Tomáš Kantůrek 4. dubna 2005 Bezpečnost v praxi – implementace v síti WAN ÚZSVM

2 Agenda Představení Profil zákazníka Požadavky na síť WAN Celková koncepce řešení Popis jednotlivých částí řešení Bezpečnost jako souhrn všech komponent Závěr

3 Profil zákazníka Úřad pro zastupování státu ve věcech majetkových Ústředí v Praze – 200 klientských stanic 7 Územních pracovišť – každé 50 až 100 klientských stanic 74 Odloučených pracovišť – každé cca 25 klientských stanic Důvody pro implementaci WAN: Různé systémy a aplikace na jednotlivých pracovištích Neefektivní komunikace mezi jednotlivými lokalitami Potřeba sjednocení systémového a aplikačního prostředí Potřeba centralizace aplikací

4 Požadavky na síť WAN Vytvoření bezpečné sítě WAN Sjednocení serverových operačních systémů Jednotná správa účtů a skupin Služby elektronické pošty pro všechny uživatele Zabezpečený přístup k Internetu Komplexní antivirová ochrana (AVO) Jednotný systém zálohování Migrace stávajících aplikací do nového prostředí

5 Celková koncepce řešení Firewall + DMZ (Checkpoint) Centrální doména Windows 2003 Active Directory Jednotná pošta Exchange 2003 Pokrytí antivirem na všech úrovních (Symantec) Patch management (SMS 2003) Komplexní zálohování (Veritas) Redesign LAN (přepínaná síť 100 Mbit) Kompletní migrace a restruktualizace původních sítí

6 Definice bezpečnosti Technický pohled produkty konfigurace Organizační pohled bezpečnostní politiky Personální pohled proškolení administrátorů i uživatelů Bezpečnost nemůže příliš omezovat práci uživatelů, neboť sama o sobě neslouží k práci.

7 Technický pohled Firewall Přístup k Internetu (proxy, poštovní brána) Antivirová ochrana Ochrana dat: zálohování stabilní hardware (RAID-1, 5) Metodiky AAA (autentizace, autorizace, auditování)

8 Organizační pohled Provozní řád WAN politika změny hesel zamykání stanic chování uživatelů Zálohovací politika Antivirová politika Definice rolí správců Stále se opakující proces, který se postupně mění a zlepšuje.

9 Personální pohled Školení správců Školení uživatelů Omezení rizik technicky – automatizace úloh organizačně – směrnice, nařízení Nejrizikovější oblast zabezpečení.

10 Komunikační infrastruktura Využita infrastruktura Českého Telecomu technologie IP VPN (BGP/MPLS) Centralizovaný přístup k Internetu přípojný bod v Ústředí ÚZSVM Rekonfigurace lokálních sítí vybudování LAN pomocí Cisco přepínačů

11 Operační systémy Windows server 2003 SecurePlatform, RedHat LINUX Dokumentace zabezpečení Metodiky dohledu, správy a aktualizací Žádný OS není bezpečný ani nebezpečný, záleží na tom, kdo jej instaluje a spravuje.

12 Doména Active Directory Win 2003 Autentizace, adresářové služby Single sign-on (jednotné přihlášení) Využití dalšími službami a aplikacemi Skupinové politiky MSIE a jeho bezpečnost vzhled desktopu platnost a délka hesel logování...

13 Elektronická pošta MS Exchange 2003 Klienti MS Outlook Veřejné složky použity pro ukládání reportů a varovných hlášení (souhrny Event logů, AVO, zálohování) Metody ochrany: anti-relay (poštovní AVO brána, zákaz relay) proti hromadným útokům (omezení počtu adresátů, velikosti zpráv)

14 Firewall Check Point Firewall-1 Jeden firewall cluster chrání celou síť Firewall-1 zapojený v režimu vysoké dostupnosti. Filtrování WWW provozu SecureClient – centrálně řízený personální firewall použití SCV – OS monitor a Process monitor packaging Tool Alerty

15 Proxy servery Microsoft ISA server 2000 Autentizace, autorizace a auditing Filtruje na základě povolení/zakázání: protokolů (HTTP, FTP) destinací typů souborů Umístěn v Ústředí a na Územních pracovištích Každá lokalita má určený proxy server, alternativní připojení k Internetu je zakázáno.

16 Antivirové řešení - pokrytí SMTP komunikace mail gateway – BitDefender vnitřní poštovní servery – Symantec Mail Security Souborový systém serverů a stanic, notebooků Symantec Antivirus Corporate Edition HTTP a FTP komunikace Symantec Web Security

17 Antivirové řešení - metody Aktuální virové definice automatické centralizované stahování definic Heuristická analýza Preventivní omezení nebezpečné přílohy v systému elektronické pošty nebezpečné soubory přenášené z Internetu přístupy na problematická sídla v Internetu

18 Zálohování Veritas NetBackup 4.5 (Ústředí ÚZSVM) Veritas BackupExec 9.1 (Územní a Odloučená pracoviště) Rychlé zálohování souborových systémů Podpora zálohování otevřených souborů (Open File Option) Zálohování pomocí agentů: vzdálených serverů databázových systémů MS SQL poštovních systémů MS Exchange Moduly Inteligent Disaster Recovery

19 Údržba systémů, management Microsoft Systems Management Server 2003 Zabezpečuje Patch Management automatické zjištění instalovaných hotfixů řízená distribuce a instalace hotfixů včetně zpětné vazby Vzdálené řešení problémů na stanicích Remote Management Tools Centralizovaná distribuce software Kompletní inventarizace hardware a software

20 Bezpečnost jako souhrn všech komponent Technický pohled Organizační pohled Personální pohled Zavedením bezpečnosti práce nekončí: je nutno znovu a znovu prověřovat rizika implementovat nové bezpečnostní metody dodržovat stanovené bezpečnostní procedury neustále vzdělávat uživatele

21 Hlavní motto bezpečnosti Existují bezpečné technologie, ale je na lidech, aby jich využili.