Τεχνολογίες Αναχωμάτων Ασφάλειας Χρήστος Ξενάκης Τμήμα Ψηφιακών Συστημάτων Πανεπιστήμιο Πειραιά
Αντικείμενο μελέτης Προσέγγιση της έννοιας των αναχωμάτων ασφάλειας Δυνατότητες και περιορισμοί που επέρχονται από την εγκατάστασή τους σε ένα δίκτυο Σχεδιαστικά ζητήματα αναχωμάτων ασφάλειας Αρχιτεκτονική των διαφόρων κατηγοριών αναχωμάτων ασφάλειας Πλεονεκτήματα και μειονεκτήματά τους Βοηθητικά βήματα κατά την εγκατάσταση ενός αναχώματος ασφάλειας 2/47
Αναχώματα Ασφάλειας (1/3) Επιθυμία σύνδεσης του επιχειρησιακού δικτύου ενός οργανισμού με το Internet Τα εσωτερικά εταιρικά συστήματα γίνονται ευπρόσβλητα σε κακόβουλη χρήση και επίθεση από εξωτερικούς χρήστες Ανάγκη προστασίας των προστατευόμενων συστημάτων με αξιοποίηση Αναχώματος Ασφάλειας. 3/47
Αναχώματα Ασφάλειας (2/3) Ορισμός Αναχώματος Ασφάλειας (firewall): Σλλ Συλλογή από κατάλληλα συστήματα, τοποθετημένα στο σημείο σύνδεσης της υπό προστασία δικτυακής περιοχής με τα υπόλοιπα δίκτυα, που επιβάλλει προκαθορισμένη πολιτική ασφάλειας Εσωτερικό Δίκτυο Ανάχωμα ασφάλειας Διαδίκτυο 4/47
Αναχώματα Ασφάλειας (3/3) Σκοπός: Η βελτίωση του επιπέδου προστασίας των δεδομένων και των υπολογιστικών πόρων του οργανισμού από εισβολείς Επίτευξη: Με την αποτροπή μη εξουσιοδοτημένων προσβάσεων σε μία ασφαλή περιοχή και με την αποτροπή μη εξουσιοδοτημένης εξόδου πληροφορίας από μία περιοχή Αναγκαίος, σε αρχικό στάδιο, ο καθορισμός πολιτικής ασφάλειας 5/47
Αναχώματα Ασφάλειας: Δυνατότητες (1/3) Το ανάχωμα ασφάλειας αποτελεί το επίκεντρο των αποφάσεων που σχετίζονται με θέματα δικτυακής ασφάλειας Κεντρικό σημείο ελέγχου Απλοποίηση διαχείρισης ασφάλειας Το ανάχωμα ασφάλειας εφαρμόζει έλεγχο προσπέλασης (access control) από και προς το δίκτυο. Συνηθέστερη πολιτική: «Απαγορεύεται κάθε υπηρεσία, εκτός αν έχει ρητά επιτραπεί» 6/47
Αναχώματα Ασφάλειας: Δυνατότητες (2/3) Το ανάχωμα ασφάλειας επιτρέπει καταγραφή της δραστηριότητας στο δίκτυο (network activity logging) Διευκολύνει το έργο των διαχειριστών δικτύου Δυνατότητα ενεργοποίησης συναγερμών κατά τον εντοπισμό μιας ύποπτης δραστηριότητας τη στιγμή που αυτή πραγματοποιείται Το ανάχωμα ασφάλειας προστατεύει τα διαφορετικά δίκτυα εντός του ίδιου οργανισμού. Κάποιο τμήμα του εσωτερικού δικτύου μπορεί να είναι πιο ευαίσθητο από κάποιο άλλο. 7/47
Αναχώματα Ασφάλειας: Δυνατότητες (3/3) Το ανάχωμα ασφάλειας έχει τη δυνατότητα απόκρυψης των πραγματικών διευθύνσεων των υπολογιστών του προστατευόμενου δικτύου. Υπηρεσία ΝΑΤ (Network Address Translator) Οι εξωτερικοί χρήστες βλέπουν μία καθολική IP Διευκολύνει το πρόβλημα μη διαθέσιμων IP διευθύνσεων 8/47
Αναχώματα Ασφάλειας: Περιορισμοί (1/3) Το ανάχωμα ασφάλειας δεν μπορεί να προστατέψει από συνδέσεις οι οποίες δε διέρχονται από αυτό Σύνδεση «εσωτερικού» ύ χρήστη προς Internet tμέσω PPP δεν προστατεύεται Το ανάχωμα ασφάλειας δεν μπορεί να προστατεύσει από προγράμματα-ιούς. Μπορούν να ελεγχθούν IP διευθύνσεις ή θύρες ρςπηγής-προορισμού, ρ, Δεν είναι εφικτό να γίνει έλεγχος των δεδομένων σε βάθος, Συνεπώς είναι αναγκαία η χρήση αντιιομορφικού λογισμικού 9/47
Αναχώματα Ασφάλειας: Περιορισμοί (2/3) Το ανάχωμα ασφάλειας δεν μπορεί να προστατεύσει απέναντι στις επιθέσεις κακόβουλων χρηστών από το εσωτερικό του οργανισμού Απαιτούνται εσωτερικά μέτρα ασφάλειας Άλλη περίπτωση : Επιθέσεις Social Engineering Απαραίτητη η εκπαίδευση των χρηστών Το ανάχωμα ασφάλειας δεν μπορεί να προστατέψει τον οργανισμό απέναντι σε επιθέσεις συσχετιζόμενες με δεδομένα (data driven attacks) Προσοχή στη χρήση εισερχόμενης αλληλογραφίας 10/47
Αναχώματα Ασφάλειας: Περιορισμοί (3/3) Το ανάχωμα ασφάλειας δεν μπορεί να προστατεύσει τον οργανισμό από απειλές άγνωστου τύπου Απαιτείται η προηγούμενη γνώση απειλών και αντίστοιχων μέτρων αντιμετώπισης Η αυστηρή ρύθμιση της ασφάλειας διαμέσου του αναχώματος ασφάλειας Πιθανά αρνητικά ρη αποτελέσματα: Δυσαρέσκεια χρηστών Μειωμένη ευχρηστία Μειωμένη διαδικτύωση 11/47
Αναχώματα Ασφάλειας: Ζητήματα Σχεδίασης (1/6) Ένα ανάχωμα ασφαλείας ΔΕΝ αρκεί για να προστατευτεί ένα δίκτυο από οποιαδήποτε απειλή Αποτελεί έκφραση φιλοσοφίας ασφάλειας Βοηθά στην υλοποίηση ημιας ευρύτερης ρης πολιτικής ασφάλειας καθορίζει τις υπηρεσίες και την πολιτική προσπέλασης σε ένα δίκτυο 12/47
Αναχώματα Ασφάλειας: Ζητήματα Σχεδίασης (2/6) Τα σχεδιαστικά ζητήματα που πρέπει να ληφθούν υπόψη: Χρηστικότητα: Να παρέχεται ασφάλεια, αλλά όχι με σημαντική μείωση της χρηστικότητας Εκτίμηση του κινδύνου: Πρέπει να εκτιμηθεί η επίδραση εξωτερικών εισβολών στο σύστημα Εκτίμηση των απειλών: Πρέπει να προσδιοριστούν οι απειλές από τις οποίες κινδυνεύει το σύστημα Εκτίμηση του κόστους: Σημαντικός παράγοντας, καθώς μπορεί είτε να αγοραστεί εμπορικό προϊόν είτε να κατασκευαστεί από τον ίδιο τον οργανισμό Τύπος του αναχώματος ασφάλειας: : Ανάλογα με τις ανάγκες που πρέπει να καλυφθούν 13/47
Αναχώματα Ασφάλειας: Ζητήματα Σχεδίασης (3/6) Υπάρχουν δύο επίπεδα της πολιτικής ασφάλειας ενός δικτύου τα οποία επηρεάζουν άμεσα τη σχεδίαση εγκατάσταση και χρήση ενός αναχώματος ασφάλειας: 1. Πολιτική ήυπηρεσίας Πόβ Πρόσβασης στο Δίκτυο 2. Πολιτική Σχεδίασης του αναχώματος ασφάλειας 14/47
Αναχώματα Ασφάλειας: Ζητήματα Σχεδίασης (4/6) Πολιτική Υπηρεσίας Πρόσβασης στο Δίκτυο Υψηλού επιπέδου πολιτική ασφάλειας Προσδιορίζει τις υπηρεσίες εκείνες που θα επιτρέπονται ή ρητά θα απαγορεύονται από το δίκτυο καθώς και τον τρόπο με τον οποίο αυτές θα χρησιμοποιούνται 15/47
Αναχώματα Ασφάλειας: Ζητήματα Σχεδίασης (5/6) Πολιτική Σχεδίασης του αναχώματος ασφάλειας Χαμηλού επιπέδου πολιτική ασφάλειας Περιγράφει τους τρόπους με τους οποίους το ανάχωμα ασφάλειας θα επιβάλλει περιορισμό της πρόσβασης και φιλτράρισμα των υπηρεσιών Με τον τρόπο που αυτά έχουν ρητά διατυπωθεί στην Πολιτική Υπηρεσίας Πρόσβασης στο Δίκτυο 16/47
Αναχώματα Ασφάλειας: Ζητήματα Σχεδίασης (6/6) Υπάρχουν δύο κύριες πολιτικές σχεδίασης: Πολιτική οιτιήπροκαθορισμένης άδειας χρήσης: Επιτρέπεται κάθε υπηρεσία, εκτός αν έχει ρητά απαγορευθεί Πολιτική προκαθορισμένης απαγόρευσης χρήσης Απαγορεύεται κάθε υπηρεσία, εκτός αν έχει ρητά επιτραπεί Προτεινόμενη τακτική είναι η χρήση της πολιτικής προκαθορισμένης απαγόρευσης χρήσης 17/47
Κατηγοριοποίηση Αναχωμάτων Ασφάλειας αναχώματα ασφάλειας επιπέδου εφαρμογής αναχώματα ασφάλειας επιπέδου δικτύου Layer 7 - Application Layer 6 Presentation Layer 5 Session Layer 4 Transport Layer 3 Network Layer 2 MAC/DLC Layer 1 Physical Επίπεδα OSI που καλύπτει το εν λόγω ανάχωμα ασφάλειας 18/47
Αναχώματα Ασφάλειας επιπέδου δικτύου (1/4) Στην πιο συνηθισμένη τους μορφή είναι απλοί δρομολογητές (routers), αλλά με αυξημένες δυνατότητες Κατά την παραλαβή ενός πακέτου εξετάζουν εάν το πακέτο μπορεί να δρομολογηθεί προς τον προορισμό του, αλλά και εάν πρέπει να δρομολογηθεί Απαιτείται η ύπαρξη καλά καθορισμένης πολιτικής ασφάλειας 19/47
Αναχώματα Ασφάλειας επιπέδου δικτύου (2/4) Δέχονται το κάθε πακέτο, εξετάζουν την IP διεύθυνση πηγής και προορισμού και με βάση συγκεκριμένους κανόνες καθορίζεται ρζ αν θα επιτραπεί η προώθησή του προς τον τελικό προορισμό Ανάχωμα ασφάλειας επιπέδου δικτύου Επίπεδο εφαρμογής Πακέτα Προώθηση Δίκτυο 1 Επίπεδο πυρήνα Δίκτυο 2 Δίκτυο 3 Φίλτρο Δρομολογητής Απόρριψη 20/47
Αναχώματα Ασφάλειας επιπέδου δικτύου (3/4) Πλεονεκτήματα Εγκαθίστανται και διαμορφώνονται εύκολα Είναι διαφανή στους χρήστες Παρουσιάζουν μεγάλη ταχύτητα εκτέλεσης ασχολούνται μόνο με τοτμήμα της επικεφαλίδας του ΙΡ πακέτου Χαμηλό κόστος 21/47
Αναχώματα Ασφάλειας επιπέδου δικτύου (4/4) Μειονεκτήματα H καταγραφή των συμβάντων είναι απλοϊκή Δεν προσφέρουν μηχανισμούς συναγερμών και εποπτεία (auditing) σε ικανοποιητικό επίπεδο Δε διαθέτουν μηχανισμούς αυθεντικοποίησης σε επίπεδο χρήστη Είναι λιγότερο ασφαλή από τα αναχώματα ασφάλειας επιπέδου εφαρμογής, αφού δεν εξετάζονται τα δεδομένα που διακινούνται στα IP πακέτα 22/47
Αναχώματα Ασφάλειας επιπέδου εφαρμογής (1/5) Υλοποιείται ως πρόγραμμα λογισμικού σε μια συγκεκριμένη πλατφόρμα υπολογιστή (host-based firewalls) O υπολογιστής αυτός αναφέρεται ως υπολογιστής έπαλξη (bastion host). Δεν επιτρέπει σε κανένα πακέτο να περάσει κατευθείαν από το δίκτυο σε ένα άλλο. Η πραγματική σύνδεση πραγματοποιείται με μια εφαρμογή ειδικού σκοπού που εκτελείται στον υπολογιστή-έπαλξη έπαλξη, Ονομάζεται πληρεξούσια εφαρμογή ή πληρεξούσια υπηρεσία (proxy application or proxy service) 23/47
Αναχώματα Ασφάλειας επιπέδου εφαρμογής (2/5) Η πληρεξούσια υπηρεσία δέχεται αιτήσεις και κρίνει εάν θα τις δρομολογήσει προς τον τελικό παραλήπτη Ανάχωμα ασφάλειας επιπέδου εφαρμογής Επίπεδο εφαρμογής Πακέτα Προώθηση Πληρεξούσια Πληρεξούσια Δίκτυο 1 Δίκτυο 2 υπηρεσία υπηρεσία Δίκτυο 3 Δρομολογητής Επίπεδο πυρήνα 24/47
Αναχώματα Ασφάλειας επιπέδου εφαρμογής (3/5) Πληρεξούσιος εξυπηρετούμενος Εσωτερικός φορέας Εσωτερικό Δίκτυο Ανάχωμα ασφάλειας Πληρεξούσιος εξυπηρέτης Πραγματικός εξυπηρέτης Διαδίκτυο Εξωτερικός φορέας 25/47
Αναχώματα Ασφάλειας επιπέδου εφαρμογής (4/5) Πλεονεκτήματα Δεν απαιτείται εγκυρότητα της περιοχής διευθύνσεων. Μπορούν να λειτουργήσουν ως NATs, με απόκρυψη των εσωτερικών IP διευθύνσεων Παρέχουν μεγαλύτερη ασφάλεια και καλύτερο έλεγχο προσπέλασης Παρέχουν καλύτερη καταγραφή συμβάντων 26/47
Αναχώματα Ασφάλειας επιπέδου εφαρμογής (5/5) Μειονεκτήματα Είναι δυσκολότερα στην υλοποίηση Δεν είναι πάντοτε διαφανή προς το χρήστη Απαιτεί μία ξεχωριστή πληρεξούσια εφαρμογή για κάθε υπηρεσία δικτύου H ταχύτητα και η απόδοσή τους, γενικότερα, δεν είναι τόσο ικανοποιητική όσο των αναχωμάτων ασφάλειας επιπέδου δικτύου 27/47
Υβριδικά Αναχώματα Ασφάλειας (1/11) Σε μια υβριδική διάρθρωση, τα λαμβανόμενα πακέτα: Υπόκεινται πρώτα στον έλεγχο τον οποίο διενεργεί το ανάχωμα ασφάλειας επιπέδου δικτύου, συνεπώς: είτε απορρίπτονται είτε διέρχονται και κατευθύνονται προς τον προορισμό τους Μπορούν επίσης να σταλούν σε κάποια πληρεξούσια υπηρεσία για περαιτέρω επεξεργασία Πολύ καλό επίπεδο ασφάλειας, αλλά με αυξημένο κόστος υλοποίησης Τρεις κύριες αρχιτεκτονικές υβριδικών αναχωμάτων ασφάλειας 28/47
Υβριδικά Αναχώματα Ασφάλειας (2/11) Αρχιτεκτονική Διπλοσυνδεδεμένων Αναχωμάτων Ασφάλειας (Dual-homed Gateway) (1/2) Διαδίκτυο Ασφαλές Δίκτυο Απενεργοποιημένη δρομολόγηση / προώθηση H αρχιτεκτονική αυτή στηρίζεται στην ύπαρξη ενός υπολογιστή ο οποίος έχει δύο διεπαφές δικτύου: Η μία διεπαφή τον συνδέει με το εσωτερικό ασφαλές δίκτυο, ενώ η άλλη τονσυνδέει με το εξωτερικό, δυνητικά εχθρικό δίκτυο, συνήθως το Internet 29/47
Υβριδικά Αναχώματα Ασφάλειας (3/11) Αρχιτεκτονική Διπλοσυνδεδεμένων Αναχωμάτων Ασφάλειας (Dual-homed Gateway) (2/2) Ο υπολογιστής ελέγχει την IP κίνηση μεταξύ των δικτύων, δεν επικοινωνούν άμεσα Υπηρεσίες στους χρήστες παρέχονται μόνο με τη χρήση πληρεξούσιων εφαρμογών Η αρχιτεκτονική αυτή απαιτεί μικρό κόστος υλοποίησης Αποτελεί σημείο δυνητικής αποτυχίας (single point of failure) στο δίκτυο 30/47
Υβριδικά Αναχώματα Ασφάλειας (4/11) Αρχιτεκτονική ήυπολογιστή ήδιαλογής (Screened Host) (1/2) Υπολογιστής -Έπαλξη Διαδίκτυο Ασφαλές Δίκτυο Η αρχιτεκτονική Screened Host παρέχει υπηρεσίες διαμέσου ενός bastion host, οοποίοςβρίσκεται συνδεδεμένος μόνο στο εσωτερικό δίκτυο, έχει δηλαδή δήμόνο μια διεπαφή δικτύου, κάνοντας χρήση ενός ξεχωριστού screened router (επιπέδου δικτύου) 31/47
Υβριδικά Αναχώματα Ασφάλειας (5/11) Αρχιτεκτονική ήυπολογιστή ήδιαλογής (Screened Host) (2/2) Στους χρήστες του εσωτερικού δικτύου, μπορεί: Είτε να επιτραπεί να συνδέονται μέσω του αναχώματος ασφάλειας επιπέδου δικτύου μεκάποιαυπηρεσία του εξωτερικού δικτύου Είτε να χρησιμοποιήσουν πληρεξούσιες εφαρμογές στον bastion host για τις συνδέσεις αυτές Αυξημένη ασφάλεια και ευχρηστία 32/47
Υβριδικά Αναχώματα Ασφάλειας (6/11) Αρχιτεκτονική Υποδικτύου Διαλογής (Screened Subnet) (1/6) Διαδίκτυο Υπολογιστής-Έπαλξη Εξωτερικός Δρομολογητής Περιμετρικό Δίκτυο Ανάχωμα ασφάλειας Εσωτερικός Δρομολογητής Εσωτερικό Δίκτυο 33/47
Υβριδικά Αναχώματα Ασφάλειας (7/11) Αρχιτεκτονική Υποδικτύου Διαλογής (Screened Subnet) (2/6) Η αρχιτεκτονική αυτή αποτελείται λί από δύο δρομολογητές διαλογής, με τον bastion host να βρίσκεται ενδιάμεσα Δημιουργείται ένα μικρό απομονωμένο δίκτυο μεταξύ του εσωτερικού δικτύου και του δυνητικά εχθρικού εξωτερικού δικτύου. Ο bastion host βρίσκεται πάνω στο απομονωμένο δίκτυο, που αποκαλείται περιμετρικό δίκτυο 34/47
Υβριδικά Αναχώματα Ασφάλειας (8/11) Αρχιτεκτονική Υποδικτύου Διαλογής (Screened Subnet) (3/6) Περιμετρικό Δίκτυο Πρόσθετο επίπεδο ασφάλειας, σε σχέση με τις υπόλοιπες αρχιτεκτονικές Ο bastion host δέχεται τις περισσότερες επιθέσεις: Αν καταληφθεί από κάποιον εξωτερικό κακόβουλο, εφόσον βρίσκεται στο περιμετρικό δίκτυο, το εσωτερικό δίκτυο παραμένει ασφαλές 35/47
Υβριδικά Αναχώματα Ασφάλειας (9/11) Αρχιτεκτονική Υποδικτύου Διαλογής (Screened Subnet) (4/6) Bastion Host Βρίσκεται στο περιμετρικό δίκτυο Αποτελεί σημείο επικοινωνίας για τις εισερχόμενες συνδέσεις (π.χ. παράδοση e-mails) Έχει εγκατεστημένους πληρεξούσιους εξυπηρέτες, μέσω αυτών οι εσωτερικοί εξυπηρετούμενοι συνδέονται με εξωτερικούς εξυπηρέτες 36/47
Υβριδικά Αναχώματα Ασφάλειας (10/11) Αρχιτεκτονική Υποδικτύου Διαλογής (Screened Subnet) (5/6) Εσωτερικός Δρομολογητής Προστατεύει το εσωτερικό δίκτυο από το περιμετρικό και εξωτερικό δίκτυο Αναλαμβάνει το μεγαλύτερο βάρος στο φιλτράρισμα πακέτων Απευθείας συνδέσεις με το εξωτερικό δίκτυο επιτρέπονται μόνον εφόσον η εξωτερική ιστοθέση μπορεί να καλύπτει συγκεκριμένες απαιτήσεις ασφάλειας Στις υπόλοιπες περιπτώσεις απαιτείται σύνδεση ύδ με τον bastion host, μέσω πληρεξούσιου εξυπηρέτη 37/47
Υβριδικά Αναχώματα Ασφάλειας (11/11) Αρχιτεκτονική Υποδικτύου Διαλογής (Screened Subnet) (6/6) Εξωτερικός Δρομολογητής Προστατεύει το περιμετρικό και εσωτερικό δίκτυο από το εξωτερικό Συνήθως επιτρέπει χωρίς φιλτράρισμα κίνηση από το περιμετρικό δίκτυο προς το εξωτερικό Επιβάλλεται να υπάρχει συμφωνία στους κανόνες ασφάλειας, τόσο στον εξωτερικό όσο και στον εσωτερικό δρομολογητή Υποστηρίζει τη δέσμευση πλαστογραφημένων πακέτων, που φαίνονται να προέρχονται από εσωτερικές IP διευθύνσεις, αλλά είναι τελικά από εξωτερικούς χρήστες. 38/47
Κατά την εγκατάσταση (1/7) Διακρίνονται οι εξής διαδοχικές φάσεις: Σχεδιασμός Πολιτικής Ασφάλειας Απόκτηση Υλικού και Λογισμικού Απόκτηση τεκμηρίωσης, εκπαίδευσης και υποστήριξης Εγκατάσταση υλικού και λογισμικού Ρύθμιση της δρομολόγησης και των κανόνων φιλτραρίσματος πακέτων Ρύθμιση μηχανισμών καταγραφής και έγκυρης προειδοποίησης Δοκιμαστικός έλεγχος του συστήματος Εγκατάσταση 39/47
Κατά την εγκατάσταση (2/7) Σχεδιασμός Πολιτικής Ασφάλειας Οριοθέτηση των περιοχών του δικτύου που πρέπει να προστατευτούν Καθορισμός πολιτικής για κάθε περιοχή (πιθανές διαφοροποιήσεις από περιοχή σε περιοχή) Επιλογή αρχιτεκτονικής αναχώματος ασφάλειας που πρέπει να χρησιμοποιηθεί 40/47
Κατά την εγκατάσταση (3/7) Απόκτηση τεκμηρίωσης, εκπαίδευσης και υποστήριξης Απαραίτητη η εκπαίδευση των τελικών διαχειριστών του αναχώματος ασφάλειας, για λόγους βελτιστοποίησης χρήσης και αποφυγής φγήςσφαλμάτων από τη χρήση του Υποστήριξη για τη συντήρηση του υλικού και λογισμικού του αναχώματος ασφάλειας 41/47
Κατά την εγκατάσταση (4/7) Εγκατάσταση υλικού και λογισμικού Εγκατάσταση του λειτουργικού συστήματος στο υλικό του αναχώματος ασφάλειας Απενεργοποίηση περιττών υπηρεσιών του λειτουργικού συστήματος Εγκατάσταση του λογισμικού αναχώματος ασφάλειας Ρύθμιση του λογισμικού αναχώματος ασφάλειας στο περιβάλλον δοκιμαστικών ελέγχων 42/47
Κατά την εγκατάσταση (5/7) Ρύθμιση της δρομολόγησης και των κανόνων φιλτραρίσματος πακέτων Αποφασίζεται η δρομολόγηση συγκεκριμένων πακέτων όποτε φτάνουν σε ένα δρομολογητή (εάν περιλαμβάνεται στο ανάχωμα ασφάλειας) Βελτιστοποίηση της απόδοσης και αξιοπιστίας Υλοποιεί την εφαρμοζόμενη πολιτική ασφάλειας 43/47
Κατά την εγκατάσταση (6/7) Ρύθμιση μηχανισμών καταγραφής και έγκυρης προειδοποίησης Απαίτηση για καταγραφή όλων των δραστηριοτήτων στο δίκτυο Βάση γνώσης για πιθανό σύστημα ανίχνευσης εισβολών (IDS - Intrusion Detection System) Ρύθμιση ενεργοποίησης συναγερμών 44/47
Κατά την εγκατάσταση (7/7) Δοκιμαστικός έλεγχος του Συστήματος Έλεγχος λειτουργίας για ανίχνευση πιθανών σφαλμάτων και παραλείψεων Χρησιμοποιούνται υποβοηθητικά η IDS, port scanners κλπ. 45/47
Λειτουργικές απαιτήσεις σχεδίασης Ένα ανάχωμα ασφαλείας που έχει σωστά μελετηθεί και εγκατασταθεί στο δίκτυο ενός οργανισμού, πρέπει: Να εμπλέκεται σε οποιαδήποτε συνομιλία και ολόκληρηηκίνηση λ να μεταδίδεται μέσα από αυτό Να είναι αδιάβλητο. Για το σκοπό αυτό πρέπει να αποτελεί ένα ξεχωριστό υπολογιστικό σύστημα, με ελάχιστη παρέμβαση χρηστών Να είναι απλό και μικρό σε μέγεθος, ώστε να μπορεί να αναλυθεί εύκολα 46/47
Τεχνολογίες Αναχωμάτων Ασφάλειας Ερωτήσεις... 47/47