Számítógépes biztonság

A HupWiki-ből...

Tartalomjegyzék 1 Fizikai biztonság 1.1 Maximális fizikai biztonság 1.2 Minimális fizikai biztonság 1.3 Áramellátás 2 Hardveres biztonság 3 Szoftveres biztonság 3.1 A szoftverek tervezése szerinti biztonság 3.1.1 nyílt forrású 3.1.2 zárt forrású 3.2 Az alkalmazások rendelkezésreállása szerinti biztonság 3.3 Az alkalmazások típusa szerinti biztonság 3.3.1 Operációs rendszerek védelme 3.3.2 Adatbázisok védelme 3.3.3 Internetet használó alkalmazások védelme 3.3.4 Fájlok, adatok, dokumentumok védelme 4 Adat biztonság 4.1 A felhasználók által okozott véletlen adatvesztés, vagy egyéb kár megelőzése - LEGGYAKORIBB 4.2 A rendszerek hibájából adódó véletlen adatvesztés, vagy egyéb kár megelőzése - RITKA 4.3 A rendszerek hibájából adódó szándékos cselekmény miatti kár megelőzése - LEGRITKÁBB 5 Kapcsolódó szócikkek 6 Linkek

Fizikai biztonság

Maximális fizikai biztonság

• Az épület ablakain, ajtóin elhelyezett rácsok, zárak csökkentik betörések motiváltságát.
• A láthatóan gyenge minőségű zárszerkezetek növelik a betörések motiváltságát.
• Biztonságos, zárható, riasztózott épület, szerverterem.
• Az épületbe, terembe való belépés naplózása (külön riasztókód a jogosultaknak).
• Tervezésnél gondoljuk végig, hogy hogyan jutnánk be, ha elvesztenénk a kulcsot: (gyenge ajtók, gipszkarton fal, pince, ...)
• Tervezésnél gondoljuk végig, hogy hogyan juthatna be valaki, ha lehallgató készüléket akarna felszerelni: (tetőtér, ...)
• Tervezésnél gondoljuk végig, hogy hogyan jutnánk ki, ha tűz ütne ki: (csak belülről oldható rácsok az ablakon, zárak az ajtón, ...)
• Vasbeton épületszerkezethez (falhoz, padlóhoz) szegecselt számítógépház, avagy a beépített rackszekrény lakatolása.
• Zárható számítógép ház, ha ez nem adott, akkor olyan szekrénybe, beépítőkeretbe helyezni, ami zárható.
• Kikevert saját szinű festékkel bekent csavarok a házon, nyitásra szakadó matricák használata, hogy látszódjék, ha valaki eltávolította a fedlapot.
• A publikus adatok tároló gép fizikai különválasztása a titkos adatokat tartalmazótól.
• A kulcsok, pótkulcsok biztonságos helyen való tárolása. Ide értendő a papíron rögzített jelszó is.
• Mobil gépek esetén Kensington zár alkalmazása.

Minimális fizikai biztonság

• Ha a fentiek nem megvalósíthatóak, akkor az összes fontos adatot lehetőleg titkosított fájlrendszerrel ellátott, hordozható winchesteren kell tárolni, és a munkaidő végén pedig biztonságos helyre elszállítani.
• Ha olyan helyen dolgozunk, amit munka közben többször őrizetlenül szoktunk hagyni, akkor érdemes kulcsal zárható mobilrack-et választani.

Áramellátás

• Szünetmentes tápegységek, aggregátorok, villám- és túláram védelem.

Hardveres biztonság

Hardverből megvalósított biztonsági védelem hardverkulcs segítségével

• TCG (régebbi nevén TCPA)
• chipkártya
• USB token

Szoftveres biztonság

A szoftverek tervezése szerinti biztonság

A számítógépes szoftveres biztonság egyik lehetséges felosztása a szoros kapcsolatban áll a szabad szoftverek - nyílt forráskód (open source), és a nem szabad szoftverek zárt forrású (closed source) csoportosítással.

nyílt forrású

• a kódot bárki átnézheti
• a kódot bárki javíthatja
• a hibákat hamar nyilvánosságra hozzák (lásd. teljes közlés (full disclosure))

zárt forrású

• a kódot csak egy viszonylag kis létszámú, zárt közösség olvashatja
• a kódot csak egy viszonylag kis létszámú, zárt közösség javíthatja
• sok esetben a hibákat eltitkolják, remélve, hogy azok nem kerülnek napvilágra (lásd. titkolózáson alapuló biztonság (Security through obscurity)

Az alkalmazások rendelkezésreállása szerinti biztonság

• hibatűrő klaszter

Az alkalmazások típusa szerinti biztonság

Operációs rendszerek védelme

• Bootolás védelme
  • A hardverkulcsos, chipkártyás számítógépházak, további akadályt jelenthetnek az illetéktelenek számára.
  • BIOS jelszó alkalmazása úgy, hogy a gép csak a rendszer lemezről legyen hajlandó elindulni.
    • Ha nincs lezárva a számítógépház, csak elrettentésnek jó, védelmet nem nyújt.
    • Ha le van zárva a számítógépház, akkor is törhető, csak a támadónak ismernie kell a gyári kódot.
  • A bootloadert védjük jelszóval, és csak akkor használjunk 'restricted' opciót, ha a folyamatos áramellátás nem biztosított.
• Erősitsük meg a kernelt biztonságot növelő patchekkel (Grsecurity, PaX, SELinux, RSBAC, AppArmor, ...).
• Használjunk titkosított merevlemezeket
• Használjunk integritásvédelmet (tripwire).
• Használjunk féreg (rootkit, trójai, spyware, vírus, ...) kereső, írtó, és védő programokat (rkhunter, ClamAV, ...).
• Mindennapos munkánk során ne használjuk rendszergazdai üzemmódban rendszereinket.
• Használjunk biztonságos jelszavakat, amelyek legyenek:
  • nehezen törhetőek
  • könnyen megjegyezhetőek (pwgen)
  • gyorsan, és leleshetetlenül gépelhetőek
• Ha munka közben őrizetlenül szoktuk hagyni számítógépünket, használjunk azonnal indítható jelszavas képernyővédőt, vagy egyéb jelszóval védhető munkaterület zárolást.
• Használjunk a rendszer védelmét növelő ill. sebezhetőségét vizsgáló programokat: bastille, nessus, tiger, nmap, logcheck, checksecurity.
• Sohase használjunk megbízhatatlan forrásból (tehát nem a disztribúció csomagbázisából vagy az adott program fejlesztőitől) származó programforrásokat, binárisokat, csomagokat.
• Időzítsük a disztrofrissítést minél gyakoribbra.
• Tegyük biztonságossá a swap használatot (Biztonságos swap)

Adatbázisok védelme

Internetet használó alkalmazások védelme

• Használjunk állapottartó csomagszűrő, és alkalmazás szintű (proxy) tűzfalakat.
• Használjunk titkosítást (SSL, SSH, IPsec, stb.)
• Használjunk behatolás érzékelő és védő megoldásokat (psad, snort, stb.) vagy direkt honeypot rendszert.

Fájlok, adatok, dokumentumok védelme

• Használjunk fájlrendszerkarbantartó programokat (fsck).
• Használjunk adat elpusztító programokat (wipe).
• Használjunk fájl titkosító programokat. (PGP)

Adat biztonság

A felhasználók által okozott véletlen adatvesztés, vagy egyéb kár megelőzése - LEGGYAKORIBB

• véletlen törlések (libtrash)
• tárolóeszközök fizikai károsítása véletlenségből, hanyagságból: (karcos lemezek, leesett winchesterek, ...)
• biztonságos rendszerek kiépítésének hiánya: (fizikai védelem, backup, update, tűzfal, vírus, spyware, ...)
  • az a tévképzet, hogy biztonságos a rendszer
  • rendszergazda alkalmazásának hiánya
  • képzetlen, félreképzett rendszergazda

Az okozott feszültséget jelentősen oldja, ha mindíg van kéznél friss backup.

A rendszerek hibájából adódó véletlen adatvesztés, vagy egyéb kár megelőzése - RITKA

• a felhasználói rendszerekben meglévő, nem javított programozási hibák: (lefagyások, fájlrendszer/fájl sérülések, ...)
• a felhasználói rendszereket érő fizikai balesetek: (hardverhibák, elektromos zárlat, villám, árvíz, tűz, földrengés, ...)

A rendszerek hibájából adódó szándékos cselekmény miatti kár megelőzése - LEGRITKÁBB

• A megfelelő védelem ellenére megjelenő támadások, kellemetlenségek: (exploitok, rootkitek, vírusok, spyware-ek, trójaik, ...)

Kapcsolódó szócikkek

• Bizonságos Szerver Alapok Hogyan
• DMZ
• tűzfal

Linkek

Hírek:

• IMMUNITY : Knowing You're Secure
• Open Source Vulnerability Database
• .:[ packet storm :.]
• SANS - Internet Storm Center
• SecurityFocus
• The Metasploit Project
• Zone-H.org - IT Security Information Network Feltört, deface-elt site-ok mirrorja

Ismertetők, programok:

• guzu.net: data recovery (adatvisszanyerés állományrendszer és hardware szinten, kapcsolódó dokumentációk)
• NSA Security Configuration Guides
• phrack
• Unix (Linux and Solaris) Security --- An Introduction
• Wikipedia: Computer security