Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture Niko Dukić

Partneri Medijski pokrovitelji

Business case: OB Zabok Zaključak (nameće se sam!) Sadržaj predavanja Sigurnosni slojevi Mrežna sigurnost Sigurnost svjesna identiteta Nadzor i upravljanje Business case: OB Zabok Zaključak (nameće se sam!)

Sigurnosni slojevi Mrežna sigurnost Sigurnost svjesna identiteta osnovni mehanizmi zaštite IT infrastrukture Sigurnost na rubovima IT sustava Sigurnost poslovnog sustava i internih IT servisa Sigurnost svjesna identiteta komplementarna sa mrežnom razinom. Mehanizam kontrole više nije IP adresa već identitet korisnika Sigurnost klijentskih računala Nadzor i upravljanje sustavom zaštite

Mrežna sigurnost (1/3) Osnovni mehanizmi zaštite Firewall sustavi IPS / IDS sustavi VLAN odvajanje Preporučene razine zaštite Između produkcijske mreže i Interneta Sustav kontrolira sav promet između korisničke mreže i Interneta Odvajanje javnih servisa u posebne DMZ mreže Zabrana direktnog pristupa prema resursima iz lokalne mreže, Najčešće mjesto implementacije firewall-a i IPS sustava

Mrežna sigurnost (2/3) Između poslovnog sustava i korisnika VLAN access liste na centralnim routerima najosjetljivije sustave odvojiti posebnim firewall sustavom Potrebna velika propusnost sustava Preporučaju se fail-safe kartice i bridge mode ili redundancija Odvajanje korisnika i poslovnog sustava / IT servisa u odvojene VLAN-ove

Mrežna sigurnost (3/3) VLAN dolazi sa svojim sigurnosnim propustima, ali više su oni posljedica loše konfiguracije VLAN ranjivosti dolaze do izražaja povećanjem korištenja virtualizacijskih tehnologija Prema istraživanjima 70 % organizacija će spojiti LAN sa cijelim ili dijelom DMZ-a radi boljeg iskorištavanja mrežne infrastrukture unutar virtualne okoline

Sigurnost svjesna identiteta (1/4) Prebacivanje kontrole pristupa sa mrežne razine na korisničku

Sigurnost svjesna identiteta (2/4) Pristup sustavu prema statistici: Zaposlenici: 50 % Gosti: 10 % Partneri: 20 % Privilegirani korisnici: 20 % Korisnika prate prava bez obzira na način pristupa: LAN, wireless, VPN

Sigurnost svjesna identiteta (3/4) Zaključak sigurnost sustava najviše mogu ugroziti zaposlenici i privilegirani korisnici koji prema mrežnoj sigurnosti imaju ista prava i ona ovise o IP adresama; promjenom radne stanice mogu imati veća prava

Sigurnost svjesna identiteta (4/4) Identitet za pristup koristi radnu stanicu Uglavnom se koriste tradicionalni mehanizmi zaštite bez povezanosti sa identitetom: Antivirus / antispyware Patch deployment Napredniji mehanizmi zaštite / identity aware: 802.1x NAC

802.1x (1/3) Autentifikacijski protokol za wired i wireless mreže Svrha: Kontrola pristupa na razini porta (on / off status) praćenje pristupa mrežnim resursima Sigurnost javnih mreža (fakulteti, škole, bolnice) Moguće proširenje sa naprednim ekstenzijama

802.1x (2/3) Problemi kod dizajna: Jednostavna implementacija sa on / off funkcionalnošću. Napredne funkcionalnosti je potrebno dobro testirati Kako kontrolirati uređaje koji ne podržavaju ili nisu konfigurirani za 802.1x (IP Telefoni, mrežni printeri, vanjski korisnici) Odabir klijentskog softvera i RADIUS servera Pristup mreži prije autorizacije korisnika (remote upravljanje, GPO, DHCP request timeout)

802.1x (3/3) Zaključak: Ograničeni protokol, ali low cost rješenje koje znatno povećava sigurnost Gartner podaci za 2008: Radi složenosti implementacije samo 13 % organizacija ima implementirano 802.1x rješenje Do 2011 broj će porasti na 50 % U slučaju olakšanja implementacije taj bi broj mogao porasti na 70 %

NAC (1/2) Nadogradnja 802.1x rješenja Pristup se ostvaruje na temelju identiteta i provjere stanja radne stanice bez obzira na lokaciju Gartner podaci za 2008: 37 % korisnika ima ili je u planu implementacija 70 % sljedeće godine Najčešća upotreba: Guest isolation: 79 % Endpoint baselining: 15 % Identity aware network: 5 % Monitoring and containment: 1 %

NAC (2/2) omogućuje jednostavnu implementaciju drugih sigurnosnih mehanizama Provjera stanja / automatsko ažuriranje Izolacija za goste Dinamičko dodjeljivanje VLAN-a i ACL Integracija sa firewall sustavima radi kreiranja user based access lista ili captive portala

Nadzor i upravljanje Ključna odluka kod nadzora sustavom zaštite IT infrastrukture Single vendor vs. Multi vendor (best of breed) policy Single vendor policy Jednostavan nadzor i upravljanje Manji TCO Jeftinije održavanje Najbolji primjer: Check Point Multi vendor policy Tehnički kvalitetnije rješenje, ali puno teže za implementirati i održavati Puno skuplje održavanje Puno teži nadzor i upravljanje Trenutni trend je single vendor policy

Business case: OB Zabok (1/4) Poslovna potreba: zaštita podataka o pacijentima Zaštita poslovnog sustava Problemi veliki broj IP uređaja (serveri, radne stanice, IP telefoni, medicinska oprema) Veliki broj nekontroliranih posjetitelja Veliki broj otvorenih prostora sa priključcima na lokalnu mrežu

Business case: OB Zabok (2/4) Zašto CS: jednim projektom postavljena osnova za: Ispunjenje obveza prema EU regulativi i politici bolnice vezano uz čuvanje informacija, zaštitu osobnih podataka, tajnost informacija postavljeni tehnički preduvjeti za uvođenje vlastitog ISMS-a: mrežna sigurnost, pristupne kontrole, firewall, kontrola identiteta, vanjski korisnici, zaštita klijenata… dizajn, implementacija i održavanje kroz jednu tvrtku (koja ima certifikat ISO27001:2005)

Business case: OB Zabok (3/4) Rješenje obuhvaća: Cisco firewall, L2 / L3 preklopnike Cisco ACS (RADIUS) server 802.1x autorizacija koristeći Windows XP klijent i Active Directory Check Point Integrity klijent

Business case: OB Zabok (4/4) Implementacijom sustava omogućeno je Zaštita pristupa sa Interneta Zaštita poslovne mreže na razini VLAN-a 802.1x autorizacija za svu mrežnu opremu na koju se spajaju radne stanice Osobni firewall dodatno kontrolira pristup mrežnim resursima prema grupi u AD-u Kontrola aplikacija koje se mogu pokrenuti Provjera stanja antivirusnog softvera Provjera instalacije dodatnih Microsoft zakrpa

Pogled u sadašnjost / budućnost Integrity je naslijedio Endpoint security suite uz dodane funkcionalnosti: antivirusna / antispyware provjera, ista pristupna prava kroz LAN i VPN sustav enkripcija cijelog diska na radnim stanicama granularna kontrolu USB uređaja i pokretnih medija U H1 2010 izlazi novo Check Point NAC rješenje Upravljanje pristupa gostima na višem nivou Captive portal Clientless compliance check za goste Dissolvable / light client solution za partnere

Zaključci!!! Sistematski pristup sigurnosti otpočetka – drugog pristupa nema! Korištenje best practices/u skladu sa core businessom, uz korištenje partnera za IT sigurnost Primjena “sigurnosti u slojevima”, centralni nadzor i administracija Uspostaviti ISMS kao okvir unutar kojega će se sigurnost razvijati i održavati na kontrolirani način Sigurnost projektno ne “završava”, traži pažnju i fokus!

Nakon zaključka

Hvala.