Kezdőlap
IT-biztonsági kérdések
a beléptetőrendszerek szemszögéből
| Szautner Attila fejlesztési igazgató ASSA ABLOY „Az IP technológiák világába beléptetőrendszerünk biztonságban tartásához nem elegendő csak a biztonságtechnikai osztály, szoros közreműködés kell az IT szakemberekkel is, akik képesek a biztonságos környezet kialakítására és annak szinten tartására.” |
Tisztelt olvasóink folytatjuk sorozatunkat a biztonságtechnikai rendszerek IT-biztonsági kérdéseiről. A témában első cikkünket lapunk szeptemberi száma 16–17-ik oldalán olvashatták. (A szerk.)
Az IT-alapú rendszerek robbanásszerű növekedése lassan nyomon követhetetlen támadások és hibajavítások sorozatát eredményezi a teljes IT-iparágban. Az IP-alapú eszközök elterjedése a biztonságtechnikában rengeteg, mindenki által ismert előnyöket hozott ugyan magával. Tervezhetőség szempontjából megkönnyítette a mindennapokat, hiszen szabványos eszközökből építkezve speciális biztonságtechnikai ismeretek nélkül lehetségessé vált a tervezés.
Azonban míg korábban a beléptetőrendszerek teljesen független hálózatokon üzemeltek, amelyek egyáltalán nem, vagy csak részben tartalmaztak IP-alapú eszközöket, az IP technológiák elterjedésével kézenfekvővé vált, hogy a beléptető gerinchálózata beépüljön a cég infrastruktúrájába. A hálózat függetlenségét nem fizikailag, hanem virtuálisan ún. VPN-en keresztül biztosítja a cégek többsége. Ez a megoldás azonban „csak” egy logikai elkülönítést jelent, így minden olyan támadásnak ki van téve a teljes rendszer, amely érinti a hagyományos értelemben vett hálózati eszközöket (switch, router), amelyekben napi szinten fedeznek fel biztonsági réseket. Beléptetőrendszerünk biztonságban tartásához nem elegendő csak a biztonságtechnikai osztály, szoros közreműködés kell az IT szakemberekkel is, akik képesek a biztonságos környezet kialakítására és annak szinten tartására.
Eszközök, mint másodlagos támadási felületetek
Amennyiben valakinek sikerül belépni a hálózatba a következő célpontot a rendszer biztonságtechnikai elemei jelentik. Ezen eszközök túlmutatnak az alapvető IT-ismereteken, mégis rendelkeznek Ethernet kontrollerrel. A beléptetőeszközök kevésbé publikáltak az informatikai körökben, így támadásukhoz nehezebb információt gyűjteni, de nem lehetetlen. Olyan gyártót kell preferálni, amely ezeken az eszközökön is folyamatosan nyomon követi a piacot up-to-date-en tartva annak szoftverét, valamint titkosított csatornán kommunikál. Elkerülhetetlen az IT és Biztonságtechnikai osztály szoros együttműködése, annak ismerete, hogy milyen változások várhatók az IT-területén, és azok mennyire érintik a beléptetőeszközöket. Jó példa erre az SSL titkosítás, amelynek 2018 júniusától megszűnt a támogatása. Sok cég esetében ez akár egy Group Policy segítségével végleg kikerülhet a beállításból, így elvesztve a kapcsolatot az SSL titkosítást használó eszközökkel.
A felhasználó oldala – kontroll az emberi tényező felett
Minden szoftvert (magas, alacsony szintű) fel kell készíteni arra, hogy a lehető legbiztonságosabb authentikációs protokollal rendelkezzen. Akár többszintű authentikációval is. Sok esetben a kényelem azonban szembemegy a biztonsággal, ilyen például a tiszta AD authentikáció használata. Ha a rendszerek nem használnak speciális (execute as impersonate user, application role, AD-ból származtatott SQL user) bejelentkezési eljárásokat, a hálózat bármely gépéről lehetséges az adatbázis elérése egy egyszerű SQL connection segítségével. A leghatékonyabb módszer szintén IT által támogatott környezetben alkalmazható, ahol MAC cím alapján azonosítjuk az adott gépet, mint lehetséges munkaállomást. Így lehet szabályozni, hogy egy adott eszköz hozzáférhet-e a biztonságtechnikai hálóhoz. Ez sem kijátszhatatlan megoldás, de a bonyolultabb jelszóval kombinálva eléggé megnehezíti a visszaélést azokkal szemben, akik nem rendelkeznek komolyabb ismeretekkel. A hatékony működést elősegíti, ha van a rendszer felett egy működési szabályzat, amely bekorlátozza a gyenge jelszavak használatát.
Monitorozás
Elsődleges cél az illetéktelen felhasználás elleni védelem, de amennyiben valaki mégis bejut a hálózatba a legfontosabb, hogy azt időben detektáljuk, arról értesítést kapjunk. A monitorozásra léteznek felhőalapú megoldások, mint például a Threat detection, ahol a próbálkozások számát és a szokatlan habitusok vizsgálatát is ki lehet mutatni. Léteznek gyártóalapú megoldások, ahol a statisztika és hibakeresés mellett munkaállomás-jogosultságot is figyelnek.
Elterjedt gyakorlat az adott hálózatunk sebezhetőségének auditálása
Rendszerünk sérülékenységének ellenőrzésére a legcélravezetőbb módszer a külső auditálás. Számos cég vállal Sérülékenységi vizsgálatokat (Etikus Hack), amely felhívja a figyelmet az alapvető rendszerhibákra.
A beléptetőrendszerek mögötti IT infrastruktúra folyamatosan változik, csak úgy tarthatjuk rendszerünket a legmagasabb biztonságtechnikai szinten, ha követjük a fejlődést, szoros kapcsolatban együttműködve az IT szakemberekkel, illetve időnként teljese felülvizsgálatot végzünk a rendszer egésze felett.
Szautner Attila
Fejlesztési igazgató
ASSA ABLOY
Opening Solutions Hungary Kft.