Management bezpečnosti fyzické vrstvy Ing. Petr Sedlák Služby a kvalita služeb 27.11.2013 Tento workshop je podporována projektem č. CZ.1.07/2.2.00/28.0062 "Společné aktivity VUT a VŠB-TUO při ř vytváření obsahu a náplně ě odborných akreditovaných kurzů ů ICT"
IMS IMS (Integrated Management System) - Integrovaný systém řízení je filozofie komplexního řízení organizací. QMS (Quality Management System) ISO 9001 EMS (Enviromental Management System) ISO 14001 OHSMS (Occupational Health and Safety Management System) OHSAS 18001 + ISMS Information Security Management System systém řízení bezpečnosti informací ČSN IEC/ISO 27001 + ITSM - IT Service Management - řízení služeb informačních technologií ČSN IEC/ISO 20000 Management informační bezpečnosti 2
Normy bezpečnostní ISMS (Information security managemet system) - systém řízení bezpečnosti informací je specifikován v normách řady ISO/IEC 27000 ISO/IEC 27001, což je specifikace ISMS ISO/IEC 27002 (ISO/IEC 17799) soubor postupů ISO/IEC 27003 směrnice pro implementaci ISMS ISO/IEC 27004 metriky ISMS ISO/IEC 27005 metody řízení rizik ISO/IEC 27006 pravidla certifikace ISMS ISO/IEC 27007 směrnice auditora ISMS atd. až po specifické normy jako: ISO/IEC 27033 Informační technologie Bezpečnostní techniky Síťová bezpečnost Management informační bezpečnosti 3
Soubor norem řady ISO/IEC 27033 ISO/IEC 27033 - Informační technologie Bezpečnostní techniky Síťová bezpečnost Jde o otevřený soubor norem s postupným vydáváním poskytující podrobný návod na implementaci bezpečnostních mechanizmů, které jsou zmíněny v normě ISO/IEC 27002. Týkají se bezpečnosti zařízení připojených do sítě, síťových služeb, uživatelů přistupujících do sítě, informací přenášených po síti a také správy těchto bezpečnostních opatření. Síťová bezpečnost je pojem označující soubor norem obsahující doporučení pro implementaci opatření, které se vztahují k bezpečnosti sítí (vnitřní ochrany a ochrany perimetru). Bezpečnost síťové infrastruktury znamená stupeň zabezpečení digitálního přenosového prostředí zajišťujícího důvěrnost a neporušenost komunikace. Poznámka: Pojem perimetr sítě značí přípojné body vnitřní sítě s externími (cizími) sítěmi. Snaží se poskytnout srozumitelný přehled síťové bezpečnosti bez jakékoli zmínky o síťovém modelu OSI. Určuje architekturu síťové bezpečnosti, která může být aplikována na nejrůznější typy sítí bez ohledu na technologii nižších síťových vrstev. Normy ISO/IEC 27033 4
ISO/IEC 27033 - pokračování ISO/IEC 27033-1:2009 - popisuje cesty, principy a koncept řešení ISO/IEC 27033-2:2012 - definuje architekturu bezpečnosti sítě ISO/IEC 27033-3:2010 - definuje rizika, techniky návrhu a řešení problému spjatých se správou sítí ISO/IEC 27033-4:2012 mezisíťová bezpečná komunikace s využitím bezpečnostních bran - definuje rizika, techniky návrhu a řešení problémů spjatých se zabezpečením datových toků mezi sítěmi. ISO/IEC 27033-5:2013 zabezpečená komunikace v sítích VPN - definuje rizika, techniky návrhu a řešení problémů spjatých se spojením pomocí VPN. ISO/IEC 27033-6: IP konvergence bude popisovat rizika, projektování a kontrolní mechanizmy pro konvergenci signálů data, hlas a video ISO/IEC 27033-7: 7: příručka pro zabezpečené bezdrátové sítě - hrozby, projekční techniky a kontrolní mechanizmy - bude definovat rizika, techniky návrhu a řešení problémů spjatých se zabezpečením bezdrátových a radiových sítí. ISO/IEC 27033-8+: příručka pro zabezpečení otevřená část pro oblasti LAN, WAN, Broadband, hlasové sítě, architekturu Web Hostingu, architekturu internetového e-mailu, směrovaný (routing) přístup do sítí třetích stran Normy ISO/IEC 27033 5
Základní pojmy Síťová infrastruktura - je pojem zahrnující všechny síťové prvky a zařízení použité při realizaci ICT prostředí. Může také značit aktiva v oblasti informačních a komunikačních technologií sloužící k vytváření a podpoře informačního systému. Počítačová síť - je součástí síťové infrastruktury sloužící k realizaci komunikačního prostředí mezi uživateli sítě. ------ ISO/OSI model je sedmivrstvý referenční komunikační model podle něhož dochází k propojování systémů. Management informační bezpečnosti 6
MCN Mission Critical Network MCN jsou sítě s maximální dostupností Dodržením tří základních pravidel při návrhu sítě lze dosáhnout snadnější správy a nižší poruchovosti (výsledkem je spolehlivá síť s levným provozem). 3 základní pravidla pro MCN: - jednoduchost (provozní) - separátní rutinní provoz - spolehlivost V síťové infrastruktuře znamená jednoduchost používání těchto vlastností: - činnost na co nejnižší vrstvě ISO odelu (L1, L2, L3) včetně zabezpečení - používání HW podporujícího p hot-swap a modularitu - používání správy s grafickým rozhraním - rozsegmentování sítě na snáze upravovatelné celky MCN 7
ISO/OSI model SD SD SD SD L1 až L4 jsou vrstvy ISO/OSI referenčního č modelu ISI/OSI 8
Pasivní vrstva počítačové sítě L1 první (fyzická) vrstva ISO/OSI referenčního komunikačního modelu je vrstva fyzická. Je tvořena kabelážním systémem, který je složen ze síťových komponentů. K nim zejména patří: kabely v dané topologii (metalické i optické) kabelové trasy (svazky kabelů) konektory (RJ-45) přípojné boxy (pro konektory RJ-45) rozvodné panely (patch panely) v datovém rozvaděči Zabezpečení na úrovni pasivní vrstvy je dáno fyzickým řešením a lze ho nazvat Management bezpečnosti fyzické vrstvy nebo lépe Management bezpečnosti pasivní vrstvy například NISS (Network Infrastructure Security Solution). Poznámka: Bezpečnostní opatření dle ČSN ISO/IEC 27002:2006 Soubor popisů pro řízení bezpečnosti informací A9 A.9 Fyzická bezpečnost č a bezpečnost č prostředí A.9.2.3 Bezpečnost kabelových rozvodů (ochrana datových linek na úrovni fyzické, EMC, ) ISO/OSI 9
Network Infrastructure Security Solution NISS společnosti PANDUIT Je komplexní řešení bezpečnosti na úrovni kabelážního systému (definuje 3 stupně bezpečnosti 0, 1 a 2) NISS 10
NISS stupně 0 Bezpečnostní stupeň 0 IDENTIFIKÁTORY Tento stupeň nezajišťuje žádnou fyzickou ochranu komunikace, usnadňuje pouze správu systému a naviguje správce sítě na správný způsob zapojení pomocí barevného rozlišení prvků. Lze využít širokou škálu barev u metalických Jacků, FO adapterů, PatchCordů, popiskových štítků na panely, Jumpery, PatchCordy i barevných značkovacích kroužků na PatchCordy. NISS 11
NISS - identifikátory Barevné značkovací kroužky na PatchCordy (používají se obvykle místo barevných PatchCordů, v některých případech p i v kombinaci s nimi). NISS 12
NISS stupně 1 Bezpečnostní stupeň 1 BLOKÁTORY Do tohoto stupně jsou zařazeny prostředky, které chrání nebo blokují prvky kabeláže a konektivity: - prvky na blokování metalických portů RJ45, FO LC duplex portů a FO SC portů - prvky na ochranu proti vytažení (uzamčení) metalických PatchCordů a optických LC duplex Jumperů - datové zásuvky s omezenou přístupností portů - kabelové žlaby se zabezpečeným víkem NISS 13
NISS - blokátory Prvky na blokování portů RJ-45 proti připojení NISS 14
NISS blokátory (metalika) Postup při aplikaci prvků na blokování portů RJ-45 proti připojení NISS 15
NISS - blokátory (optika) Prvky na blokování optických portů proti připojení Konektor LC (duplexní) Konektor SC NISS 16
NISS - blokátory (USB) Blokátor USB portu typu A (Instalace a odinstalace speciálním nástrojem) NISS 17
NISS permanentní blokátory (USB) Permanentní blokátor USB portu typu A!!! (Jednorázová blokace - bez nástroje) NISS 18
NISS blokátory metalika se zámkem Prvky na blokování portů RJ-45 proti odpojení NISS 19
NISS aplikace blokátoru proti odpojení Blokování portů RJ-45 v Patch Panelu Blokování portu RJ-45 v aktivním prvku NISS 20
NISS blokátory optika se zámkem Prvky na blokování portů LC duplex proti odpojení (Lze použít pouze s originálními LC konektory výrobce blokovacího zámku) NISS 21
NISS blokace datových zásuvek Datové zásuvky s omezenou přístupností portů NISS 22
NISS kabelové trasy Kabelové žlaby se zabezpečeným víkem řada T45-61 x 33mm řada T70-104 x 45mm řada T702 - dvojitý žlab z T70-185 x 45mm řada TG70/80/86 - velkokapacitní - 136 x 69mm NISS 23
NISS stupně 2 Bezpečnostní stupeň 2 KLÍČOVÁNÍ Do tohoto stupně jsou zařazeny prostředky, které znemožňují připojení skupin metalických PatchCordů a LC duplex Jumperů do nepovolených portů. Jde o technické řešení s využitím klíčování Jacků s Plugy a FO LC duplex adapterů s LC konektory. Princip: -neklíčovanýý Plug nelze zasunout do žádného klíčovaného Jacku - klíčovaný Plug nelze zasunout do neklíčovaného Jacku a ani do Jacku s jiným typem klíčem - stejný princip platí i pro FO LC duplex adaptery a LC konektory NISS 24
NISS stupně 2 - provedení Provedení klíčování na jednotlivých typech konektorů: UTP i STP Jacky v Cat. 5,6 i 6a(10GE) - klíče odlišeny barvami Jacku UTP i STP PatchCordy v Cat. 5, 6 i 6a - klíče Plugu odlišeny barvami v provedení PatchCordu - Plug KEY / Plug NO KEY LC duplex adapter MM i SM - klíče odlišeny barvami adapteru LC duplex Jumper MM i SM - klíče LC konektoru odlišeny barvami v provedení Jumperu - LC KEY / LC KEY nebo LC KEY / LC NO KEY LC Pigtal MM i SM - klíče LC konektoru odlišeny barvami LC MM i SM OptiCam konektor - klíče LC konektoru odlišeny barvami FJ MM Jack i Plug - klíče odlišeny barvami Poznámka: Řešení klíčování je nejlépe formou dodávky, nikoliv prostého prodeje - do bezpečnostního projektu se dodávají konektory společně s PatchCordy! NISS 25
NISS klíčované metalické konektory Klíčované metalické konektory RJ-45 Konektor UTP Cat 5, 6, 6A Konektor STP Cat 5, 6, 6A NISS 26
NISS klíčování RJ-45 NISS 27
NISS klíčované PatchCordy UTP STP UTP a STP klíčované PatchCordy v Cat. 5, 6, 6a - verze Plug KEY / Plug NO KEY NISS 28
NISS klíčování optiky FJ klíčovaný Opti-Jack - SFF Jack - řešení místo FO duplex adapterů NISS 29
NISS klíčování LC konektorů Klíčované řešení v LC adapterech a konektorech NISS 30
NISS klíčované LC Jumpery Klíčované řešení na duplexních LC propojovacích p kabelech (Jumperech) NISS 31
NISS klíčování LC konektorů Varianty klíčů LC adapterů a konektorů NISS 32
NISS klíčování optiky v praxi Modulární FO kazety FO panely do optických van v provedení LC NISS 33
End of story. Děkuji za pozornost. NISS 34