160 likes | 285 Views
A távoli munkavégzés biztonsági kérdései. Miről lesz szó?. A távelérés szükségessége A távoli munkavégzés biztonsága A kommunikáció biztonsága A válalati hálózat biztonsága Távelérés az elérni kívánt cél szerint Levelezés Teljeskörű használat Alkalmazások futtatása, távfelügyelet
E N D
Miről lesz szó? A távelérés szükségessége A távoli munkavégzés biztonsága A kommunikáció biztonsága A válalati hálózat biztonsága Távelérés az elérni kívánt cél szerint Levelezés Teljeskörű használat Alkalmazások futtatása, távfelügyelet A távmunka rendszerekkel szembeni elvárások Példák a megoldásra
Technológia fejlődése, terjedése Vezeték nélkül bárhonnan (hotspot-ok, stb.). Hálózati kapcsolattal rendelkező háztartások száma. Speciális dolgozók (távmunkások), utazó felhasználók, ügyfelek, partnerek, beszállítók. A vállalat saját felhasználói egyre több és több opciót szeretnének elérni távolról is a munkahelyi hálózatból. A ZyXEL legutóbbi felmérésének eredménye: a távolról dolgozó felhasználók 87 %-a az otthoni számítógépét is használja a munkavégzés során. [1] Növekvő igény 1.
Mobil eszközök Vállalati hálózat Wireless Network DHCP Server Network AccessServer Címtár Hitelesítő Server (RADIUS) Dial-up kliens Fiókirodák VPN kapcsolódás Levelek elérése Növekvő igény 2. [2] VPN kliens
A mobil munkavégzés sokszor nagyon hatékony, de komoly biztonsági kockázatot is jelenthet. A távoli elérés sosem biztonságos Mikor, kinek, mennyit, hogyan? Elérés biztonság dilemma
A kommunikáció biztonsága Virtual Private Network (VPN) majd minden cégnél működik VPN-szerver, sok esetben felesleges, sőt akár kockázatos is lehet, esetenként kivitelezhetetlen (pl. OS nem tudja). Secure Shell(SSH) segédprogram Biztonságosan megvalósítható Microsoft és Unix/Linux rendszerek esetén egyaránt, de a kliens alkalmazások konfigurálása meghaladja egy átlagos felhasználó ismereteit. A vállalati hálózat védelme Biztonságos-e a távoli gép? Alapesetben nem hat semmilyen tartományi eszköz (csoportházirend, központi vírusirtó, frissítéseket ellenőrző és a naprakészségéről gondoskodó alkalmazások, stb.). Jelszavak problémája (Single Sign On) A távoli munkavégzés biztonsága
Levelezés, csoportmunka: az igények döntő többsége, a vállalatok túlnyomó része meri is és biztosítja is. Szükséges minimum Nem szükséges VPN, sőt veszélyes is lehet, bizonyos szakértelmet kívánhat meg a távoli felhasználótól. Számos, webes felületen elérhető levelező-alkalmazás: Outlook Webaccess, Outlook, Pop3, IMAP, Outlook Mobile Access – be lehet állítani, hogy titkosítatlanul ne közlekedjen soha a jelszó. Távelérés az elérni kívánt cél szerint 1.
Az erőforrások teljes körű (jogosultságoknak megfelelő) használata: nem túl gyakori, de időnként szükséges (pl. fájl megosztások elérése - megnyitás, szerkesztés, stb.). FTP: A legnépszerűbb, legelterjedtebb. Nehéz v. nem lehet megoldani az információ, a jelszavak titkosítását. Tiltsuk? A felhasználó attól még próbálkozhat és a jelszó akkor is átmegy a hálózaton (Elender feltörése) SSL-en keresztül a SharePoint segítségével közösségi csoportmunka, a webhelyek tartalmának és a felhasználók tevékenységének egyszerű felügyelete. Távelérés az elérni kívánt cél szerint 2.
Távelérés az elérni kívánt cél szerint 3. [2] • VPN: • ha nincs lehetőség SharePoint használatára, • VPN alagút (karantén alagút), csak bizonyos szolgáltatást lehet használni. VPN Hálózat WebSzerver DomainController Karantén policy Hitelesítő Szerver DNSSzerver FileSzerver VPN Karantén hálózat
Alkalmazások futtatása, távfelügyelet: RDP (RemoteDesktopProtocol): a távoli asztal, az admintávvezérelheti a hálózatot (szervereket, kliens gépeket). Ha többre van szükség, mint a webes alkalmazások elérése, de nincs szükség teljes hálózati elérésre. 128 bites az alapértelmezett titkosítás. RemoteDesktop Web Connection: egy ActiveX vezérlő segítségével böngészőből lehet használni az RDP kapcsolatot. Alacsony sávszélesség-igény – akár modemen is. Régi hardverek számára is ideális. Nemcsak Windows platformra alkalmazható. Az RDP over SSL-t nem támogatja. Az ActiveX vezérlők használata fokozott körültekintést kíván meg a klienstől, mert bizonyos weblapok olyan aktív tartalommal is rendelkezhetnek, amely veszélyezteti a számítógép biztonságát, ennek biztonságos kezelése további szakértelmet igényel. Távelérés az elérni kívánt cél szerint (4)
RDP over SSL technológia: ha nagyobb biztonságra van szükség, mint amennyit az RDP biztosít. TLS (TransportLevelSecurity) hitelesítés és titkosítás. W2K3 üzemeltetés HTTPS-sel: a 8098-as portonhttps-sel elérhető a távfelügyelt szerver néhány beállítása pl. admin jelszó változtatása, szerver neve, a Webszerver szinte összes fontos beállítása, megtekinthetők és megváltoztathatók egy IP kapcsolat tulajdonságai, hozzá lehet férni a helyi felhasználói adatbázishoz, meg lehet nézni, törölni, letölteni a naplófájlokat, ha van SMTP kiszolgáló, riasztással e-mail küldését beállítani, szükség esetén le lehet állítani vagy újraindítani a szervert, stb.). Távelérés az elérni kívánt cél szerint (5)
A bejelentkezés egyszerűen, lehetőleg „egy gombnyomásra” történjen, megfelelő sebesség a kliens oldalon, a kommunikáció olcsó legyen, és helyfüggetlen, a bejelentkezőt egyértelműen tudja azonosítani, a kommunikáció megfelelő algoritmussal titkosított legyen. A távmunka rendszerekkel szembeni elvárások
E-parlament területén szigorú szabályok mellett előre konfigurált notebook Csak bizonyos helyekről és célokra használható. X.509 digitális tanúsítvány, intelligens (smart) kártya (bejelentkezés, levelezés hitelesítés, titkosítás, elektronikus aláírás). Költséges. [3] BeCrypt: USB flash memóriákra épülő biztonságos rendszer [4] A notebook bekapcsolása után az OS egy USB flash memóriáról töltődik be. Ha a merevlemez tartalmaz is kártékony kódot, az nem tud tovább fertőzni. Cisco:„Önvédő hálózat” koncepciója (lényegében megegyezik a karantén VPN elveivel). [5] Microsoft:karantén VPN technológiája Megoldási lehetőségek (1)
VPN egyszerűen a Microsoft Connection Manager Administration Kit (CMAK) segítségével [6] Előredefiniált VPN kliens beállítások és (opcionálisan) kiegészítő eszközök (pl. proxy beállítások) csomagolhatók össze egy .exe fájlba. Előnye, hogy a kliens kötelezően azokkal a beállításokkal fog majd belépni a hálózatba, amit a csomagban számára előre előírtunk. Megadható, hogy hitelesítés, titkosítás szükséges-e és milyen a bejelentkezéshez, milyen kapcsolaton keresztül jelentkezhet be, mi történjen a kapcsolat felépítése után és a leváláskor, milyen telefonszámon kérhet segítséget probléma esetén, stb. Az .exe és proxybeállítás megadása esetén .txt fájlokat kell a felhasználóhoz eljuttatni, akár egy USB kulcs átadásával, a még nagyobb biztonság érdekében önkicsomagoló formában titkosítva. Megoldási lehetőségek (2)
[1] Biztonságportál: Aggodalmak a távoli munkavégzés miatt, http://www.biztonsagportal.hu/article3088.html , 2007.10.03. [2] Gál Tamás: Távoli elérés és munkavégzés, http://www.microsoft.com/hun/webcast/default.aspx?id=ddc36344-a968-4386-95b3-f990b46cb346, 2006.12.21. [3] Kertészné Gérecz Eszter: AZ E-PARLAMENThttp://www.neumann-centenarium.hu/kongresszus/prog16.html?v%5Bid%5D=63, 2007.10.03. [4] Kristóf Csaba: Operációs rendszer USB-memórián http://computerworld.hu/operacios-rendszer-usb-memorian.html, 2007.04.18. [5] Cisco Systems: PREVENTING WORM AND VIRUS OUTBREAKS WITH CISCO SELF-DEFENDING NETWORKS, http://www.cisco.com/application/pdf/en/us/guest/netsol/ns481/c654/cdccont_0900aecd801dff73.pdf, 2007.10.05. [6] Microsoft TechNet: Microsoft Windows Server 2003 TechCenter, http://www.microsoft.com/technet/prodtechnol/windowsserver2003/hu/library/ServerHelp/5cd571d6-7fdc-483d-8899-0a337acc9cf9.mspx?mfr=true, 2007.06.01. Felhasznált irodalom