a távoli munkavégzés biztonsági kérdései
DESCRIPTION
A távoli munkavégzés biztonsági kérdései. Miről lesz szó?. A távelérés szükségessége A távoli munkavégzés biztonsága A kommunikáció biztonsága A válalati hálózat biztonsága Távelérés az elérni kívánt cél szerint Levelezés Teljeskörű használat Alkalmazások futtatása, távfelügyelet - PowerPoint PPT PresentationTRANSCRIPT
A távoli munkavégzés biztonsági kérdései
2
Miről lesz szó?A távelérés szükségességeA távoli munkavégzés biztonsága– A kommunikáció biztonsága– A válalati hálózat biztonsága
Távelérés az elérni kívánt cél szerint– Levelezés– Teljeskörű használat– Alkalmazások futtatása, távfelügyelet
A távmunka rendszerekkel szembeni elvárásokPéldák a megoldásra
3
Technológia fejlődése, terjedése – Vezeték nélkül bárhonnan (hotspot-ok, stb.).– Hálózati kapcsolattal rendelkező háztartások
száma.
Speciális dolgozók (távmunkások), utazó felhasználók, ügyfelek, partnerek, beszállítók.
A vállalat saját felhasználói egyre több és több opciót szeretnének elérni távolról is a munkahelyi hálózatból.
A ZyXEL legutóbbi felmérésének eredménye: a távolról dolgozó felhasználók 87 %-a az otthoni számítógépét is használja a munkavégzés során. [1]
Növekvő igény 1.
4
VPN kliens
Network Access Server
Hitelesítő Server(RADIUS)
DHCP Server
Címtár
Dial-up kliens
Levelek elérése
Mobil eszközök
WirelessNetwork
Fiókirodák VPN kapcsolódás
Vállalati hálózat
Növekvő igény 2. [2]
5
A mobil munkavégzés sokszor nagyon hatékony, de komoly biztonsági kockázatot is jelenthet.
A távoli elérés sosem biztonságos
Mikor, kinek, mennyit, hogyan?
Elérés biztonság dilemma
6
A kommunikáció biztonsága– Virtual Private Network (VPN)
majd minden cégnél működik VPN-szerver, sok esetben felesleges, sőt akár kockázatos is lehet,esetenként kivitelezhetetlen (pl. OS nem tudja).
– Secure Shell (SSH) segédprogram Biztonságosan megvalósítható Microsoft és Unix/Linux rendszerek esetén egyaránt, de a kliens alkalmazások konfigurálása meghaladja egy átlagos felhasználó ismereteit.
A vállalati hálózat védelmeBiztonságos-e a távoli gép?Alapesetben nem hat semmilyen tartományi eszköz (csoportházirend, központi vírusirtó, frissítéseket ellenőrző és a naprakészségéről gondoskodó alkalmazások, stb.).Jelszavak problémája (Single Sign On)
A távoli munkavégzés biztonsága
7
Levelezés, csoportmunka: az igények döntő többsége, a vállalatok túlnyomó része meri is és biztosítja is.– Szükséges minimum– Nem szükséges VPN, sőt veszélyes is lehet,
bizonyos szakértelmet kívánhat meg a távoli felhasználótól.
– Számos, webes felületen elérhető levelező-alkalmazás:
Outlook Webaccess, Outlook, Pop3, IMAP, Outlook Mobile Access – be lehet állítani, hogy titkosítatlanul ne közlekedjen soha a jelszó.
Távelérés az elérni kívánt cél szerint 1.
8
Az erőforrások teljes körű (jogosultságoknak megfelelő) használata: nem túl gyakori, de időnként szükséges (pl. fájl megosztások elérése - megnyitás, szerkesztés, stb.). – FTP:
A legnépszerűbb, legelterjedtebb. Nehéz v. nem lehet megoldani az információ, a jelszavak titkosítását.Tiltsuk? A felhasználó attól még próbálkozhat és a jelszó akkor is átmegy a hálózaton (Elender feltörése)
– SSL-en keresztül a SharePoint segítségével közösségi csoportmunka, a webhelyek tartalmának és a felhasználók tevékenységének egyszerű felügyelete.
Távelérés az elérni kívánt cél szerint 2.
9
Hitelesítő Szerver
DNSSzerver
WebSzerver
DomainController
FileSzerver VPN Karantén hálózat
VPN Hálózat
Karantén policy
Távelérés az elérni kívánt cél szerint 3. [2] – VPN:
ha nincs lehetőség SharePoint használatára, VPN alagút (karantén alagút), csak bizonyos szolgáltatást lehet használni.
10
Alkalmazások futtatása, távfelügyelet:– RDP (Remote Desktop Protocol): a távoli asztal, az admin
távvezérelheti a hálózatot (szervereket, kliens gépeket). Ha többre van szükség, mint a webes alkalmazások elérése, de nincs szükség teljes hálózati elérésre. 128 bites az alapértelmezett titkosítás.
– Remote Desktop Web Connection: egy ActiveX vezérlő segítségével böngészőből lehet használni az RDP kapcsolatot.
Alacsony sávszélesség-igény – akár modemen is. Régi hardverek számára is ideális. Nemcsak Windows platformra alkalmazható. Az RDP over SSL-t nem támogatja. Az ActiveX vezérlők használata fokozott körültekintést kíván meg a klienstől, mert bizonyos weblapok olyan aktív tartalommal is rendelkezhetnek, amely veszélyezteti a számítógép biztonságát, ennek biztonságos kezelése további szakértelmet igényel.
Távelérés az elérni kívánt cél szerint (4)
11
– RDP over SSL technológia: ha nagyobb biztonságra van szükség, mint amennyit az RDP biztosít.
TLS (Transport Level Security) hitelesítés és titkosítás.
– W2K3 üzemeltetés HTTPS-sel: a 8098-as porton https-sel elérhető a távfelügyelt szerver néhány beállítása
pl. admin jelszó változtatása, szerver neve, a Webszerver szinte összes fontos beállítása, megtekinthetők és megváltoztathatók egy IP kapcsolat tulajdonságai, hozzá lehet férni a helyi felhasználói adatbázishoz, meg lehet nézni, törölni, letölteni a naplófájlokat, ha van SMTP kiszolgáló, riasztással e-mail küldését beállítani, szükség esetén le lehet állítani vagy újraindítani a szervert, stb.).
Távelérés az elérni kívánt cél szerint (5)
12
A bejelentkezés egyszerűen, lehetőleg „egy gombnyomásra” történjen,megfelelő sebesség a kliens oldalon,a kommunikáció olcsó legyen, és helyfüggetlen,a bejelentkezőt egyértelműen tudja azonosítani, a kommunikáció megfelelő algoritmussal titkosított legyen.
A távmunka rendszerekkel szembeni elvárások
13
E-parlament területén szigorú szabályok mellett előre konfigurált notebook– Csak bizonyos helyekről és célokra használható. – X.509 digitális tanúsítvány, intelligens (smart) kártya
(bejelentkezés, levelezés hitelesítés, titkosítás, elektronikus aláírás).
– Költséges. [3]
BeCrypt: USB flash memóriákra épülő biztonságos rendszer [4]– A notebook bekapcsolása után az OS egy USB flash
memóriáról töltődik be. Ha a merevlemez tartalmaz is kártékony kódot, az nem tud tovább fertőzni.
Cisco: „Önvédő hálózat” koncepciója (lényegében megegyezik a karantén VPN elveivel). [5]Microsoft: karantén VPN technológiája
Megoldási lehetőségek (1)
14
VPN egyszerűen a Microsoft Connection Manager Administration Kit (CMAK) segítségével [6]– Előredefiniált VPN kliens beállítások és
(opcionálisan) kiegészítő eszközök (pl. proxy beállítások) csomagolhatók össze egy .exe fájlba.
– Előnye, hogy a kliens kötelezően azokkal a beállításokkal fog majd belépni a hálózatba, amit a csomagban számára előre előírtunk.
– Megadható, hogy hitelesítés, titkosítás szükséges-e és milyen a bejelentkezéshez, milyen kapcsolaton keresztül jelentkezhet be, mi történjen a kapcsolat felépítése után és a leváláskor, milyen telefonszámon kérhet segítséget probléma esetén, stb.
– Az .exe és proxybeállítás megadása esetén .txt fájlokat kell a felhasználóhoz eljuttatni, akár egy USB kulcs átadásával, a még nagyobb biztonság érdekében önkicsomagoló formában titkosítva.
Megoldási lehetőségek (2)
15
[1] Biztonságportál: Aggodalmak a távoli munkavégzés miatt, http://www.biztonsagportal.hu/article3088.html , 2007.10.03.
[2] Gál Tamás: Távoli elérés és munkavégzés, http://www.microsoft.com/hun/webcast/default.aspx?id=ddc36344-a968-4386-95b3-f990b46cb346, 2006.12.21.
[3] Kertészné Gérecz Eszter: AZ E-PARLAMENT http://www.neumann-centenarium.hu/kongresszus/prog16.html?v%5Bid%5D=63, 2007.10.03.
[4] Kristóf Csaba: Operációs rendszer USB-memórián http://computerworld.hu/operacios-rendszer-usb-memorian.html, 2007.04.18.
[5] Cisco Systems: PREVENTING WORM AND VIRUS OUTBREAKS WITH CISCO SELF-DEFENDING NETWORKS, http://www.cisco.com/application/pdf/en/us/guest/netsol/ns481/c654/cdccont_0900aecd801dff73.pdf, 2007.10.05.
[6] Microsoft TechNet: Microsoft Windows Server 2003 TechCenter, http://www.microsoft.com/technet/prodtechnol/windowsserver2003/hu/library/ServerHelp/5cd571d6-7fdc-483d-8899-0a337acc9cf9.mspx?mfr=true, 2007.06.01.
Felhasznált irodalom
Köszönöm a figyelmet!