implementacija sigurnosne politike
TRANSCRIPT
![Page 1: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/1.jpg)
Primjena sigurnosne politike
Autor: Aco DmitrovićRecenzija: Dinko Korunićsiječanj 2004.
![Page 2: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/2.jpg)
Prije svega
Nužno je imati sigurnosnu politikuPrilagođenu, službeno usvojenu, objavljenuZaposleni potpisom potvrđuju da su upoznatiStudenti pri otvaranju korisničkog računa
Pravila koja vrijede za sve korisnikePravila za zaposlene, ali i honorarcePravila administriranja i korištenja računala
![Page 3: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/3.jpg)
Pravila za korisnike
Politika prihvatljivog korištenja
Javni dokumentObjaviti ga na web stranicamaLink sa naslovnice
Vrijedi za sve koji koriste informacijske sustave
![Page 4: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/4.jpg)
Pravila prihvatljivog korištenja
Treba poštovatiZakone
Na pr. autorska prava!
Druge korisnikeBez vrijeđanja i omalovažavanjaBez uzurpiranja resursa
Bez preuzimanja tuđeg identitetaBez ispitivanja ranjivosti, skeniranja mreže, provaljivanja
![Page 5: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/5.jpg)
Pravila za zaposlenike
Za zaposlenePrihvatljivo korištenjeE-mailPassword policyRukovanje povjerljivim podacima
Glavni korisnikOdgovoran za aplikaciju i podatke
![Page 6: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/6.jpg)
Pravila za informatičare
Administriranje računalaPosebna grupa zaposlenih
Upravljanje mrežomPravila administriranja računalaPravila za nadzorIntervencije i postupak ponašanja pri incidentima
![Page 7: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/7.jpg)
Upravljanje sigurnošću
Voditelj sigurnosti informacijskih sustavaDvostruki talent
Dobar u struciKomunikator, organizator
Piše politike, organizira provođenje i nadzorPovjerenstvo za sigurnost
Predstavnici uprave i informatičaraPodržava inicijative voditeljaOdobrava trošak
![Page 8: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/8.jpg)
Fizička sigurnost
Javne zoneSamo za zaposleneSamo za grupe zaposlenih
Provjera na liniji razdvajanja
Prostorije za kritičnu računalnu opremunadzor, fizička zaštita
![Page 9: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/9.jpg)
Administriranje
Svako računalo mora imati administratoraKorisnikProfesionalacAdministratori pojedinih servisaDemonstratori za učione
Ustanova održava ažurnu listu računala i njihovih administratora
![Page 10: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/10.jpg)
Sigurnosni minimum- poslužitelji
Redovno instaliranje zakrpaObavezna protuvirusna zaštita
Centralna instalacija + neprestana dogradnja
Ugasiti nepotrebne serviseListe pristupa
Na razini individualnih servisaCjelokupnog računala
Firewall, IDS
![Page 11: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/11.jpg)
Sigurnosni minimum - osobna računala
Redovno instaliranje zakrpaNe smiju se instalirati javni servisi
Web stranice na poslužiteljuNikakav proxy!P2P
Protuvirusna zaštitaAutomatska dogradnja
Licenciran software
![Page 12: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/12.jpg)
Incidenti
Korisnici imaju obavezu prijave incidentaMoraju znati kome ga prijaviti
Kontakt lista (osoba, tel., e-mail…)Najbolje jedna kontakt adresa, helpdesk
Dežurni preusmjerava problem specijalistima
Obrazac za prijavu incidenta?
![Page 13: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/13.jpg)
Nadzor
Tko ima pravo nadzora?Specijalist/tim
Povremene provjereNajavljenoNenajavljeno?
Otkrivanje neprihvatljivog korištenjaKorisnika iznutraNapada izvana
![Page 14: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/14.jpg)
Nadzor…
Kolike su ovlasti osobe koja provodi nadzor?Hoće li samo prijaviti incident ili ima pravo poduzeti akcije?Na pr. zatvaranje korisničkog računaMogućnost zabune
username ne mora biti sam korisnik, račun može biti provaljenObavezan razgovor s korisnikom i provjera dokaza
![Page 15: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/15.jpg)
Istraga
Formirati ERT (Emergency Response Team)Forenzička obuka
Ili zatražiti pomoć od CARNeta
Definirati procedure za istragu:Jedan provodi istragu, ali uz svjedokaBilježenje svih radnji
Zapisnik je povjerljiv dokument
![Page 16: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/16.jpg)
Sankcije
Definirati kazne za nepridržavanje pravila sigurnosne politikeVezati ih na lokalne zakone i propise
Stegovni postupakPremještaj na drugo radno mjestoOtkaz?Zakon o radnim odnosima
Od zaposlenika se traži da potpišu izjavu da su upoznati s politikom
![Page 17: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/17.jpg)
Primjena politike
Prvi koraci
![Page 18: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/18.jpg)
Primjena politike…
Tek kada je politika donesena, imamo pokriće za akcije, promjene
Prije svega treba napraviti inventuruDa bismo znali čime raspolažemo
Raspodjela računala u grupeSegmentiranje mreže
![Page 19: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/19.jpg)
Inventura mreže
Nacrt mrežePopis svih priključakaNumeriranje
Što je priključeno na pojedine utičnice?U svakom trenutku morali bi znati odgovorMrežni parametri napisani na računalima?
![Page 20: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/20.jpg)
Inventura računala
Inventura računalne opremePoslužiteljaKorisničkih računalaDodatni U/I uređaji (štampači, skeneri, modemi…)
Hardware, adrese (IP, MAC, FQDN)ServisiAdministratori
OS-a, rezervni adminServisa i aplikacija
![Page 21: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/21.jpg)
Inventura softvera
Popis instaliranog softveraLicenciranje
Pravila za instaliranje:Tko smije instalirati programe?Tko odgovara za licenciranje?Obrasci: zahtjev za instalacijuTko ima pravo nadzora?
![Page 22: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/22.jpg)
Grupiranje poslužitelja
Izdvajanje kritičnih računala Sadrže povjerljive podatke (Xice, računovodstvo..)Obavljaju javne funkcije (web poslužitelj, mailposlužitelj, DNS…)
Definiranje sigurnih zonaOgraničen pristupPorta: tko može dobiti pojedini ključ
Evidencija izdavanja ključeva/pristupa prostorijama
![Page 23: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/23.jpg)
Grupiranje osobnih računala
Grupiranje korisnikaZaposleni
ReferadaRačunovodstvoProfesorski kabineti..
StudentiRačunalne učioneRačunala bez nadzora (hodnici, predvorja…)Prenosiva računala
![Page 24: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/24.jpg)
Grupiranje osobnih računala…
Gosti i suradniciRačunala bez nadzora (hodnici, predvorja…)Prenosiva računalaBežični i hibridni uređajiAntivirusna zaštita?
Zaseban segment mrežeOgraničen pristup važnim računalima
![Page 25: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/25.jpg)
Gostujuća računala
Da li je dozvoljeno priključivanje u mrežuNotebookaBežičnih uređajaKome?
ZaposleniStudenti
Pod kojim uvjetimaBez prijave, s prijavom (obrazac, MAC adresa)
Tehnički standardi (odvojen VLAN, DHCP, autorizacija…)
![Page 26: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/26.jpg)
Demilitarizirana zona
Ničija zemljaNa pr. pojas između Sjeverne i Južne Koreje ☺
Izvan zaštićene mrežeDostupna s Interneta
Štićena zona, ali izložena “neprijatelju”Dozvoljen promet samo prema određenim servisima, nikad "svima sve"
Zona javnih servisa
![Page 27: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/27.jpg)
Zaštićena mreža
Intranet
Interni poslužiteljiZa cijelu ustanovuZa pojedine odjele
Korisnička računalaRazdvojena po grupama
![Page 28: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/28.jpg)
Podjela na sigurnosne zone
Intranet
DMZstudenti
referada, računovodstvo
DB,intwww
prof. kabineti
switch
router
Internet
![Page 29: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/29.jpg)
Extranet
Prolaz u IntranetSamo za povlaštene korisnikeSpaja udaljene lokacije (Intranete)Interni modemski ulazi
Vanjski ulazi + VPN?
Partnerske tvrtke, prema ugovoruNpr. SRCE, Xice, ISVUWeb dizajneriProizvođači softvera (dogradnja database aplikacije…)Ugovorom ih obavezati na poštivanje politike
![Page 30: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/30.jpg)
Smještaj poslužitelja
Javni Privatni Radne grupezajednički
DMZ
intwww
DB
DB
DC studenti
Str.službe
istraživači
![Page 31: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/31.jpg)
Osobna računala
Bez javnih servisa!Kako to provesti?
Na liniji razdvajanja blokirati ulazne SYN paketeŠto s UDP, ICMP paketima?
SMBBlokirati portove (135-139,445…)
FirewallPuštati pakete samo ako su dio već uspostavljene konekcije, inicirane iznutraKljučna riječ: stateful analiza - established veze
NAT!!!
![Page 32: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/32.jpg)
Blokiran promet izvana
Intranet
DMZstudenti
referada, računovodstvo
DB,intwww
profesori
switch
Internet
router
![Page 33: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/33.jpg)
Spoofing
Općenito:Pokušaj neautoriziranog entiteta da dobije autoriziran pristup sustavu pretvarajući se da je autoriziran korisnik
IP SpoofingNapadač izvan naše mreže pretvara se da je legalan i autoriziran korisnik
Koristeći IP adresu koja pripada našoj mrežiKoristeći IP adresu koja pripada povjerljivom partneru koji ima osiguran legalan pristup resursima
![Page 34: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/34.jpg)
Anti-spoofing pravila
Pravila:Izvana ne može ući paket s izvornom adresom našeg LAN-aIznutra ne smije izaći paket kojem izvorna adresa nije iz našeg LAN-a
U oba smjera blokiraju se adrese:Privatne: 10.0.0.0/8, 172.16.0.0/16, 192.168.0.0/16
Lokalne: 127.0.0.1/8Provjera SA (izvorišne adrese) - RP filter
![Page 35: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/35.jpg)
Anti spoofing na routeru
Izvana blokiraj privatne adrese i adrese iz LAN-a LAN: 161.53.x.0/24, interface serial 0
access list IN ... deny ip 10.0.0.0 0.255.255.255 161.53.x.0 0.0.0.255deny ip 172.16.0.0 0.15.255.255 161.53.x.0 0.0.0.255deny ip 192.168.0.0 0.0.255.255 161.53.x.0 0.0.0.255deny ip 127.0.0.0 0.255.255.255 161.53.x.0 0.0.0.255deny ip 161.53.x.0 0.0.0.255 161.53.x.0 0.0.0.255permit ip any any
![Page 36: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/36.jpg)
Anti spoofing na routeru…
Na izlazu iz LAN-a, dozvoli samo izvorišne adrese koje pripadaju LAN-uInterface ethernet 1
access list OUT ...permit ip 161.53.x.0 0.0.0.255 anydeny ip any any log
![Page 37: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/37.jpg)
Anti spoofing na Linuxu
LAN: 192.168.33.0/24 na eth0
WAN: 161.53.x.3/32 na eth1Omogući SYN kolačiće i SA provjeru:
sysctl -w net.ipv4.conf.all.rp_filter=1
sysctl -w net.ipv4.tcp_syncookies=1
Blokiraj privatne adrese koje dolaze izvanaiptables -i eth1 -s 10.0.0.0/8 -j DROP
iptables -i eth1 -s 172.16.0.0/12 -j DROPiptables -i eth1 -s 192.168.0.0/12 -j DROP
Iznutra puštaj samo samo adrese iz LAN-aiptables -i eth0 ! -s 192.168.x.0/24 -j DROP
![Page 38: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/38.jpg)
Smjer kretanja paketa
WAN LAN
forward
input
output
input
output
eth0eth1
![Page 39: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/39.jpg)
Kako grupirati računala?
VLAN
Multihomed host
Firewall
![Page 40: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/40.jpg)
LAN
Klasični LAN-ovi su fizički odijeljene mreže, povezane routerimaLAN je broadcast domena
Collision domain
Adrese unutar klase ili segmenta klaseTreća OSI razina Router dodaje latenciju, kašnjenje paketa
![Page 41: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/41.jpg)
LANovi
router router
161.53.x.0/24
161.53.y.0/26
192.168.y.1/24
161.53.y.128/26
router
router
router
![Page 42: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/42.jpg)
Segmentiranje
IP adresa: 32 bita, 4 bajta161.53.53.3 ili binarno:10100001.00110101.00110101.00000011161.53.x.0/24 ilinetwork 161.53.x.0 netmask 255.255.255.0/24 znači:
Prva 24 bita su adresa mrežeOstalih 8 adrese hostova
![Page 43: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/43.jpg)
C klasa
161.53.53.0/2410100001.00110101.00110101.00000011-------- -------- --------|network
--------host
8 bitova za računala28 = 256 – 2 = 254
![Page 44: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/44.jpg)
Dva segmenta
161.53.53.0/26 (dva segmenta)10100001.00110101.00110101.00000011-------- -------- -------- --network
------host
dva subneta = 2 bita (1 bit + 1 rezerviran)6 bitova za računala ( 26 – 2 = 62 računala)
![Page 45: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/45.jpg)
Segmenti
samo 2 subneta od teoretski mogućih 4gubi se jedan bit:
ne koriste se gornji /26 i donji /26 segment
standardna IP routing pravila:ne smije se koristiti subnetove sa svim 0 ili 1 u mrežnom dijelu!najnovija oprema omogućuje da koristimo sve!
![Page 46: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/46.jpg)
Prva podmreža
Subnet:CIDR zapis: 161.53.53.64/26 network: 161.53.53.64netmask: 255.255.255.192 = 26broadcast: 161.53.53.127broj računala: 62iskoristive adrese: 161.53.53.65 - 161.53.53.126
![Page 47: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/47.jpg)
Druga podmreža
Subnet:CIDR zapis: 161.53.53.128/26network: 161.53.53.128 netmask: 255.255.255.192 = 26broadcast: 161.53.53.191broj računala: 62iskoristive adrese: 161.53.53.129 - 161.53.53.190
![Page 48: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/48.jpg)
VLAN
Virtualni LANLogički odvojeni LAN-ovi na preklopniku(switchu)Svaki port dodijeljen je nekom VLAN-uDruga razina OSI modela
MAC adrese ethernet kartica
![Page 49: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/49.jpg)
VLAN
router
switch switchswitch
![Page 50: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/50.jpg)
Prednosti
IP adrese postaju nebitne Ne mora se segmentirati klasa adresa
Ne gube se IP adrese
Olakšano administriranje mrežePreseljenje računala u druge prostorijePrebacivanje računala u drugi VLAN
Smanjuje se broadcast domena bez povećanja latencijeCijena: preklopnik je jeftiniji
![Page 51: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/51.jpg)
VLAN tagging
Tag – oznaka, etiketaVLAN tag u Ethernet frameStandard 802.1q
Cisco je ranije koristio vlastiti standardCisco ISL (Inter Switch Linking)
Nova Cisco oprema podržava oba, ili samo 802.1q
Linux ga podržava
![Page 52: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/52.jpg)
VLAN trunking
Da bi proširili VLAN preko više preklopnika(switcheva)Port na preklopniku pretvorimo u trunkingport i dodjelimo mu VLANovePovežemo preklopnike preko trunkingportovaEthernet frame se enkapsulira u trunkingprotokol
![Page 53: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/53.jpg)
Promet između VLANova
Paketi ne prolaze u susjedne VLANovePonekad moramo propustiti određen promet
Na pr. do zajedničkog poslužitelja
trebamo uređaj treće OSI razinerouter je član svih domenaAccess liste određuju koji promet puštamoLayer 3 switch
![Page 54: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/54.jpg)
Literatura o VLAN-u
University of California, Davis, Projekt novog LAN-ahttp://net21.ucdavis.edu/newvlan.htm
Standard 802.1q, PDF dokument, 211 str.http://standards.ieee.org/getieee802/download/802.1Q-
1998.pdf
Implementacija na Linuxuhttp://www.candelatech.com/~greear/vlan.html
![Page 55: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/55.jpg)
Napravite plan
Plan koji će dugo izdržati bez promjenaKoliko VLAN-ova?Koliko portova na switchu po VLAN-u?
Zahtjev NOC-u na SrcuDogovor oko termina
Dan DPrespajanje patch kablova na switchuPromjena IP adresa na računalima
Na pr. ako prelazimo na NAT
![Page 56: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/56.jpg)
Problemi s VLAN-om
SANS otkriva ranjivosti u implementaciji VLAN-aMoguć neželjen prolaz paketa između VLAN-ova
napad koristeći umjetne VLAN tagove i sl.
http://www.sans.org/resources/idfaq/vlan.php
![Page 57: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/57.jpg)
Dual homed host
Linux na računalu s dvije ethernet karticeIli više!Vanjska adresa – javnaUnutarnja adresa – privatna
NAT (Network Address Translation)Dinamički – masqueradeSNAT, DNAT - precizniji, kompliciraniji
![Page 58: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/58.jpg)
NAT na Linuxu
# ukljuciti forwardingsysctl -w net/ipv4/ip_forward=1
# forwarding i NATiptables -t nat -A POSTROUTING -o $INET_IFACE -j SNAT -to-source
$INET_IP
# maskerada (dobro je dodati i -s ili -i, mozda ne# zelite sve maskirati)iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
![Page 59: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/59.jpg)
DMZ u LAN-u
Javne poslužitelje možemo staviti iza firewalla, na privatne adreseDNS-u ih prijavimo na javnoj adresi firewallaFirewall radi redirekciju prometa
Promet na port koji pripada servisu preusmjerava na isti taj port poslužitelja na privatnoj adresiIzbjegava se direktna komunikacijaOmogućava se pregled paketa i njihovo testiranje ispravnosti!
![Page 60: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/60.jpg)
Zaštićen DMZ
Intranet
studenti
referada, računovodstvo
DMZprofesori
switch
router
Internet
Linux GW
![Page 61: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/61.jpg)
DNAT i port forwarding
Web poslužitelj skriven na privatnoj adresiIstovremeno dostupan izvana, na jednom portu
iptables -t nat -A PREROUTING -p tcp -d 161.53.x.3 \ --dport 80 -j DNAT --to $INT_SRV:80
Isto je moguće i za ostale servise
![Page 62: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/62.jpg)
Linux vatrozid
Specijalizirane distribucijeGuarddogMasonSINUS FirewallSmoothWallFirestarter
Ili uradi sam:netfilter!
![Page 63: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/63.jpg)
Kakav HW?
Firewall: kao router, ali mnogo više posla!Kritični resursi
Brza sabirnicaCPU (UP, SMP sustavi)Ethernet
Dobar driver za LinuxPrimjer: e100, e1000 - NAPI, device pollingTehnologije otpornosti na SYN i sl. napade
![Page 64: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/64.jpg)
Propusnost sabirnice
Frekvencija * br.bitova
PCI33 MHz x 32 bita = 1Gb
Propusnost dijele priključeni uređaji
66 MHz
PCI-X 66, 133, 266, 533 MHz
![Page 65: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/65.jpg)
FYI
PCI-X sitehttp://www.pcisig.com/specifications/pcix_20
Ethernet kartica sa 4 portahttp://www.intel.com/network/connectivity/produ
cts/pro1000mt_quad_server_adapter.htm
![Page 66: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/66.jpg)
Praktična mjerenja
HP ProLiant DS 380 G32 x PCI-X Gigabit NICTest tvrtke StoneSoft
StoneGate FW18.12.2002.
Propusnost obrnuto proporcionalna veličini paketa
1344,561107181518
1123,821096501280
930,911136361024
796,68129668768
528,92129132512
250,98122550256
112,28109650128
57,1411160864
BandwidthMbps
Packets/sec
Framesize
![Page 67: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/67.jpg)
![Page 68: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/68.jpg)
Nadzor
Kako osigurati nadzor?
IDS (Intrusion Detection System)Prepoznavanje uzorakaStatistički IDS (npr. Snort + ACID)
NIDS – mrežni IDSHost based
![Page 69: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/69.jpg)
Gdje postaviti IDS?Koji softver koristiti?
CARNetovi projektiSnort centralaARMS
Više o tome na narednom tečaju!
![Page 70: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/70.jpg)
Neprekinutost poslovanja
Unaprijed predvidjeti kvarove na poslužiteljuDvije identične ethernet kartice u poslužitelju
Obje konfigurirane, jedna aktivna
Dva napajanjaOdvojeni "pametni" UPS-ovi, napajanje iz različitih mreža
RAIDOS barem na RAID 1Podaci nužno na RAID 5
Backup
![Page 71: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/71.jpg)
Zaštitne kopije
BackupTjedni, mjesečni
koliko se dugo čuva?
Dnevni inkrementalniSoftver
Amanda, Taper, itd.
Automatski backup važnih podatakaObučiti korisnike da sami rade kopije svojih podataka
![Page 72: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/72.jpg)
Vježbe
Moguće je imati backup, ali nemati restore!Povremeno treba isprobati ispravnost traka
Organizirati vježbuNe na produkcijskim računalima!Simulacija kvara, reinstalacije i vraćanja podataka
![Page 73: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/73.jpg)
Ponavljanje
It’s deja vu all over again-- Yogi Berra
Primjena sigurnosne politike na malo drugačiji načinAmerička škola mišljenja
pragmatizam
Zaštita i povećanje profita kao najvažniji motivi za bavljenje sigurnošću
![Page 74: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/74.jpg)
Upravljanje sigurnošću
Savjeti časopisa Tech Republicwww.techrepublic.com
Za komercijalno okruženjeKorisni savjeti i za našu akademsku sredinu
Za plavuše:Šest jednostavnih koraka ☺
![Page 75: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/75.jpg)
Šest lakih komada
Odredi i vrednuj informacijsku imovinuProcjena rizikaOdredi procedure
(Define Security Practices)
Primjena pravilaNadzor, reakcija na povredu pravilaPreispitivanje
![Page 76: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/76.jpg)
Odredi i vrednuj imovinu
Tri vrste imovineFizička
računala, programi, zgrade, sefovi…Odredi razine sigurnosti:
Na pr. javno, povjerljivo, ograničen pristup
InformacijeLjudi
pojedinci koji obavljaju ključne poslovečije bi se odsustvo odrazilo na obavljanje posla
![Page 77: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/77.jpg)
Procjena rizika
Pažljivo procijenite koliko sigurnosti trebatePremalo: sustav će biti lako kompromitirati, namjerno ili nenamjernoPreviše: teško za korištenje, pad performansiSigurnost je obrnuto proporcionalna upotrebljivosti !
Ako želite 100% sigurnosti: zabranite korištenje!
Prihvatljivi riziciMala vrijednost imovineMala vjerojatnost kompromitiranja
Neprihvatljivi riziciUlaganje prilagoditi vrijednosti imovine
![Page 78: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/78.jpg)
Define Security Practices
Pravila za određivanje sigurnosnog rizikaPravila za određivanje prihvatljivosti rizikaVlasništvo imovine (dodjela odgovornosti)Politika – nepridržavanjeKako se prijavljuju incidentiEdukacijaSigurnosni nadzor: nenajavljene provjere
![Page 79: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/79.jpg)
Implement Security Practices
Očekujte otpor!Primjena po fazama
Po odjelimaPrema poslovnoj aktivnostiPo lokacijamaPrema ulogama
odozgo prema dolje (vlastitim primjerom)
![Page 80: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/80.jpg)
Nadzor i sankcije
Provjeravati ponašanjeBez nadzora - prekršaji postaju češći i ozbiljnijiStiču se loše navike
Treba nedvosmisleno znati:Tko može pristupati i rukovati imovinomKako se obavlja autentikacijaKako se ograničava pristup
![Page 81: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/81.jpg)
Nadzor…
Tko ima pravo nadzirati sustave?Tko je pokušao učiniti nešto izvan pravila prihvatljivog korištenja?Izvještaji za upravuSmisao:
Sticanje dobrih navikaSprečavanje većih incidenata
![Page 82: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/82.jpg)
Revizija
Imovine i rizikaProcedura i pravila
Poticaji:Incidenti su prečestiTvrtka se restrukturiraMijenja se poslovno okruženjeMijenja se tehnologijaSmanjuje se proračun
![Page 83: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/83.jpg)
Na kraju
Malo zdravog razuma…
![Page 84: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/84.jpg)
Yogi Berra
The future ain't what it used to be.
![Page 85: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/85.jpg)
Savjet
Politika ne treba služiti za proganjanje i sputavanje ljudi
Srednji put
Vlast poštuje kreativnost i slobodu pojedincaAli mu brani da naškodi drugima
![Page 86: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/86.jpg)
Savjet…
Ne treba zaboraviti zašto Mreža postoji u sveučilišnoj sredini
Radi podučavanja, istraživanjaRadi učenja
Individualnog napretka, samorazvoja
![Page 87: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/87.jpg)
Savjeti…
Sigurnost više ovisi o ljudima nego o tehnologijiPolitika treba imati odgojnu, usmjeravajuću uloguSankcije čuvajte za nepopravljiveStvarajte saveznike, ne neprijateljeNapadač iznutra je opasniji
![Page 88: Implementacija sigurnosne politike](https://reader034.vdocuments.mx/reader034/viewer/2022052216/586a27f71a28ab5e1d8bd97b/html5/thumbnails/88.jpg)
Za radoznale…
CISCO Network Security Glossaryhttp://business.cisco.com/glossary/
CISCO Design Implementation Guidehttp://www.cisco.com/warp/public/cc/pd/si/casi/ca3500xl/pr
odlit/lan_dg.htm
IBM Multisegment LAN Design Guidelineshttp://publib-
b.boulder.ibm.com/Redbooks.nsf/RedbookAbstracts/gg243398.html