110 likes | 244 Views
BOF - Nätsäkerhet. Segmentering av nät/firewall/exponering Autenticering Avlyssning/kryptering – kom vi inte att prata mycket om. Innan – Ropen skalla ”Internet till alla” Nu – Nätet stödja verksamheten Segmentering Nätdesign (VLAN) efter datorers uppgift, inte tvunget organisationsstyrt
E N D
BOF - Nätsäkerhet Segmentering av nät/firewall/exponering Autenticering Avlyssning/kryptering – kom vi inte att prata mycket om. SUSEC/Kalmar 26 april 06
Innan – Ropen skalla ”Internet till alla” Nu – Nätet stödja verksamheten Segmentering Nätdesign (VLAN) efter datorers uppgift, inte tvunget organisationsstyrt Klienter/webservrar/skrivare – olika behov av nätkoppling, externt åtkommliga etc. SUSEC/Kalmar 26 april 06
Exponering. Ej uppkoppling utifrån mot ”normala” datorer. Många har/håller på att blockera uppkopplingar. Om uppgiften kräver att datorn är nåbar utifrån – då skall den vara det. Om uppgiften inte kräver att den är nåbar utifrån då skall den inte vara det. Klienter – klienter? Behövs detta? - P2P? SUSEC/Kalmar 26 april 06
Exponering/Segmentering/Nätuppdelning Nätuppdelning kräver kunskap och närvaro i verksamheten, kan inte ske allför centralt. Lättare på små lärosäten med färre driftställen och tätare kontakter. Motivering, möjlighet. ”Ordning och reda” Vilka resurser har/erbjuder myndigheten mot omvärlden? SUSEC/Kalmar 26 april 06
Segmentering. Ett VLAN/dator: (nästan) all trafik skall ändå routas, varför skall man switcha i korridoren? Koax-arv, tradition. Stadsnät byggs med VLAN/kund - ger avlyssningssäkrare nät. Muxar i stället för switchar! Ekonomihögskolan i Lund gjorde ett försök, men hade inte switchar som klarade många VLAN. SUSEC/Kalmar 26 april 06
Säkra nät? Räcker inte – ens om dom finns. Patchning, antivirus, säkra installationer (avst tjänster, kryperade inloggningar ….) SUSEC/Kalmar 26 april 06
Det goda exemplet GU (m fl) – erbjuder centrala tjänster ”gratis”. Förhoppningen är att dessa tjänster skall vara så bra att prefekter inte vill betala för att använda en sämre lokal lösning! LUDD i Lund är ett liknande erbjudande. Bromsas av tradition, NIH, personalproblematik, akademisk frihet, tron att man är speciell SUSEC/Kalmar 26 april 06
Autenticering Av datorer 802.1x (dottetteks) WLAN-teknik – funkar kanske dåligt på tråd. Karantännät. GU har ett nät där man enbart får begränsad access innan man laddar ner en klient som kontrollerar säkerheten på datorn (patch/antivirus/…) I homogena nät kan man automatiskt kolla/rensa datorer innan de får access. SUSEC/Kalmar 26 april 06
Autenticering Till speciella resurser (VPN – men inte internet) Halmstad "Low-tek" lösning till en MS-SQL server - Billig dator + linux + iptables mellan Internet och resursen Web-sida där man authenticerar sig och öppnar Detta IP-nummer har sedan access en viss tid till denna tjänst. Websida, 30-40 rader perl-script, linux, iptables. Magnus.Moren@cite.hh.se SUSEC/Kalmar 26 april 06
Policy Skydd mot bus utifrån – ”fysiska skydd”, FW, segmentering, block... Skydd mot bus innifrån – samma saker + Policy! Policy: Sunt förnuft på papper Policy som inte är förankrad och accepterad blir bara att inlägg i debatten. SUSEC/Kalmar 26 april 06
Policy Inte bara ”skall vara ledande …” Utan också budord: Du skall.. - inte koppla in egen utrustning på nätet - se till att institutionens datorer servas. - se till att institutionens utrustning inte (för)stör för andra inom eller utom universitetet. IT är daglig och väsentlig verksamhet. Den får inte riskeras med slarv, ignorans, okunnighet eller dumhet. SUSEC/Kalmar 26 april 06