SECURICON - Physical and IT Access Control

1,202 views

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,202
On SlideShare
0
From Embeds
0
Number of Embeds
17
Actions
Shares
0
Downloads
3
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

SECURICON - Physical and IT Access Control

  1. 1. ΑΣΦΑΛΕΙΑ ΣΤΗΝ ΠΛΗΡΟΦΟΡΙΚΗ “Φυσικός και IT Έλεγχος Πρόσβασης”Στην εποχή μας, οι εταιρίες είναι ευάλωτες σε επιθέσεις είτε φυσικές είτε ηλεκτρονικές. Για καλύτεροέλεγχο και προστασία των υποδομών και των εταιρικών δεδομένων η παρουσία ενός φύλακα ή μιαςομάδας ατόμων και μόνον δεν είναι πλέον αρκετή. Αυτό συμβαίνει φυσικά όχι γιατί ο φύλακας ή ηομάδα των security δεν θα αποτελέσει ένα φυσικό εμπόδιο προς τον επιτιθέμενο αλλά γιατί πολλέςφορές ο επιτιθέμενος είναι κομμάτι του συστήματος άρα και υπάλληλος ή πολύ απλά είναι ένας hackerπου βρήκε κάποιο τρωτό σημείο στους δικτυακούς εξοπλισμούς για τους οποίους δεν είχε μεριμνήσειη διαχειριστική ομάδα.Στις ολοένα και πιο σύνθετες βαθμίδες διαχείρισης και οργάνωσης των μεγάλων εταιριών είναι λογικόνα υπάρχουν ή να δημιουργούνται κενά ελέγχου είτε από ανθρώπινους παράγοντες είτε τεχνολογικά ήακόμα και συνδυασμός των παραγόντων. Γι αυτόν ακριβώς το λόγο έχουν συσταθεί ISO πουπροτυποποιούν διαδικασίες, μεθόδους, τεχνολογικό εξοπλισμό και τεχνολογίες προς χρήση. Έτσιμπορεί μια επιχείριση να μειώσει στο ελάχιστο τις απειλές και παράλληλα να περιορίσει πρόσβαση σεσημεία ή χώρους ιδιαίτερης σημασίας. (Δείτε: ISO 17799, 27002:2005)Τα προηγούμενα χρόνια η παράνομη πρόσβαση σε μια εταιρία ήταν καθαρά ένας φυσικόςπαράγοντας, ενώ στην εποχή μας ο επιτιθέμενος μπορεί να έχει πρόσβαση και ηλεκτρονικά μέσωενός Η/Υ. Είναι ορθό και κρίσιμης σημασίας να αποδεχτούμε ευθύς εξαρχής πως δεν υπάρχει η έννοιατης απόλυτης ασφάλειας έτσι ώστε να δυσκολέψουμε όσο το δυνατόν περισσότερο και ναπεριορίσουμε τον επιτιθέμενο με στόχο να τα παρατήσει ή να κάνει λάθη για να πιαστεί.Για να αναλύσουμε τις μεθόδους και τους τρόπους με τους οποίους πρέπει να δράσουμε για ναοχυρώσουμε μια επιχείριση ας ορίσουμε τις κατηγορίες, τις υποκατηγορίες και ας αναφέρουμε τονβασικό τους στόχο και σκοπό.Η ασφάλεια λοιπόν χωρίζεται σε δύο κατηγορίες: 1. Φυσική ασφάλεια 2. Ηλεκτρονική ασφάλεια (IT)Σκοπός της φυσικής ασφάλειας είναι να περιορίσει και να ελέγξει σε επίπεδο φυσικών προσώπων ταεπίπεδα πρόσβασης. Αντίστοιχα δρα και η ηλεκτρονική ασφάλεια αλλά έχοντας καθορίσει τουςκανόνες μηχανικά. Στη φυσική ασφάλεια τα πάντα γίνονταν μεταξύ προσώπων. Τα τελευταία έτη όμωςμε την εξέλιξη των βιομετρικών συσκευών η φυσική ασφάλεια έχει δύο υποκατηγορίες: 1. Ανθρώπινη παρέμβαση – έλεγχος πρόσβασης με φυσική ταυτοποίηση 2. Μηχανικός έλεγχος – αναγνώριση ίριδας ή αποτυπώματος ή και τα δύοΣτην πρώτη υποκατηγορία το κλασικό μοντέλο ελεγχόμενης πρόσβασης περιλαμβάνει έλεγχοταυτότητας, καταγραφή ώρας και στοιχείων κατά την εισαγωγή και εξαγωγή, καθώς και τυπικό έλεγχομέσω τηλεφώνου όταν αυτός κρίνεται απαραίτητος όπως για παράδειγμα σε περιπτώσειςσυναντήσεων επισκεπτών με μέλη της εκάστοτε επιχείρισης.Στη δεύτερη υποκατηγορία έχουμε έναν πιθανό πρώτο έλεγχο σε φυσικό επίπεδο αλλάεπικεντρωνόμαστε στα ίδιο-χαρακτηριστικά του μέλους της επιχείρισης, τα οποία είναι καταχωρημένασε βάση δεδομένων και τα οποία συγκρίνονται μετά την αναγνώριση από το σύστημα. Τυπικά
  2. 2. παραδείγματα ηλεκτρονικού ελέγχου πρόσβασης από βιομετρικά συστήματα ελέγχου είναι ηαναγνώριση ίριδας ή αποτυπώματος ή και τα δύο μαζί. Τέλος, υπάρχουν και κάποια πιο σύγχρονασυστήματα αναγνώρισης φωνής που συνοδεύονται από ένα μυστικό κλειδί το οποίο είτε εκφωνείτε είτεπληκτρολογείτε σε μια οθόνη αφής.Να σημειώσουμε πως όλα τα ηλεκτρονικά μέσα προϋποθέτουν την σταθερή παροχή ρεύματος καιφυσικά την συντήρησή τους από εξειδικευμένο και έμπειρο προσωπικό.Ας αναλύσουμε όμως την ηλεκτρονική ασφάλεια περνώντας από την υβριδική χρήση φυσικών ατόμωνκαι ηλεκτρονικών μέσων προς τον πλήρως αυτοματοποιημένο έλεγχο.Σκοπός της ηλεκτρονικής ασφάλειας / ασφάλειας στο επίπεδο πληροφορικής (IT) είναι να ελέγχει ταεπίπεδα πρόσβασης και να καταγράφει κάθε ενέργεια ηλεκτρονικά με δυνατότητα διαβάθμισης τηςκρισιμότητας της. Στο κομμάτι της αυτούσιας ηλεκτρονικής ασφάλειας έχουμε επίσης υποκατηγορίες: 1. Infrastracture access control 2. Network access control 3. Role based access control 4. Group access control 5. User access controlΕίναι φανερό πως στο επίπεδο της ασφάλειας πληροφοριακών συστημάτων και υποδομώνπληροφορικής ο έλεγχος πρέπει να διαχωρίζεται σε περισσότερα υπό-επίπεδα για καλύτερηοργάνωση. Κάθε υπό-επίπεδο έχει ένα σαφώς περιορισμένο και οριοθετημένο εύρος πρόσβασης πουμε τη σειρά του χωρίζεται συνήθως σε τρία επίπεδα πρόσβασης: 1. Full access 2. Restricted access 3. No accessΈτσι το σύστημα διατηρώντας λίστες με δικαιοδοσίες και έχοντας κατατάξει τους ηλεκτρονικούςαποδέκτες μέσα σε αυτές έχει καλύτερο και πιο συγκεντρωμένο έλεγχο πρόσβασης αποκλείονταςμάλιστα και το λάθος ή την ευπάθεια του ανθρώπινου παράγοντα. Φυσικά επειδή όπως είπαμε δενυπάρχει η έννοια της πλήρους διασφάλισης ένα συμβάν που στο παρελθόν είχε συμβεί πολλές φορέςήταν ότι σε μια ενδεχόμενη διακοπή ρεύματος τα συστήματα τα οποία οι υπεύθυνοι δε σκέφτηκαν ναεξοπλίσουν με UPS δυστυχώς έκλεισαν αποκλείοντας έτσι είτε πλήρη πρόσβαση είτε αφήνονταςανοικτές και εκτεθειμένες όλες τις εγκαταστάσεις!Άρα πριν πάμε παρακάτω για να αναλύσουμε πως οι υποκατηγορίες και τα τα υπό-επίπεδα της ITασφάλειας συμβάλλουν στην διασφάλιση των υποδομών, πρέπει να ξεκαθαρίσουμε πως κύριομέλημα των υπευθύνων είναι η απρόσκοπτη λειτουργία τους. Πράγμα που σημαίνει τακτικήσυντήρηση και έλεγχος τουλάχιστον κάθε εβδομάδα!Infrastracture access control ή έλεχγος πρόσβασης σε επίπεδο υποδομής. Δεν είναι τίποτα άλλο απότον έλεγχο πρόσβασης στο χώρο που βρίσκεται η καρδιά του δικτύου και το κέντρο ελέγχου τωνυποδομών, το λεγόμενο Network Operating Center (NOC). Σε μεγάλους οργανισμούς η πρόσβασητμηματοποιείται με ειδικά διαχωρισμένα δωμάτια έτσι ώστε ο αρχι - διαχειριστής να έχει πρόσβασημέχρι το κέντρο ελέγχου ενώ για παράδειγμα ένας τεχνικός – συντηρητής εξοπλισμού να μπορεί ναβλέπει μόνο ένα μέρος του δικτύου ώστε να κάνει κάποια tests να αλλάξει φθαρμένα καλώδια και ταλοιπά.Network access control ή έλεγχος πρόσβασης σε επίπεδο δικτύου. Σε αυτό το επίπεδο οι χρήστεςηλεκτρονικών υπολογιστών έχουν είτε πλήρη πρόσβαση στο δίκτυο και έχουν Internet, βλέπουνκοινόχρηστους φακέλους και άλλα συστήματα Η/Υ ή εκτυπωτές και τα λοιπά είτε έχουν περιορισμένη
  3. 3. πρόσβαση και έχουν μόνο Internet ή και ελεγχόμενη πρόσβαση σε αρχεία και κοινόχρηστουςφακέλους είτε τελικά δεν τους επιτρέπετε καθόλου η πρόσβαση στο δίκτυο. Με τον έλεγχο πρόσβασηςδικτύου ένας διαχειριστής μπορεί να αποτρέψει πιθανούς κακόβουλους χρήστες ή επισκέπτες πουαπέκτησαν πρόσβαση στο εταιρικό δίκτυο με κάποιο τρόπο. Υπάρχουν διάφορα φίλτρα που μπορούννα χρησιμοποιηθούν μαζί ή αυτόνομα για να επιτευχθούν πολλαπλοί έλεγχοι. Μερικά από αυτά είναι: 1. MAC address lock 2. IP address lock 3. Patch panel (switch) – slot lockΕπιπλέον, με την χρήση Virtual L.A.N (VLAN) ο διαχειριστής μπορεί να κατηγοριοποιήσει σε υπό-δίκτυα το κεντρικό δίκτυο και να ορίσει ιδεατά υπό-δίκτυα στα οποία μόνο ένα σύνολο χρηστών έχειπρόσβαση. Ο συνδυασμός των παραπάνω μεθόδων με τα VLAN έχει αποδειχτεί ένα πολύ ασφαλέςσύστημα ελέγχου πρόσβασης.Role based access control ή έλεγχος πρόσβασης βάση ρόλων. Με τον έλεγχο πρόσβασης βασισμένοσε ρόλους ένας χρήστης – υπάλληλος έχει δικαιοδοσίες που καθορίζονται από ένα κεντρικό σύστημα.Τα συστήματα ελέγχου πρόσβασης βάση ρόλων λειτουργούν σε επίπεδο λογισμικού ή εξοπλισμού καισυνδυάζονται συνήθως με το έλεγχο πρόσβασης σε επίπεδο δικτύου για πιο οργανωμένη καιλεπτομερή διαχείριση.Group access control ή έλεγχος πρόσβασης βάση ομάδων. Με τον έλεγχο πρόσβασης βασισμένο σεομάδες μια ομάδα χρηστών – υπαλλήλων έχει δικαιοδοσίες που καθορίζονται από ένα κεντρικόσύστημα το οποίο ελέγχει δυναμικά κάθε τους ενέργεια. Τα συστήματα ελέγχου πρόσβασης βάσηομάδων λειτουργούν σε επίπεδο λογισμικού και συνήθως βρίσκονται επάνω σε κάποιο κεντρικόserver.User access control ή έλεγχος πρόσβασης βάση χρηστών. Με τον έλεγχο πρόσβασης βασισμένο σεχρήστες ο εκάστοτε υπάλληλος έχει δικαιοδοσίες που καθορίζονται από ένα κεντρικό σύστημα τοοποίο ελέγχει δυναμικά κάθε του ενέργεια όπως και στις ομάδες. Τα συστήματα ελέγχου πρόσβασηςβάση χρηστών λειτουργούν επίσης σε επίπεδο λογισμικού, βρίσκονται επάνω σε κάποιο κεντρικόserver και συνδυάζονται με τα συστήματα ελέγχου βάση ομάδων.Στη θεωρία όλα τα παραπάνω είτε αυτόνομα είτε συνδυαστικά παρέχουν υψηλή ασφάλεια. Μη ξεχνάμεόμως πως ότι κλειδώνει ξεκλειδώνει! Αυτό είναι ο βασικός κανόνας με τον οποίο κάθε εταιρία θαπρέπει να θυμάται και να πορεύεται κρατώντας πάντα τα μάτια και τα αυτιά ανοικτά για επιθέσεις απόhackers. Ένας hacker θα ψάξει εξονυχιστικά κάθε σπιθαμή του εξοπλισμού, θα προσπαθήσει να πάρειπρόσβαση και θα επιδοκιμάσει τις εγκαταστάσεις και την δυνατότητά τους να τον αποκλείσουν και όλααυτά από ένα Internet cafe που πολλές φορές θα είναι χιλιάδες χιλιόμετρα μακριά!Άρα εδώ γεννάται το εύλογο ερώτημα: “Υπάρχει άραγε τρόπος τουλάχιστον να γνωρίζω πότε ίσωςδέχομαι επίθεση και αν γίνεται, να τη σταματήσω?” Η απάντηση είναι ΝΑΙ χωρίς βέβαια να έχουμε100% επιτυχία.Η λύση βρίσκεται σε ένα συνδυασμό συσκευών ή λογισμικών που ονομάζονται IDS/IPS, δηλαδήIntrution Detection Systems / Intrution Prevention Systems ή αλλιώς συστήματα ανίχνευσης καιαπόκλισης επιθέσεων για απόκτηση πρόσβασης. Τα IDS/IPS δεν έχουν 100% επιτυχία αλλά επειδή τοσύνολο των επιθέσεων έχει ένα μοτίβο μεθοδολογιών και τακτικών με τα IDS/IPS ο διαχειριστήςμπορεί να βρεί μια πιθανή επίθεση και να την αποτρέψει είτε παίρνοντας κάποια ασφαλιστικά μέτραείτε αφήνοντας το σύστημα να πράξει βάση κανόνων και επιλογών ανάλογα με την υφή της επίθεσης.Τα πιο σύγχρονα IDS/IPS συνήθως είναι μόνο λογισμικά ή λογισμικά σε εξειδικευμένα hardware ταοποία αναβαθμίζονται αυτόματα με κανόνες για πρόληψη και αντιμετώπιση. Μια βασική μέθοδοςαντιμετώπισης εάν η επίθεση έχει φτάσει σε κρίσιμο σημείο είναι η διακοπή ροής των δεδομένων απόκαι προς το εταιρικό δίκτυο. Επιπλέον, τα IDS/IPS καταγράφουν τις όποιες ενέργειες, κρατάνε ιστορικό
  4. 4. και παράγουν αναφορές προς τους διαχειριστές. Τέλος, συνδυάζονται με firewalls για πιοαποτελεσματική προστασία.Κοντολογίς, είδαμε σε αυτή την ανασκόπηση τους ελέγχους πρόσβασης σε φυσικό και ηλεκτρονικόεπίπεδο στο κομμάτι της πληροφορικής. Κατατάξαμε σε κατηγορίες και υποκατηγορίες τα όσα η αγοράκαι η ανάγκες μας έσπρωξαν να αναπτύξουμε για να οργανώσουμε την ασφάλειά μας και είδαμε ότιδεν υπάρχει ποτέ 100% διασφάλιση. Αυτό που ανακαλύψαμε όμως είναι πως με συνεχή έλεγχο,εγρήγορση, συντήρηση, ενημέρωση και εκπαίδευση θα αντισταθούμε στον επιτιθέμενο είτε αυτός είναιφυσικό πρόσωπο είτε ένας hacker από την άλλη άκρη της Γης.Γιώργος Α. Δελαπόρτας---IT & Network Manager at SecuriconNetwork Security Expertise (White Hat)Computer & Informatics EngineerMSc in Data Communications & NetworkingPhD in Digital Forensics

×