Tom

1
Bezpecnost v praxi implementace v síti WAN
ÚZSVM

• Tomáš Kanturek

tomas.kanturek_at_anect.com
4. dubna 2005
2
Agenda

• Predstavení
• Profil zákazníka
• Požadavky na sít WAN
• Celková koncepce rešení
• Popis jednotlivých cástí rešení
• Bezpecnost jako souhrn všech komponent
• Záver

3
Profil zákazníka

• Úrad pro zastupování státu ve vecech majetkových
• Ústredí v Praze 200 klientských stanic
• 7 Územních pracovišt každé 50 až 100
  klientských stanic
• 74 Odloucených pracovišt každé cca 25
  klientských stanic
• Duvody pro implementaci WAN
• Ruzné systémy a aplikace na jednotlivých
  pracovištích
• Neefektivní komunikace mezi jednotlivými
  lokalitami
• Potreba sjednocení systémového a aplikacního
  prostredí
• Potreba centralizace aplikací

4
Požadavky na sít WAN

• Vytvorení bezpecné síte WAN
• Sjednocení serverových operacních systému
• Jednotná správa úctu a skupin
• Služby elektronické pošty pro všechny uživatele
• Zabezpecený prístup k Internetu
• Komplexní antivirová ochrana (AVO)
• Jednotný systém zálohování
• Migrace stávajících aplikací do nového prostredí

5
Celková koncepce rešení

• Firewall DMZ (Checkpoint)
• Centrální doména Windows 2003 Active Directory
• Jednotná pošta Exchange 2003
• Pokrytí antivirem na všech úrovních (Symantec)
• Patch management (SMS 2003)
• Komplexní zálohování (Veritas)
• Redesign LAN (prepínaná sít 100 Mbit)
• Kompletní migrace a restruktualizace puvodních
  sítí

6
Definice bezpecnosti

• Technický pohled
• produkty
• konfigurace
• Organizacní pohled
• bezpecnostní politiky
• Personální pohled
• proškolení administrátoru i uživatelu
• Bezpecnost nemuže príliš omezovat práci
  uživatelu, nebot sama o sobe neslouží k práci.

7
Technický pohled

• Firewall
• Prístup k Internetu (proxy, poštovní brána)
• Antivirová ochrana
• Ochrana dat
• zálohování
• stabilní hardware (RAID-1, 5)
• Metodiky AAA (autentizace, autorizace,
  auditování)

8
Organizacní pohled

• Provozní rád WAN
• politika zmeny hesel
• zamykání stanic
• chování uživatelu
• Zálohovací politika
• Antivirová politika
• Definice rolí správcu
• Stále se opakující proces, který se postupne
  mení a zlepšuje.

9
Personální pohled

• Školení správcu
• Školení uživatelu
• Omezení rizik
• technicky automatizace úloh
• organizacne smernice, narízení
• Nejrizikovejší oblast zabezpecení.

10
Komunikacní infrastruktura

• Využita infrastruktura Ceského Telecomu
• technologie IP VPN (BGP/MPLS)
• Centralizovaný prístup k Internetu
• prípojný bod v Ústredí ÚZSVM
• Rekonfigurace lokálních sítí
• vybudování LAN pomocí Cisco prepínacu

11
Operacní systémy

• Windows server 2003
• SecurePlatform, RedHat LINUX
• Dokumentace zabezpecení
• Metodiky dohledu, správy a aktualizací
• Žádný OS není bezpecný ani nebezpecný, záleží
  na tom, kdo jej instaluje a spravuje.

12
Doména Active Directory Win 2003

• Autentizace, adresárové služby
• Single sign-on (jednotné prihlášení)
• Využití dalšími službami a aplikacemi
• Skupinové politiky
• MSIE a jeho bezpecnost
• vzhled desktopu
• platnost a délka hesel
• logování...

13
Elektronická pošta

• MS Exchange 2003
• Klienti MS Outlook
• Verejné složky použity pro ukládání reportu a
  varovných hlášení (souhrny Event logu, AVO,
  zálohování)
• Metody ochrany
• anti-relay (poštovní AVO brána, zákaz relay)
• proti hromadným útokum (omezení poctu adresátu,
  velikosti zpráv)

14
Firewall

• Check Point Firewall-1
• Jeden firewall cluster chrání celou sít
• Firewall-1 zapojený v režimu vysoké dostupnosti.
• Filtrování WWW provozu
• SecureClient centrálne rízený personální
  firewall
• použití SCV OS monitor a Process monitor
• packaging Tool
• Alerty

15
Proxy servery

• Microsoft ISA server 2000
• Autentizace, autorizace a auditing
• Filtruje na základe povolení/zakázání
• protokolu (HTTP, FTP)
• destinací
• typu souboru
• Umísten v Ústredí a na Územních pracovištích
• Každá lokalita má urcený proxy server,
  alternativní
• pripojení k Internetu je zakázáno.

16
Antivirové rešení - pokrytí

• SMTP komunikace
• mail gateway BitDefender
• vnitrní poštovní servery Symantec Mail Security
• Souborový systém serveru a stanic, notebooku
• Symantec Antivirus Corporate Edition
• HTTP a FTP komunikace
• Symantec Web Security

17
Antivirové rešení - metody

• Aktuální virové definice
• automatické centralizované stahování definic
• Heuristická analýza
• Preventivní omezení
• nebezpecné prílohy v systému elektronické pošty
• nebezpecné soubory prenášené z Internetu
• prístupy na problematická sídla v Internetu

18
Zálohování

• Veritas NetBackup 4.5 (Ústredí ÚZSVM)
• Veritas BackupExec 9.1 (Územní a Odloucená
  pracovište)
• Rychlé zálohování souborových systému
• Podpora zálohování otevrených souboru (Open File
  Option)
• Zálohování pomocí agentu
• vzdálených serveru
• databázových systému MS SQL
• poštovních systému MS Exchange
• Moduly Inteligent Disaster Recovery

19
Údržba systému, management

• Microsoft Systems Management Server 2003
• Zabezpecuje Patch Management
• automatické zjištení instalovaných hotfixu
• rízená distribuce a instalace hotfixu vcetne
  zpetné vazby
• Vzdálené rešení problému na stanicích
• Remote Management Tools
• Centralizovaná distribuce software
• Kompletní inventarizace hardware a software

20
Bezpecnost jako souhrn všech komponent

• Technický pohled
• Organizacní pohled
• Personální pohled
• Zavedením bezpecnosti práce nekoncí
• je nutno znovu a znovu proverovat rizika
• implementovat nové bezpecnostní metody
• dodržovat stanovené bezpecnostní procedury
• neustále vzdelávat uživatele

21
Hlavní motto bezpecnosti

• Existují bezpecné technologie,
• ale je na lidech,
• aby jich využili.

22
(No Transcript)