Ταυτότητα Παρουσίασης



Σχετικά έγγραφα
Συστήματα Διαχείρισης Κινδύνου στα Ασύρματα Δίκτυα. Επιμέλεια: Βασίλης Παλιούρας MSc Information Security, MCSA, CCDA, CCA

Ασύρµατη λειτουργία (µόνο σε επιλεγµένα µοντέλα)

Ασύρµατη λειτουργία (µόνο σε επιλεγµένα µοντέλα)

ΤΕΧΝΟΛΟΓΙΚΟ ΠΑΝΕΠΙΣΤΉΜΙΟ ΚYΠΡΟΥ

Συστήματα πανταχού παρόντος υπολογιστή σε περιβάλλοντα υβριδικών βιβλιοθηκών

Ασύρµατη λειτουργία( Μόνο σε επιλεγµένα µοντέλα)

Συσκευές Τηλεπικοινωνιών και Δικτύωσης. Επικοινωνίες Δεδομένων Μάθημα 9 ο

ΑΠΟΦΑΣΗ. (αριθμ.: 52 /2009)

Διαχειριστείτε το σύστημα κλειδώματος σας CLIQ όποτε και & από όπου θέλετε εσείς!

Ρύθμιση Stylitis-10+ WiFi

MULTIPLE CHOICE REVISION: ΜΑΘΗΜΑ 3-4

Αρχιτεκτονική του πληροφοριακού συστήµατος Cardisoft Γραµµατεία 2003 ιαχείριση Προσωπικού

Α Ν Α Κ Ο Ι Ν Ω Ν Ε Ι

Βιντεοπροβολέας δικτύου - Οδηγός χρήσης

ΚΟΙΝΩΝΙΚΗ ΔΙΚΤΥΩΣΗ ΜΕΣΩ ΚΙΝΗΤΩΝ ΣΥΣΚΕΥΩΝ: ΧΡΗΣΗ ΔΕΚΤΗ GPS ΓΙΑ ΑΝΑΠΤΥΞΗ ΕΦΑΡΜΟΓΗΣ ΚΟΙΝΩΝΙΚΗΣ ΔΙΚΤΥΩΣΗΣ ΣΕ ΚΙΝΗΤΗ ΣΥΣΚΕΥΗ

Υλοποίηση σχημάτων ασφαλείας σε ασύρματα δίκτυα

Οδηγός περιήγησης. McAfee Virtual Technician 6.0.0

ΓΕΝΙΚΗ ΠΕΡΙΓΡΑΦΗ ΕΡΓΟΥ

Υπηρεσία φωνητικής υποστήριξης των ιστοτόπων της ΕΡΤ Α.Ε.

Οδηγός χρήσης Connection Manager

Πολιτική Απορρήτου 1. ΕΙΣΑΓΩΓΗ

ΤΕΧΝΟΛΟΓΙΚΟ ΠΑΝΕΠΙΣΤΉΜΙΟ ΚYΠΡΟΥ

H CISCO ανακοινώνει νέα τεχνολογία για τις Εταιρείες Λιανικής

ΟΔΗΓΟΣ ΧΡΗΣΗΣ ΛΟΓΙΣΜΙΚΩΝ ΣΥΣΤΗΜΑΤΟΣ 2015

ΑΠΟΦΑΣΗ. (αριθμ.: 53 /2009)

Internet 1. Ρυθµίσεις ικτύου Η MID διαθέτει ενσωµατωµένο Wi-Fi module. Κάντε κλικ στο, στο µενού ρυθµίσεων θα εµφανιστεί στο MID.

Δίκτυο που εξυπηρετεί: περιφερειακών συσκευών μεταξύ τους

ΠΡΟΣΚΛΗΣΗ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ

BT310 BLUETOOTH USB PRINTER ADAPTER

Ο Δ Η Γ Ο Σ Ε Ν Ε Ρ Γ Ο Π Ο Ι Η Σ Η Σ Κ Α Ι Α Σ Φ Α Λ Ε Ι Α Σ Τ Ο Υ Π Ρ Ο Γ Ρ Α Μ Μ Α Τ Ο Σ Σ Τ Α Τ Ι Κ Ω Ν Μ Ε Λ Ε Τ Ω Ν Ρ Α Φ

Προμήθεια λογισμικών antivirus με ενσωματωμένο firewall Προϋπολογισμός: ,00 συμπεριλαμβανομένου ΦΠΑ Α.Μ.: 35/16 ΤΕΧΝΙΚΗ ΕΚΘΕΣΗ

Πρωτόκολλα Διαδικτύου Μέρος 2ο. Επικοινωνίες Δεδομένων Μάθημα 3 ο

Ο ρόλος της Ασφάλειας Πληροφοριών στην ανάπτυξη επιχειρηματικών δραστηριοτήτων και συνεργειών

Linux Terminal Server Project

RobotArmy Περίληψη έργου

Πρόσκληση 10: Προηγμένες Τηλεματικές Υπηρεσίες Τ.Ε.Ι. Ηπείρου Δίκτυο Τ.Ε.Ι. Ηπείρου ΙΙ

Κεφάλαιο 12. Επικοινωνίες-Δίκτυα-Διαδίκτυο. Εξαιρούνται οι παράγραφοι:

Οδηγός σύνδεσης στο δίκτυο του ΤΕΠΑΚ μέσα από την υπηρεσία απομακρυσμένης πρόσβασης VPN Τεχνολογικό Πανεπιστήμιο Κύπρου

EdoorLock Programmer. EdoorLock Programmer_App.doc

Δρομολογητής Smart WiFi AC1600

2 Η τοπική αποθήκευση και η κοινή χρήση δεδομένων βρίσκονται υπό τον έλεγχό σας

MIDEA Smart Χρήση για Air Conditions

Smartphones και πολυμέσα

ΣΥΓΚΛΙΣΗ ΥΠΗΡΕΣΙΩΝ ΚΑΙ ΔΙΚΤΥΩΝ

Κορυφαίες λειτουργίες

Οδηγός βάσεων δεδομένων

ΑΡΧΗ ΔΙΑΣΦΑΛΙΣΗΣ ΤΟΥ ΑΠΟΡΡΗΤΟΥ ΤΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ ΣΧΕΔΙΟ

ΓΡΑΦΕΙΟ ΤΗΛΕΔΙΑΣΚΕΨΗΣ ΚΑΙ ΠΟΛΥΜΕΣΩΝ

Παρεντρική Σίτιση Νεογνών

Φύλλο Κατανόησης 1.8

Περιεχόμενα συσκευασίας

«Όροι χρήσης πληροφοριακών συστημάτων & διαδικασίες παροχής πρόσβασης στα Εκκαθαριστικά Μέλη»

Εταιρεία Εταιρεία Εταιρεία Εταιρεία Εταιρεία Εταιρεία Εταιρεία Εταιρεία 5...

Οδηγίες Χρήσης EAP Controller Software

Σύγχρονες Απειλές & Προστασία. Γιάννης Παυλίδης Presales & Tech Support Engineer

Εθνική Σχολή Δημόσιας Υγείας Υγειονομική Σχολή Αθηνών ESDY. ασύρματο δίκτυο. Οδηγός Σύνδεσης.

BO.M.I.S BOLLARD MANAGEMENT INFORMATION SYSTEM ΛΟΓΙΣΜΙΚΟ ΔΙΑΧΕΙΡΗΣΗΣ ΑΝΑΔΥΟΜΕΝΩΝ ΠΑΣΑΛΩΝ ΔΙΑΧΕΙΡΗΣΗΣ ΚΥΚΛΟΦΟΡΙΑΣ BOMIS-V1-2012

ΑΠΟΦΑΣΗ 3. «Όροι χρήσης πληροφοριακών συστηµάτων & διαδικασίες παροχής πρόσβασης στα Εκκαθαριστικά Μέλη»

ΤΕΙ Πελοποννήσου Τμήμα Πληροφορικής. Οδηγίες Εγκατάστασης VPN Σύνδεσης στο ΤΕΙ Πελοποννήσου

Πρωτόκολλα Επικοινωνίας και Τείχος Προστασίας

Οδηγός ρυθμίσεων Wi-Fi

ΗΜΕΡΙΔΑ Cloud Computing: Νέοι Ορίζοντες

ΘΕΜΑΤΑ ΙΑΧΕΙΡΙΣΗΣ ΕΡΓΑΣΤΗΡΙΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ

ΤΕΙ ΗΠΕΙΡΟΥ Τμήμα Τηλεπληροφορικής & Διοίκησης

Τι είναι ένα σύστημα διαχείρισης περιεχομένου; δυναμικό περιεχόμενο

των πελατών για το κλείσιμο ραντεβού για έλεγχο όρασης στα καταστήματά μας. Αποδέκτης των προσωπικών μη ευαίσθητων δεδομένων είναι μόνο η Εταιρεία

11:56 AM. Έξυπνες συσκευές. έξυπνοι χρήστες. Password:

etailer Kit ThinkPad L460/L Lenovo Internal. Με την επιφύλαξη παντός δικαιώματος.

Ιδιωτικό ιατρείο στα χρόνια του GDPR. Φελεκίδης Αναστάσιος. Ιατρός Οφθαλμίατρος, Ιατρικός Σύλλογος Ξάνθης

Προστασία Δεδομένων. Πιθανά Προβλήματα. Πρόληψη - Αντιμετώπιση

Όροι χρήσης Eurobank Masterpass

Οόρος«thin» 13η Συνάντηση Εκπαιδευτικών Πληροφορικής. Thinclients 2/4. Υπολογιστικό μοντέλο Thinclients 1/4. Τεχνολογία Τhinclient Edubuntu LTSP

Επιτήρηση εγκατάστασης Σχέδιο ασφαλείας και κωδικών της SMA για Φ/Β εγκαταστάσεις που προστατεύονται από κωδικούς με Bluetooth Wireless Technology

Πολυμέσα. παρέχουν ένα περιβάλλον πρόσβασης στα τμήματα, μέσω συνδέσεων με οποιονδήποτε τρόπο

IBM Commerce Insights

Τα προσωπικά στοιχεία που συλλέγουμε από εσάς μπορεί να περιέχουν: το όνομα,

CASE STUDY ΕΡΓΟΥ BIZEGATE ΣΤΗΝ ΕΤΑΙΡΕΙΑ WEST A.E. (ΓΙΑ ΛΟΓΑΡΙΑΣΜΟ ΤΗΣ WIND HELLAS)

Τεχνολογική Υποδομή Πληροφοριακών Συστημάτων

Υποστήριξη. Περιεχόμενα συσκευασίας. Δρομολογητής μόντεμ Wi-Fi DSL D6200 Οδηγός εγκατάστασης

C meitrack" Οδηγός Γρήγορης Χρήσης

11:56 AM. Έξυπνες συσκευές. έξυπνοι χρήστες. Password:

«ΖΕΥΣ» Εγχειρίδιο Διαχείρισης Ψηφοφορίας

Κ Α Λ Ε Ι. ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ Καβάλα ΥΠΟΥΡΓΕΙΟ ΥΓΕΙΑΣ & ΚΟΙΝΩΝΙΚΗΣ

Κεφάλαιο 7 Διαδικτύωση-Internet. 7.2 Τεχνολογία TCP/IP

Προδιαγραφή και Επαλήθευση Πρωτοκόλλων Ασφαλείας Συστημάτων Κινητών Επικοινωνιών με Χρήση Τυπικών Μεθόδων

ΑΝΑΡΤΗΤΕΟ ΣΤΗΝ ΙΣΤΟΣΕΛΙΔΑ

ΕΡΓΑΣΙΑ: Ετήσιας Συντήρησης και Υποστήριξης Λειτουργίας Δημοτικής Διαδικτυακής Πύλης

ΟΡΟΙ ΧΡΗΣΗΣ ΙΣΤΟΣΕΛΙΔΑΣ

Share and Storage Management. Τεχνικός Δικτύων & Τηλεπικοινωνιών - Διαχείριση Δικτύων ΙΙ

ΤΕΧΝΟΛΟΓΙΚΟ ΠΑΝΕΠΙΣΤΉΜΙΟ ΚYΠΡΟΥ

GDPR και Τεχνικά Μέτρα Ασφάλειας Πληροφοριακών Συστημάτων

ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ ΔΙΟΙΚΗΣΗΣ MANAGEMENT INFORMATION SYSTEMS (M.I.S.)

Εγκατάσταση για Windows XP και Vista

Χρήση συσκευής. Οδηγός διαχειριστή

ΕΥΡΥΖΩΝΙΚΟΤΗΤΑ ΣΤΟ ΕΘΝΙΚΟ ΙΔΡΥΜΑ ΕΡΕΥΝΩΝ

Information Technology for Business

Ρύθµιση του Ασύρµατου Ευρυζωνικού ροµολογητού.

ΠΑΝΕΠΙΣΤΗΜΙΟΥ ΠΕΛΟΠΟΝΝΗΣΟΥ ΤΜΗΜΑ ΕΠΙΣΤΗΜΗΣ ΚΑΙ ΤΕΧΝΟΛΟΓΙΑΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ Υλοποίηση Δικτυακών Υποδομών και Υπηρεσιών

ΟΔΗΓΌΣ ΓΡΉΓΟΡΗΣ ΕΚΚΊΝΗΣΗΣ

ΠΛΗ10 Κεφάλαιο 2. ΠΛΗ10 Εισαγωγή στην Πληροφορική: Τόμος Α Κεφάλαιο: 2 2.1: Bασική Δομή του Υπολογιστή

Transcript:

Ταυτότητα Παρουσίασης Τίτλος: Αυτοπροστασία και Διασφάλιση Ακεραιότητας Δικτύων και Τερματικών Εισηγητής: Σταύρος Καραγκιούλογλου, Διπλ. Ηλεκτρολόγος Μηχανικός, Δ/νων Σύμβουλος SmartAxis AE Αρ.Μητρ. ΤΕΕ 39411 Επικοινωνία: s. kara@smartaxis. gr, Τηλ. 210.9210828, Fax: 210.9210827 Τεχνολογία Κατασκευής: FUNK Software Inc, ΗΠΑ www. funk. com www. smartaxis. gr/ sec- remote. html Παρουσίαση στην Ημερίδα ΤΕΕ, 10-Ιαν-2006 ΠΕΡΙΕΧΟΜΕΝΑ Α. Εταιρικά Ιδιωτικά Δίκτυα Β. Ποιο είναι το πρόβλημα Γ. Περιγραφή Λύσης και Λειτουργίας ENDPOINT INTEGRITY Δ. Λύσεις Επόμενης Γενιάς (Next.Gen) Ε. Λύση Endpoint Integrity με βάση την Ανοικτή Προδιαγραφή TNC Ζ. Παράδειγμα υλοποίησης προδιαγραφής: Endpoint Integrity System της FUNK Software Inc Η. Μελλοντικές κατευθύνσεις προδιαγραφής TNC Σελίδα 1 από 9

Αυτοπροστασία και Διασφάλιση Ακεραιότητας Δικτύων και Τερματικών Εταιρικά Ιδιωτικά Δίκτυα Έως πρόσφατα, οι διαχειριστές δικτύων (network administrators) είχαν την δυνατότητα να ελέγχουν πλήρως ποιος, πότε, που, πως, για πόσο είχε πρόσβαση σε μέρος του δικτύου ή και σε όλο το δίκτυο χρησιμοποιώντας τερματικούς σταθμούς ή τερματικά (Endpoints), που ανήκαν στην εταιρία/οργανισμό ή επίσης που ήταν προσωπική ιδιοκτησία τους. Ο διαχειριστής του δικτύου και γενικά το προσωπικό πληροφορικής είχαν την δυνατότητα να ελέγχουν απολύτως τι επιτρέπεται και τι όχι. Τα τμήματα πληροφορικής όριζαν το hardware και το software που επιτρεπόταν να χρησιμοποιείται, αν θα είχαν πρόσβαση στο διαδίκτυο και πως, αν και τι προγράμματα θα μπορούσαν να «κατεβάσουν», και τι είδους πρόσβαση θα είχαν στους πόρους του δικτύου. Διασφαλίζοντας την «περίμετρο» του δικτύου μπορούσαν να προστατέψουν και να στεγανοποιήσουν γενικά το δίκτυο. Εάν τηλε-εργαζόμενοι χρειάζονταν πρόσβαση στο δίκτυο, αυτό ήταν εφικτό εφαρμόζοντας συγκεκριμένες και ασφαλείς διαδικασίες. Ποιο είναι το πρόβλημα Όμως σήμερα, ο τρόπος που εργάζεται το προσωπικό των οργανισμών και εταιριών έχει διαφοροποιηθεί πάρα πολύ και έχει γίνει πολύ πιο «κινητός». Παράλληλα έχει αυξηθεί η πίεση στους διαχειριστές των δικτύων και το προσωπικό πληροφορικής. Σήμερα οι υπάλληλοι, μπορούν να χρησιμοποιήσουν τις τερματικές συσκευές τους από οπουδήποτε και οποτεδήποτε για να έχουν πρόσβαση στις πληροφορίες του εταιρικού δικτύου με πολλούς τρόπους. Πρόσφατα οι πωλήσεις των φορητών υπολογιστών ξεπέρασαν τις πωλήσεις των σταθερών για πρώτη φορά. Παράλληλα οι υπολογιστές παλάμης (palmtops) γίνονται ολοένα και πιο ικανοί, διαθέτοντας όλες τις δυνατότητες και τρόπους σύνδεσης (Wifi, Bluetooth, Blackberry, IrDA, USB, κλπ) και διεισδύουν στο εταιρικό περιβάλλον σαν εργαλεία καθημερινής εργασίας. Επίσης επισκέπτες των εταιριών και οργανισμών προσέρχονται στους χώρους των εταιριών / οργανισμών και θέλουν να έχουν πρόσβαση στο διαδίκτυο ή/και μέσω αυτού προς το δικό τους εταιρικό δίκτυο. Η ευρεία χρήση τέτοιου είδους (φορητών, palmtops, digital assistants, υπολογιστών συνδυασμένων με κινητό τηλέφωνο, κλπ, κλπ) υπολογιστικών τερματικών σταθμών δίνει την δυνατότητα να γίνεται χρήση από οπουδήποτε, οποιαδήποτε χρονική στιγμή, ακόμη και για προσωπική χρήση κατά το ωράριο εργασίας αλλά και μετά το πέρας της εργασίας, από παντού, όντας σε ταξίδι αλλά και από το σπίτι. Σύγχρονες τάσεις στις τηλεπικοινωνίες και τεχνολογίες αιχμής, ΤΕΕ, Αθήνα, 10 Ιαν., 2006 2

Πάρα πολύ συχνό φαινόμενο είναι να γίνεται κατά την χρήση εκτός του γραφείου διαφοροποίηση των ρυθμίσεων, ακόμη και απενεργοποιήσεις ορισμένων προγραμμάτων (πχ antivirus, firewall, patch management, spyware, κλπ, κλπ). Συνέπεια αυτού είναι να εκτίθεται ο τερματικός σταθμός αλλά κυρίως όλο το εταιρικό δίκτυο σε ανυπολόγιστους και μη προβλέψιμους κινδύνους αν επανασυνδεθεί ο χρήστης αυτός δίχως να επαναφέρει τις απαιτούμενες ρυθμίσεις ασφάλειας. Περιγραφή Λύσης και Λειτουργίας ENDPOINT INTEGRITY Έχουν επεξεργαστεί και τυποποιηθεί ανοικτές προδιαγραφές για την ακεραιότητα του δικτύου και των τερματικών (ΕNDPOINT INTEGRITY) που δίνουν λύση στο πρόβλημα αυτό. Βάσει αυτών των προδιαγραφών, κάθε τερματικός σταθμός που θέλει να συνδεθεί στο δίκτυο, καταθέτει όχι μόνο την ταυτότητα την δική του ή και του χρήστη αλλά καταθέτει επίσης τεχνικές πληροφορίες που υποδηλώνουν τα χαρακτηριστικά ασφάλειας που διαθέτει. Βάσει αυτών, ο «εξυπηρετητής πολιτικής ασφάλειας (policy server)» του εταιρικού δικτύου κρίνει αν και τι είδους πρόσβαση μπορεί να παραχωρηθεί. Διαφορετικά τον οδηγεί σε περιβάλλον καραντίνας, όπου γίνεται προσπάθεια επιδιόρθωσης και συμπλήρωσης των χαρακτηριστικών ασφάλειας, πριν του επιτρέψει να συνδεθεί με ασφάλεια στο δίκτυο (εικόνα 1). Στο παρακάτω παράδειγμα (εικόνα 2) ο τερματικός σταθμός που θέλει να συνδεθεί στο δίκτυο, έχει καταθέσει τα απαιτούμενα στοιχεία τα οποία έγιναν αποδεκτά. Έτσι, ο «εξυπηρετητής πολιτικής ασφάλειας (policy server)» του εταιρικού δικτύου τον εγκρίνει προς σύνδεση και δίδει ανάλογη εντολή σε συνδυασμό και με τον Radius server που έχει αναλάβει το AAA (Authentication, Authorization Accounting). Σύγχρονες τάσεις στις τηλεπικοινωνίες και τεχνολογίες αιχμής, ΤΕΕ, Αθήνα, 10 Ιαν., 2006 3

Τα πράγματα είναι τελείως αντίθετα στο παρακάτω παράδειγμα (εικόνα 3), όπου τα στοιχεία του τερματικού σταθμού που θέλει να συνδεθεί στο δίκτυο έχουν κριθεί ανεπαρκή και έτσι ο «εξυπηρετητής πολιτικής ασφάλειας (policy server)» του εταιρικού δικτύου τον αποστέλλει σε περιβάλλον καραντίνας, ανεξάρτητα από το θετικό αποτέλεσμα του Radius server. Έχοντας τοποθετηθεί στην καραντίνα, ο χρήστης πληροφορείται τα αίτια που οδήγησαν στην κατάσταση αυτή και τι πρέπει να γίνει προκειμένου να ανακτήσει τα αναγκαία χαρακτηριστικά ασφαλείας ώστε να γίνει αποδεκτός από το δίκτυο (remediation). Ανάλογα με τις ρυθμίσεις που έχει κάνει ο διαχειριστής του εταιρικού δικτύου, μπορούν να γίνουν α) άμεσες Σύγχρονες τάσεις στις τηλεπικοινωνίες και τεχνολογίες αιχμής, ΤΕΕ, Αθήνα, 10 Ιαν., 2006 4

επιδιορθώσεις/ενημερώσεις, β) μικρές επιδιορθώσεις και γ) μεγάλες επιδιορθώσεις. Υπάρχει βέβαια περίπτωση, κάποιες επιδιορθώσεις να μη μπορούν να γίνουν αυτόματα αλλά να χρίζουν επέμβασης από ειδικούς, ενδεχομένως και χειροκίνητα. Αφού γίνουν τα απαραίτητα, το σύστημα επανελέγχει το επίπεδο ασφάλειας του τερματικού και αφού βεβαιωθεί ότι όλα έχουν καλώς, το εγκρίνει για σύνδεση. Η λειτουργία της καραντίνας είναι προαιρετική. Μερικοί διαχειριστές δικτύου προτιμούν να χρησιμοποιούν το όλο σύστημα σαν μία ευγενική προειδοποίηση προς τους χρήστες, προσπερνώντας τα μέτρα υποχρεωτικής καραντίνας και επιδιορθώσεων. Κάθε φορά που ένα τερματικό θα προσπαθεί να συνδεθεί στο δίκτυο, πάντα θα διενεργούνται οι προκαθορισμένοι έλεγχοι βάσει της ισχύουσας εκείνη τη στιγμή πολιτικής ασφάλειας που έχει καθορίσει ο αρμόδιος ασφάλειας σε συνεργασία με τον διαχειριστή του δικτύου. Λύσεις Επόμενης Γενιάς (Next. Gen) Υπάρχουν σήμερα οι κάτωθι κατευθύνσεις για την συγκρότηση λύσεων για Endpoint Integrity: 1- Trusted Computing Group: Trusted Network Connect (TNC) 2- Cisco: Network Admission Control (NAC) 3- Microsoft: Network Access Protection (NAP) 4- Άλλες λύσεις: ZoneLabs, Sygate, InfoΕxpress, κλπ Στη συνέχεια επικεντρωνόμαστε στη λύση της Trusted Computing Group Trusted Network Connect (TNC), γιατί στηρίζεται σε ανοικτή και δημοσιοποιημένη τεχνική προδιαγραφή, εξασφαλίζοντας στους χρήστες επιλογή προϊόντων, ποικιλία δυνατοτήτων για ενσωμάτωση υπομονάδων και προσαρμογέων (interfaces), απεξάρτηση από δεσμευτικά τεχνικά χαρακτηριστικά και βέβαια δυνατότητα συνδυασμού για τη συγκρότηση μίας ολοκληρωμένης και σχετικά οικονομικής λύσης. Σύγχρονες τάσεις στις τηλεπικοινωνίες και τεχνολογίες αιχμής, ΤΕΕ, Αθήνα, 10 Ιαν., 2006 5

Λύση Endpoint Integrity με βάση την Ανοικτή Προδιαγραφή TNC Στo TCG συμμετέχουν: Στο TCG, που είναι μη-κερδοσκοπικός οργανισμός, συμμετέχουν οι μεγαλύτερες εταιρίες λογισμικού και τηλεπικοινωνιακού εξοπλισμού που προωθούν ανοικτά standards. Η ομάδα TNC (Trusted Network Connect) του ΤCG (Trusted Computing Group, www. trustedcomputinggroup. org) επεξεργάστηκε και προωθεί την ανοικτή προδιαγραφή ENDPOINT INTEGRITY που περιγράψαμε λειτουργικά παραπάνω. Η δομή της προδιαγραφής αυτής απαιτεί τέσσερα (4) συστατικά: 1. Σύστημα RADIUS με Policy Server για Endpoint Integrity. Περιλαμβάνει τις λειτουργίες ΑΑΑ, TNC Server, IMV Module (Integrity Measurement Verifier) 2. Software τερματικού για Endpoint Integrity Περιλαμβάνει τις λειτουργίες 802.1x client, TNC Client, IMC Module (Integrity Measurement Collector) 3. Software για καραντίνα Ειδικό software από κατασκευαστές όπως McAfee, Symantec, Checkpoint, κλπ 4. Εξοπλισμό δικτύου με λειτουργικότητα IEEE 802.1x Τα προϊόντα δικτύων παραγωγής των τελευταίων ετών ήδη το περιλαμβάνουν. Σύγχρονες τάσεις στις τηλεπικοινωνίες και τεχνολογίες αιχμής, ΤΕΕ, Αθήνα, 10 Ιαν., 2006 6

Η προδιαγραφή αυτή λειτουργεί ως εξής ( 5): Όταν ένα τερματικό (ενσύρματο, ασύρματο ή και κινητό) ζητήσει να συνδεθεί με το δίκτυο, ο εξοπλισμός δικτύου ειδοποιεί τον Radius (AAA server), o οποίος ζητάει και παίρνει από τον «Access Software 802.1x client» την ταυτότητα του τερματικού. Εάν το τερματικό δεν έχει δικαίωμα πρόσβασης, τότε η επικοινωνία διακόπτεται. Εάν έχει δικαίωμα, το σύστημα προχωράει στην επόμενη φάση, δηλ. στην διαπίστωση του ελέγχου της ακεραιότητας του τερματικού. Στην Φάση αυτή, το TNC client συλλέγει πληροφορίες από τους IMC (Integrity Measurement Collectors) για τα εγκατεστημένα προϊόντα ασφαλείας στο τερματικό και τα αποστέλλει στον TNC server προς έλεγχο. Αυτός με τη σειρά του τα συγκρίνει με τους IMV (Integrity Measurement Verifiers) που διαθέτει και που υλοποιούν την πολιτική ασφάλειας του δικτύου και αποφαίνεται αν τα στοιχεία του τερματικού είναι αποδεκτά. Σε θετική περίπτωση, δίδεται στο τερματικό δικαίωμα πρόσβασης στο δίκτυο. Εάν όχι, το τερματικό οδηγείται σε μία ασφαλή περιοχή καραντίνας, όπου μπορούν να ενεργοποιηθούν διαδικασίες επιδιόρθωσης. Το περιβάλλον αυτό ονομάζεται επίσης δίκτυο καραντίνας» και είναι απομονωμένο από το κανονικό δίκτυο παραγωγής της εταιρείας. Είναι σημαντικό να αναφερθεί ότι το τερματικό δεν λαμβάνει σε καμία φάση διεύθυνση IP του δικτύου μέχρι να αποφασίσει ο TNC server (Policy Server) ότι πρόκειται για «έμπιστο (trusted) τερματικό». Σύγχρονες τάσεις στις τηλεπικοινωνίες και τεχνολογίες αιχμής, ΤΕΕ, Αθήνα, 10 Ιαν., 2006 7

Παράδειγμα υλοποίησης προδιαγραφής: Endpoint Integrity System της FUNK Software Inc Η εικόνα 6 παρακάτω δείχνει την υλοποίηση της εφαρμογής Endpoint Integrity της εταιρίας FUNK Software Inc με βάση την προδιαγραφή της TCG-TNC. Η λειτουργική αντιστοιχία με το μοντέλο της τεχνικής προδιαγραφής είναι: Α. Odyssey Client: Access software, IEEE 802.1x client B. Odyssey Client/Endpoint Assurance: TNC client C. Steel Belted Radius: AAA Radius server D. Steel Belted Radius / Endpoint Assurance: TNC server Η παρακάτω εικόνα 7 δείχνει μία υλοποίηση του Endpoint Integrity συστήματος της FUNK Software για Antivirus, Personal Firewall και Patch Management. Σύγχρονες τάσεις στις τηλεπικοινωνίες και τεχνολογίες αιχμής, ΤΕΕ, Αθήνα, 10 Ιαν., 2006 8

Μελλοντικές κατευθύνσεις προδιαγραφής TNC H προδιαγραφή TNC της TCG εγκρίθηκε και δημοσιεύθηκε τον Μάιο 2005. Προβλέπεται να εμπλουτιστεί με πολλά υποσυστήματα κάνοντας χρήση ανοικτών και έτοιμων προδιαγραφών όπου αυτό είναι δυνατό. Μία πολλά υποσχόμενη εξέλιξη είναι η πρόβλεψη ελέγχου ειδικού hardware module για την διαπίστωση γνησιότητας και ακεραιότητας των τερματικών στα πλαίσια της προδιαγραφής Endpoint Integrity για την αυτοπροστασία των δικτύων και των τερματικών. Στην περίπτωση αυτή το σύστημα προβλέπει όχι μόνο την σχολαστική τήρηση των λειτουργιών σε επίπεδο software, αλλά επιπροσθέτως ελέγχει την ύπαρξη και την παραμετροποίηση ενός ειδικού hardware που ονομάζεται «TPM» (Trusted Platform Module) εντός του τερματικού που αιτείται να συνδεθεί. Το τερματικό για να περάσει τους ελέγχους, δεν φθάνει να έχει σωστά και ολοκληρωμένα όλα τα software με τις σωστές παραμέτρους, αλλά πρέπει να έχει και να είναι σωστά ενεργοποιημένο και το ειδικό hardware TPM. Το TPM είναι ειδικό ολοκληρωμένο κύκλωμα ασφαλείας, που έχει τυποποιηθεί από το TCG και που διατίθεται ήδη σε επαγγελματικούς φορητούς υπολογιστές. Σύγχρονες τάσεις στις τηλεπικοινωνίες και τεχνολογίες αιχμής, ΤΕΕ, Αθήνα, 10 Ιαν., 2006 9

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια