ISP biztonsági megfontolások 1 ISP biztonsági szolgáltatások

Bármilyen internet kapcsolat esetén a számítógép rosszindulatú támadások célpontjává válhat. A károkozó vagy rosszindulatú programok, mint a számítógépes vírusok, férgek vagy kémprogramok levélben, illetve weboldalak letöltésével érkezhetnek. Az általuk keletkezett, változó mértékű hibák, gyakran az ISP hálózatának nem biztonságos előfizetői asztali gépeiről származnak.

Ha az ISP webhelyek és e-kereskedelmi oldalak tárolásával is foglalkozik, bizalmas kereskedelmi és bankszámlákkal kapcsolatos adatokat is tárolhat, minek következtében az előfizetők adatainak biztonságos tárolása elengedhetetlen követelmény.

Az internetszolgáltatók fontos szerepet játszanak az otthoni és üzleti felhasználók védelmében, továbbá biztonsági szolgáltatásaikkal védik a náluk elhelyezett kiszolgálókat is. A felhasználók gyakran kérik segítségüket hálózataik és munkaállomásaik védelme érdekében a veszély kockázatának csökkentésére.

Számos lehetőség áll rendelkezésre mind a helyi, mind a szolgáltatói oldalon az operációs rendszer, a benne tárolt és a rendszerek között szállított adatok védelmére.

Ha egy internetszolgáltató tárhely és levelező szolgáltatást nyújt, fontos feladata az adatok védelme a rosszindulatú támadásokkal szemben. A védelem megteremtése bonyolult lehet, mert az egyetlen vagy néhány kiszolgálón tárolt adatok több felhasználóhoz tartozhatnak.

A sebezhető felületek elleni támadások megelőzésére a szolgáltatók könnyen kezelhető, asztali lehetőségeket nyújtanak. A helyszíni telepítő munkájának fontos részét képezi az alapvető biztonsági lehetőségek telepítése és beállítása az ügyfél számítógépén, melyek az alábbiak lehetnek:

• Segítségnyújtás az eszközök biztonságos jelszavainak beállításához. • Alkalmazások javítási és frissítési lehetőségekkel történő védelme.

• A támadási felületet jelentő, ám nem használt programok és szolgáltatások eltávolítása. • Felhasználók által hozzáférhető és kizárólag a számukra szükséges alkalmazások biztosítása. • Asztali tűzfal és vírusellenörző program beállítása.

• Biztonsági tesztek elvégzése a programokon és szolgáltatásokon a sebezhető pontok felderítése és fokozott védelme érdekében.

8. ISP felelősség CCNA Discovery 4.1

Szintén javasolt a jelszó rendszeres megváltoztatása. Léteznek programok, amelyek lehetővé teszik a támadóknak a jelszavak feltörését a betűk, számok és szimbólumok összes lehetséges kombinációjának probálgatásával.

A jelszó változtatgatásával a "nyers erő" szerinti jelszófeltörés valószínűsége eltörpül, mivel a próbálgatás rengeteg időt vesz igénybe, miközben a jelszó folyton módosul.

Felesleges szolgáltatások

A számítógéprendszer veszélyeztetésének egyik legáltalánosabb módszere a nem, vagy rosszul konfigurált szolgáltatások kiaknázása. A szolgáltatás természetéből adódóan figyeli a külső számítógépes rendszerekból érkező kéréseket. Ha a szolgáltatásnak kiismerhető és jól kiaknázható forgalma van a rossz konfiguráció eredményeként, a támadó vagy egy féreg veszélyeztetheti, és hozzáférést szerezhet a szolgáltatást futtató számítógéphez.

Bevált módszerként az összes nem használt szolgáltatás eltávolítása vagy kikapcsolása javasolt. A szükséges vagy nem eltávolítható szolgáltatások esetén meg kell győződni a helyes konfigurációról.

Javítások kezelése

Szinte naponta, folyamatosan azonosítanak új, kiaknázható biztonsági hézagokat az operációs rendszerekben. Egyszerű böngészéssel ezek megkereshetők, bárki rátalálhat a napjainkban használt összes operációs rendszer kiaknázható felületeinek listáját tartalmazó oldalakra.

A programfejlesztők rendszeresen hoznak forgalomba frissítéseket - bizonyos esetekben naponta. Az operációs rendszerek frissítéseinek rendszeres figyelemmel kisérése és telepítése elengedhetetlen. A legtöbb támadás, ami egy hekkertől, vagy egy vírus vagy féreg által okozott fertőzéstől indul ki, az oprációs rendszer folyamatos javításával megakadályozható.

Felhasználó jogosultságok

Egy korszerű operációs rendszerben több hozzáférési szint létezik. Ha a felhasználóknak rendszergazdai, azaz korlátlan hozzáférésük van a rendszerhez, a károkozók könnyebben árthatnak a számítógépnek.

A normál felhasználói azonosító nem jogosítja fel tulajdonosát új alkalmazások telepítésére, mivel nincs hozzáférése sem a legtöbb alkalmazás telepítéséhez szükséges állományrendszerhez, sem a

8. ISP felelősség CCNA Discovery 4.1

rendszer állományokhoz. Ennek eredményeként a normál felhasználó nem annyira érzékeny rosszindulatú fertőzésekre, melyek az állományrendszer bizonyos részeihez próbálnak hozzáférni vagy telepíteni rá valamit.

Legjobb megoldásként a felhasználóknak csak azt a hozzáférési szintet szabad engedélyezni, amely a mindennapi munkájukhoz elengedhetetlen. Rendszergazdai hozzáférés csak abban az esetben alkalmazható, amikor olyan műveletek elvégzésére van szükség, melyek a normál felhasználók számára nem megengedettek.

Tipp

A Microsoft szabadon letölthető segédeszköze a Microsoft Baseline Security Analyzer (MBSA) (Microsoft alap biztonsági elemző) program, amely megvizsgál minden, normál felhasználói hozzáféréssel telepített Windows szolgáltatást, és még az operációs rendszer jelenlegi javítási szintjét is ellenőrzi.

Másik népszerű átvizsgáló segédprogram a Nessus Vulnerability Scanner, amely nem csak Windows- on, hanem más, különböző platformon is fut. Számos további eszköz érhető el interneten. Rendszerint a legjobb megoldást az adja, ha legalább egy (de inkább több) program vizsgálja át a rendszer biztonságát.

8.1.2 Biztonsági intézkedések

Az felhasználók adatainak védelmében tett szolgáltató oldali intézkedések elengedhetetlenek a rosszindulatú támadásokkal szemben. A leggyakrabban alkalmazott lehetőségek és eljárások a következők:

• A kiszolgáló merevlemezén tárolt adatok titkosítása.

• Jogosultságok alkalmazása állományok és könyvtárak elérése esetén.

• Felhasználói azonosító vagy csoporttagság alapján történő hozzáférés engedélyezése illetve megtagadása.

• Többszintű hozzáférési jogosultságok használata felhasználói azonosító vagy csoporttagság alapján.

Állományok és könyvtárak jogosultságainak beállításakor a "lehető legkevesebb előjog elve" alapján érhető el a legnagyobb biztonság. Ez annyit jelent, hogy a felhasználóknak csak annyi jogosultságot szabad adni az erőforrások eléréséhez, amennyi a munkájuk elvégzéséhez elengedhetetlenül szükséges. Azaz a megfelelő jogosultsági szintet kell hozzájuk rendelni, például hozzáférés csak olvasásra vagy írásra.

8. ISP felelősség CCNA Discovery 4.1

egy felhasználónévvel és egy jelszóval. A hitelesítési adatbázisokat általában RADIUS vagy TACACS protokollt használó kiszolgálókon tárolják.

A jogosultságok kezelésével a felhasználók megfelelő jogokat kapnak az erőforrások eléréséhez és bizonyos feladatok elvégzéséhez.

Naplózással nyomonkövethetők a felhasználók által használt alkalmazások és használati idejük. Például a hitelesítési folyamat része a "tanuló " nevű felhasználó felismerése és a rendszerbe történő bejelentkezésének engedélyezése. Az jogosultság ellenőrzés meghatározza a "tanuló" felhasználó jogait az XYZ kiszolgáló eléréséhez Telnet segítségével. A naplózás nyomonköveti a "tanuló" felhasználó hozzáférését az XYZ kiszolgálóhoz és a Telnet használatát egy bizonyos napon 15 percen keresztül.

Az AAA különböző hálózati kapcsolatokban használható. Adatbázis alkalmazásával tartja nyilván a felhasználói azonosítókat, jogosultságokat és hozzáférési statisztikákat. A helyi hitelesítés a legegyszerűbb megoldás, ebben az esetben a helyi adatbázist az átjáró forgalomirányítón lehet elhelyezni. Ha egy szervezetnek több tucat felhasználót kell hitelesítenie az AAA segítségével, külön kiszolgálón kell az adatbázist fenntartania.

8.1.3 Adattitkosítás

Az internetszolgáltatóknak a kiszolgálók közötti adatforgalom védelmét is biztosítaniuk kell. A hálózatok alapértelmezett adattovábbítása nem biztonságos, nyílt szövegben történik, amelyet illetéktelen felhasználók lehallgathatnak. Az átmenő forgalom adatainak elfogása során az összes, az adatokon beállított állományrendszerbeli védelmet elkerülik. Vannak módszerek a biztonsági problémák elleni védelemre.

Titkosítás

A digitális titkosítás az ügyfél és a kiszolgáló közötti forgalom titkosítását teszi lehetővé. Számos protokoll, amelynek biztonságos változatát használják az adattovábbításhoz, digitális titkosítást alkalmaz. Legjobb minden esetben a protokoll biztonságos változatát használni, valahányszor bizalmas adatokat kell továbbítani állomások között.

Például, amikor egy felhasználó a bejelentkezése során megerősíti a felhasználónevét és jelszavát egy e-kereskedelemmel foglalkozó oldalon, biztonságos protokoll szükséges az adatok védelme érdekében. Szintén elengedhetetlen a biztonságos protokollok használata a hitelkártyával és bankszámlával kapcsolatos adatok használatánál.

Az internet böngészése és nyilvános honlapok nézegetése közben az adatok biztonságos továbbítása nem szükséges, sőt, felesleges számítási többletet és lassabb válaszidőt eredményezhet.

8. ISP felelősség CCNA Discovery 4.1

Az alkalmazások számos hálózati protokollt használnak, melyek közül némelyiknek van biztonságos változata, némelyiknek azonban nincs:

• Web kiszolgálók - A Web kiszolgálók HTTP protokollt használnak, amely nem biztonságos. A

HTTPS, Biztonságos átviteli protokoll (SSL - Secure Socket Layer) alkalmazásával azonban lehetővé válik a biztonságos adattovábbítás.

• Levelező kiszolgálók - Különböző protokollokat használnak, például SMTP, POP3 és IMAP4. A

felhasználó bejelentkezése során a POP3 és az IMAP4 felhasználónevet és jelszót kér a hitelesítéshez, amelyeket nem biztonságos módon küldenek. A POP3 SSL segítségével biztonságossá tehető. Az SMTP és az IMAP4 SSL-t és Szállítási rétegbeli biztonság (TLS - Transport Layer Security) protokollt is használhat a védelem érdekében.

• Telnet kiszolgálók - Cisco forgalomirányítóra vagy kapcsolóra történő Telnet bejelentkezés

esetén a kapcsolat nem biztonságos. A Telnet program a hitelesítő adatokat és a parancsokat nyílt szövegként küldi a hálózaton keresztül, de a Biztonságos Parancshéj (SSH - Secure Shell) protokoll használatával a hitelesítés és a munka biztonságos módon történik.

• FTP kiszolgálók - Az FTP szintén nem biztonságos protokoll, a bejelentkezéshez és a

hitelesítéshez kért adatokat nyílt szövegként továbbítja. SSL használatával a biztonságos adatküldés megvalósítható, és némely verzió SSH alkalmazására is képes.

• Állománykiszolgálók - A számítógép operációs rendszerétől függően több különböző

protokollt is használhatnak adattovábbításra, de az esetek többségében ezek nem biztonságosak.

8. ISP felelősség CCNA Discovery 4.1