Pécsi Tudományegyetem
Felnőttképzési és Emberi Erőforrás Fejlesztési Kar
INFKBA07-L – Információtechnológia, könyvtárgépes...
Bevezetés

Manapság a számítástechnika előretörésével egyre nagyobb jelentőséggel bír az
informatikai biztonság kérdése. A...
bonyolultabb eljárások. Fontos, hogy titkosításkor az adataink információs
veszélyeztetettségének megfelelő algoritmusokat...
Adatvesztés megelőzése

A kár megelőzése az egyik legfontosabb szegmense a biztonságnak. A „Jobb félni,
mint megijedni!” k...
hozzáférés” jogok előírása a leggyakoribb. Ezenkívül lehetőség van még más, egyéni
jogosultságok kialakítására is: „adatol...
Ajánlott irodalom:

Béres Csaba Zoltán – Harka Győző: Számítógépes biztonság – hálózati biztonság I., PTE TTK, Pécs, 2004....
Upcoming SlideShare
Loading in …5
×

Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztonságtechnikájának alapjairól

1,088 views

Published on

Pécsi Tudományegyetem
Felnőttképzési és Emberi Erőforrás Fejlesztési Kar
Információtechnológia, könyvtárgépesítés B (könyvtári informatika V.)

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,088
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztonságtechnikájának alapjairól

  1. 1. Pécsi Tudományegyetem Felnőttképzési és Emberi Erőforrás Fejlesztési Kar INFKBA07-L – Információtechnológia, könyvtárgépesítés B (könyvtári informatika V.) Béres Csaba Zoltán Néhány szó a személyi számítógépek és hálózatok biztonságtechnikájának alapjairól Ambrus Attila József Informatikus könyvtáros – AL – 2. évfolyam. 2. félév Pécs, 2009. május 10.
  2. 2. Bevezetés Manapság a számítástechnika előretörésével egyre nagyobb jelentőséggel bír az informatikai biztonság kérdése. A biztonság középpontjában áll az adatok által hordozott információ, az az információ, amelyet a birtokosa mindenáron meg akar védeni az illetéktelen „szemek” elől, és egyben az az információ, melyet a másik fél adott eseben minden eszközzel igyekszik megszerezni vagy elpusztítani. Ezért az informatikában a gép védelme szinte azonossá vált az adatok (az információ) védelmével. Egy „adattámadás” esetén sem a „védő”, sem a „támadó” nem ismerheti a másik stratégiáját, egymásról minimális, vagy semmilyen információval sem rendelkeznek. Az adatvédelmi filozófia szerint bizonyos, hogy a „védő” mindig többet veszíthet, mint amennyit adott esetben a „támadó” nyer. Időrendben ábrázolva a támadási stratégia megismerése után van lehetőség kidolgozni a védekezési eljárást (pl. a klasszikus vírustámadás esetén). Így a megelőző védekezési stratégia, mindig egy már megtörtént támadás meg(ki)ismeréséből építkezhet, ezért egy újfajta algoritmussal szemben kevéssé védett, így csak követő-eljárásról beszélhetünk. A fentiek ismeretében megérthetjük, hogy az adatvédelem nagyon kényes és költségigényes folyamat. Azért nevezhetjük folyamatnak, mert tökéletes biztonság nem létezik, így a biztonsági „réseket” folyamatosan kell „betömni”, ami állandó anyagi/fizikai/szellemi ráfordítást és fejlesztést igényel. „A biztonság akkor kielégítő mértékű, ha a védelemre akkora összeget és olymódon fordítunk, hogy ezzel egyidejűleg a támadások kárvonzata, pontosabban a kockázata (kárérték * bekövetkezési gyakoriság) az elviselhető szint alá süllyed...”1 Manapság, az elterjedt hálózatiasodottság világában sokfajta biztonságról kell gondoskodnunk, ami nem feltétlenül egyetlen „munkagépet” foglal magában. Figyelnünk kell a fizikai biztonságra (pl. a hardver zártsága/védelme, hűtés, tűzvédelem stb.), elsődleges figyelmet kell fordítanunk az adatbiztonságra, a szolgáltatás biztonságára. A folyamatos mentés és archiválás elengedhetetlen. A szerver(ek) és maga a szerverszoba kialakítása is fontos tényező. Meg kell vizsgálnunk a szoftverek biztonsági kockázatait/mutatóit. A lehetséges támadásokra és a támadások különböző fajtáira is fel kell készülnünk. Fontos feladat a szerver(ek) és a hálózat folyamatos rendelkezésre állása. Az alapvető négy tényező: biztonság, gazdaságosság, teljesítmény és kényelem. Ezeknek a tényezőknek egymáshoz szorosan kell illeszkedniük, bármelyik hiányában kockázati tényezőkről kell beszélünk. A hálózati biztonság alapvető eleme, hogy a felhasználói jelszavakat megfelelően titkosítsuk és védjük. Ez utóbbi fokozott figyelmet igényel, hiszen a rendszer egyik gyenge és ezért támadható pontja lehet, mivel a rendszergazdán kívül a felhasználói magatartásnak is nagy szerepe van ebben. A megfelelő felhasználói jogokkal is óvatosan kell bánnunk. Hiszen ha „lakáskulcsot adunk” egy felhasználónak, onnantól kezdve sohasem lehetünk biztosak abban, hogy a megengedett „személyzeten” kívül más nem jár-e be a „lakásba”. A biztonság humán-oldali kérdése a munkahelyi lojalitás is, azaz sok esetben az elégedetlen (vagy elbocsájtott) kolléga okozhatja a legtöbb kárt (bosszúból vagy konkurens „megkeresés” miatt). A hálózaton „mozgó” adatforgalom titkosítása is kényes eleme a védekezésnek. Jelenleg sokfajta titkosítási algoritmus elterjedt. Vannak egyszerűbbek és vannak 1 Bodlaki Ákos et all.: Informatikai rendszerek biztonsági követelményei (12. sz. ajánlás 1.0 verzió) Miniszterelnöki Hivatal Informatikai Koordinációs Iroda Budapest, 1996. URL: http://www.itb.hu/ajanlasok/a12/html/a12_1.htm (Letöltés: 2009. 05. 01.) 1
  3. 3. bonyolultabb eljárások. Fontos, hogy titkosításkor az adataink információs veszélyeztetettségének megfelelő algoritmusokat használjunk (szimmetrikus kulcsú, asszimetrikus kulcsú, digitális aláírások/bizonyítványok és különböző kombinált titkosítás). A hálózati munka nagyon kényelmetlenné válhat, amennyiben a titkosítási algoritmus nem megfelelő kiválasztásával „túllövünk a célon”, azaz fontos ismernünk a védelmezendő információ biztonsági „fajsúlyát” (pl. atomerőmű vs. utcai információs terminál).2 Bevezetőnkből megállapíthatjuk, hogy a támadások célja alapesetben a következőkre terjedhet ki: az informatikai rendszer fizikai környezete és infrastruktúrája, hardver rendszer, szoftver rendszer, kommunikációs, hálózati rendszerek, adathordozók, dokumentumok és dokumentáció, külső/belső személyi környezet. A következőkben áttekintjük a legalapvetőbb biztonsági kérdéseket. Adatbiztonság Adatmentés Mivel a számítógépek korában digitális adatokról beszélünk, ezért manapság már elavult mentési forma a „régen jól bevált” nyomtatás. Ellenben a digitális adatok korlátlan számban sokszorosíthatók. Ez egy viszonylag egyszerű és nagyszerű eljárás adataink védelmére (pl. biztonsági másolat vagy backup). Fontos hogy a backup-olt vagy archivált adataink fizikailag az „anyagép”-től távol legyenek, mert adataink, esetleg duplikált adataink egy épületben tárolása potenciális veszélyt jelenthet. Az azonos épületben őrzött adatokra különböző veszélyek leselkedhetnek: környezeti katasztrófák, elemi károk, eltulajdonítás, szándékos rongálás, lefoglalás, szolgáltatások szünetelése, véletlen törlés, téves jogosultság szervezésből származó adatvesztés, műszaki meghibásodás. Fontos, hogy adatainkról átlátható időszakonként folyamatosan készítsünk biztonsági mentéseket. Ez azért is célszerű, mert egy esetleges adatvesztés esetén, könnyebben visszaállíthatjuk a „majdnem eredeti” állapotot. Nyilvánvaló, hogy minél sűrűbb időközönként történik a backup-olás, annál nagyobb az adatvisszaállítási sikeresség. Természetesen a két mentés közötti időszak (holtidő) adatai sajnos nagy valószínűséggel elvesznek, ezért nem mindegy, hogy 1 napi munka ment kárba, vagy esetleg egy féléves munkafolyamat. A nem jól átgondolt biztonsági mentés vagy a mentés hiánya egy kisebb vállalatot akár teljességgel tönkretehet, de egy nagyvállalatnál is pótolhatatlan veszteségeket okozhat. Bizonyos esetben törvényi szabályozásban is előírt a biztonsági mentés időintervallumos (bizonyos óránkénti, napi, heti, havi mentés) és módszertani (teljes vagy differenciált mentés) kötelezettsége. (Egyetemek, különböző hivatalok és pénzintézetek adatainak elvesztése beláthatatlan következményekkel járna.) Azonban nem szükséges, hogy a munkahely keletkezésétől számított adatmennyiséget állandóan magunk „előtt görgessük”, ezért a lezárt munkafolyamatból adódó adatokat archiválással (adatmegőrzés) „kivehetjük” a rendszerből. Ezzel hatékonyabbá válik az adatkezelésünk, tárhelyet és nem utolsósorban időt nyerünk, hiszen csak a nyitott munkafolyamatokkal kell foglalkoznunk. 2 Lásd a titkosítási algoritmusok rövid, közérthető bemutatását Software Online szoftverfejlesztői magazinban. URL: http://www.softwareonline.hu/Article/View.aspx?id=2902 (Letöltés: 2009.05. 01.) 2
  4. 4. Adatvesztés megelőzése A kár megelőzése az egyik legfontosabb szegmense a biztonságnak. A „Jobb félni, mint megijedni!” közhelynek számító szlogen-mondat „életet menthet” a szó legszorosabb értelmében. Amennyiben hardvereink fizikálisan jó állapotban és biztonságosan működnek, akkor kisebb százalékban érhet bennünket kellemetlen meglepetés. Sok esetben a legapróbb és legolcsóbb alkatrész a „leggyengébb láncszem” a rendszerben, ezt tartsuk mindig szem előtt. Használjunk jó minőségű tápegységet. Ha nem megfelelő minőségű, akkor könnyen túlfeszültségnek tehetjük ki gépünket és a háttértára(ka)t is. Fontos lehet a szünetmentes áramforrás használata is, hiszen ez megvédi gépünket a túlfeszültségtől is, és áramkimaradás esetére elegendő időnk marad a szükséges mentések elvégzésére is. Fontos a merevlemez megfelelő hűtésének biztosítása is. A mai merevlemezek hűtését a gyártók már szavatolják (presztízs), de bizonyos esetekben nem árt a „rásegítés”. Természetesen az előzőekben már tárgyalt biztonsági mentések fontosságára nem elég ismételten is felhívni a figyelmet! Háttérkatasztrófa ellen jó megoldás lehet a párhuzamos mentés (RAID-tömbös megoldás). Előnye mellett hátránya, hogy a logikai hibákat is tükrözi az összes lemezre, ráadásul az esetleges tápegység meghibásodásánál könnyen vezethet a gépünkben lévő háttértár sérülésére, azonban amenyiben jó fizikai állapotban van a számítógépünk, ennek az esélye elhanyagolható. Adathozzáférés és jogosultság A hozzáférés szigorúan fizikai (fizikailag hozzáfér-e a felhasználó a géphez, adattároló eszközeihez) és jogosultsági (azonosító/jelszó) kérdés. A hálózatokban előre definiált hozzáférési szintek szabályozzák a felhasználóknak az adatokhoz való hozzáférést. Alapesetben ez egy azonosítónév és egy jelszó párosításával megoldható. Mára már kényes kérdésnek tűnik azonban az a fordított arányosság, hogy minél „kacifántosabb” egy jelszó, annál nagyobb biztonságban vannak az adatok. Matematikailag természetesen tartható a fenti állítás, azonban köztudott, hogy a humán-tényező rendesen „lebonthatja” ezt a biztonságot. A felhasználók (userek) a nehéz jelszavakat képtelenek megjegyezni, ezért sokszor leírják azokat és hanyag magatartásból eredően minden óvintézkedés nélkül tárolják ezeket a „fecniket” (jobb esetben asztalfiókban, extrém esetben a monitor szélére ragasztva). A kevésbé szigorú nyílt rendszerek (webes fórumok, inyenes e-mail szolgáltatók, blogoldalak stb.) már engedélyezik a felhasználóknak, hogy saját maguk által választott és biztonságosnak tartott jelszavakkal regisztráljanak. Illetve egyre több intézményi hálózatban van lehetősége a felhasználónak, hogy a sokszor „random” módon generált alfabetikus és numerikus karaktereket tartalmazó „gépi-jelszavakat” később saját „ízlés” szerint megváltoztassák. Természetesen ebből a későbbiekben újabb hibalehetőségek adódhatnak (a felhasználó nem emlékszik a megváltoztatott jelszóra, vagy a hálózati- élete miatt akár több tíz jelszó megjegyzésének problémája miatt, sok helyütt azonos jelszót használ, mely nagy kockázati tényezővel bír). A számítógépes-hálózathoz való hozzáférési jogosultságok kiosztása és meghatározása mindig a rendszergazda feladata és felelőssége. A jogosultságok megadásánál pontosan meg kell határoznia, hogy mely erőforráshoz, mely felhasználónak vagy mely felhasználói csoportoknak lehet hozzáférése. A jogosultságok többfélék lehetnek: „teljes jogú”, „csak olvasási” jogú és a „nincs 3
  5. 5. hozzáférés” jogok előírása a leggyakoribb. Ezenkívül lehetőség van még más, egyéni jogosultságok kialakítására is: „adatolvasás”, „adatírás”, „adatlétrehozás”, „adatmódosítás”, „adattörlés”, „jogosultság módosítás”. A fentiek a belső „munkatársi-hozzáférési” eseteket taglalták, de ehhez a ponthoz tartozik még a „külső”, esetleg váratlan/hívatlan betolakodó hozzáférési kísérlete is. Ez esetben fontos a megfelelő tűzfal, vírusvédelem spywer-védelem megléte is. A tűzfal célja annak biztosítása, hogy a hálózaton keresztül egy adott számítógépbe ne történhessen illetéktelen behatolás. A tűzfalak általában folyamatosan jegyzik (log) a forgalom bizonyos adatait, a bejelentkező gépek és felhasználók azonosítóit, a rendkívüli és kétes eseményeket, továbbá riasztásokat is adhatnak. Fontos, hogy a vírusvédelmi modul folyamatos védelmet és alapos víruskeresést biztosítson. Fontos, hogy a vírusvédelem 100%-os teljesítménnyel szerepeljen a Virus Buletin nemzetközi tesztjein, és a vírusvédelem adatbázisa naponta frissüljön. A kémprogram-védelmi modulja biztosítson bennünket arról, hogy a rendszerre kémprogramok ne jussanak be, ne aktiválódjanak és ne is továbbítsanak információkat rólunk. A bizalmas adatok védelmének funkciója elsődleges (személyes adatok, jelszavak, bankkártya számok). Fontos, hogy figyelemmel kövessen minden programindítást, és elejét vegye a kémprogramok futásának. Találja meg és távolítsa el a kémprogramokat a merevlemezről és egyéb írható adattárolókról. Fontos előnye, ha automatikusan frissíti a kémprogram-adatbázist. Mit tehet még a rendszergazda? Ellenőrizze a bejelentkezési jelszavakat. Fontos a jelszóval nem rendelkező fiókok keresése és a rendszeradminisztrátori fiókok szűrése. Elengedhetetlen a gyanús fiókhasználatok követése (az utolsó és a sikertelen bejelentkezések alapján) és a keresési útvonalak tesztelése. Feladata még a setuid és setgid programok (a programfájl tulajdonosaként szereplő felhasználó vagy csoport nevében futnak, nem pedig az azokat meghívó felhasználó nevében) és rootkitek (segítségével a behatoló könnyen visszatérhet a „tett színhelyére”, ha már korábban beférkőzött a rendszerbe, hogy bizalmas adatokat gyűjtsön a fertőzött számítógépről) keresése. Fontos teendő még a nyitott portok ellenőrzése és a hálózati forgalom figyelése különböző szoftverekkel. Ezen kívül fontos a rendszergazdának a megfelelő és folyamatos szakmai ismeretre való törekvés (továbbképzés), a különböző „hacker” technikák ismerése és a megfelelő védekezési stratégiák kialakítása a támadókkal szemben. Öszegzés Dolgozatunkban áttekintésszerűen mutattuk be az alapvető informatikai biztonsági eljárásokat, nem volt célunk speciális védelmi rendszer ismertetése vagy filozófiai fejtegetések leírása (a kapcsolódó társdiszciplinák: minőségbiztosítás, hagyományos biztonság, jogi és etikai szabályozók, stb.), ahhoz egy hosszabb kutatás és felmérés lett volna szükséges. A bemutatott biztonsági tényezők elegendőek lehetnek egy átlagos kisvállalkozás hálózatának biztonságos üzemeltetésére. Természetesen nem feledkezhetünk meg továbbra sem arról, hogy a hálózatosodás elterjedésével arányosan a kockázati tényezők is megnövekedtek, melyre oda kell figyelni és legfőképpen áldozni kell, megelőzve saját és munkatársaink álmatlan éjszakáit. 4
  6. 6. Ajánlott irodalom: Béres Csaba Zoltán – Harka Győző: Számítógépes biztonság – hálózati biztonság I., PTE TTK, Pécs, 2004. Biztonsági kézikönyv informatikusok számára. Microsoft Magyarország, Kézirat. URL: http://download.microsoft.com/download/e/4/e/e4ed3c66-01c0-423b-bc08- 6001c779c510/InformationWorkers Handbook.doc (Letöltés: 2009. 05. 01.) Bodlaki Ákos et all.: Az informatikai biztonság kézikönyve. Verlag Dashöfer Szakkiadó Kft. Budapest, 2003. Conry-Murray, A. – Weafer, V.: Internetes biztonság otthoni felhasználóknak. Kiskapu Kiadó, Budapest, 2006. Csizmazia István: Vírusok varázslatos világa c. cikksorozata. URL: http://nonstopmobil.hu/rovat/cikkek?q=&kat=&days=&szerzo=&tag=v%EDrusok%20var %E1zslatos%20vil%E1ga&brand=&sch=1 (Letöltés: 2009. 05. 01.) Dravecz Tibor – Párkányi Balázs: Hogyan védjük hálózatra kötött számítógépes rendszereinket? (NIIF információs füzetek) NIIF, Budapest, 1995-2000. URL: http://mek.oszk.hu/01200/01280/ (Letöltés: 2009. 05. 01.) Dreilinger Tímea: Vírusvédelem. Panem Kiadó Kft., Budapest, 2004. F. Ható Katalin: Adatbiztonság, adatvédelem. Számalk Kiadó, Budapest, 2005. Fekete Imre: Biztonsági kérdések és megoldások az egyéni számítógép-felhasználók tükrében. Szakdolgozat, DE Informatika Kar, Debrecen, 2005. URL: http://ganymedes.lib.unideb.hu:8080/dea/bitstream/2437/92/1/szakdolgozat_574.pdf (Letöltés: 2009. 05. 01.) Hegedüs, Márton: Informatikai biztonsági audit. Szakdolgozat, BCE Gazdálkodástudományi kar, Információrendszerek Tanszék, 2003. URL: http://szd.lib.uni-corvinus.hu/85/ (Letöltés: 2009. 05. 01.) Hudson, K. – Stewart, J. M. – Tittel, E.: Hálózati ismeretek. Kiskapu Kiadó, Budapest, 1999. Kocsis, Viktor: Számítógépes hálózatok biztonsága és annak értékelése. Szakdolgozat, BCE Gazdálkodástudományi Kar, Információrendszerek Tanszék, 2007. URL: http://szd.lib.uni- corvinus.hu/565/ (Letöltés: 2009. 05. 01.) Kovács Péter: Számítógép-hálózatok. ComputerBooks Kft., Budapest, 2003. Leitold Ferenc: Számítógépes biztonsági kultúra. Networkshop 2003, Pécs, 2003. URL: http://www.fleitold.hu/publications/nws2003.pdf (Letöltés: 2009. 05. 01.) Norton, Peter: A hálózati biztonság aapjairól. Kiskapu Kiadó, Budapest, 2000. Sándor Zsolt: Vírusok, spamek és a többiek... – Avagy, mire figyeljünk egy számítógépes hálózat biztonságával kapcsolatban. Magyar grafika, 2006. (3. évf.) 4. sz. 48. o. URL: http://epa.oszk.hu/00800/00892/00018/pdf/10.pdf (Letöltés: 2009. 05. 01.) Smid Norbert: A vírusok és ellenük való központosított védekezés. Szakdolgozat, DE Informatika Kar, Debrecen, 2003. URL: http://ganymedes.lib.unideb.hu:8080/dea/bitstream/2437/1186/1/szakdolgozat_329.pdf (Letöltés: 2009. 05. 01.) Szlezák Gergely: Számítógépes biztonság MS platformon. Szakdolgozat, DE Informatika Kar, Debrecen, 2007. URL: http://ganymedes.lib.unideb.hu:8080/dea/bitstream/2437/2202/1/Szakdolgozat.pdf (Letöltés: 2009. 05. 01.) Tanenbaum, Andrew S.: Számítógép-hálózatok. Panem Kiadó Kft., Budapest, 2004. Tom, Thomas: Hálózati biztonság. Panem Kiadó Kft., Budapest, 2005. Túri, Dániel: Informatikai biztonság. Szakdolgozat, BCE Gazdálkodástudományi Kar, Információrendszerek Tanszék, 2002. URL: http://szd.lib.uni-corvinus.hu/79/ (Letöltés: 2009. 05. 01.) További érdekes cikkek magyar és angol nyelven: http://jelszo.lap.hu · A fedőlapon Tószegi Szabolcs: Teljes internetes védelmi csomagok tesztje c. cikkének illusztrációja látható. URL: http://pcworld.hu/teljes-internetes-vedelmi-csomagok-tesztje-1-resz-20090216.html (Letöltés: 2009. 05. 01.) 5

×