyne, že pro DMZ je potřeba pořídit nový přepínač. - VPN - další výraznou změnou je implementace virtuálních privátních sítí (VPN), nejprve VPN server umožňující přístup do vnitřní sítě separátním uživatelům v internetu (pomocí nainstalovaných SW klientů), poté následuje implementace typu site-to-site VPN sloužící k propojení sítí v lokalitách A a B (využívá se vytvoření virtuálního tunelu, který umožňuje přenos jakéhokoli typu dat bez nutnosti instalace jakéhokoliv SW) - IDS/IPS, NAC kromě FW a VPN jsou implementovány technologie IPS, IDS a NAC a shromažďování a analýza záznamů (Log). Síťová bezpečnost 8
Výsledná topologie Výsledná topologie sítě po realizovaných opatřeních Síťová bezpečnost 9
Cenová kalkulace Hlavními náklady tedy budou náklady na pořízení bezpečnostního systému, vtomto případě zařízení firmy Enterasys. Kromě samotného hardwaru a softwaru by cena měla zahrnovat také cenu za instalaci, konfiguraci a zaškolení obsluhy. Na druhou stranu lze počítat s projektovou nebo množstevní slevou. Rozpočet je uveden v obvyklých koncových cenách a nezohledňuje žádné slevy nebo poplatky za instalaci (v případě projektové ceny lze předpokládat slevy v cenách instalací). Síťová bezpečnost 10
Rozpočet Rozpočet pro lokalitu A zařízení ks Cena celkem Switch 48 port GE 4 4595 18380 Switch 48 port GE PoE 3 5995 17985 Switch 24 port GE (pro DMZ) 1 2795 2795 Access Point 802.11 a/b/g 3 449 1347 Wireless Controller 1 6015 6015 Security router (VPN, FW) 1 4540 4540 IDS/IPS základní jednotka Dragon 1 24995 24995 Síťový senzor pro DMZ 1 15995 15995 Síťový senzor pro vnitřní LAN 1 32995 32995 Doplněk IDP pro IPS senzor (DMZ) 1 4495 4495 Doplněk IDP pro IPS senzor (LAN) 1 10495 10495 125 licencí pro SW senzory na PC 1 86063 86063 2 licence pro senzor na www serveru 1 990 990 Jednotka podpory NAC 1 19995 19995 Jednotka SIEM pro střední podniky 1 44995 44995 Jednotný mngmt SW 250 zařízení 1 49995 49995 celkem 342 075 Rozpočet pro lokalitu B zařízení ks Cena Celkem Switch 48 port GE 1 4595 4595 Switch 48 port GE Poe 1 5995 5995 Switch 24 port GE (pro DMZ) 1 2795 2795 Security router (VPN, FW) 1 4540 4540 IDS/IPS základní jednotka Dragon 1 24995 24995 Síťový senzor pro DMZ 1 15995 15995 Síťový senzor pro vnitřní LAN 1 32995 32995 Doplněk IDP pro IPS senzor (DMZ) 1 4495 4495 Doplněk IDP pro IPS senzor (LAN) 1 10495 10495 31 licencí pro SW senzory na PC 1 18913 18913 Jednotka podpory NAC 1 19995 19995 Jednotka SIEM pro malé pobočky 1 22495 22495 Jednotný mngmt SW 50 zařízení 1 24995 24995 celkem 193 298 Celková cena bezpečnostního řešení je 535.373,- USD, což při aktuálním kurzu 19,- Kč za 1USD představuje ř částku 10 172.087,- Kč bez DPH. Síťová bezpečnost 11