Az Informatikai Hálózati Infrastruktúra Biztonsági Kockázatai És Kontrolljai

Az informatikai hlzati infrastruktra biztonsgi kockzatai s kontrolljai
Kszt: Sttusz: Utols ments:
MTA SZTAKI Harmadik mrfldk lezrsa; nyilvnos! 2006-05-14
IHM MTA-SZTAKI, 2006.
A tanulmny elksztsben s bels lektorlsban rszt vettek: Becz Tams, Martos Balzs, Psztor Szilrd, Rig Ern, Tiszai Tams, Tth Beatrix
MTA SZTAKI; E4 - 4671/4/2003
1 Bevezet
Jelen tanulmny az IHM-MTA Kutatsi Program keretben vgzett Internet vdelmi rendszer struktrjnak kidolgozsa cm kutatsi projekt (Sorszm: E4, Iktatszm: 4671/4/2003) rszt kpezi. A projekt fzisait magba foglal mrfldkvek s a hozzjuk kapcsold hatridk (kiemelve a jelen tanulmny ltal lefedni szndkoz rszt): 1. mrfldk: 1-2 kutatsi fzis (Informatikai hlzati infrastruktra biztonsgi kockzatainak elemzse, s a kockzat-kezelsi lehetsgek feltrsa), lezrs: 2004. jnius 30. 2. mrfldk: 3 fzis (Biztonsgi mintarendszerek kidolgozsa), lezrs: 2005. szeptember 30. 3. mrfldk: 4 fzis (A biztonsgi rendszerek zemeltetsi mdszertannak kidolgozsa, oktatsi anyagok kidolgozsa), lezrs: 2006. mjus 10.
Az Informatikai Hlzati Infrastruktra Biztonsga (tovbbiakban IHIB) magban foglalja a hlzat mkdsrt felels hardver s szoftver elemeket, s ezeken fell szmtsba veszi a humn faktort s az egszet krlvev adminisztratv jellemzket is.
1.1 Rviden a tartalomrl s a clokrl

Az anyagban foglaltak segtsget kvnnak nyjtani a non-profit szervezetek (akadmiai intzmnyek, nkormnyzatok) szmra abban a nehz munkban, hogy kialaktsk sajt szmtgp hlzatuk biztonsgrt felels szervezetket gyakorta alkalmazott betszval CERT, illetve CSIRT . Ennek rdekben a jelen mrfldkhz kapcsold dokumentci kt jl elklnthet rszre togoldik:
Az els rsz egy elkpzelt CERT/CSIRT kialaktsnak alapelveit, tovbb az ott dolgozk alapvet tjkoztatst clz minta-szablyzatot tartalmaz. Ez a szablyzat felsorolja mindazon alapvet intzkedst, amely egy tnyleges incidens kezel szervezet kialaktsakor feladatknt merl fel, s a lehetsgek szerint megoldsi mdokat, irnyokat vzol fel az alaptsi folyamat lebonyoltsra. Termszetesen ez a minta-szablyzat nem trhet ki valamennyi felmerl feladat rszletekbe men szablyozsra, de a szerzk megtlse s tapasztalatai alapjn megbzhat alapul szolglhat a tnyleges szablyzat kidolgozshoz. E szertegaz munkhoz az itt tallhat minta-szablyzaton tl segtsget nyjtanak e kutatsi munka megelz szakaszaiban kidolgozott s korbban mr leadott ms dokumentumok is, amelyek a szmtgphlzati incidensek rtelmezsnek, kezelsnek, megelzsnek tovbb esetleges bekvetkezsket kvet adatgyjt / rgzt / elemz munknak mibenltvel, a specilis szakterlet fogalmainak megismertetsvel, valamint az ignybe vehet tovbbi forrsok felsorolsval foglalkoznak.
E dokumentum msodik rsze egy terjedelmes oktatsi anyag, amely a specilis terleten a hlzati incidensek kezelsben mr rszleges ismereteket szerzett szemlyek szmra nyjt rendszerezett fogalom magyarzatokat, valamint rszletekbe men ismeretanyagot. Az oktatsi anyag vettett bemutat brk (slide) formjban, amelyeket alkalmanknt az elad munkjt, illetve a megrtst segt jegyzetek egsztenek ki vgigvezet a hlzati incidenskezels szmos aspektusn, kezdve az alapelvek ismertetstl, az incidenskezel szervezetek mkdsnek ismertetsn t, a terlet specializlt szabvnyainak s azok egyms kzti viszonyainak bemutatsn keresztl az incidenskezels s elhrts technikai alapjainak s eszkzeinek bemutatsig.
3/296
IHM-MTA-E4-3.doc
MTA SZTAKI; E4 - 4671/4/2003
Mg a kutatsi feladathoz kapcsold korbbi tanulmnyok kzl az els bvebben ismertette az elmleti alapokat s az ezeken nyugv gyakorlati alkalmazsokba adott betekintst, addig a msodik rsz s klnsen a jelen harmadik rsz sokkal gyakorlatiasabb, gy szkszavbb, ezltal informatikai kpzettsget vr el s felttelez a trgyalt megoldsok teleptse, alkalmazsa s belltsa sorn. A tanulmny kt rsze mikzben szoros sszefggsben van, ugyanakkor egymstl fggetlenl is megismerhet s rtelmezhet. Az olvask bizonyos kre szmra az egyes rszek eltr fontossggal brnak, de elkpzelhet, hogy mindkt rsz megismersre is szksgk lehet. Ezek megismersnek sorrendje azonban az ignyeknek megfelelen tetszleges lehet.
1.2 Szerzi jogi nyilatkozatok

A szerzi jogrl szl trvnyi szablyok szellemben kell a tanulmnnyal eljrni mind a ksztkre, az tvevkre s az olvaskra vonatkozan. Hasonl mdon az Adatvdelmi trvny ide vonatkoz paragrafusait is alkalmazni kell. A szerzk nem vllalnak semmilyen felelssget az anyagok tves felhasznlsbl, rszben kiragadott vagy jogszertlen felhasznlsbl ered krokrt, s az ltaluk ksztett anyagokkal kapcsolatban is csak azt tudjk vllalni, hogy legjobb szakmai tudsuk szerint lltottk ssze azokat. A tanulmny olyan linkeket (kapcsoldsi pontokat) tartalmazhat, amelyek az Internet ms s ms oldalaira vezetnek. Ezen oldalak tartalmrt s szolgltatik adat-, valamint informcivdelmi gyakorlatrt a szerzk nem vllalnak felelssget. A tanulmnyban emltett konkrt rendszerek a vdjegyet birtokl cg tulajdonban vannak, a pldk csak az adott tmakr szemlltetsre szolglnak, azokbl ltalnos kvetkeztetseket nem rdemes levonni. A mellkelt CD csak egy pldnyban kszlt a tanulmnyban hasznlt fontosabb hivatkozsok archivlsra. A CD nem msolhat, s tartalma nem tehet nyilvnoss, csak a tanulmnyt olvas hasznlhatja segtsgknt, amennyiben az anyagban elfordul fontosabb hivatkozsok nem lennnek elrhetk a megadott cmen, vagy nincs Internet-kapcsolata.
IHM-MTA-E4-3.doc
4/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet - Szablyzat
Szervezet CSIRT
alapszablyzat kziknyv
2006. mjus
IHM-MTA-E4-3.doc
5/296
MTA SZTAKI; E4 - 4671/4/2003
IHM MTA-SZTAKI, 2006. A szablyzat kidolgozsban s lektorlsban rszt vettek: Becz Tams, Martos Balzs, Psztor Szilrd, Rig Ern, Tiszai Tams, Tth Beatrix
IHM-MTA-E4-3.doc 6/296
MTA SZTAKI; E4 - 4671/4/2003
Tartalomjegyzk
1 Bevezet................................................................................................................................................................... 9 1.1 A dokumentum sttusza................................................................................................................................... 9 1.2 Helyzetkp s felmerlt ignyek...................................................................................................................... 9 1.3 Trtneti ttekints ........................................................................................................................................ 10 1.4 Ms hazai CERT-ek....................................................................................................................................... 10 1.5 A Szervezet.................................................................................................................................................... 11 1.5.1 Alapinformcik 11 A Szervezet ltal nyjtott szolgltatsok ............................................................................................................... 14 2.1 Osztlyozs.................................................................................................................................................... 14 2.1.1 Reaktv szolgltatsok 15 2.1.2 Proaktv szolgltatsok 17 2.1.3 Minsgmenedzsment szolgltatsok 18 2.2 Jelentsek, statisztikk................................................................................................................................... 19 2.3 Tmacsoportok .............................................................................................................................................. 20 2.4 Kapcsold terletek, egyb szolgltatsok .................................................................................................. 20 Szervezeti struktra................................................................................................................................................ 22 3.1 A beosztsok rvid lersa ............................................................................................................................. 22 3.2 Szakrtk s szakemberek ............................................................................................................................. 23 3.2.1 Berkez feladatok osztlyozsa 23 3.2.2 A szakrti adatbzis 24 3.3 Bels oktats.................................................................................................................................................. 24 3.4 Keresztkontroll .............................................................................................................................................. 24 Az infrastruktra .................................................................................................................................................... 26 4.1 Informatikai eszkzk ................................................................................................................................... 26 4.2 Informatikai rendszert kiszolgl eszkzk................................................................................................... 26 4.2.1 Biztonsgi megoldsok 26 4.3 Trols ........................................................................................................................................................... 27 4.4 RTIR Az incidenskezel eszkz ................................................................................................................. 27 4.4.1 Ismertets 28 4.4.2 A jegyek lettja a rendszerben 29 4.4.3 A rendszer hasznlatnak folyamata 32 4.4.4 Kommunikci a rendszerrel 34 4.4.5 A rendszer szolgltatsai 34 4.4.6 Ktegelt vizsglatkrs 35 4.5 Egyb eszkzk ............................................................................................................................................. 36 A napi tevkenysg mdja ..................................................................................................................................... 38 5.1 A tmogatsnyjts mdjai............................................................................................................................ 38 5.1.1 Bemeneti csatornk 38 5.1.2 Kimeneti csatornk 39 5.2 Prioritsok...................................................................................................................................................... 40 5.3 Incidensek letciklusa (RTIR tmogats) ...................................................................................................... 41 5.4 Munkarend..................................................................................................................................................... 42 5.4.1 Tevkenysgek s idszakok 42 5.4.2 Kommunikci az gyfelekkel 43 5.4.3 Miben segthetnek az gyfelek? 44 A Szervezet jogai, jogosultsgai, ktelessgei....................................................................................................... 46 6.1 Irnyad jogszablyok................................................................................................................................... 46 6.2 Jogosultsgok s ktelessgek....................................................................................................................... 46 Anyagi felttelek biztostsa .................................................................................................................................. 48 Kapcsolattarts mdjai........................................................................................................................................... 50 8.1 Bevezets....................................................................................................................................................... 50 8.1.1 A kapcsolattarts cljai 50 8.2 Nemzetkzi hlzatbiztonsgi szervezetek, trsulsok ................................................................................. 50 8.2.1 FIRST 50 8.2.2 TERENA TF-CSIRT s Trusted Introducer 51 8.2.3 EGC CSIRT 51 8.2.4 eCSIRT.net 51 8.2.5 EISPP 51 8.2.6 ENISA 52
7/296
6 7 8
IHM-MTA-E4-3.doc
MTA SZTAKI; E4 - 4671/4/2003
8.3 Az incidensekkel kapcsolatos szabvnytervezetek ........................................................................................ 52 8.3.1 INCH WG (IETF Incident Handling Working Group) 52 8.3.2 IETF Intrusion Detection Workgroup (IDWG) 53 8.3.3 Common Advisory Interchange Format (CAIF) 53 8.3.4 Automated Incident Reporting (AirCERT) 53 8.3.5 Bizonytkok gyjtsnek s trolsnak irnyelvei (RFC 3227) 53 8.4 Informciforrsok a sebezhetsgekrl ....................................................................................................... 53 8.5 Konferencik, rendezvnyek ......................................................................................................................... 53 8.6 Oktats, kutats, tovbbkpzs ...................................................................................................................... 54 8.7 CSIRT-ek kzti biztonsgos kommunikci ................................................................................................. 55 8.7.1 Titkosts s digitlis alrs az elektronikus kommunikciban 55 8.7.2 Kriptogrfiai kulcsok s tanstvnyok 56 8.7.3 Kulcskezels 56 9 Hivatkozsok ......................................................................................................................................................... 57 10 Mellkletek ............................................................................................................................................................ 60 10.1 A kpviseltek kre ......................................................................................................................................... 60 10.2 Egy-egy tipikus hibabejelents szoksos kezelse......................................................................................... 61 10.2.1 Tves bejelents 61 10.2.2 Nem hatskrbe tartoz bejelents 61 10.2.3 Felveend bejelentsek 61 10.2.4 Hibabejelent fk 61 10.3 Prioritsok meghatrozsa ............................................................................................................................. 61 10.4 Hibabejelent rlapok.................................................................................................................................... 62 10.5 Elektronikus eszkzk ................................................................................................................................... 63 10.6 FAQ s hasznos informciforrsok.............................................................................................................. 64 10.6.1 Levelezsi listk 64 10.6.2 Weblapok 65 10.6.3 Konferencik 67 10.7 Hazai CERT-ek elrsi adatai........................................................................................................................ 69 10.8 Klfldi CERT-ek adatai............................................................................................................................... 71 10.9 A Szervezet beosztottjai ................................................................................................................................ 79 10.10 Szakrtk s szakemberek listja................................................................................................................... 79 10.11 Kls tanfolyamok s vizsgk ....................................................................................................................... 80 11 Rvidtsek, fogalmak ........................................................................................................................................... 81
Tblzatok
Tblzat 1. Szolgltatsok csoportostsa s besorolsa................................................................................................... 14 Tblzat 2. Tevkenysgek s idszakok ......................................................................................................................... 43 Tblzat 3. OpenPGP s S/MIME tulajdonsgok............................................................................................................. 55 Tblzat 4. Kpviseltek kre ............................................................................................................................................ 60 Tblzat 5. Prioritsi szintek meghatrozsa .................................................................................................................... 62 Tblzat 6. Elektronikus eszkzk nyilvntarts........................................................................................................... 64 Tblzat 7. Hazai CERT-ek elrsi adatai ........................................................................................................................ 69 Tblzat 8. Klfldi CERT-ek adatai ............................................................................................................................... 78 Tblzat 9. Beosztsokat betlt szemlyek adatai .......................................................................................................... 79 Tblzat 10. Szakrtk s szakemberek szakterlet szerinti listja .................................................................................. 79 Tblzat 11. Szakrtk s szakemberek nvszerinti listja............................................................................................... 79 Tblzat 12. Tanfolyam- s vizsgabizonytvnyok s kiad szervezetek ......................................................................... 80
brk
bra 1. ltalnos szervezeti felpts............................................................................................................................... 22 bra 2. Bejelentsek kezelsnek folyamata.................................................................................................................... 31 bra 3. A bejelentsek kezelsnek munkafolyamatai..................................................................................................... 33 bra 4. Jegytpusok keletkezsi lehetsgei..................................................................................................................... 34 bra 5. Az incidensek letciklusa..................................................................................................................................... 42
IHM-MTA-E4-3.doc
8/296
MTA SZTAKI; E4 - 4671/4/2003
1 Bevezet
1.1 A dokumentum sttusza
Jelen szablyzat clja egyrszt egy elkpzelt, a hlzati incidenskezelst feladatnak tart, s e terleten tevkenyked szervezet (tovbbiakban: Szervezet) mkdsi alapjainak lersa, msrszt az j belpk megfelel tjkoztatsa a mirl kell tudni? krdsekben. A dokumentum felptse szerint a kvetkez fejezetekbl ll: Rvidtsek, fogalmak: a szablyzatban elfordul rvidtsek feloldsa, CERT-trtneti ttekints, hazai s nemzetkzi krkp, A Szervezet ltal nyjtott szolgltatsok: a szolgltatstpusok osztlyozsa s a vllalt szolgltatsok csoportostsa, Szervezeti struktra: al- s flrendeltsgek, felelssgi krk, Az infrastruktra: erforrsok szmbavtele, fbb rendszerek ismertetse, A napi tevkenysg mdja: rendszeres teendk rszletezse, A Szervezet jogai, jogosultsgai, ktelessgei: a hazai s a nemzetkzi lehetsgek az adott jogi keretek kztt, Anyagi felttelek biztostsa: a mkds kltsgeinek biztostsa, Kapcsolattarts mdjai: a tbbi Szervezettel val egyttmkds s a kommunikci kvetelmnyei, Hivatkozsok: alapdokumentumok, melyek egyb, a Szervezet szmra kidolgozand szablyzatoknak is hivatkozsi alapja, Mellkletek: a szablyzatban hivatkozott s a szablyzathoz kpest gyakran vltoz tartalm adatlapok, bizonylatok stb. (minsgbiztostsi rendszerben kln nyilvntartsi s verziszmmal rendelkez anyagok). Ezek alapjn a szablyzat clja, hogy alapinformcikat foglaljon ssze a CERT/CSIRT-ekrl egyrszt a mkdtetsben rsztvevk, msrszt a szolgltatsait ignybevevk szmra. Az j belpk (pl. alkalmazottak, szervezetek) szmra ez az elsk kztt elolvasand dokumentum. A minsgbiztosts szellemben ez az alapdokumentum, melybl indulva a tbbi dokumentum s bizonylat hivatkozsi fja a Szervezetben felpthet.
1.2 Helyzetkp s felmerlt ignyek

Az informatika trhdtsval s az egyre fontosabb rendszerek informatikai alapokra helyezett mkdsvel az informatikai biztonsg a mindennapok rszv vlt. A felhasznlk, a cgek s a mindenkori kormnyzat is egyre fokozd mrtkben van kitve klnbz clzott vagy ltalnos tmadsoknak, melyek ellen vdekezni kell (megelzs), a tmadsokat fel kell ismerni (szlels), s a kros hatsokat is kezelni kell (javts). Mikzben szinte mindenki ki lehet tve ugyanannak a veszlynek, a szksges szaktuds nem vrhat el mindenkitl. A rendszerek tbbsge elsdleges feladatt akarja problmamentesen elltni, s csak ezt a clt szolglva foglalkozik a biztonsggal, ha tud arra erforrsokat biztostani. Sok esetben egy-egy kisebb rendszer csak kzbls lpcsknt szolgl egy nagyobb szervezet tmadsa sorn, gy a veszlyelhrtsban mindenkinek ki kell vennie rszt. Ezt az sszetett
MTA SZTAKI; E4 - 4671/4/2003
vdelmet egy kzponti szervezet ltal lehet hatkonyan megszervezni, koordinlni s a felgyelet alatt ll rendszereket figyelve a kzssg biztonsgt megfelel szinten tartani. E clbl jnnek ltre a szmtgpes vszhelyzetekre reagl egysgek (CERT Computer Emergency Response Team), illetve ms nven a szmtgp-biztonsgi incidensekre reagl egysgek (CSIRT Computer Security Incident Response Team). Jelen dokumentci egy ilyen szervezet mkdsnek alapjait rja le s szablyozza.
1.3 Trtneti ttekints

A CERT-ek jelentsgt az 1980-as vek vgn ismerte fel a DARPA (Defense Advanced Research Projects Agency), amikor ltrehozta a CERT koordincis kzpontot (CERT/CC) a Carnegie Mellon egyetem szoftvermrnki intzetben 1988 novemberben. [CERT_FAQ] A CERT/CC feladata volt az internetes biztonsgi esemnyekre trtn reagls, valamint egy olyan modell fellltsa, mely alapjn tbb hasonl szervezet jhet ltre. A regionlis, technolgiai, humn s egyb tnyezk miatt nem lehetsges uniformizlt szervezet ltrehozsa, de a ltrehozott szervezetek kztti egyttmkds mgis a globlis biztonsgot szolglhatja. Mindezen tl azonban tudomsul kell venni, hogy nem ltezik olyan szervezet, amely minden tmadst ki tud vdeni, mindenhez tkletesen rt s ehhez az erforrsai is rendelkezsre llnak. Mra tbb szz CSIRT jtt ltre a kereskedelmi, akadmiai, kormnyzati vagy katonai szervezetek szmra, melyek az internetes biztonsgi esemnyeket kezelik az aljuk tartoz szervezeten bell, s egyttmkdnek egymssal. A mkdsnek s az egyttmkdsnek is megvannak az ltalnos szablyai, melyeket az egyes CSIRT-ek alapszablyzatukban [RFC2350] rgztenek. Fontos kiemelni, hogy a CSIRT-ek nem helyettestik az olyan intzmnyeket, mint a katasztrfavdelem, rendrsg, vagy ppen a hrszerzs, de egyttmkdhetnek s a jvben mind inkbb bizonyosan egytt is mkdnek ezekkel az egysgekkel is. Az egyttmkds a hatlyos jogszablyok (kiemelend az adatvdelmi trvny) s a CSIRT szellemisge alapjn alkotott sajt szablyzat s etikai kdex szerint trtnik. A nemzeti vagy kormnyzati CSIRT-ek tovbb olyan ernyszervezetknt is mkdhetnek, amelyek orszgos hatskrrel fogadjk az informatikai biztonsgra vonatkoz bejelentseket, s tovbbtjk azokat azok fel, akikhez tartozik az eset kivizsglsa vagy a krdsek megvlaszolsa.
1.4 Ms hazai CERT-ek

Jelen idpontban (2005. v vge) hrom hazai, CERT-feladatokat ellt szervezetrl tehetnk emltst, melyek: a Magyar Nemzeti CERT (Hun-CERT), HUNGARNET CERT (NIIF-CSIRT) valamint, a magyar kormnyzati CERT (CERT-Hungary). A szervezetek adatait a 10.7 Mellklet tartalmazza. A Hun-CERT felhatalmazssal br az elfordul vagy elfordulssal fenyeget mindennem szmtgpes biztonsgi esemnyek kzlsre a hazai Internet szolgltatk fel. A tmogatsi szintek annak fggvnyben vltoznak, hogy az incidens vagy problma milyen tpus, mennyire komoly, milyenek az sszetevk tpusai, mekkora az rintett kzssg szma, s milyen erforrsok llnak rendelkezsre az adott idpontban a Hun-CERT szmra, mikzben minden esetben valamilyen vlaszads egy munkanapon bell megtrtnik. Az NIIF-CSIRT al tartoznak azok az intzmnyek, melyeknek az NIIF az Internet szolgltatja (egyetemek, felsoktatsi intzmnyek, nhny gimnzium, akadmiai kutatintzetek s non-profit intzmnyek). A CERT Hungary a kormnyzati intzmnyek szervezete, s a tbbi akr ksbb megalakul CERT-ek ernyszervezete.
MTA SZTAKI; E4 - 4671/4/2003
1.5 A Szervezet
A Szervezet a megalakt intzmny, intzet, stb. szervezete. Feladatait elltva a Szervezet a kvetkez kpet alaktja ki magrl, s elvrja, hogy munkatrsai napi tevkenysgk sorn is ezt a kpet erstsk: (a) Bizalmas partner: az ltala kezelt adatok bizalmassgra ignyes, s minden esetben vdi azok hrnevt, akiknek a biztonsgi esemnyek kezelse ltal az rzkeny adataihoz hozzfr. Vits esetekben szakrtelmre alapozva a tnyek megllaptsa ltal, a tanulsgok levonsval azon munklkodik, hogy a felek egyessgre jussanak. Koordinl kzpont: koordinlja a biztonsgi esemnyek kezelst, s figyelemmel ksri az jonnan alakul CERT feladatokat ellt szervezetek munkjt is, hogy a hazai vonatkozs vagy rintettsg esetben az eljrs hatkonyabb legyen, tovbb a nemzetkzi kapcsolatok sorn szksges adatszolgltatsok a lehetsgekhez mrten teljes krek lehessenek. Szakrt kzpont: az esemnyek megfigyelse, kezelse, rendszerezse, elemzse folytn megszerzett tapasztalatai alapjn a tbbi CERT, s a felhasznlk szles tbora szmra megkeresskor lehetsgeihez mrten segtsget nyjt vagy tbaigazt, oktatanyagokat kszt s elrhetv tesz, cselekvst javasol, szakmai anyagokat elkszt, tervezeteket vagy megoldsokat vlemnyez olyan tevkenysgek esetben, melyek az informatikai biztonsgot rintik.
(b)
(c)
1.5.1 Alapinformcik Az ltalnosan elfogadott ajnlsok szerint minden egyes CERT szervezet megalakulsa eltt megfogalmazza cljait, kldetst, meghatrozza az ltala kpviseltek krt, a szervezeti felptst, erforrsait s a tmogatsi forrsokat. Mindez a Szervezet esetben gy nz ki: (a) Kpviseltek kre (constituency): kiknek nyjt tmogatst? A Szervezet elssorban az alapt szervek s a kapcsold intzmnyeknek nyjt szolgltatst. A teljes lista a 10.1 Mellkletben (A kpviseltek kre) tallhat. Ezen kvl a Szervezet egyttmkdve a tbbi hazai s klfldi CERT egysggel s a tbbi rintett szervezettel (magn, llami, akadmiai) a hozz fordulkat a megfelel szervezethez irnytja. Amennyiben valamilyen oknl fogva az adott bejelents nem tartozik egyik szervezethez sem (pl. zleti vonatkozs, amit a piaci szereplkkel kell megoldani), vagy nem derthet ki egyrtelmen, hogy kihez tovbbthat a bejelents (pl. az adott orszgban nem mkdik ismert szervezet), gy ezekben az esetekben sem szabad a bejelentst vlasz nlkl hagyni. zleti rdekek srelmt elkerlve ajnlhatk olyan keresprogramok vagy adatbzisok, amelyekbl tjkoztats szerezhet. Ismert kpviselet hinyban az adott orszg diplomciai kpviseletn is lehet jelezni a bejelents kivizsglst, s krni a megfelel cl fel trtn tovbbtst. E pldbl is lthat, hogy szleskr egyttmkdsre van szksg (jelen esetben a Klgyminisztriummal), amely a Szervezet feladata, illetve vllalsa. (b) Kldets (mission): mi a szervezet kldetse? Az informcis trsadalom biztonsgos fejldsnek rdekben az informatikai tmadsokat megelz, szlel s javt eljrsok alkalmazsval segteni a trsadalom szmra ltfontossg intzmnyek biztonsgt s az alapt intzmnyek munkja sorn elfordul informatikai fenyegetettsgek kezelst.
IHM-MTA-E4-3.doc
11/296
MTA SZTAKI; E4 - 4671/4/2003
Egyttmkdni mindazokkal, akik Magyarorszg terletn kzvetett vagy kzvetlen mdon szintn ezen tevkenykednek, s tbaigaztani mindazokat, akik nem talljk a problmik kezelsre leginkbb hivatott szervet. Hatssal lenni a trsadalom informatikai biztonsg irnti hozzllsra s kpzettsgre, ezen bell kln odafigyelssel a jv informatikai szakembereire. A mkds sorn szerzett s rtkelt tapasztalatok sorn leszrt kvetkeztetsekkel segteni a magyarorszgi trvnyhozkat illetve alacsonyabb szint dntshozkat annak rdekben, hogy azok munkjuk sorn a nemzeti szablyozst gy alakthassk, hogy az harmonikusan illeszkedjk a felmerl ignyekhez s nemzetkzi elvrsokhoz. (c) Szolgltatsok (services): milyen tpus CERT lesz? (rszletesebben ld. a 2. fejezetben) Az alapt intzmnyek informatikai hlzati rendszereinek biztonsgot rint esemnyeinek monitorozsa. Az alapt intzmnyektl rkez esemnyek fogadsa, feldolgozsa, rendszerezse. A begyjttt esemnyek kezelse (megelz, szlel, javt intzkedsek). A szksges nem informatikai lpsek megttele. Tjkoztat, oktat, segt informcis bzis zemeltetse (pl. segdanyagok kzzttele, oktatsban val rszvtel, hrlevl). Elemz munkk vgrehajtsa, a vrhat trendek, a rgi sajtossgainak elemzse. (d) Szervezeti felpts (organizational structure): melyek a strukturlis sszefggsek? (rszletesebben ld. 3. fejezetben) A Szervezet az ISO minsgbiztostsi rendszerrel sszhangban alkalmazza a szervezetet alkotkra vonatkoz szablyokat (csak beosztsokat fogalmaz meg, az egyes beosztsokat betlt tnyleges szemlyek adatait ld. a 10.9 Mellkletben). A munkakri lersok tartalmazzk a munkakr betltsnek felttelt, s az ezek megltt igazol iratok krt. Mindezek a ktelessgek s a felgyel szerepek lerst tartalmaz iratokkal egytt a szemlyzeti dossziban tallhatk. Az j belpvel mr a szerzdsben/megbzsban kzlni kell, hogy kik felett rendelkezik valamilyen szereppel, s kik al tartozva vgzi majdani munkjt. (e) Infrastruktra (resources): mire van szksg a feladat elltshoz? (rszletesebben ld. 4. fejezetben) Alapvet infrastruktra elemek (plet, informatikai s telekommunikcis vonalak s eszkzk). Szmtstechnikai eszkzk (gpek, nyomtatk) olyan sszettelben, hogy a felmerl bejelentseket minl megfelelbb krnyezetben lehessen vizsglni (pl. tbbfle opercis rendszer egy-egy fut verzija legyen elrhet). Specilis elemek (pl. informatikai biztonsgi esemnyekre vonatkoz adatok beszerzst tmogat eszkzk, intelligens krtyk, biometrikus azonostst vgz eszkzk stb.). (f) Tmogats (funding): milyen anyagi forrsokbl gazdlkodik a szervezet? (rszletesebben ld. 7. fejezetben) A Szervezet megalakulst s mkdsnek megkezdst az alapt intzmny biztostja/biztostotta.
MTA SZTAKI; E4 - 4671/4/2003
A hossz tv mkds s ennek forrsai az indulst kvet vben kerl pontos meghatrozsra egy kln dokumentumban. Ezzel kapcsolatosan az mr megllapthat, hogy tekintettel az intzmnyi hatskrre a mkds anyagi feltteleinek biztostsa intzmnyi forrsok felhasznlst indokolja.
IHM-MTA-E4-3.doc
13/296
MTA SZTAKI; E4 - 4671/4/2003
A Szervezet ltal nyjtott szolgltatsok
A szolgltatsok jelenlegi s majdani krnek egyrtelm meghatrozsa rdekben olyan csoportostst clszer alkalmazni, amelyben egyrtelm azonostk felhasznlsval a klnfle tevkenysgek besorolhatk. Az egyes szolgltatsokhoz kidolgozand eljrsok, utastsok s egyb dokumentumok erre az azonostra hivatkozva teszik egyszerbb a bels kommunikcit s a szolgltatsok karbantartst.
2.1 Osztlyozs
A szolgltatsok hrom f csoportba sorolhatk: gy reaktv, proaktv s minsg-menedzsment csoportba tartoz szolgltatsokrl beszlnk: (a) Reaktv: ezek az alapvet szolgltatsok. A bejelentett esemnyekre indtott eljrsok (ticket), a behatols-rzkelk ltal jelzett esemnyek, a naplkbl kiderl tmadsra utal jelek vagy ppen egy szles krben terjedben lv krtkony kd alapjn trtn reaglsok kpezik e csoport alapjt. Proaktv: segt, oktat s tbaigazt szolgltatsok. Magukba foglaljk a felkszls s a vdekezs krbe tartoz intzkedsekben trtn segtsgnyjtst. E szolgltatsok kzvetve cskkenthetik az esemnyek szmt s/vagy slyossgt a felhasznlk jobb kpzettsge ltal. Minsg-menedzsment: a rendszer mkdsnek javtsra szolgl szolgltatsok. Ezek a szolgltatsok fggetlenek az incidenskezels s a hagyomnyos informatikai, ellenrzsi vagy oktatsi egysgek tevkenysgtl. Ha egy CSIRT felvllalja ezt a szolgltatscsoportot is, akkor az ltalnos biztonsg nvelsben tud szerepet vllalni. A kockzatelemzs, fenyegetettsg-vizsglat, vagy a gyenge pontok feltrkpezse emlthet ebben a csoportban. Ezek ltalban proaktv szolgltatsok, de kzvetett mdon hatnak az esemnyek szmnak/slyossgnak cskkensre is.
Reaktv Proaktv Minsg-menedzsment
(b)
(c)
Jelzsek s figyelmeztetsek Incidenskezels: Incidenselemzs, Helyszni vlaszads, Vlaszads segtsg, Vlaszads koordinci. Srlkenysg kezels: Elemzs, Vlaszads, Vlaszads koordinci. Krtkony informatikai termkek (vrusok, kdok, fjlok, objektumok stb.) kezelse: Elemzs, Vlaszads, Vlaszads koordinci.
rtestsek Technolgiafigyels Biztonsgi audit s rtkels Biztonsgi eszkzk fejlesztse Biztonsgi eszkzk, alkalmazsok s infrastruktrk konfigurcija s karbantartsa. Behatols figyel szolgltats A biztonsggal kapcsolatos informcik terjesztse
Kockzatelemzs zletmenet-folytonossgi s katasztrfaterv Biztonsgi tancsads Biztonsgi tudatossg ptse s nvelse Oktats s gyakoroltats Termkek rtkelse s/vagy tanstsa
Tblzat 1. Szolgltatsok csoportostsa s besorolsa
Az egyes szolgltatsokhoz kln utastsok rhetk el a napi munkavgzs pontos lersra s elrsra (ld. mg 5 fejezetben).
MTA SZTAKI; E4 - 4671/4/2003
2.1.1 Reaktv szolgltatsok A Szervezet e csoportba sorolhat szolgltatsai a kvetkezk: 1. Jelzsek s figyelmeztetsek: olyan informcik elterjesztst jelenti a vdett szervezetek fel, amelyekben a Szervezet ler egy biztonsgi problmt, s egyben megoldsi javaslatot ad. Incidenskezels: a Szervezet megkapja, rtkeli, elemzi s vlaszt ad a jelentett incidensekre a vdett szervezetek szmra. A vlaszads a kvetkez lpseket foglalhatja magban: A behatol aktivitsa ltal rintett, illetve fenyegetett rendszer, vagy hlzat vdelme rdekben val beavatkozs, Megoldsok biztostsa, vagy stratgia kidolgozsa a relevns figyelmeztetsek fggvnyben, Behatolk aktivitsnak keresse s figyelse a hlzat ms szegmenseiben, Hlzati forgalom figyelse s szrse, Rendszerek jraptse, Rendszerek aktualizlsa (patch-else) s javtsa, Egyb vlaszok s mdszerek kidolgozsa. 3. Incidenselemzs: megvizsgljk a jelentett incidenst, vagy esemnyt a rendelkezsre ll informcik s tmogat bizonytkok alapjn. Cl, hogy azonostsk az incidens clpontjt, a vrhat, vagy okozott kr nagysgt, az incidens termszett, s meghatrozzk a megfelel vlaszadsi stratgit, vagy mdszert. A Szervezet a kapott eredmnyeket felhasznlja, hogy megrtse, s biztostani tudja a teljes s napraksz elemzseket az rintett rendszerekrl. Az elemzseket a Szervezet felhasznlja a tmads- s fenyegetettsgtrendek elrejelzsre, illetve statisztikk ksztsre. A szolgltats magban foglalhat kt kiegszt szolgltatst is: Igazsggyi szakrts s bizonytkgyjts: olyan adatokat (rendszernaplk, behatolsfigyel rendszer naplk stb.) gyjt be a Szervezet, amelyek segtsgvel rekonstrulhat az incidens menete, illetve megllapthat a behatol kilte. Nyomkvets s bemrs: a Szervezet megllaptja a tmad szrmazsi helyt, illetve azonostja a tmads sorn felhasznlt rendszereket. A bemrs sorn a Szervezet igyekszik azonostani a tmad tnyleges helyt s szemlyt is. Ezek a kiegszt szolgltatsok szoros egyttmkdst ignyelnek a belgyi szervekkel, az gyszsggel, az Internet szolgltatkkal, illetve egyb rintett szervezetekkel is. 4. Helyszni vlaszads: A Szervezet incidens esetn helyszni segtsget nyjt a vdett szervezetek szmra a rendszereik visszalltshoz. A Szervezet szakrti kiszllnak a helysznre, s elemzik az esemnyt az rintett rendszeren, majd segtsget adnak a helyi szakembereknek a helyrelltsban. Vlaszads segtsg: A Szervezet incidens esetn segtsget nyjt a vdett szervezetek szmra a rendszereik visszalltshoz telefonon, faxon, e-mailen vagy dokumentci segtsgvel. A Szervezet tovbb technikai segtsget nyjt az adatok gyjtsben, szakrtket nevez meg a tmban, illetve helyrelltsi stratgikkal s lersokkal ltja el az rintett szervezetet. Vlaszads koordinci: a Szervezet koordinlja azokat a szervezeteket, akiknek a vlaszadsban, vagy az incidensben szerepk van (leggyakrabban az incidens ldozatai, a
15/296
2.
5.
6.
IHM-MTA-E4-3.doc
MTA SZTAKI; E4 - 4671/4/2003
tmadsba bevont ms site-ok, vagy szervezetek, illetve az elemzsbe s vlaszadsba bevont szervezetek). A koordinci magba foglalja az ldozat szervezet informatikai tmogatst ellt szervezetet, az Internet szolgltatjt, ms CERT, vagy CSIRT szervezetet, illetve a hlzati s rendszer adminisztrtorokat. A koordinci felttele, hogy a Szervezet rendelkezsre lljanak mindazok a kapcsolattartsi informcik, amelyek az rintett szervezethez kapcsoldnak (pl. 10.1 mellklet). A Szervezet a koordinci sorn statisztikai cllal informcit gyjt az incidensrl. 7. Srlkenysg kezels: a Szervezet informcikat s jelentseket kap a hardver s szoftver srlkenysgekrl, elemzi e srlkenysgek termszett, mechanizmust s hatsait. Megoldsi stratgikat fejleszt a srlkenysgek szlelsre s javtsra. A srlkenysg kezelsi szolgltatsokat hrom csoportba sorolhatjuk: Elemzs: a Szervezet technikai analzist s vizsglatot vgez a hardver s szoftver elemeken a srlkenysg szempontjbl (a mr ismert srlkenysgek vizsglata, illetve az j srlkenysgek esetn annak vizsglata, hogy a srlkenysg hol helyezkedik el, illetve hogyan lehet kihasznlni). Az analzis kiterjed a rendelkezsrell forrskdok tvizsglsra debugger program1 segtsgvel, illetve a srlkenysg teszt krnyezetben val reprodukcijra is. Vlaszads: a Szervezet meghatrozza a megfelel vlaszadst, hogy megelzze, vagy javtsa az adott srlkenysget. E szolgltats keretben a Szervezet kifejleszthet, vagy tvehet patch-eket, javtsokat s metodolgikat, illetve figyelmezteti a vdett szervezeteket s a tbbi CERT szervezetet a megelz stratgirl gy, hogy figyelmeztetst bocst ki. A szolgltats keretben a Szervezet szakemberei a helysznen is elvgezhetik a szksges patch-ek s javtsok teleptst. Vlaszads koordinci: a Szervezet rtesti az sszes vdett szervezetet a srlkenysgrl s megosztja velk a javtsi, illetve megelzsi javaslatait. A Szervezetnek meg kell gyzdnie arrl, hogy a vdett szervezetek sikeresen alkalmaztk a szksges intzkedseket, s fel kell vennie a kapcsolatot a szoftver s hardver szlltkkal, ms CERT szervezetekkel, technikai szakrtkkel, illetve minden rintettel, akik a mielbbi sikeres megoldsban kzremkdhetnek. Mindezek a kapcsolatfelvtelek megknnytik a srlkenysgek felfedezst, s a srlkenysgi jelentsek kibocstst. A Szervezet koordinlhatja a klnbz oldalakrl rkez dokumentumok, patch-ek, javtsok s metodolgik szinkronizlst valamint kibocstst. A koordinci egyik fontos eleme, hogy a Szervezet minden esetben archivlja, s tudsbzisba beptse a srlkenysgi s javtsi informcikat, illetve stratgikat. 8. Krtkony informatikai termkek kezelse: Ilyenek mindazok a fjlok, objektumok s kdok, amelyek nagy valsznsggel az informatikai rendszerek, illetve hlzatok elleni prblkozsok, vagy tmadsok segdeszkzei, illetve maradvnyai. Ezek lehetnek tbbek kzt vrusok, trjai programok, frgek, sebezhetsget kiaknz script-ek s segdeszkzk lehetnek. A Szervezet informcikat s msolatokat kap ezekrl a krtkony informatikai termkekrl, majd tvizsglja ket. A vizsglat sorn elemzi termszetket, mechanizmusukat, verzijukat s hasznlatuk mdjt, majd vlaszadsi stratgit fejleszt ki szlelskre, eltvoltsukra s az ellenk val vdekezsre. A szolgltatst hrom rszre oszthatjuk: Elemzs: a Szervezet technikai vizsglatot s elemzst vgez a krtkony informatikai termken, melynek sorn azonostja a termk tpust s struktrjt, sszehasonltja a
Egyes licenc-szerzdsek ezt tiltjk, gy erre figyelemmel kell lenni.

16/296
IHM-MTA-E4-3.doc
MTA SZTAKI; E4 - 4671/4/2003
mr regisztrlt termkekkel, hogy megllaptsa a hasonlsgokat s a klnbzsgeket, illetve visszafejti a kdot, hogy megllaptsa a termk cljt s funkcijt. Vlaszads: a Szervezet meghatrozza a megfelel lpseket, hogy azonostsk s eltvoltsk a krtkony informatikai termkeket a rendszerekrl, illetve lpseket tesz a termkek informatikai rendszerekbe val bejutsa ellen. Vlaszadsi koordinci: a Szervezet egysgesti s megosztja a klnbz forrsbl szrmaz technikai s egyb vizsglatok s elemzsek eredmnyeit, illetve a vlaszadsi stratgikat a vdett szervezetekkel, a tbbi kutatval, a CERT szervezetekkel, a szlltkkal s a tbbi biztonsgi szakemberrel. A Szervezet mindezek mellett archivlja, s tudsbzisban rgzti a termkek hatsait, illetve a megfelel vlaszadsi stratgikat. 2.1.2 Proaktv szolgltatsok A Szervezet e csoportba sorolhat szolgltatsai a kvetkezk: 1. rtestsek: Az rtestsek tbbek kztt magukba foglaljk a behatolsi figyelmeztetseket, srlkenysg figyelmeztetseket s biztonsgi tancsokat. Az rtestseken keresztl a Szervezet informlja a vdett szervezeteket a kzp s hossz tv hatssal br j fenyegetsekrl, gymint az jonnan szlelt srlkenysgekrl s behatol eszkzkrl. Az rtestsek segtsgvel a vdett szervezetek felkszlhetnek, hogy megvdjk rendszereiket s hlzatukat az j krtkony informatikai termkektl, mieltt azokat brki alkalmazn ellenk. Technolgiafigyels: a Szervezet figyelemmel ksri az j technikai fejlesztseket, behatol aktivitsokat s kapcsold trendeket, hogy meghatrozhassa a jvbeni fenyegetettsgeket. A figyels kiterjedhet jogi s trvnyi szablyozsokra, szocilis s politikai fenyegetettsgekre, illetve a veszlyes technolgikra is. A Szervezet a tevkenysg sorn folyamatosan figyeli a biztonsggal foglalkoz levelezsi listkat s Internet helyeket, az aktulis hreket, illetve tudomnyos, technolgiai, politikai s kormnyzati jsgcikkeket, hogy sszegyjtse a vdett szervezetek szmra fontos, biztonsggal kapcsolatos informcikat. Az informcigyjts sorn a Szervezet folyamatosan kommunikl a megfelel szervekkel, hogy mindig ellenrztt s korrekt informcik birtokba jusson. A szolgltats vgtermke rtests, javaslat, illetve sszefoglal lehet, amely kzp s hossz tv biztonsggal kapcsolatos problmkra fkuszl. Biztonsgi audit s rtkels: a Szervezet rszletes tvilgtst s elemzst vgez a vdett szervezetek biztonsgrl. Az tvilgts alapja lehet a szervezet biztonsgi szablyozsa, illetve egyb biztonsgi szabvnyok (pl. MSZ EN ISO 17799). Klnbz tpus biztonsgi tvilgtsok s rtkelsek lehetsgesek: Infrastruktra tvilgts: manulisan ttekintik a hardver s szoftver konfigurcikat, tvlasztkat, tzfalakat, szervereket s asztali szmtgpeket, annak rdekben, hogy megllaptsk, mennyire felelnek meg a szervezet biztonsgi elrsainak, illetve egyb biztonsgi szabvnyoknak. Best practice tvilgts: az alkalmazottakkal, valamint a rendszer s hlzati adminisztrtorokkal ksztett interjk alapjn megllaptjk, hogy mennyire felelnek meg a kvetett gyakorlatok a szervezet biztonsgi szablyozsnak, illetve a biztonsgi szabvnyoknak. Tesztels: srlkenysg-, illetve vruskeres szoftver segtsgvel megvizsgljk, mely rendszerek srlkenyek, illetve fertzttek.
2.
3.
IHM-MTA-E4-3.doc
17/296
MTA SZTAKI; E4 - 4671/4/2003
Attack and Penetration tesztels: automatikus tesztel szoftver segtsgvel megvizsgljk a szervezet hlzatnak tmadhatsgt. Mindezekhez a vizsglatokhoz az adott szervezet fels vezetsnek jvhagysa szksges, mert egyes vizsglati metdusok srthetik a szervezet biztonsgi politikjt. Ezt a szolgltatst a Szervezet kiadhatja, megfelel kpestsekkel s garancikkal rendelkez, kls szervezet szmra is. 4. Biztonsgi eszkzk, alkalmazsok s infrastruktrk konfigurcija s karbantartsa: a Szervezet meghatrozza, vagy megfelel segtsget nyjt ahhoz, hogy hogyan konfigurlhatk s zemeltethetk biztonsgosan egyes eszkzk, alkalmazsok, illetve az informatikai rendszerek ltalban, a vdett szervezeteknl, vagy magnl a Szervezetnl. A Szervezet megadja a konfigurcis s zemeltetsi vltozsokat a biztonsgi eszkzk s szolgltatsok tekintetben, mint a behatols-szlel szoftverek, a hlzat tesztel s monitoroz szoftverek, szrk, tzfalak, VPN-ek s az azonost mechanizmusok. Biztonsgi eszkzk fejlesztse: a Szervezet fejleszthet j, a vdett szervezetekre specifiklt biztonsgi eszkzket s szoftvereket is. Mindezek a fejlesztsek kiterjedhetnek olyan biztonsgi script-ekre s program komponensekre is, amelyek kiterjesztik, illetve nvelik a vdett szervezetek biztonsgi szintjt. Behatols figyel szolgltats: a Szervezet tvizsglja a vdett szervezetnl zemel behatols szlel szoftver napl llomnyt, s kidolgozhat olyan j szablyokat s reakcikat, amelyeket a feltrt tmadsok ellen a leghatkonyabbnak gondol. A folyamat sorn rtkeli a meglv rzkelk mkdsnek megfelelsgt, s j rzkelket pthet be, ha erre szksg van. A biztonsggal kapcsolatos informcik terjesztse: a Szervezet ezzel a szolgltatssal a vdett szervezetek szmra nyjt olyan tfog, hasznos s knnyen kezelhet informcikat, amelyek segtsgvel nvelhet a biztonsg a szervezeteknl. Ezek az informcik kiterjednek: A CERT kapcsolati-informciira, A jelzsek, figyelmeztetsek s rtestsek archvumra, Az aktulis best practice dokumentcira, Az ltalnos informatikai biztonsgi segdletekre, A szablyozsokra, szabvnyokra s ellenrz listkra, A patch fejlesztsekre s terjesztsi informcikra, A szllti linkekre, Az incidensekkel kapcsolatos aktulis statisztikkra s trendekre, Az egyb biztonsgot nvel informcikra. 2.1.3 Minsgmenedzsment szolgltatsok A Szervezet e csoportba sorolhat szolgltatsai a kvetkezk: 1. Kockzatelemzs: a Szervezet a vdett szervezetek szmra rtkes informcikkal szolglhat a kockzatelemzsk elvgzse sorn, azaz segthet relisan rtkelni a szervezeteket rint tnyleges informatikai kockzatokat. A kockzatok rtkelse mellett a Szervezet megadhatja a kockzatkezelsi mdszereket s stratgikat is.
5.
6.
7.
IHM-MTA-E4-3.doc
18/296
MTA SZTAKI; E4 - 4671/4/2003
2.
zletmenet-folytonossgi s katasztrfaterv: a Szervezet a vdett szervezetek szmra rtkes informcikkal szolglhat zletmenet-folytonossgi, illetve katasztrfaterveik elksztshez. Idelis esetben a Szervezet maga is rsze a vdett szervezetek katasztrfa terveinek, mint rtestend, illetve beavatkoz szervezet. Biztonsgi tancsads: a Szervezet segt a vdett szervezeteknek nvelni a biztonsgi szintjket a biztonsgi tancsads szolgltats sorn, amely magban foglalja a biztonsgi s egyb szablyzataik rtkelst, j szoftver, illetve hardver elemek biztonsgos konfigurlst. Biztonsgi tudatossg ptse s nvelse: a Szervezet kpes meghatrozni azokat a terleteket a vdett szervezet zemelsi rendjben, ahol a biztonsgi tudatossgot ki kell alaktani, illetve fejleszteni kell. Mindezek segtsgvel elrhet, hogy a vdett szervezetek alkalmazottai megrtsk a biztonsg szksgessgt, ezltal a napi operatv tevkenysget kevesebb kockzattal fogjk vgrehajtani. A Szervezet ltal kzreadott cikkek, kiadvnyok s egyb informcis anyagok fejlesztik a vdett szervezeten kvliek biztonsgi tudatossgt is. Oktats s gyakoroltats: szeminriumokon, tanfolyamokon, illetve kiadvnyokon keresztl a Szervezet oktat tevkenysget is folytat, hogy megismertesse a vdett szervezetek munkatrsait, sajt munkatrsait, illetve minden rdekld felet a biztonsgi problmkkal, illetve a vdekezs lehetsgeivel s mdszereivel. Az oktatott tmk tbbek kztt: Incidensek jelentse, Megfelel vlaszadsi metdusok, Vlaszadsi stratgik s eszkzk, Vdelmi stratgik s eszkzk, Egyb olyan informcik, amelyek segtik a megelzst, a felfedezst, a vlaszadst s a vdelmet.
3.
4.
5.
6.
Termkek rtkelse s/vagy tanstsa: a Szervezet, a szlltkkal egyttmkdve, biztonsgi szempontbl rtkeli a szoftvereket, hardvereket s szolgltatsokat, ezltal elsegtve a vdett szervezeteket a megfelel eszkzk s szolgltatsok kivlasztsban. A Szervezet, a megfelel jogostvnyok megszerzse utn akr tansthatja is mindezeket.
2.2 Jelentsek, statisztikk

A munka hatkonysgt s a terhelst felmrend, rendszeres idkznknt statisztikkat kell kszteni a bejelentett s tudomsra jutott biztonsgi esemnyekrl. Az incidensek kezelsre szolgl eszkz az RTIR, Request Tracker for Incident Response segtsgvel lehetsg nylik klnbz, a jegyek adatain alapul statisztikk ksztsre. A klnfle statisztikk rszletes listja az 4.4.5 fejezet vgn tallhat. Az adatok elemzsnek clja, hogy felmrje a szervezet munkjnak hatkonysgt, ill. segtsen feltrni a hibkat s a szk keresztmetszeteket. Az adatok elemzsvel klnbz tendencik is megfigyelhetk, amelyek szintn segtenek a szervezet mkdsnek javtsban. Klnsen a kvetkez rtkek vltozst rdemes figyelni: Jegyek ltrejtte, s megoldsa/vlasz kldse kztt eltelt id. Ezen adatok segtsgvel felmrhet a szervezet terheltsge. A kiugr megoldsi idej jegyekbl a komoly problmk termszetre lehet kvetkeztetni.
MTA SZTAKI; E4 - 4671/4/2003
A jegyek tpusonknti megoszlsnak vizsglatval meg lehet hatrozni, hogy milyen szakemberek bevonsra milyen gyakran van szksg. Az jra megnyitott jegyek szma s az elvgzett munka alapossga kztt is lehet sszefggseket tallni. Hossztvon a bejelentsek szmnak nvekedsbl a szervezet fejldsnek temre, kls megtlsre lehet kvetkeztetni (ha cskken, akkor valami nem j). A bejelentsek rvidtv ingadozst, s annak esetleges ciklikussgt is rdemes nyomon kvetni.
2.3 Tmacsoportok
A Szervezet munkatrsai ltalnosan magas szinten rtenek az informatikai biztonsgi krdsek megoldshoz (horizontlis tuds), de szksg van egy-egy terleten specilis szaktudsra (vertiklis tuds). A Szervezeten bell nem megoldhat esetekben kls szakrtk s szakemberek kerlnek alkalmazsra (ld. 10.10 mellklet). A tmacsoportok a vdett intzmnyekben elfordul rendszerektl fggen alakulnak. Az informatikai biztonsgi problmk ltalnosak, mgis egyes opercis rendszereket vagy alkalmazsokat jobban kell vdeni, vagy tbb tmads ri, mint egy msikat. A klnbz sebezhetsgeket rendszerez internetes katalgusokban is lemrhet, hogy melyek a tmadsoknak jobban vagy kevsb kitett rendszerek. Az opertorok kztt lennik kell a Linux s Windows rendszerekhez vertiklis tudssal rt embereknek is. Hasonl mdon lennie kell vrusokhoz, tvlasztkhoz, Web-szerverekhez stb. rt ember(ek)nek is. A pontos lista a felgyeltek infrastruktrjn mlik. j rendszer felmerlse esetn (pl. intelligens krtya elterjedse a Kormnyzatban) fel kell mrni a vrhat esetek szmt, s a szerint biztostani hozzrt alkalmazottat vagy szakrtt (bvtve a mellkletbeli listt).
2.4 Kapcsold terletek, egyb szolgltatsok

Az les mkds kzben kiderlhet, hogy nagyobb szmban rkeznek olyan megkeressek, melyek e szablyzat rsnak idpontjban nem lthatk elre, ezrt jelenleg ezeket az eseteket az egyb szolgltatsok kz kell sorolni. Amennyiben a Szervezet a mkdsi terletrl olyan bejelentst kap, amely az aktulis szablyzat szerint nem sorolhat be, de hossz tvon tancsos lenne, gy ezeket is be kell pteni a szolgltatsok kz. Pldul, ha az aktulis szablyzat nem rendelkezik a munkallomsokra kttt chipkrtya olvaskat r tmadsok kezelsrl, de pr ven bell ezek az eszkzk megjelennek a szolgltatsi krbe tartoz intzmnyeknl, s egyre tbb bejelents rkezik ezekkel kapcsolatban, akkor ki kell egszteni az rintett szablyzatokat (pl. digitlis alrs hasznlata, jelsz/PIN hasznlat, krtyk fizikai trolsi szablyai stb.). A jelenleg kzvetlenl kapcsold terletek, s a figyelembeveendk rvid listja: Ments s archivls: a mentsek vdelme tbb szempontbl is fontos, mivel visszatltskor azok lesznek az les adatok, vagy illetktelen kzbe kerlskor az adatok bizalmassga kzvetlenl, a rendszer srtetlensge pedig kzvetve is srlhet (kikvetkeztethet belltsok, adatok stb. alapjn). A mentst vgezhesse a mszak kijellt opertora, az ellenrzst vgezhesse egy msik opertor, de a mentett adatokba ne tekinthessenek bele. A trols legyen vdett helyen (kiemelten fontos ments esetn pl. havi teljes ments az adathordozkat kls
IHM-MTA-E4-3.doc
20/296
MTA SZTAKI; E4 - 4671/4/2003
helysznen kell tartani2). Archivls esetn mg foglalkozni kell az archivlsi idvel is, majd annak lejrtakor a biztonsgos s az adatvdelmi szablyoknak megfelel megsemmistssel is. Tartalkrendszer: akr helyi RAID rendszerrl van sz, akr tvoli les tartalkrendszerrl (ld. lbjegyzet), gondoskodni kell a tkrzs s a tartalkrendszer fel irnyul informcik biztonsgrl, s szksg esetn azok hasznlatbavteli mdjrl (pl. tlls/tkapcsols menete).
Az les rendszerrl is lehet folyamatos tkrzs, s ezt is tancsos megfelel kls helysznen zemeltetni.
21/296
IHM-MTA-E4-3.doc
MTA SZTAKI; E4 - 4671/4/2003
Szervezeti struktra
A feladatokbl addan tbbfle tuds s beoszts szemlyre bonthat a kvnatos szervezeti struktra. Minden egyes dolgoz munkakri lersban legalbb hrom elemnek szerepelnie kell: munkakr betltsnek felttele (az igazol iratok mellkelve a szemlyzeti dossziban), felettes valamint beosztott viszonyai s kapcsolatai. Ezek szerint a szervezeti felpts a kvetkez:
Vezr 1. gyvezet igazgat Adminisztrci 1. Titkrsg Biztonsgi 1. Biztonsgi felels
Gazdasgi 1. Gazdasgi felels
Mszaki 1. M szaki felels
M szakvezet 1. Mszakvezet nappal (08-20)
M szakvezet 2. Mszakvezet jjel (20-08)
Opertor 1. Opertor-csapat
Opertor 1'. Opertor-csapat
Opertor 2. Opertor-csapat
Opertor 2'. Opertor-csapat
bra 1. ltalnos szervezeti felpts
3.1 A beosztsok rvid lersa

Az brn lthat beosztsok rszletesebb magyarzata3: Vezr 1. (gyvezet igazgat): a szervezet vezetje, hosszabb vagy rvidebb tvollte esetn a megfelel krdsekben a felelskre deleglhat bizonyos dntsi felelssgeket. Adminisztrci 1. (titkrsg): adminisztratv feladatok elltsa (de nem rintkezik a bizalmas iratok tartalmval). Biztonsgi 1. (biztonsgi felels): biztonsgi krdsekben elkszt, javasol, ellenriz, de a dntseket az igazgat jvhagysa s alrsa/elrendelse alapjn viszi vgbe, s neki tartozik jelentsi ktelezettsggel, a tbbieknek csak rtestsi ktelezettsggel (pl. opertorral vgrehajtatott biztonsgi belltsrl, bels tvilgts tervrl, elre be nem jelentett ellenrzsrl stb.). Gazdasgi 1. (gazdasgi felels): a gazdasgi gyeket intzi, al tartozhat a titkrsg, de a pnzgyekben (pl. munkatrsak bre) csak az igazgatnak tartozik jelentsi ktelezettsggel. Mszaki 1. (mszaki felels): A mszaki feladatokat igazgatja, kzvetlenl a mszakvezet, kzvetve pedig az opertorok felettese. Az opertorokat kzvetlenl is utasthatja, de errl a mszakvezett is tjkoztatnia kell. Mszakvezet 1-2. (mszakvezet jjel/nappal): A mszaki felelstl kapott utastsok alapjn vgzi feladatt az adott mszakban az oda beosztott opertorokkal. Ms mszak opertorai felett azok mszakvezetjn keresztl gyakorolhat felettesi pozcit.
3
A Szervezetben dolgoznia kell legalbb egy Igazsggyi szakrtnek, aki a nyomozszervekkel tartja a kapcsolatot olyan esetekben, amikor a kt szervezetnek szksge van a msikra.
22/296
IHM-MTA-E4-3.doc
MTA SZTAKI; E4 - 4671/4/2003
Mszakvezetk kztti szakmai vitk esetn a mszaki felelssel ktelesek egyeztetni, s a megegyezs vagy utasts alapjn eljrni. Mszakvezet s mszaki felels szakmai vitjban (szksg esetn a biztonsgi felels vlemnynek meghallgatsval) az igazgat dnt. A mszakvezetk egyben rendszermrnki szinten kpzettek az informatikai biztonsgi krdsekben, gy az opertorok ltal megoldatlan krdsekben is el tudnak jrni4. Opertor 1-2. (s 1-2 opertor csapatok): Kzvetlenl a mszakvezet, kzvetve a mszaki felels vezetse alatt llva vgzi feladatt. Klnbz mszakokban trtn munkavgzs esetn idszakos felettese az adott mszak vezetje, de lland felettese a mszaki felels. A biztonsggal kapcsolatos tevkenysgekben a biztonsgi felels utastsait kell vgrehajtania, amennyiben azok a szablyzatnak nem mondanak ellent. Ellentmonds esetn a hierarchit kvetve a mszakvezet mszaki felels igazgat vonalat kvetve kell megegyezsre jutni. Az 1 s 2 csapatok elkpzelhetk kzs tartalknak is, vagy olyan csoportnak, akik ppen tovbbkpzsen vagy szabadnapon vannak stb., de vszhelyzetben vagy csupn nagyobb terhels esetn szksg lehet rjuk.
3.2 Szakrtk s szakemberek

A szervezetben lvkn kvl szksg van olyan szakrtkre (pl. igazsggyi szakrtk, CISA vizsgs auditorok stb.), akik egy-egy bonyolultabb esetben segtenek a szakmai munkban. Az eseti szksg miatt ezekkel a szakrtkkel keret-megllapods alapjn folyik a kapcsolattarts akkor, amikor kimondottan rjuk van szksg (pl. brsgi gy esetben, vagy egy audit mdszertana miatt). A szakemberek csoportja olyan egy-egy adott terleten specilis s mly tudssal rendelkez emberekbl ll, akik egy specilis szaktudst ignyl gyben tudjk segteni a Szervezet csapat munkjt. Hosszabb tv egyttmkds ignynek esetn akr hatrozott idej fllls munkatrsakk is vlhatnak. Mindkt csoportba tartoz emberekrl napraksz listkat (szakterlet s nvszerinti listkat ld. a 10.10 mellkletben) kell vezetni, hogy szksg esetn minl elbb elrhetk legyenek. nkntes bejelentkezsi alapon brki ltal elrhet internetes adatbzist is fenn lehet tartani, hogy szksg esetn kit lehet megkeresni. 3.2.1 Berkez feladatok osztlyozsa Minden bejelents a feldolgozs vagy megolds sorn elrhet egy olyan pontra, amikor a szervezeten bell az opertori szintnl feljebb kerl, mert ott van meg a megfelel szaktuds a megoldsra. Ebben az esetben kerlhet sor kls szakrtk bevonsra is (opertor kzvetlenl nem adhatja ki klssnek szmt szakrtnek a bejelentst). A szakrtk elrsi adatai (ld. 10.10 mellklet) alapjn kereshetk fel a bejelents adatainak bizalmassgt s srtetlensgt megtart mdon (titkostott formban vagy csatornn szabad kzvetteni az adatokat olyan kiegsztssel, mely srtetlensgket is ellenrizhetv teszi). Az adatok mellett szerepelnie kell az elvrt visszajelzsi hatridnek, s a kiklds clba rkezsrl msik csatornn is meg kell gyzdni (pl. e-mail-ben kldtt anyag esetn telefonos rkrdezs). A kiklds egyidejleg helyi msolatot is kpezzen, hogy a kiklds tnye s adatai is elrhetk legyenek ksbb.
Nem felttel a j kommunikcikszsg, ezrt a kapcsolattarts ekkor is a szakkpzett opertorok ltal vgzend.
23/296
IHM-MTA-E4-3.doc
MTA SZTAKI; E4 - 4671/4/2003
3.2.2 A szakrti adatbzis A szakrtk ves fellvizsglatra kerlnek, amikor is ellenrzsre kerl, hogy szakrti jogostvnyuk mg rvnyes-e, s vente egyszer a Szervezet ltal a szakrtiknek szervezett szakmai szeminriumon ktelesek rszt venni. j felvtel esetn a szakrtnek igazolnia kell, hogy a megclzott szakterleten rendelkezik-e a megfelel tudssal s erklcsi bizonytvnyt tud csatolni krelmhez. A szakmai igazols lehet ms szervezetnl megszerzett szakrti szint jogostvny (pl. igazsggyi szakrt, CISA vizsga, brsgi eseti szakrt stb.) vagy olyan meggyz krelem, mely alapjn a szervezet vezetje a mszaki felels javaslata alapjn dnt az illet szakrti listra trtn felvtelrl. A meggyz krelem azt jelenti, hogy az illet a terlet elismert szakrtje egyetemi oktatknt, doktori fokozatot szerzett a terleten, publikcis listja alapjn vagy eddig vgzett munki okn. A fggetlensg elvnek rzse miatt vatosan kell eljrni a cges elktelezettsg szakrtkkel s felvteli krelmkkel. A listra kerlsk nem tiltott, ha az adott szakterleten valban megfelel tudssal vagy igazolssal rendelkeznek, de megkeresskkor figyelni kell arra, hogy az adott bejelents s a szakrt elktelezettsge jelenthet-e sszefrhetetlensgi problmt. Egyrtelmen nem eldnthet esetben a bejelentstevt is be kell vonni, hogy hozzjrul-e a bejelents adott szakrthz val tovbbtsra. Amennyiben nem, gy a rendelkezsre ll erforrsokkal s emberanyaggal kell megoldani a bejelents kezelst. A szakrtk vlemnyvel a szervezetnek is egyet kell rtenie, ha ez alapjn jr el a tovbbiakban, gy a ksbbi reklamcikkal kapcsolatban a szervezetnek kell eljrnia, nem vonhatja ki magt a szakrt s a bejelent kztti kommunikci tadsval. Adott szakrt listrl trtn levtelrl a szervezet sajt hatskrben dnt (szervezeten bell brki kezdemnyezheti, de a mszaki felels vlemnye alapjn a szervezet vezetje dnt).
3.3 Bels oktats

A minsgbiztostsi rendszernek megfelelen rendelkezni kell a munkatrsak bels oktatsi tervrl (elzetes flves terv), s ennek rszv kell tenni a szervezeten bell felgyleml tapasztalatok megbeszlst s terjesztst az opertorok kztt. Ezltal vlik lehetsgess a klnbz mszakok sorn szerzett tapasztalatok elterjedse5 is. Ld. mg 5.4.1 T6 pontjt. Az j belpk szmra is biztostani kell oktatst, melynek vgeztvel tett sikeres vizsga esetn kerlhet az adott opertori munkakrbe a munkatrs. Az v sorn a szakmai szint s a csapattrning erstse rdekben jtkos helyzetgyakorlatok vagy clfeladatok ltal motivcis tnyezkkel tmogatva kln feladatok kiadsa is ajnlott, mely nem a versenyszellemet, hanem az egymshoz rendelt csapatok szakmai tudst gyarapthatja6. A napi teendk kztt szerepel a klnbz biztonsgi esemnyeket taglal hrforrsok (elektronikus s papralap) ttekintse s kivonatolsa. Ezt vgezheti a mszak elejn kijellt opertor, de a kijells ne essen mindig ugyanarra az opertorra (ajnlatos a hetente trtn csere).
3.4 Keresztkontroll
Az esetleges tvedseket ki lehet derteni, de a minsgbiztosts rsze is az, ha valamilyen keresztkontroll vagy jvhagys/megersts megolds kerl alkalmazsra rott anyagok s szakmai tevkenysgek esetben.
5
Biztonsgi szempontbl alkalmazhat a mszaksszettelek szndkos vltoztatsa, gy az informciramls is knnyebb lesz a klnbz mszakokban szerzett tapasztalatok tekintetben. 6 Irnyadk a kooperatv tanulsi mdszertanok, melynek egyik f eredmnye a tudsszintek emelse s felzrkztatsa.
MTA SZTAKI; E4 - 4671/4/2003
Brki ksztsen olyan rott anyagot, mely kikerl a szervezet honlapjra, msik szervezetbeli szemly ltal ellenrzsre s elolvassra kell kerlnie. Az ellenrzst (pl. adott parancsok helyesek, valban az trtnik, ami a lersban szerepel) vgezheti azonos vagy alacsonyabb szinten dolgoz is, de az elolvass (kvzi brlat) felettes ltal kerlhet elvgzsre majd jvhagysra. Javts vagy jabb verzi esetn is ez az eljrs kvetend, kiemelve, hogy az elz verzihoz kpest mi kerlt javtsra vagy trsra. A keresztkontroll intzmnye rsze a minsgbiztostsi rendszernek is, ahol a szablyzatok, bizonylatok s minden gyfeleket rint tevkenysg valamilyen mdon ez al van vonva. A tevkenysgeknek van felelse, vgrehajtja s ellenrzje, jvhagyja vagy elfogadja.
IHM-MTA-E4-3.doc
25/296
MTA SZTAKI; E4 - 4671/4/2003
Az infrastruktra
Jelen esetben kzvetlenl az infrastruktrba tartoznak rtjk az informatikai eszkzket, mg kzvetetten az informatikai eszkzk mkdsrt felels eszkzk is ide tartoznak, gy ezek is emltsre kerlnek.
4.1 Informatikai eszkzk

A szolgltats elltshoz megfelel eszkzparkra s terhelsnvekeds vagy vszhelyzet esetn megfelel mdon s idben ignybe vehet tartalkeszkzkre van szksg. Az eszkzpark alkotelemei a szerverek (pl. adatbzis, Web, E-mail), a kliensek (nem homogn rendszer, tbbfle opercis rendszerrel s alkalmazs-felszereltsggel). Mivel ezek a szerverek rzkeny adatokat kezelnek, ezrt fontos minden adatkezelsi ponton az adatvdelmi szablyok betartsn tl az gyfelek tjkoztatsa (pl. telefonos bejelentskor figyelemfelhvs a beszlgets rgztsrl, Web-szerveren adatvdelmi nyilatkozat), hogy adataik milyen mdon kerlnek kezelsre.
4.2 Informatikai rendszert kiszolgl eszkzk

Az informatika maga is kiszolgl tevkenysget folytat, de az informatikt is ki kell szolglni, hogy kiszolgl tevkenysgt ellthassa. A kiszolgl eszkzk hrom f csoportjt klnbztethetjk meg: Energiaellts: sznetmentes tpegysgek, tartalk rendszerek, tlfeszltsgvdk, egyb zavartalan elltst biztost eszkzk. Kommunikci: telefon (mobil s vezetkes), fax, szemlyi hv, CB-kszlk7, melyeken elnyben kell rszesteni a titkostott kommunikcira kpes vltozatokat. Adatkezels: hordozk (papr ld. dokumentumkezels, rack, pendrive, CD/DVD rhat, jrarhat, ZIP-drive, DAT-kazetta, memriakrtya stb.) s megsemmistk (klnbz hordozk esetn klnbznek a megsemmistk is). 4.2.1 Biztonsgi megoldsok Kln kell foglalkozni a biztonsgi eszkzkkel, mert ezek a kiszolgl tevkenysg mellett a vdelmi tevkenysgeket is befolysoljk. Nem a security by obscurity (titok ltali biztonsg) elve alapjn kell kezelni a biztonsgi megoldsokat, azonban megfontoltan kell megllaptani azok krt, akik az adott megolds rszleteit ismerik8. Az informatikai biztonsgi szablyzatbl mindenki szmra ki kell derlnie, hogy munkavgzsvel kapcsolatosan mire kell figyelemmel lennie, s mit kell betartania. A kiszolgl biztonsgi megoldsokat a kvetkezk szerint csoportostjuk (nhny pldval illusztrlva): fizikai vdelem: a szervezet krnyezete (plet, megkzelthetsg, valszn fizikai kresemnyek, mint rvzveszly vagy ppen tmegdemonstrci kzeli helysznen), bels vdelem (elektromgneses s egyb kisugrzs s lehallgats elleni rnykols s vdelem, belptet rendszer, znarendszer, iratmegsemmistk),
7 8
Nem biztos, hogy mindegyik forma el is rhet s alkalmazsban van. A need to know elve alapjn mindenki annyit tudjon, ami szksges s elgsges a munkavgzshez. A hierarchikus elvet (minl magasabban van a cges hierarchiban, annyival tbb jogosultsga legyen) kerlni kell!
26/296
IHM-MTA-E4-3.doc
MTA SZTAKI; E4 - 4671/4/2003
logikai vdelem: tzfal s vrusvdelmi megoldsok, egyb biztonsgi megoldsok (jelsztrolk, titkostott kommunikcit biztost alkalmazsok), adminisztrcis vdelem: iratmegsemmists mdja. biztonsgi-, jelsz-, resrasztal-politika,
4.3 Trols
Az adattrols tbb formban is megvalsulhat, gy az infrastruktrban fontos szerepe van akr l, akr archivlt adatrl van sz. Az adattrols szertegaz s klnleges szablyok alapjn fedhet le teljes mrtkben, ebben a rszben csak az alapelveket rgztjk. Az adatkezelsben az adatvdelmi trvny9 az irnyad, de a szervezet specilis szolgltatsai s gyflkre miatt egyb jogszablyok is figyelembeveendk (ld. 6 fejezet). A munka sorn minden alkalmazott kteles betartani az resrasztal-politikt, ami egy mlyebb filozfit takar, nevezetesen azt az elvet, hogy a munka sorn elkerlt s hasznlt informcik biztonsgrt a munkavgz szemly a felels, s ezt a felelssget nem hagyhatja figyelmen kvl, amikor akr csak pr percre magra hagyja a munkakrnyezetet.10 Ezzel a betekints-jelleg tmadsok ellen is vdekeznk, valamint a rendre nevels pozitv hatsait is erstjk. A politika rsze az eszkzk hasznlata is, hiszen egy csak munkahelyen alkalmazand eszkzre (rack-es httrtr, telefon, token, digitlis alrsra alkalmas krtya stb.) is vonatkozik az elv. Kln kiemelend a httrtrak trolsa, hiszen a sajt munkallomsban hasznlt kln elzrhat httrtrak esetn azok napi felvtele s leadsa is csak pontosan szablyozott mdon trtnhet. Ezen tlmenen az ilyen httrtron lv teleptett rendszerek hasznlata is ebbe a szablyzatba sorolhat azzal a klnbsggel, hogy ezek a rendszerek nem mindig egyazon felhasznl ltal kerlnek hasznlatra. A dokumentumkezelsben a minsgbiztostsi rendszer is segt, gy az iktats, a verziszmok, a dokumentum-ksrlapok, a kiosztsi lista s egyb elemek a rendszerezettsgen tl a biztonsg megrzst is segtik. A fentebb mr emltett tokenek, krtyk s egyb hasonl eszkzk esetben (a belpkrtya kivtelvel) a munkakezds eltti felvtel s munkavgzs utni leads rendszer alkalmazsa miatt ezeknek az eszkzknek a trolsa gy mkdik, hogy a felvtelhez s a leadshoz szksges egy felels aktv rszvtele, de a tulajdonos jelenlte nlkl sem tudja ezeket az eszkzket maghoz venni (pl. ktkulcsos lda alkalmazsa).
4.4 RTIR Az incidenskezel eszkz

Nyilvnval, hogy a berkez bejelentseket valamilyen rendszerrel kezelni kell, amely bizonyos automatizmusokat vezet be, annak rdekben, hogy a munka elvgzst megknnytse azltal, hogy segt a trtnsek dokumentlsban, a bejelentsek osztlyozsban, a rgebbi adatok keressben, ill. olyan integrlt eszkzket bocst rendelkezsre, amelyek segtenek a problma gyors megoldsban. Ezt a funkcionalitst a Best Practical Solutions ltal fejlesztett s karbantartott Request Tracker for Incident Response (tovbbiakban RTIR) szoftver biztostja. Az RTIR a Request Tracker-re pl incidenskezel eszkz, amelyet a JANET CERT-tel egyttmkdve fejlesztenek11, kifejezetten a CERT-ek ignyeihez igaztva. Mivel a munka nagy rsze ebben a rendszerben zajlik,
9
1992. vi LXIII. trvny a szemlyes adatok vdelmrl s a kzrdek adatok nyilvnossgrl Forrs: Biztost portl (http://www.biztostu.hu) 11 JANET = Egyeslt Kirlysg oktatsi s kutati szmtgp-hlzata.
10
IHM-MTA-E4-3.doc
27/296
MTA SZTAKI; E4 - 4671/4/2003
szksgszer felptsnek, mkdsnek, szolgltatsainak, logikjnak ismerete. Ennek a fejezetnek clja ezek szmbavtele. 4.4.1 Ismertets Az RTIR egy webes felleten, brmilyen modern bngszbl elrhet rendszer. Alapjt az un. jegy (ticket) kpezi. Minden jegy egy adott problmhoz tartoz adatokat, ill. a rendszer ltal hozz rendelt egyb jellemzket (metadata), pl. tulajdonos, fontossg tartalmaz, termszetesen az egyes jegyek kztt klnbz kapcsolatok lehetsgesek. A rendszer alapvet mkdsi logikja igen egyszer: Ha berkezik egy bejelents, akkor az automatikusan rgztsre kerl, majd emberi beavatkozs segtsgvel el kell dnteni, hogy a jegyet fel kell-e dolgozni, vagy el kell utastani. Ha a bejelentsben vzolt problmt meg kell oldani, akkor lehetsg van arra, hogy ezt hozzcsatoljuk egy mr ltez esethez. A jegyek fontosabb tulajdonsgai az albbiak: Megfigyel (watcher) Valaki, akinek valamilyen kze van a jegyhez. A kvetkez szerepkrkbe sorolhatjuk ket: o Tulajdonos (owner) Az a szemly, aki felels a jegyrt s annak megoldsrt. Minden jegynek csak egy tulajdonosa lehet. o Bejelent (requestor) Valaki(k), aki(k) krt(ek) valamit; tulajdonkppen a jegy ltrehozja. o CC Akik msolatot kapnak a jegyre adott sszes vlaszrl. Nem szksgszeren van joguk dolgozni a jegyen (pl. A bejelent osztlyvezetje). o AdminCC Olyan CC, aki a megjegyzsekbl is kap msolatot, s ltalban joga van dolgozni a jegyen. Sttusz (Status) A jegy osztlyozsra szolgl, rtke a kvetkezk valamelyike lehet: o j (new) jonnan ltrehozott jegy, amihez mg senki nem rt hozz. o Nyitott (open) a jegyen valaki dolgozik. o Vrakoz (stalled) rajtunk kvlll okok miatt (pl. vlaszra vrakozs kls fltl) ppen nem trtnik semmi a jeggyel. Amint valaki frissti a jegyet, megint nyitottra fog vltozni az llapota. o Megoldott (resolved) a jegy megoldsra kerlt. o Visszautastott (rejected) a felvetett problma nem kerl megoldsra (pl. mert nem a mi hatskrnk), de valami miatt mgis rdemes megtartani a rendszerben. Mondjuk valaki valamilyen kptelensget kr, a jegyet nem kell megoldani, de az adatbzisban nyoma marad a krsnek. o Felhagyott (abandoned) Olyan jegy, amelyen annak ellenre, hogy nem kerlt megoldsra, nem folyik tovbbi munka, vagy, mert a megoldsra irnyul trekvsek kudarcba fulladtak, vagy mert elz tulajdonosuk valamilyen oknl fogva nem tudja tovbb kezelni. o Trlt (deleted) Olyan jegy, amelynek semmi keresnivalja nincs a rendszerben pl. spam.
IHM-MTA-E4-3.doc
28/296
MTA SZTAKI; E4 - 4671/4/2003
Az RTIR rendszerben a jegyek osztlyozsra az un. sorok szolglnak. Minden sor egyfajta gyjthelye az azonos tpus jegyeknek. A rendszerben ngy klnbz sor tallhat, ezek rendre a kvetkezk: Bejelentsek (Incident reports) Ebbe a sorba kerlnek az j bejelentsek. Emberi beavatkozssal kell eldnteni, hogy j jegyknt tkerljn-e a problmk kz, hozz kell csatolni egy mr ltez problmhoz, vagy valamilyen mdon el kell dobni Problmk (Incidents) A megoldsra vr problmk. Minden ilyen jegy tulajdonkppen gyjthelye a hozz kapcsold sszes bejelentsnek, blokknak, vizsglatnak. Ilyen mdon tulajdonkppen ezek a jegyek jelentik a rendszer szvt, a msik hrom sor nmikpp alrendelt feladatot jtszik, a problmk megoldsban felmerl feladatok llapotnak ttekinthet dokumentlsra valk Vizsglatok (Investigations) Ha egy problma megoldshoz vizsglatra kell felkrnnk kls felet, akkor egy, ebben a sorban ltrehozott, az eredeti jegyhez kapcsold jegyen keresztl tehetjk meg Blokkok (Blocks) Amennyiben egy problma kapcsn hlzati szablyozsra (pl. hlzat blokkolsra) van szksg, a megfelel jegyek itt kerlnek ltrehozsra. Mivel az RTIR feladata az adatok kezelse, nem vrhat el tle, hogy egy tetszleges hlzathatr vdelmi rendszert automatikusan tudjon frissteni, ezrt az ebbe a sorba bekerl jegyeket a sor AdminCC mezjben megadott hlzatzemeltetsi csoportnak is meg kell kapnia, hiszen az feladatuk ezeknek a krseknek a vgrehajtsa. 4.4.2 A jegyek lettja a rendszerben Az elmleti alapok tisztzsa utn rdemes megvizsglni, mi is trtnik egy jeggyel, amg a rendszerben tartzkodik. A folyamat knnyebb megrtse rdekben az albbi szveges ismertets mellett clszer az bra 2. Bejelentsek kezelsnek folyamata folyamatbrt is tanulmnyozni. Az els lps egy jegy letben termszetesen a keletkezse. Az RTIR rendszerbe alapveten kt ton kerlhetnek j jegyek: E-mailben trtn bejelents: Amennyiben valaki bejelentst kld a rendszer belltott e-mail cmre, a rendszer rszt kpez un. e-mail gateway automatikusan ltrehoz egy jegyet a bejelentsek sorban (ill. egy j felhasznlt a bejelentnek, ha mg nincs). Egyb ton trtn bejelents: Ha a bejelents telefonon vagy ms ton trtnik, akkor azt kzzel kell bevinni a rendszerbe. Akkor is meg kell ezt tenni, ha a problma mr ismert, hiszen: o Bejelents nem hagyhat figyelmen kvl. o A bejelent gy automatikusan rteslhet a problmval kapcsolatos minden t is rint informcirl Miutn a jegy bekerlt a bejelentsek kz, j llapotban vrakozik addig, amg valaki meg nem vizsglja. Ekkor elszr azt kell eldnteni, hogy szksges-e a jeggyel foglalkozni. Ha nem, mert nem tartozik a szervezet hatskrbe, spam stb., akkor az indok megjegyzsben (vagy, ha szksges vlaszban) trtn megjellse utn el kell utastani. Amennyiben a bejelentst fel kell dolgozni, a kvetkez eldntend krds, hogy ismert-e mr a problma (esetleg egy mr ismertet egszt ki jabb informcikkal), vagy sem. Az els esetben hozz kell csatolni az ismert problmhoz, az utbbiban pedig j problmt kell szmra ltrehozni. (Megjegyzend, hogy br lehetsg lenne kzvetlenl a bejelentsekkel trtn munkra, a
IHM-MTA-E4-3.doc
29/296
MTA SZTAKI; E4 - 4671/4/2003
rendszer logikja azt diktlja, hogy gy legyenek a jegyek kezelve, mivel ellenkez esetben a rendszerben trolt adatok tlthatatlann vlnnak.) Innen kezddik a tulajdonkppeni problmamegolds, amelynek keretben az els lps annak eldntse, hogy a hlzat vdelme szempontjbl szksges-e blokkok elhelyezse. Ha igen, akkor az adott problmhoz kapcsoldan kell kszteni egy j jegyet a Blokkok kztt. Ezutn meg kell vizsglni a problmt, s ha szksges, kls fl vizsglatt kell krni, a Vizsglatok sorban ltrehozott jeggyel. Ekkor a problma felfggesztett llapotba kerl, egszen addig, mg vlasz nem rkezik a kls fltl. A problmakezels vgn, a jegyet le kell zrni, vagy a tovbbi munkt fel kell adni (ha a problma megoldsa sikertelen volt). Termszetesen elkpzelhet, hogy egy mr lezrt jegyrl kiderl: a problma mgsem olddott meg. Ilyenkor a jegy jra megnyithat s ismtelten vgighaladhat a problmamegolds folyamatn.
IHM-MTA-E4-3.doc
30/296
MTA SZTAKI; E4 - 4671/4/2003
bra 2. Bejelentsek kezelsnek folyamata
IHM-MTA-E4-3.doc
31/296
MTA SZTAKI; E4 - 4671/4/2003
4.4.3 A rendszer hasznlatnak folyamata Mint lthat, egy jegy lettja a rendszerben viszonylag egyszer, knnyen kvethet folyamat, azonban a rendszert hasznlknak nem csak egy jeggyel kell dolgozniuk, ezrt szksges a rendszer hasznlatakor alkalmazott munkafolyamat ttekintse is. Ehhez az bra 3. A bejelentsek kezelsnek munkafolyamatai folyamatbra nyjt segtsget. Termszetesen ez az bra csak egy lehetsges lpssorozatot mutat be, hiszen a val letben szksg lehet az itt bemutatottl eltr lpsekre is, ha a helyzet gy kvnja, ill. az bra bizonyos pontjaibl adott esetben t lehet ugrani annak egy msik pontjra, azonban ennek brzolsa mr az rthetsg rovsra menne, ill. szksgtelen is, hiszen a rendszer logikjt ismer szmra (remlhetleg) az rtelmezs nem jelent problmt. Knnyen felismerhet, hogy a folyamatok szervezsnek f szempontja a munkk sorrendjnek meghatrozsa. A lnyeg a fontos esetek mielbbi megoldsa, s a tbbi problmra trtn lehet leggyorsabb reagls, majd megolds biztostsa. Ennek megfelelen elszr, ha ilyenek vannak, azokkal a problmkkal kell foglalkozni, amelyek megoldsa a mi felelssgnk, s fontosak, vagy mr kzelt a hatridejk. A problmval foglalkoz rszmunkafolyamat (az bra bal oldala) termszetesen szinkronban van a jegy lettjt bemutat folyamattal, csak ezttal az ember, nem pedig a jegy szempontjbl kerlt brzolsra. A kvetkez azoknak a bejelentseknek a vizsglata, amelyek mg senkihez sem rendeltek, ill. valamilyen oknl fogva mg nem kerltek besorolsra. Ezekrl el kell dnteni, hogy kell-e velk foglalkozni, ha igen, akkor ismert problmhoz kapcsoldnak-e? Amennyiben igen, gy hozz kell csatolni a bejelentseket ezekhez, ha nem, akkor j problmt kell ltrehozni, s meg kell hatrozni a hozz tartoz prioritst (bvebben ld. 5.2). Br elsre logiktlannak tnhet a bejelentsek osztlyozsnak elre vtele a problmamegoldsokkal szemben, azonban ez biztostja, hogy a problmkkal kapcsolatos sszes informci a lehet leggyorsabban bekerljn a rendszerbe, egyrszt a ptllagos informcival megknnytve a megoldst, msrszt segt abban, hogy egy esettel lehetleg csak egyszer kelljen foglalkozni. A bejelentsek osztlyozsa utn a sajt problmk vizsglata kvetkezik, a mr megismert irnyelvek alapjn. Amennyiben sem kezeletlen bejelents, sem foglalkozst ignyl problma nincs, gy mg mindig ott a lehetsg msok jegyeinek tnzsre, htha meg lehet knnyteni a tbbiek munkjt.
IHM-MTA-E4-3.doc
32/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
bra 3. A bejelentsek kezelsnek munkafolyamatai
IHM-MTA-E4-3.doc
33/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
4.4.4 Kommunikci a rendszerrel Az RTIR rendszer rszt kpezi egy e-mail gateway program, aminek az a feladata, hogy a rendszerbe rkez, ill. onnan kimen leveleket eljuttassa az MTA-hoz (Mail Transport Agent). E program kpes arra, hogy a berkez levelet egy adott jegyhez trstsa. Ezt kt mdon ksrli meg elrni. Egyrszt gy, hogy a levl trgyban szerepelteti a jegy szmt, gy a rendszerrel kommuniklni akar ember kzvetlenl is hivatkozhat erre, msrszt pedig a levl fejlcbe tesz In-Reply-To:, ill. RT-Ticket: fejlceket, hogy minl biztosabban azonostani tudja, melyik jegyhez tartozik a hozzszls. Az RTIR termszetesen vizsglja, hogy kinek van joga, egy adott jegyhez hozzszlni. Mindezen tl lehetsg van arra is, hogy a rendszerbe ne csak a bejelent kldhessen tovbbi email-eket, hanem megjegyzseket ill. vlaszokat is kldhetnk a kln ezekre a clokra belltott email cmekre. 4.4.5 A rendszer szolgltatsai Az albbiakban rviden ttekintjk azokat a knyelmi szolgltatsokat, amelyeket az RTIR nyjt. Ennek a fejezetnek nem clja, hogy e szolgltatsok hasznlatt ismertesse, csupn hogy ezek megltrl, ill. funkcijrl tjkoztatst adjon. A hasznlat rszletesebb ismertetse kln anyagban rhet el. Az egyik legfontosabb szolgltats a Jegytrtnet: egy jegy megtekintsekor lthatv vlik az sszes esemny, amely a mltban trtnt vele. Teht ltszik a jegy sszes frisstse, llapotvltozsa, ill. brmely jrulkos adat megvltozsa. A rendszer msik fontos tulajdonsga a jegyek kztti kapcsolatok kezelse. Lehetsg van a jegyek kztti kapcsolatteremtsre, szl gyerek kapcsolatok kiptsre. Ez azzal az elnnyel jr, hogy a szl jegybl gyorsan elrhet a hozz kapcsold sszes gyermek, illetve, hogy ezeknek bizonyos tulajdonsgait a rendszer automatikusan tlltja a szl megvltoztatsakor. Pl. egy problma lezrsakor lezrdik az sszes olyan bejelents, ami hozz kapcsoldik. Furcsa lehet, hogy a rendszerben mindig a problma sorba tartoz jegy a szl, holott a legtbb ezek kzl egy bejelentsbl jn ltre, ami pedig mindig gyerek. Azonban a problma bejelentsbl trtn ltrehozsa tulajdonkppen csak az adatok tmsolsa, az elvgzend munka minimalizlst segtend. A rendszer logikja miatt a klnbz jegytpusok egymsbl val ltrehozhatsga korltozva van. A megengedett eseteket az albbi, egyszer bra mutatja be:
bra 4. Jegytpusok keletkezsi lehetsgei
IHM-MTA-E4-3.doc
34/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
Mint lthat, vizsglatokbl s blokkokbl nem lehet semmit sem ltrehozni, hiszen ezek mindig egy adott problmhoz kapcsoldnak. Ez az oka annak is, hogy nem hozhatk ltre bejelentsekbl sem. Az RTIR lehetsget biztost tbb jegy egybeolvasztsra is. Ilyenkor a beolvasztott jegyre vonatkoz krseket, hivatkozsokat automatikusan tirnytja az j jegyre, megrizve ezzel az adatok konzisztencijt. Ennek a folyamatnak az ellentte is elrhet, vagyis egy jegyet ktfel is lehet vlasztani. Erre pldul akkor lehet szksg, ha egy bejelent e-mailben tbb problma is felvetdtt, vagy egy problmrl kiderl, hogy kt megoldand feladatra bonthat. Ugyancsak a gyors munkt segtik el az integrlt keressi funkcik. A rendszer a potencilis adatokbl a felhasznli felleten linket kszt, gy gyorsan elrhetv vlnak a kapcsold jegyek az sszes sorban. Az RTIR tartalmaz beptett whois s traceroute szolgltatsokat is. A rendszerben ezek eredmnye is megjelenik, de a szolgltatsok emellett termszetesen kln is elrhetk. Nagy mennyisg adatfeldolgozs mellett mindenkpp szksges statisztikai adatok generlsa is, hogy a munka eredmnyessge mrhet legyen. E feladat kt mdon is megoldhat. Az egyik az RTIR rszt kpez jelents genertor, amely szveges vagy HTML formtumban kzl adatokat egy adott idszak alatt berkezett s megoldott/meg nem oldott bejelentsekrl, ill. ezek szolgltatsi id-intervallum szerinti megoszlsrl. A msik eszkz egy bepl statisztikai modul, amely tblzatos s grafikus formban a kvetkez adatokat gyjti ssze: Egy sorra nzve a ltrehozott / megoldott / trlt jegyek szma, napi bontsban. Az j /nyitott / felfggesztett jegyek jelenlegi szma, soronknt. A ltrehozott / megoldott / trlt / felfggesztett tulajdonsg jegyek kzl valamelyiknek a tbb sorra vonatkoztatott adatai, napi bontsban. Egy sorra nzve a ltrehozott / megoldott / trlt jegyek szma, napi bontsban az elmlt hten. A jegyek megoldsnak tlagos ideje, napi bontsban. Egy sorra vonatkoztatott megoldsi id eloszls. 4.4.6 Ktegelt vizsglatkrs A hlzati incidenskezels vilgban gyakran szksges, hogy egy problma kapcsn szmos kls fllel lpjnk kapcsolatba. Ha pl. egy j freg kezd terjedni, szinte biztos, hogy rengeteg jelents fog befutni egyrszt a zaklatottaktl, msrszt a behatols-rzkel eszkzktl. Hasonl a helyzet egy DDoS (megosztott szolgltatsmegtagadsos tmads) kivizsglsa kapcsn is. Ezekben az esetekben egy sablon e-mail elkldsre van szksg szmos e-mail cmre, radsul ezek a cmek legtbbszr nem is llnak kzvetlenl rendelkezsre, hanem egy whois adatbzisbl kell ket megkeresni IP cm alapjn. E feladat manulis vgrehajtsa idignyes feladat. Ahhoz, hogy ezek az e-mailek beleilleszkedjenek az RTIR rendszerbe, mindegyikhez ltre kell hozni egy problmt s egy vizsglatot, ami tovbb nveli a felesleges robotolssal eltlttt idt. A rendszernek ezrt van olyan szolgltatsa, amely mindezeket elvgzi helyettnk. Megadott IP cmek alapjn kikeresi a whois adatbzisbl egy adott mezbl az rtkeket, de kzvetlenl e-mail cmek is megadhatak. A kimen levelekbe vltozk helyettesthetk be, ami lehetv teszi cmenknt a relevns informcik begyazst. Mivel a publikus whois adatbzisokban elg nehz kivlasztani egy mezt, ami minden esetben tartalmazza az eset kapcsn rtkes e-mail cmet, a sajt gyfeleinkre vonatkoz adatokat rdemes egyni, jl meghatrozott mezkkel elltott adatbzisban trolni.
IHM-MTA-E4-3.doc
35/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
4.5 Egyb eszkzk

Az RTIR egy meglehetsen komplex rendszer, ezrt mkdse tbb egyb szoftverre pl, az albbiakban ezek szmbavtele kvetkezik: HTTP szerver: mivel az RTIR webes felleten mkdik, szksg van olyan felletre, amin keresztl elrhetv vlik. A szerverrel szemben kvetelmny, hogy rendelkezzen mod_perl vagy FastCGI modullal. Mivel a vilg egyik legrobosztusabb http kiszolglja az Apache, tovbb a fejlesztk is ezt hasznljk, mindenkppen ennek a hasznlata javasolt. Adatbzis szerver: Mint szinte minden nagyobb mennyisg adattal dolgoz program, az RTIR is relcis adatbzisban trolja az informcikat. Jelenleg a Mysql, Postgresql, Oracle, Informix s SQLite platformok tmogatottak, azonban ezek kzl az utols hrom jelenleg mg csak bta llapot, tovbb a program fejlesztse elsdlegesen Mysql krnyezetben zajlik, gy ennek hasznlata javasolt. Levelez kiszolgl: Ahhoz, hogy a rendszerbl kifel, ill. az abba befel raml leveleket kezelni lehessen, szksg van egy MTA-ra (Mail Transport Agent). Mivel gyakorlatilag az sszes Unix-szer rendszeren fut MTA biztost sendmail kompatibilis illeszt-felletet, az RTIR-nek pedig erre van szksge, ezrt csaknem brmelyik MTA hasznlhat. A vlasztsnl rdemes azonban figyelembe venni, hogy ajnlott a spam s vrusszrk hasznlata (lsd ksbb), amit szintn az MTA-n keresztl praktikus megoldani. Kretlen levelek szrse: Az Internetet egyre slyosabban rinti a mindenhova eljut kretlen levelek radata. Klnsen slyosan rint ez olyan e-mail cmet, amely szles krben ismert, mrpedig a Szervezet levelezsi cme ilyen. gy felttlenl szksges a berkez levelek automatikus szrsre. Erre alapveten kt mdszer hasznlhat. Az els olyan szrk hasznlata, amelyek az e-mailek tartalma alapjn prbljk meghatrozni, hogy egy levl spam-e. A msik megolds a megersts krsn alapszik. Ennek rtelmben, ha olyan e-mail cmrl jn levl, ami a rendszerben mg nem ismert, akkor az addig nem kerl tovbbtsra, amg a kld nem erstette meg, hogy kldte a levelet. Ezt azonban elg egyszer megtennie, s cme bekerl az adatbzisba, ami utn mr kldhet levelet. Ez a mdszer biztosabb, mint a tartalomelemzs, de kt kisebb htrnya is van. Az egyik, hogy br minimlis, de jrulkos feladatot r a msik flre. A msik htrny az, hogy egy ismert cm nevben kldtt levl tjut a szrn. A legbiztosabb megoldst a vzolt kt megolds egyttes hasznlata jelentheti. Vrusszr: Hasonlan a kretlen levelekhez, rengeteg vrusos levl is terjed az Interneten, amelyeknek rendszerbe jutst meg kell akadlyozni. Erre is alkalmazhat olyan szoftver, ami a levl tartalmt vizsglja vrusok utn kutatva, azonban a fentebb lert megerstsen alapul mdszert hasznlva a kretlen levelek szrsre, erre a megoldsra gyakorlatilag nincs szksg, hiszen a vrusos e-mailre nem fog megerst vlasz rkezni, ilyen szempontbl a spam s a vrus egyformn kezelhet. Tzfal: A rendszert meg kell vdeni az illetktelen kls behatolsoktl. Mivel rendes krlmnyek kztt az RTIR-t futtat rendszer jl behatrolhat szolgltatsokat nyjt a klvilg fel, ezrt egy csomagszr, llapotfigyel tzfal segtsgvel jl vdhet. A legtbb UNIX-szer opercis rendszer knl erre sajt megoldst. Biztonsgi msolatok: Az adatbzisrl kszl biztonsgi msolatok ksztsre az RTIR-ben nincsen kln megolds, hiszen az adatbzis kezelk mindegyike rendelkezik sajt megoldssal, ami viszonylag egyszeren hasznlatba vehet. Mindenkpp
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
szksges az adatbzis rendszeres biztonsgi mentse, amit clszer fldrajzilag is elklnlten rizni. (ld. mg a 2.4 fejezetet!).
IHM-MTA-E4-3.doc
37/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
A napi tevkenysg mdja
A napi tevkenysgek kz tartozik a tmogatsnyjts, a kommunikci, a munkarend betartsa, s a remlhetleg ritkn, de mgis brmelyik nap bekvetkezhet katasztrfaterv szerinti riaszts s annak a rendje. Mindez szablyozott mdon folyhat.
5.1 A tmogatsnyjts mdjai

A CERT mkdsnek egyik alapja a megfelel kapcsolattarts mind a bejelentseket tevkkel, mind a tbbi CERT-tel. Ehhez arra van szksg, hogy a kommunikci ne ad hoc alapon mkdjn, hanem jl szablyozott keretek kztt. A keretek meghatrozsnak alapjt a kommunikcis csatornk definilsa jelenti. Meg kell hatrozni, hogy kivel, mikor s milyen formban lehet vagy kell kommuniklni. Alapveten ktfle kommunikcis csatorna klnbztethet meg: be- s kimeneti. A bemeneti csatornk clja, hogy a rajtuk keresztl rkez bejelentsek bekerljenek az incidenskezel rendszerbe. Ezek a bejelentsek lehetleg tartalmazzk a problma megoldshoz szksges sszes informcit. Az egyes bejelents-tpusokhoz kapcsold bekrend informcikat a 10.4 mellklet tartalmazza. 5.1.1 Bemeneti csatornk A bemeneti csatornk a kvetkezk lehetnek: (a) Telefonos bejelents: Amennyiben egy bejelents telefonon keresztl rkezik, az opertor feladata, hogy az sszes szksges informcira rkrdezzen, majd ezt a bejelentst az incidenskezel rendszerben rgztse. Ennek a rendszer logikja szerint az adatok ttekinthetsgnek rdekben akkor is be kell kerlnie a bejelentsek kz, ha a hiba egyedinek ltszik, (ld. 10.4 fejezet). Ezekben az esetekben klnsen fontos gyelni arra, hogy az udvarias kommunikcira vonatkoz szablyok betartsra kerljenek, hiszen a szervezetrl kialakult kpet az opertorok modora nagyban befolysolja. A ksbbiekben a bejelentseket trol jegyrl egyrtelmen eldnthet, hogy telefonos adatfelvtel sorn keletkezett-e. E-mailben trtn bejelents: Ezek a bejelentsek automatikusan bekerlnek az incidenskezel rendszer adatbzisba, az opertorok ezen keresztl rteslnek az j bejelentsrl. Ez egyrszt knyelmess teszi az ilyen bejelentsek kezelst, msrszt viszont problmt rejt magban, mert a bejelentsben lv adatok hinyosak lehetnek. Ennek elkerlsre kt md knlkozik: a megelzs, s a javts. A megelzs f eszkze a bejelent rlapok, ill. ezek mind szlesebb krben trtn hasznlata. Ennek ellenre elkerlhetetlen, hogy olyan levelek kerljenek a rendszerbe, amelyek elgtelen mennyisg informcit tartalmaznak. Ebben az esetben a bejelent rszre el kell kldeni az rlapot (javts), tovbb e levlben lehet krni plusz informcikat, ill. fel lehet hvni a figyelmet az rlap bizonyos a bejelents szempontjbl relevns mezire, amennyiben ez szksgesnek ltszik. Szemlyes bejelents: Abban az esetben, ha a bejelent szemlyesen keresi fel az opertorokat, a kezels mdja ugyanaz, mint a telefonos bejelents esetben, azonban ezek a bejelentsek a szervezet megtlsben mg knyesebbek, ezrt klns figyelemmel kezelendk. Tovbb megvan az a htultjk, hogy a bejelent nincs az incidens kezelsre alkalmas helysznen, ezrt a szksges (plusz) informcikat esetleg nem tudja szolgltatni. Ebben az esetben szksges az informci megszerzsnek mikntjrl s idpontjrl egyeztetni.
(b)
(c)
IHM-MTA-E4-3.doc
38/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
(d)
Webform: A Webes bejelentshez hasznlatos rlap, mely a szksges informcikat tartalmazza. A minta a 10.4 mellkletben szerepel. A webform-ok alkalmazsa ktirny elnnyel jr. Egyrszt a bejelent szemly munkjt az rlap nagymrtkben segtheti azzal, hogy szmos adat esetben csupn elre adott vlaszok kzl kell vlasztania, tovbb az rlap elkldse elektronikus levl formjban csak akkor trtnik meg, ha a bejelent valban minden fontos informcit tartalmaz mezt tartalmilag s alakilag helyesen kitlttt. Az rlapok alkalmazsnak elnye a Szervezet szemszgbl vizsglva abban jelenik meg, hogy az egysges tartalm elektronikus levelek opertorok ltali feldolgozsa egyszerbb, gyorsabb, egyrtelmbb lehet, mint az egyedi levelek osztlyozsa, amely a berkez levlben esetlegesen hinyosan jelenlv informci kikeresst ignyli. Egyb mdon trtn bejelentsek: Brmilyen egyb formban rkez bejelents (pl. fax, esetleg postai levl) trekedni kell arra, hogy az sszes relevns informci a rendszerbe kerljn, majd tjkoztatni kell a bejelentt az elnyben rszestett szabvnyos bejelentsi csatornkrl.
(e)
5.1.2 Kimeneti csatornk A kimeneti csatornk arra szolglnak, hogy a szervezet kapcsolatot tartson fenn a bejelentkkel, trsszervezetekkel, lland vagy eseti egyttmkd partnerekkel, ill. arra, hogy a nyilvnossgnak sznt adatait kzztegye. Ezek a csatornk a kvetkezk: (a) E-mail: Az elektronikus levl valsznleg a leggyakrabban hasznlt kimeneti kommunikcis forma. Nagy elnye hogy nem kveteli meg a felektl az egyidejsget, tovbb egyszeren tovbbthat rajta gyakorlatilag brmilyen adat. Van azonban egy htrnya is: megbzhatatlansga. Nem tudni, mennyi id alatt rkezik meg egy levl a cmzetthez, ha egyltaln megrkezik. Emiatt a magas priorits, fontos gyekben nem hasznlhat legalbbis nmagban semmikppen sem. Radsul elnye egyben htrnya is, hiszen a nem kzvetlen, visszaigazols nlkli kommunikci nem minden esetben megfelel. A hitelessg s letagadhatatlansg biztostsa rdekben minden kimen e-mailt elektronikusan al kell rni, tovbb ha a benne lv informcik ezt szksgess teszik titkostani is kell (ld. mg 8.7) Telefon: Fknt akkor kell hasznlni, ha az adott krds megkveteli a megbzhat tvitelt, vagy a kzvetlen, azonnali kommunikcit, vagyis amikor az e-mail nyjtotta szolgltatsok nem elegendek. (Termszetesen a kt forma kombinlhat is.) E mdszer alkalmazsa a felek szemlyes ismeretsge esetn fokozza a problma feldolgozsa kapcsn fontos szerepet betlt bizalmi faktort is, amely bizonyos intzkedsek megttelt gyorsthatja, vagy egyltaln lehetv teheti. gyelni kell azonban arra, hogy a telefon olyan biztonsgi szempontbl nylt adattviteli csatorna, amely minstett adatkezelst ignyl informcik tvitelre ltalban nem alkalmazhat. A telefon alkalmazsa nemzetkzi hvs esetn felvet(het)i mg az idznk krdst is. Ezt akkor lehet figyelmen kvl hagyni, ha a hvott fl a Szervezethez hasonlan ugyancsak 24/7 zemben dolgozik. Postai kldemny: Hasznlatra csak akkor van szksg, ha a kommunikcinak ktelezen papralapnak kell lennie, mert azt az adminisztrcis rendszer, vagy a klvilggal trtn kommunikci megkveteli. Publiklsi csatornk: A tapasztalatok s a szakmai tuds alapjn a szervezet publikcikat tesz kzz, melyek maximlisan figyelembe veszik az adatvdelmi trvnyeket (az gyfeleket nem rheti kr gykre vonatkoz adat nyilvnossgra kerlsvel). A csatornk tbbflk lehetnek:
39/296
(b)
(c)
(d)
IHM-MTA-E4-3.doc
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
Tudomnyos (elemz): az informatikai biztonsg terletn kutati szemszgbl nzve elrt eredmnyek, s az incidens-kezels tmakrbe tartoz kutats-fejleszts (K+F) szakmai cikkei sorolhatk ebbe a csoportba. Oktat (megelz): az tlagos kpzettsg felhasznl szmra is rthet s alkalmazhat tancsok, lersok s segdanyagok kre. Hrkzl (tnyszer): a megtrtnt, vagy a trendekbl vrhat esemnyek s a lehetsges vdekezsek tnyszer puszta hrkzl csatornja (pl. sajttjkoztat, ld. 5.4.2 d. pontjt).
5.2 Prioritsok
Ahhoz, hogy a felmerl problmk optimlis ton kerljenek megoldsra, meg kell hatroznunk fontossgukat. Erre a besorolsra nem kerlhet sor szubjektv alapon, mindenkppen valamilyen objektv besorolsi rendszerre van szksg. Ahhoz hogy egy ilyen kialaktsra kerljn, meg kell hatrozni, hogy milyen szempontok jrulnak hozz a fontossghoz. Esetnkben ezek a kvetkezk: rintettek kre: Klnbsget kell tenni az alapjn, hogy a problma ltal rintettek bele tartoznak-e a szervezet ltal kpviselt krbe, vagy nem. A kpviseltek kztt is fel lehet lltani fontossgi sorrendet. rintettek szma: Ugyancsak mrvad, hogy egy ember problmjrl van-e sz, egy kisebb csoportrl, netn az egsz kpviselt krt rint veszlyekrl. Problma slyossga: Meghatrozand, hogy a problma fennllsa milyen kvetkezmnyekkel jr, s ezek mekkora htrnyt ill. mennyi krt okoznak az rintetteknek. rintett szolgltatsok szma: Nyilvnvalan nem mindegy, hogy egy adott problma hny szolgltats hasznlhatsgt rinti. Bejelents ta eltelt id: Ahhoz, hogy egy incidens ne jusson jogtalan elnyhz egy msikkal szemben, valamilyen mdon figyelembe kell venni a korukat, vagy a szmukra kitztt hatridt. E szempontok figyelembevtelvel kell teht kialaktani egy olyan rendszert, amely alapjn meghatrozhat, hogy milyen sorrendben kell foglalkozni a megoldand esetekkel. Ezt a kvetkez besorolsi elvek valamelyike alapjn lehet megtenni: Prioritsi sor: A problmkat kategrikba kell sorolni (pl. levelezst, vagy weboldalt rint problmk), s ezekbl a fenti szempontok figyelembevtelvel kialaktani egy sort, amely alapjn aztn a feladatok elvgzsnek sorrendje meghatrozsra kerl. Fixpontos rendszer: A klnbz szempontokat kell felbontani csoportokra, s a csoportokhoz pontrtket kell rendelni. Egy problma prioritsa az t rint pontrtkek sszege lesz. Vltozpontos rendszer: Kezdetben gy mkdik, mint a fixpontos rendszer, azonban az id mlsval a pontok valamilyen szisztma szerint (pl. az utols vlasz ta eltelt id) nvekszenek (ill. esetenknt cskkennek). Vegyes rendszer: A problmkat kategrikba soroljuk, azon bell viszont valamely pontozsos rendszerrel trtnik a sorrend megllaptsa. A prioritsok tbbfle szempont szerint kerlhetnek meghatrozsra (ld.: Hivatkozsok/(c) 3.7.6 fejezet tblzatt). A Szervezet szmra kialaktott tblzat a 10.3 mellkletben tallhat.
IHM-MTA-E4-3.doc
40/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
5.3 Incidensek letciklusa (RTIR tmogats)

A berkez s vlaszt ignyl jelentsekre a vllalt hatridn bell (ltalban 24 ra) vlaszt kell kldeni. Az incidens berkezstl annak lezrsig terjed az incidens aktv letciklusa. Passzv letciklus alatt rtjk a ments s archivls alatti idszakot. Az letciklus az incidens trlsvel rne vget, de ez ritkn fordul el, pl. akkor, ha kiderl, hogy tves volt a bejelents vagy a rgzts, de ebben az esetben is adott id utn kerl vgleges trlsre az incidens, mert kiderlhet, hogy a tvesnek minsts volt tves Egy incidens megoldsa sem jelentheti az letciklus vgt, mivel ksbbi elforduls esetn is foglalkozni kell az adott problmval, mg akkor is, ha egy pont ilyen incidens mr megoldsra kerlt, s az adott bejelents mr lezrt. Az letciklus-szemllet szerint egy incidens a kvetkez llapotokkal rendelkezhet: Keletkezik: nem kell okvetlen megtrtnnie egy incidensnek ahhoz, hogy a rendszerbe kerljn; az incidenskezelsre val felkszls llapota gy is elkezddhet (pl. egy opercis rendszerben tallt slyos hiba nyilvnossgra kerlse s a hiba kihasznlsa idben nagyon tvol is lehet egymstl, de a hiba s a potencilisan okozhat incidens felvehet a rendszerbe12). Az incidens gy lehet tallt (a Szervezet tall r valamilyen forrsban vagy mdon), szlelt (a Szervezet szleli aktv munkja vagy az rzkelk ltal) vagy bejelentett (a Szervezet bejelentst kap az incidensrl). Kezels alatt ll: ekkor kezddik a bejelents 4.4.2 fejezetben rszletezett lete. Trolt: mentett (tuds-/adatbzisban), archivlt (ksbbi visszakeress, visszatlts esetre) vagy publiklt (pl. Web-szerveren). jra felbukkan: (ekkor van szerepe az eltrolt jegynek, s a hozz kapcsold teendknek s lehetsgeknek a bejelents kezelsben). Megszn/trlt: ez csak akkor kvetkezhet be, amikor az adott bejelentsben szerepl adatok nem rintenek mg mkd rendszereket (pl. az adott opercis rendszer, alkalmazs vagy protokoll mr nem rhet el mkd vltozatban)13. A fenti llapotokat szemllteti s foglalja ssze a kvetkez bra:
12 13
Az incidens els les megjelensekor mr elrhetk lehetnek az incidenskezels teendi is. Ebben az esetben is lehet tanulsga az adott esemnynek, mely ms esetben is alkalmazhat az jabb technolgikban is, ezrt a trlssel nagyfok krltekintssel kell eljrni, s vlheten elg ritka lesz a trlt bejelents.
41/296
IHM-MTA-E4-3.doc
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
bra 5. Az incidensek letciklusa
5.4 Munkarend
A Szervezet munkatrsai a megfelel munkarend szerint vgzik a segtsgnyjtst. A munkarend szablyozza, hogy miknt plnek fel az egyes mszakok, hogyan trtnik a vlts a mszakok kztt stb. A szervezeti felpts alapjn (ld. 3.1 fejezet) adott, hogy ki kinek a beosztottja vagy felettese, s ez alapjn ki kitl miknt fogadhat s fogad el utastsokat. Alapelv, hogy minden vltott mszakban dolgoz munkatrs gy vgzi munkjt, hogy az tads s az tvtel zkkenmentes legyen. A (minsgbiztostsi) szablyok ennek szellemben alakulnak ki. A napi munkavgzsen kvl vannak ms idszakonknt vgzend feladatok is, melyek nem tads-tvtel alapak, hanem elvgezve-ellenrizve rendszerek. 5.4.1 Tevkenysgek s idszakok Nem minden tevkenysgnek lehet meghatrozni az idszakt. Pldul a vszhelyzet brmikor elfordulhat, de mgsem napi tevkenysg a katasztrfaterv vgrehajtsa. A katasztrfaterv szerint vszhelyzet esetn elre meghatrozott rott riasztsi rend alapjn kell a megfelel munkatrsakat vagy vezetket rtesteni s bevonni a munkba. A riasztsi rendben szerepl adatok rvnyessge fontos tnyez a vszhelyzetben. A riasztsi rendben szereplk ktelessge, hogy jelentsk, ha elrsi adataikban vltozs llt be, de adott idkznknt gy is ellenrizni kell, hogy vszhelyzet esetn a riasztsi rendben szerepl adatok alapjn az illetkes ember valban elrhet lenne-e. Ajnlatos vente egy vszhelyzet-gyakorlat lefolytatsa, s negyedvente az adategyeztets/ellenrzs elvgzse. Egyes feladatok naponta, msok akr vente egyszer vgzendk, de az ves munkarend rszt kpezik. A kvetkez tblzat az ltalnos tevkenysgeket s azok gyakorisgt foglalja ssze:
IHM-MTA-E4-3.doc
42/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
Kd
Lers
Idszak
T1
Berkez esemnyek kezelse, mely egyben a napi munkavgzs dokumentlsa is lehet. Elektronikus formban a telefonos bejelentsek is a munkavgzs dokumentlst segtik, de a rgzts rendszere az adatvdelmi irnyelvek alapjn mkdik, ezrt az gy keletkezett adatok archivlsnl az rzkeny adatok kezelst meg kell oldani (pl. kiszrni, vagy csak megfelel jogosultsg szemly szmra biztostani az elrst). Jelentsek ksztse: a munka sorn felmerl ignyek szerint sszestett adatok alapjn Ments s archivls (vente legalbb egyszeri visszatlts-tesztelssel14): napi ments biztonsgos krnyezetben s adathordozra a hetedik napi ments egyben heti ments havi teljes ments Vszhelyzet: lersa adott, gyakorlsa vente legalbb egyszer Adategyeztets (riasztshoz): vltozs esetn bejelents alapjn (rintettnek ktelez) vente szemlyes egyeztetskor (opertornak ktelez)
naponta
T2
egyedi, havonta naponta, hetente, havonta eseti egyedi 3 havonta
T3
T4 T5
T6
Oktats, tanfolyam: ves oktatsi terv alapjn bels s kls oktats egyedi kimen csatornn ld. 5.1.2 fejezet (d) pontja rszvtel szakmai szeminriumokon, konferencikon (oktatsi tervvel sszhangban, de ves vagy tbbves15 naptr alapjn)
Tblzat 2. Tevkenysgek s idszakok
5.4.2 Kommunikci az gyfelekkel A bejelentsek tja az 4.4.2 fejezetben kerlt rszletezsre, mg a titoktartsi szablyokat kln dokumentum tartalmazza, melyet minden belp tudomsulvtel utn alr, de a kommunikci tekintetben mg ki kell emelni a kvetkezket: (a) Vlaszid: a bejelentsekre elzetesen (szablyzatban, honlapon) kijelentett idtartamon bell vlaszolni kell. A bejelents slyossgtl s vrhat hatstl fggen kell az erforrsokat biztostani, de mindenkppen ajnlatos a 24 rn belli vlaszads felvllalsa. Vlaszok: a bejelents-tpustl fggen alkalmazhatk a tpusvlaszok is, de ezek idvel alakulnak ki (pl. msik CERT-hez irnyts, vagy nem a szervezet hatskrbe tartoz bejelentsek kezelse stb.), bvlnek, vltoznak, gy itt csak tudni kell rla, hogy lteznek tpuslevelek. Jogosultsgok: meg kell hatrozni, hogy a szervezeti felpts szerint kinek van jogosultsga adott kls fllel kommuniklni (pl. opertor ltal tjkoztatott rendszergazda, vagy mszaki felels ltal tjkoztatott osztlyvezet). A szakember a
(b)
(c)
14 15
A ments s archivls azrt kszl, hogy szksg esetn hasznlhat legyen, teht nem egyirny feladat. A rendszeres nevesebb konferencik akr tbb vre elre is betervezhetk.
43/296
IHM-MTA-E4-3.doc
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
szakembert rti meg jobban, a vezet a vezetvel szeret inkbb egyeztetni. A bejelentsek felvtele s kezelse opertori feladat, de a vlaszok s teendk kommuniklsa vezeti feladat lehet, amennyiben a bejelent beosztsa is vezet. (d) (e) Mdia: kizrlag a legfelsbb vezet vagy annak megbzsbl valamelyik kzpvezet nyilatkozhat. Minden egyb informciszolgltats felelssgre vonst von maga utn. Publikci: a szervezeten belli munka kapcsn vagy annak adatai alapjn kszlt publikcik a felettes jvhagysval nyjthatk be (ide rtend mr a puszta cmmel trtn elzetes jelentkezs jvhagysa is). Dnts-elkszts: A Szervezet helyzetbl add lehetsges specilis feladata a mkdse sorn tapasztaltak nemzeti szablyozsra (trvnyek, rendeletek stb.) kihat esemnyek dntshozk (trvny/rendelet elksztk) fel jelzse (ld. mg 6.2). E kommunikci lnyege, hogy a Szervezet felhvja a dntshozk figyelmt azon terletekre, amelyeken a hazai szablyozs jelentsen eltr a nemzetkzi gyakorlattl, illetve amely terleteken a szablyozs idejtmlt, esetleg hinyos. Klnsen igaz ez a megllapts akkor, ha a Szervezet valamely esemny kezelse sorn a megoldsban rintett partnertl ez irny kifejezett krst kap vagy kapott.
(f)
5.4.3 Miben segthetnek az gyfelek? A szolgltatsi krbe tartoz gyfelek fel a kvetkez tzparancsolatot kell kommuniklni, s ez alapjn kezelni a bejelentseiket, felhvva figyelmket arra, hogy ezek betartsval a segtsgnyjts hatkonyabb lehet. Kzs rdek a kvetkezk alkalmazsa: 1. 2. 3. Mindent dokumentljanak. Az incidenssel kapcsolatos minden informci hasznos lehet a tovbbi munka sorn. Keressenek segttrsat az incidenskezelshez. Pldul az egyik intzkedik, a msik dokumentlja a munkt. Elemezzk a bizonytkokat. Meg kell gyzdni arrl, hogy valjban mi trtnt (pl. jellemz jelensgeknek utna kell nzni internetes kereskkel, intzmnyen belli kollgkat meg kell krdezni, elrhet dokumentcikban utna kell nzni, mi okozhatta a tapasztalt jelensget). rtestsk az rintett alkalmazottakat. A vezetket s az illetkeseket (helyi szablyzat vagy katasztrfa-terv szerint) tjkoztatni kell, de diszkrt mdon csak azokat, akiket szksges s olyan csatornkon, melyek biztonsgosak. lltsk meg a tmadst, amennyiben mg folyamatban van. A legegyszerbb lehetsg a hlzati kapcsolat megszaktsa16, ms esetben a tzfal vagy az tvlaszt tlltsa lehet a megfelel megolds a nem kvnt forgalom kiszrsre. Gyjtsenek bizonytkokat. Az rintett rendszerrl ments (teljes lemez /image/, nem puszta fjl-ments), a naplllomnyokrl msolat hasznos lesz a ksbbiekben. Takartsk ki a rendszert. Minden vrus, vagy egyb krtkony alkalmazst ki kell tiszttani a rendszerbl. Amennyiben teljes mrtk a kompromittlds, gy az alapoktl jra kell telepteni a rendszert, vagy vissza kell tlteni mentsbl a legutols mg jl mkd vltozatot.
4.
5.
6. 7.
Egyes esetekben a tmad kiltnek kinyomozsa rdekben ez nem tancsos, radsul gy szleli a tmad, hogy tmadst szleltk, gy a hlzati kapcsolat megszaktsa csak a szablyzatban foglaltak szerint trtnhet (pl. csak felsvezet vagy biztonsgi felels engedlyezheti).
16
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
8.
Azonostsk s csillaptsk a sebezhetsgeket. Az incidens vlheten valamilyen sebezhetsgen keresztl kvetkezett be, gy meg kell elzni, hogy ugyanezt kihasznlva jra elfordulhasson. Legyenek bizonyosak, hogy a rendszer jra normlis mkds. Bizonyosodjanak meg rla, hogy az adatok, alkalmazsok s szolgltatsok normlis mdon elrhetk s mkdnek.
9.
10. Ksztsenek sszegz jelentst. Ennek rszleteznie kell az incidenskezels eljrst, s kitrhet arra is, hogy mi trtnt, s milyen mdon lehetett volna elkerlni az incidens bekvetkeztt, cskkenteni a krokat, vagy gyorsabban megoldani a problmt. A szolgltatsi krbe tartozk ms-ms mrtkig tudjk ezeket a pontokat teljesteni, gy a fentiek kzl annyit teljestsenek, amennyit tudnak, a tbbiben a Szervezet segt nekik.
IHM-MTA-E4-3.doc
45/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
A Szervezet jogai, jogosultsgai, ktelessgei
A Szervezet mkdst a hazai s nemzetkzi jogszablyok keretein bell vgzi, s minden egyb jogosultsgot a szolgltatsi krbe tartozktl vagy azok felgyeleti szervtl kaphat. Ezeket a jogosultsgokat rsban kell rgzteni, s a megfelel vezeti szinten alrssal hitelesteni.
6.1 Irnyad jogszablyok

A pontos jogszablyi krnyezet teljes ismertetse nem rsze az alapszablyzatnak, de kiemelhetk azok az rvnyben lvk, melyeket figyelembe kell venni a mkds sorn. Ezeket jl foglalja ssze az Informatikai Biztonsg Rszstratgia [MITS_IBRS] 1. mellklete, de szlesebb krben az Internet joggal foglalkoz gyjtemnyes Web-lap is elrhet (http://internetjog.lap.hu). Nhny jogszablyt azonban ttelesen is rdemes kiemelni: Adatvdelmi trvny (1992. vi LXIII. trvny a szemlyes adatok vdelmrl s a kzrdek adatok nyilvnossgrl) llamtitokrl s szolglati titokrl szl trvny (1995. vi LXV) Cybercrime egyezmny (Szmtstechnikai Bnzsrl Szl Egyezmny, Convention on Cyber-crime 2001), melyet Budapesten rtak al17 Hacker trvny, azaz a 300/C (2001. vi CXXI. trvny a Bntet Trvnyknyvrl szl 1978. vi IV. trvny mdostsrl) [ENISA] ltrehozsnak szablyozsa (Regulation (Ec) No. 460/2004 of the European Parliament and of the Council of 10 March 2004, establishing the European Network and Information Security Agency) Az ebben a fejezetben hivatkozott forrsokban felsoroltakon kvl ltezhetnek mg olyan szablyok, melyek jknt jelennek meg, vagy rgebbieket mdostanak, gy az rvnyes s a mkdst befolysol jogszablyokat folyamatosan figyelni kell. Erre a feladatra a Szervezet ltal megbzott jogsz szakembert kell alkalmazni, aki a szksges bels oktatsokat is megtartja az alkalmazottak szmra. EU csatlakozsunk utn a CSIRT-ek szmra ksztett tanulmny [CSIRT_trv] kvetkez kiadsba mr Magyarorszg is bekerl, gy a tbbi orszg trvnykezsi rendszervel is sszehasonlthatjuk a hazai rendszert s a szablyok ltal lefedett, vagy ppen le nem fedett terleteket (ld. az idzett tanulmny 1. tblzatt).
6.2 Jogosultsgok s ktelessgek

Az irnyad jogszablyok alapjn a jogosultsgokhoz szksges a mkdsi terlet meghatrozsa s a szolgltatsi krbe tartozk megnevezse. Ezzel kapcsolatban a kvetkez alapttelek fogalmazhatk meg: A mkdsi terlet elssorban az alapt intzmnyhez tartoz intzmnyek, gy a mkdsi terlet ezen intzmnyek ltal meghatrozott terletre terjed ki. A Szervezet az orszg EU tagsga okn valamint az ENISA-ban betlttt szerepnk miatt is egyttmkdik a tbbi eurpai CERT-tel.
17 Albnia, Andorra, Ausztria, Azerbajdzsn, Belgium, Bulgria, Horvtorszg, Ciprus, Csehorszg, Dnia, sztorszg, Finnorszg, Franciaorszg, Grgorszg, Grzia, Hollandia, Izland, rorszg, Lettorszg, Liechtenstein, Litvnia, Luxemburg, Lengyelorszg, Magyarorszg, Macednia, Mlta, Moldvia, Nagy-Britannia, Nmetorszg, Norvgia, Olaszorszg, Oroszorszg, rmnyorszg, Portuglia, Romnia, San Marino, Spanyolorszg, Svdorszg, Szlovkia, Szlovnia, Svjc, Trkorszg, Ukrajna.
IHM-MTA-E4-3.doc
46/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
A nemzetkzi terrorizmus-ellenes kzdelemben vllalt szerepnk miatt az EU hatrain kvl is egyttmkdnk a tbbi hasonl szervezettel. A Szervezet az alapt intzmnyen bell mkdve biztonsgi kzpontknt (Point-ofContact) mkdve fogadja a bejelentseket. Az adatvdelmi trvnyek betartsval informci-gyjtst vgez az orszgos informatikai biztonsghoz kapcsold adatokrl, informatikai biztonsgi szakrtkrl (nkntes bejelentkezs, ld. 10.10 mellklet), potencilis veszlyekrl (vdend elemekrl). Az informcik alapjn vgzett elemzsekbl szrmaz adatokkal tmogatva javaslatttellel l a dntshozk fel, akr trvnymdosts elksztshez szksges szakrti tevkenysg ltal is. A szolgltatsi krbe tartoz informatikai rendszereket rt tmads kapcsn a tmads kzvetlen forrsnl a nyomozshoz szksges informcikat elkrheti (trvny ltal erre jogosultakkal s a szolgltatkkal egyttmkdve), a kzvetett forrsok esetben segtsget s egyttmkdst kr a kzvetlen forrs feldertsnek rdekben. A felgyelt informatikai rendszerekben a felgyelet mrtktl s az incidenstl fggen aktv beavatkozst hajt vgre (pl. belltsok vltoztatsa, rendszer frisstse, kiegsztse, vagy akr a hlzatelrs blokkolsa). Tbb pontban a jogosultsgok egyben ktelessgek is, teht nemcsak jogosult az incidensek kezelsben, de ktelessge is megtenni azt, vagy legalbb a megfelel helyre tovbbtani a bejelentst.
IHM-MTA-E4-3.doc
47/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
Anyagi felttelek biztostsa
A Szervezet mkdshez szksges anyagi felttelek tbb forrsbl szrmaznak vagy szrmazhatnak. Mivel a szolgltatsi krbe fknt az alapt intzmny tartozik, ezrt a megalakulst dnten az alapt intzmny finanszrozza. Az oktatsi, kutatsi tevkenysgn keresztl felsoktatsi, kutatintzeti, mg a nemzetkzi kapcsolatain keresztl klfldi partnereivel is olyan helyzetbe kerlhet, amikor plyzatokon val rszvtelre, vagy nyertes plyzati munkban val egyttmkdsre hvjk meg. Ebben az esetben a Szervezet az alaptevkenysg elltsa utn fennmarad erforrsaival vehet rszt ezekben a munkkban s kooperciban, de a rszvtel anyagi vonzatait (utazsok, emberi erforrsok) s bevteleit (plyzati tmogatsok s/vagy alvllalkozi munkadjak) legalbb nullszaldval kell zrni. Nagyobb EU finanszrozs projektek esetben ez a tevkenysg nett bevteleket jelenthet. Az orszg EU-bli helyzetnl fogva a frissen csatlakozott s a leend csatlakozk szmra a Szervezet helyi kzpont (center of expertise) szerepet is betlt, gy ilyen irny plyzatokbl s anyagi tmogatsokbl is rszesedik, illetve a rgi orszgai szmra is vgezhet szolgltatsi krbe es munkt. Az ilyen feladatok klnsen rzkenyek az adatvdelemre, titoktartsra, nemzetbiztonsgi vonzatokra, gy az ez irny feladatvllals eltt a megfelel szervezetekkel egyeztetni szksges. Rgikzpontknt jelentsek lehetnek a hosszabb szeminriumok, vagy konferencik szervezse ltal elrhet bevtelek, mg regionlis felkszt s vizsgakzpontknt az oktats al sorolhat bevtelek is szmottevk lehetnek. Fontos kiemelni, hogy a Szervezet bevteleit s kiadsait olyan elven kezeli, hogy ne intzmnyi tmogatsbl finanszrozzon klfldi projektekben val rszvtelt, hanem a pozitv bevtelek esetben a hazai ignyeket elgtse ki (pl. elnyert EU plyzatokba hazai kutatkat s intzmnyeket von be a munkba). sszegezve, a mkds sorn a Szervezet bevteli forrsai a kvetkez fbb csoportokba sorolhatk: alapt intzmnyi tmogats, plyzati (kutats-fejleszts, meghirdetett hazai vagy nemzetkzi plyzatokon vagy projektekben val rszvtel), nemzetkzi (EU tmogatsok, rgibeli megbzsok), piaci (szabad erforrsok fggvnyben piaci szolgltatsok, aktv incidenskezels, tancsads, oktats tmkban). A pontosabb (szmszerstett vagy kplettel meghatrozhat) sszegek a mkds sorn alaktandk ki, amikor tapasztalati adatokon alapulhat egy olyan szmts, hogy a szabad erforrsok milyen kltsgtalnyokkal rtkesthetk a piaci terleteken. Ezeket a szmtsokat ves fellvizsglatokkal s azok tapasztalatai alapjn kell pontostani, vagy j szolgltatsok bevezetsvel a nemzetkzi tapasztalatokra hagyatkozva a honi sajtossgokat figyelembe vve kialaktani. Mindezt a Szervezet zleti terve foglalhatja magba. Egyes publikcik azt lltjk, hogy nem hatrozhat meg pontosan egy-egy incidens kezelsnek kltsge, mg tbb olyan tanulmny is elrhet, melyek erre ksrletet tesznek. Az alapkrdsek megvlaszolsa utn kvetkezhet az sszegek meghatrozsa s a kltsgszmts, mely szmos paramtertl fgg (rgi megfelel szakembereinek bre, telekommunikcis kltsgek, alkalmazott eszkzk megoldsra fordtott idarnyos ra stb.), de a krdsek ezektl fggetlenek: Kik dolgoztak a vlaszadson vagy az incidens kivizsglsn?
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
Mennyi idt fordtottak r? Hny ember nem tudta a munkjt vgezni az incidens miatt? Mennyi hasznos munkart vesztettek a kiesssel? Mennyi a munkark dja (dolgozk szma * rabr)? Mennyi lland tbbletkltsg kerl kifizetsre a dolgozk fel (biztostsok, betegllomny stb.)? A [SF_kolts] cikkben tallhat bvebb lers s hivatkozs tovbbi hasznos cltanulmnyokra, melyek alapjn a konkrt szmtsok elvgezhetk. A kltsgelemzshez rtkes alapadatokat szolgltathat a Szervezet munkjt segt nyilvntart rendszer rszeknt zemel statisztikai modul. A kltsgek esetn jelents sszeget emszt fel az alkalmazottak tudsnak szinten tartsa s a kapcsolattarts a tbbi szervezettel, melynek keretben a konferencia-rszvtelek s utazsok kpviselik a nagyobb sszeget (ld. mg 8.5 pont). A Szervezet tevkenysgvel olyan kpet kell kialaktson magrl, hogy megbzhat s napraksz informcikat kpes szolgltatni az Internet biztonsg tmakrben. Hossz tvon ez azt eredmnyezi, hogy a piac az informcikat keresni fogja, ezltal a Szervezet a szolgltatsait kpes lesz profitorientltan (pl. tagdj, szolgltatsi csomagok rtkestse, elfizetett hrlevl, oktats stb.) rtkesteni a piac rdekelt szerepli szmra.
IHM-MTA-E4-3.doc
49/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
Kapcsolattarts mdjai
8.1 Bevezets
Az intzmnyi szmtgpes infrastruktra a vilg hlzataival szoros sszekttetsben ll. A hlzati tmadsok nem ismernek orszghatrokat, ezrt az infrastruktrnak megbzhatnak, biztonsgosnak s bizonyos mrtkig ngygytnak kell lennie. A lehetsges tmadsok amelyek irnyulhatnak a hlzati infrastruktra feltrkpezsre, gyenge pontjainak feldertsre, a szolgltatsok akadlyozsra, hts ajtk beteleptsre idejben val feldertse s az arra adand gyors vlasz nemegyszer azon mlhat, hogy milyen kapcsolata van a Szervezetnek a nemzetkzi incidenskezel csoportokkal s szervezetekkel (ld. 10.8 mellklet). 8.1.1 A kapcsolattarts cljai Egytt kell mkdni a nemzetkzi szmtgpes hlzatbiztonsgi szervezetekkel az informcis infrastruktra vdelme s a biztonsgi kultra terjesztse rdekben. Szorosabb kapcsolatot kell kipteni s fenntartani az Eurpai Uni hlzatbiztonsggal foglalkoz intzmnyeivel. Figyelemmel kell ksrni az EU e tren vgzett jogalkotst s a hazai szablyozstl val eltrseit. Klns figyelmet kell fordtani a alapt intzmnyhez hasonlatos klfldi CERTekkel val kapcsolattartsra, kzs problmk feltrsra, megoldsra. Az incidensek kezelse sorn szksgess vlhat az egyes, illetkes hlzatbiztonsgi csoport feldertse (ismerni kell fellelhetsgk, ellenrzsk mdjt).
8.2 Nemzetkzi hlzatbiztonsgi szervezetek, trsulsok

A Szervezet clja, hogy aktv tagja legyen a CERT-eket tmrt szervezeteknek s kapcsoldjon ilyen trsulsokhoz. Az albbiakban a FIRST-t kivve csak a legfontosabb eurpai tmrlseket soroljuk fel. 8.2.1 FIRST Az 1990-ben alakult FIRST (Forum of Incident Response and Security Teams), az incidenskezel csoportok szvetsge, amely a szmtgpes incidensek kezelst s az incidensek megelzst tzte ki clul. Ennek rdekben: technikai informcikat, eszkzket, eljrsokat, folyamatokat s helyes gyakorlatokat fejlesztenek ki s terjesztenek, tmogatjk a biztonsgi termkek, eljrsok s szolgltatsok fejlesztst, elsegtik incidenskezel csoportok alaptst, bvtst, tudsukkal, ismereteikkel egy megteremtsre trekednek. vdett s biztonsgos elektronikus krnyezet
A FIRST-ben teljes (full) s prtol (liaison) tagok vannak. A belps sorn a krelmezsen tl [FIRST_mem] a tagok kzl ajnl(ka)t kell szerezni. Az ves tagdj jelenleg 240$ illetve 900$.
IHM-MTA-E4-3.doc
50/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
8.2.2 TERENA TF-CSIRT s Trusted Introducer A TF-CSIRT projektet az eurpai CERT-ek rszre a TERENA (Trans-European Research and Education Networking Association) Technikai Programjnak tmogatsval [TF_CSIRT] indtottk tjra az albbi clokkal: frumot biztostson a tapasztalatok s ismeretek kicserlshez, ksrleti szolgltatsokat nyjtson az eurpai CERT-ek szmra, szabvnyokat s eljrsokat hatrozzon meg az incidensekre adand vlaszokhoz, tmogassa az j CERT-ek ltrehozst s biztostsa a CERT munkatrsak tovbbkpzst, kzs kezdemnyezseket valstson meg, az Eurpai Uni s ms dntshoz szervezetek, valamint az eurpai CSIRT-ek kztt kzvett szerepet tltsn be. A TF-CSIRT Trusted Introducer elnevezs projektje az eurpai CERT-ek nyilvntartst vgzi. A CERT-eknek hromfle sttusza lehet: bejegyzett, akkreditlsra kszl s akkreditlt. A bejegyzshez csak egy formalap kitltse szksges, a tovbbi szintek elrsnek mr felttelei vannak. [CSIRT_lev] 8.2.3 EGC CSIRT Az eurpai kormnyok CSIRT csoportja, az EGC 2002-tl kezdve hat taggal mkdik (Finnorszg CERT-FI, Franciaorszg CERTA, Hollandia GOVCERT.NL, Nagy-Britannia UNIRAS, Nmetorszg CERT-Bund, Svdorszg SITIC). Cljuk a kormnyzatokat rint incidensek kzs kezelse. vente ngy alkalommal tancskoznak. Egyttmkdnek a TF-CSIRT-tel is, de nem kvnjk, s nem is tudjk azt a szerepet betlteni, mint az APCERT zsiban, vagyis hogy a fldrsz egyetlen CERT kapcsolati pontja legyenek. [EGC] 8.2.4 eCSIRT.net 2002. jliusa s 2003. decembere kztt az 5. keretprogram jvoltbl tbb eurpai CSIRT kapott tmogatst egy ksrleti projekt megvalstshoz. A projekt a CSIRT-ek hatkony egyttmkdst, az incidenseket rint adatok cserjt, a statisztikai adatok gyjtst s egy tudsbzis kialaktst clozta meg. A projekt sikeresen lezrult, s a projekt keretben fellltott IDS szenzorok eurpai hlzata azta is folyamatosan gyjti a tmadsokra vonatkoz adatokat tovbbi elemzs cljbl. [CSIRT_sen] A rsztvevk listja: CSIC/IRIS-CERT (E), DFN-CERT (D), INFN/GARRnet CERT (I), Stelvio b.v. (NL), NASK/CERT-Polska (PL), PRESECURE Consulting GmbH (D), RENATER/Le CERT Renater (F), UKERNA/JANET-CERT (UK), UNI-C/DK-CERT (DK) 8.2.5 EISPP Az EISPP-t (The European Information Security Promotion Program) szintn az 5. keretprogram tmogatta. [EISPP] Az EISPP nemcsak a biztonsggal kapcsolatos tuds terjesztst clozta meg, hanem az informci tartalmnak s sztosztsnak mdjt prblta meghatrozni, elssorban a kiss kzpvllalkozk fel. A 2002 jniusban megindult projekt 2003 vgn fejezdtt be. A projektet a CERT-IST vezette, rszt vett benne tbbek kztt esCERT s a Siemens-CERT.
IHM-MTA-E4-3.doc
51/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
8.2.6 ENISA Az Eurpa Parlament s Tancs 460/2004. szm rendeletben 2004. mrcius 10-n ltrehozta az Eurpai Hlzat- s Informcibiztonsgi gynksget, az ENISA-t (European Network and Information Security Agency). [ENISA] Az ENISA elssorban a kvetkez tevkenysgekre sszpontost: 1. tancsokkal ltja el a tagllamokat s a Bizottsgot az informatikai biztonsg terletn fellp problmk megoldsnl. 2. elsegti az iparral folytatott trgyalsokat, hogy biztonsgos hardver s szoftver termkek kerljenek gyrtsba, 3. sszegyjti s elemzi az incidenseket s a felmerl veszlyeket Eurpban, 4. segti a kockzatelemzsi s kockzatkezelsi eljrsok kialaktst, hogy hatrozottabban lehessen fellpni az informatikai biztonsgot rint fenyegetsekkel szemben, 5. tmogatja az informatikai biztonsg klnbz terletein munklkod szervezetek/egynek tudatossgnak fejlesztst, egyttmkdst, klnsen a PPP viszonylatban. A CERT-ek az ENISA minden tevkenysgben, de elssorban a harmadik pontban rdekeltek.
8.3 Az incidensekkel kapcsolatos szabvnytervezetek

Sajnos, ma mg nem ll rendelkezsre mindenki ltal elfogadott szabvnyos eljrs arra, hogy a CERT-ek informciikat egyms kztt kicserljk, az incidensre vonatkoz adatokat valamilyen elrt mdon gyjtsk s kzztegyk. Sokan beltjk, hogy a feladatok szabvnyostsa egyszersten a csoportok kzti kommunikcit, s ezrt egyre tbb ebbe az irnyba mutat kezdemnyezs lt napvilgot. A Szervezetnek figyelemmel kell kvetnie a szabvnytervezetek alakulst, gy megismerheti az aktulis trendeket, vlemnyt tud alkotni azok alkalmazhatsgrl, tapasztalatait az illetkesekhez eljuttatva befolysolni tudja a vgleges vltozat kialakulst. A kvetkezkben nhny szabvnyostssal foglalkoz csoport munkjt mutatjuk be. 8.3.1 INCH WG (IETF Incident Handling Working Group) A munkacsoportot [INCH_WG] feladata egy olyan adatformtum definilsa, amelyet a CERT-ek majdan az incidensre vonatkoz informcik kicserlsnl hasznlhatnak. Munkjuk elzmnye a TERENA TF-CSIRT projektje keretben meghatrozott IODEF formtum. Ez az j formtum tartalmazni fogja: az incidensben szerepet jtsz forrs s clrendszert, viselkedsk elemzst, a bizonytkokat, az incidens vizsglatnak s elemzsnek smjt, egyb olyan adatokat, amelyek megknnytik az informcicsert (pl. adat rzkenysge). Az adatformtumot a kvetkez kommunikcikban alkalmazzk: a CSIRT-hez a hatskrbe tartoz szervezetek rszrl trtn bejelentseknl, a CSIRT s az incidensek vizsglatba bevont felek (rendrsg, rintett felek) kzti kommunikciban, CSIRT-ek kzti egyttmkdsben.
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
8.3.2 IETF Intrusion Detection Workgroup (IDWG) Az IDWG [IDWG] csoport clja, hogy olyan adatformtumot s adatkicserlsi eljrsokat hozzon ltre, amivel az incidenseket rzkel rendszerek (IDS-ek) kztti informcicsere emberi beavatkozs nlkl megvalsulhat. Teht az INCH-csel szemben itt a hangsly a rendszerek kzti kommunikcin van (A definilt adatformtum neve: IDMEF). Az IODEF s az IDMEF sszehangolsval a Terena TF-CSIRT programja foglalkozott. Rviden sszefoglalva: az IODEF-tl elvrjk, hogy az IDMEF-fel kompatibilis legyen, s kpes legyen az IDMEF zeneteket rtelmezni, a msik irny kompatibilits nem kvetelmny, vagyis az IDS-eknek nem kell rtenie az IODEF zeneteket. 8.3.3 Common Advisory Interchange Format (CAIF) A CAIF [CAIF] a biztonsggal kapcsolatos tanulmnyok struktrjnak meghatrozsra, trolsra s tovbbtsra szolgl. (A biztonsggal kapcsolatos dokumentum elnevezsre az angolban az advisory szt hasznljk, ami egy szmtgpes biztonsgi problma lerst, vagy megoldst jelenti.) A formtum meghatrozsnl a kibocst, a terjeszt s legfkppen az olvas szempontjait vettk figyelembe (olvas: ki kldte a tanulmnyt, autentikus-e, rdekes-e az olvas szmra, vrnak-e vlaszt; a terjeszt: szabadon vagy csak korltozottan terjeszthet, konvertlhat). A formtum a ktelez alapelemek mellett szabad-szveges elemeket is tartalmaz(hat), s XML alap. 8.3.4 Automated Incident Reporting (AirCERT) Az AirCERT [AirCERT] a biztonsgot rint esemnyekre vonatkoz informcik sztosztsra alkalmas elosztott, sklzhat rendszer. Segtsgvel az IDS-ek ltal generlt informcik tovbbthatk. A rendszer tbbfle formtum (IODEF, IDMEF s SNML) tovbbtsra kpes. 8.3.5 Bizonytkok gyjtsnek s trolsnak irnyelvei (RFC 3227) Az IETF RFC-i kztt ez a dokumentum [RFC3227] a best practice, azaz a helyes gyakorlat besorolst kapta. A dokumentum clja, hogy irnymutatst adjon az [RFC2828] szerint security event cmsz alatt definilt biztonsgi esemny gyjtsre s archivlsra.
8.4 Informciforrsok a sebezhetsgekrl

A Szervezetnek napraksz informcikkal kell rendelkeznie az Interneten jelentkez sebezhetsgekrl, tbb host-ot rint, vagy nagyobb krokat okoz tmadsfajtkrl, megszntetsk lehetsges mdjairl. E feladat elltshoz nyjt segtsget a Hivatkozsok rsz utols bekezdsben emltett hasznos informciforrsok cm alatti lista. Nhny nevesebb elem (levelezsi listk, weblapok, konferencik stb.) elrhet a 10.6 mellkletben.
8.5 Konferencik, rendezvnyek

Az intzmnyi CERT tagjainak mint brmely ms CERT csoport tagjainak a konferencikon val rszvtel a szemlyes kapcsolatok ptst, polst jelentheti, a tovbbkpzst biztostja, felhvja a figyelmet az j tendencikra, j kutatsi eredmnyekre, a kszl vagy letbe lptetett szabvnyokra. Ezrt aztn klnsen fontos, hogy a tagok vente nhny konferencira eljussanak18.
A konferencikon val megjelens (eladssal vagy ltogatknt) szablyozott, az ott folytatott trgyalsoknl be kell tartani az rzkeny adatokra vonatkoz szablyokat. A kapcsolatok kezdetn a Szervezet hivatalos s engedlyezett formtum s adattartalm ktnyelv nvjegyeit kell hasznlni.
18
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
A konferencia kivlasztsa fgg a rendezvny f tmjtl, a konferencia sznhelytl, de figyelembe kell venni, hogy kiknek ajnljk a rszvtelt, s milyen haszonnal jrhat a Szervezet munkjban, ha azon kpviselteti magt. (ld. 10.6.3 mellklet)
8.6 Oktats, kutats, tovbbkpzs

A CERT csoportok kpzse/tovbbkpzse kiemelten fontos a sikeres vdekezsben. Nagyon sok informci rhet el az Internetrl, ezek tudatos gyjtse s rendszerezse rszben ptolhatja a profi szervezetek ltal nyjtott kpzst. A tanulshoz az albbi segdeszkzk alkalmazhatk: Tanulmnyok (advisories): azokat az anyagokat hvjk gy, amelyek a szmtgpes biztonsg egy adott krdst alaposabban elemzik. Ezek ltalban hosszabb let dokumentumok, aktualitsukat sokig megrzik. Konferencia-eladsok: ld. 8.5 pont. Mhelymunkk (workshop): kzvetlensgk miatt nha hasznosabbak a konferenciknl. A kis ltszm csoportban a krdsek alaposabban elemezhetk, mlyebb informcik szerezhetk. A TERENA TRANSIT projekt (ld. 8.2.2) pldaknt szolglhat, ahol a CSIRT csoportok munkatrsai korltozott ltszmban vente ktszer ingyenes tovbbkpzsen vehetnek rszt. Helyzetgyakorlatok: alapos elkszt munkt ignyel. A csoport tagjai eltt egy rvid helyzetkpet ismertetnek, majd ezutn krdsekre kell vlaszolniuk. A jelenlvk a krdsekre adand vlaszt megbeszlhetik, s gy alakthatjk ki vgleges llspontjukat. A gyakorlat sorn kitnik, hogy mit tehet a csoport egy adott helyzetben, ezt hogyan lehet a biztonsgi irnyelvekkel, eljrsokkal egyeztetni, milyen hinyok vagy esetleges ellentmondsok vannak a krdses helyzet s a rgztett irnyelvek, eljrsok kztt (ld. Hivatkozsok/(a) B szcenrik). Mintahelyzetek lehetnek: intzmnyen bellrl indul spam, feltrt szerver, kls DDoS tmads, vrusterjeds stb. Knyvek: a szakirodalom fknt klfldi forrsbl, angolul rhet el, de akad nhny hazai munka s fordts is, gyakran egyetemi jegyzet formjban is. Tanfolyamok/vizsgk: a tanfolyamok kivlasztsa tbb tnyez fggvnye, gymint: o kit kpeznek (vezet, technikai szemlyzet), o milyen tmban, s clbl, o milyen elismereteket feltteleznek a rsztvevrl, o tvoli elrssel (on-line mdon), vagy a helysznen tanul, o kvn-e valamilyen bizonytvnyt megszerezni. Egyb ismeretek: ide tartoznak a jogi s kzgazdasgi ismeretek mellett az olyan specilis ismeretek, melyeket cltanfolyamokon lehet megszerezni. Ezek kzl a legfontosabb az opertoroknak tartand trning, amely keretben a kommunikcis s problmakezel kszsgk (telefonos, szemlyes, E-mail-es) fejleszthet. A megszerzett tudst tbbnyire akkor ismertethet el, ha a klvilg fel dokumentummal is igazolhat. A Szervezet ltal tmogatott, javasolt, vagy elnyben rszestett tanfolyamok s vizsgk a 10.11 mellkletben kerltek felsorolsra. Kln tmakr a kutatsok s fejlesztsek (K+F) terlete, amely tbbnyire kutatintzetekhez s felsoktatsi intzmnyekhez kapcsoldik. A Szervezet tmogatja azokat a kutatsokat, melyek
IHM-MTA-E4-3.doc
54/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
kzvetlenl szmra is hasznos eredmnyeket hozhatnak (pl. honey pot rendszerekkel vgzett kutatsok, titkost algoritmusok erssgnek vizsglata, korszer adatvdelmi megoldsok stb.). A Szervezet a tmogatand tmakrkrl s a konkrt tmogatsokrl ves terv keretben dnt, de megvizsgl minden olyan megkeresst, melyben a Szervezetre partnerknt szmtanak ms intzetek leend, vagy folyamatban lv munkk sorn.
8.7 CSIRT-ek kzti biztonsgos kommunikci

A Szervezetnek klnsen figyelmet kell fordtania sajt s partnerei biztonsgnak megrzsre. Ennek sorn az albbi ht tnyezre kell gyelni: 1. 2. 3. 4. 5. 6. 7. Titkossg/bizalmassg (confidentiality) csak ahhoz az informcihoz frhessen hozz valaki, ami szmra engedlyezve van, mshoz nem; Elrhetsg (availability) brki elrhesse azt az informcit s akkor, amikor szksge van r; Srtetlensg (integrity) szntk/terveztk; az informci maradjon az, amilyennek eredetileg
Hitelessg (authenticity) az informci forrst biztosan azonosthassuk; Kizrlagossg (exclusivity) csak a cl(szemly) tudja az informcit hasznlni; Magnlet srthetetlensge (privacy) garantlni kell az egynek vagy szervezetek rdekeinek vdelmt; Elktelezettsg (obligation) mindenki a lehet legnagyobb gondossggal jrjon el.
8.7.1 Titkosts s digitlis alrs az elektronikus kommunikciban A CERT-ek kzti, a csoporton belli, illetve a csoport s harmadik fl kzti kommunikci sokflekppen megvalsthat (telefon, fax, e-mail), azonban a bizalmas s az rzkeny adatok kommuniklsakor titkosts s digitlis alrs hasznlata szksges. Biztonsgos fax, telefon nem mindig ll rendelkezsre a harmadik flnl, de az elektronikus levelezshez tbbnyire rendelkezsre llnak azok a technikk, amelyekre tmaszkodni lehet. E clra kt, szles krben hasznlatos, szabadon elrhet megolds az OpenPGP s az S/MIME. Br funkcijukban hasonlak, a kt protokoll lnyegesen klnbzik:
Service/Protocol OpenPGP/GnuPG S/MIME v3
Signature Public key Encryption Hash Message Format Certificate Format Mime signed Mime encryption
DSA (2048) El-Gamal (4096) 3DES SHA-1 (160) Binary Binary multipart/signed with ASCII armor Multipart/encrypted
DSA (2048) DH (1024) 3DES / (RC2) SHA-1 (160) binary, CMS binary, X.509 (v3) multipart/signed CMS application/pkcs-7-mime
Tblzat 3. OpenPGP s S/MIME tulajdonsgok
IHM-MTA-E4-3.doc
55/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
Bvebb informci az IETF RFC oldalain tallhat. [RFC_crypt] A npszer e-mail kliensek legalbb az egyik szabvnyt plug-in-knt ismerik. 8.7.2 Kriptogrfiai kulcsok s tanstvnyok Az S/MIME s a PGP/GPG aszimmetrikus (nyilvnos-titkos kulccsal trtn) kdolst hasznl, teht a CERT egsznek s a tagoknak is rendelkeznik kell egy ilyen kulcs-prral. Ennek megszerzshez a kvetkez lpsek megttele szksges: kulcs-pr generlsa (DH vagy RSA), a titkos kulcs biztonsgos trolsa s megrzse, a nyilvnos kulcs kzzttele (tanstvnyszerzs utn). A generlt nyilvnos kulcs elfogadtatshoz tanstvnyt kell szerezni, vagyis igazolni kell, hogy a nyilvnos kulcs s a tulajdonos sszetartozik. Ktfajta tanstvnyi rendszer alakult ki, a bizalmi harmadik flen (Trusted Third Parties), s a bizalmi hlzaton (Web-of-trust) alapul. Mindkt megolds alkalmazhat, de az elbbi trvny alapjn is tmogatott19. Nincs egyrtelm gyakorlat arra nzve, hogy a CERT-ek hasznljk-e a titkos kulcsukat ms nyilvnos kulcsnak alrsra. A CERT/CC egyetlen ms kulcsot sem r al, mg a CERT-NL nhny igazn megbzhat embernek alrja a kulcst. A kormnyzati CERT-nek ez utbbi megolds javasolhat. A FIRST konferencikon (ld. 10.6.3.1) kulcsalr sszejvetelt szoktak szervezni, amikor a felek a szemlyesen vgzett ellenrzs alapjn alrjk egyms kulcsait. 8.7.3 Kulcskezels A kulcskezels jelentsgt nem lehet elgg hangslyozni. A mindennapi gyakorlat sorn az albbiakat kell megoldani: A kulcsokat teljes letciklusuk alatt kezelni kell. A kulcskezels nemcsak a kulcs generlst jelenti, a kulcsokat alkalmas mdon kell trolni, importlni, menteni, visszalltani, s szksg esetn visszavonni, felfggeszteni, vagy ppen megsemmisteni. A kulcsokhoz val hozzfrst szablyozni kell. Biztostani kell, hogy se egy ember, se egy csoport ne veszlyeztethesse a rendszert, ezrt rgzteni kell, hogy ki, milyen esetben, milyen kulcskezelsi feladatokat vgezhet. Lehetv kell tenni a szintekre bontst. A naprl-napra nvekv kulcsszm mellett fontos szempont, hogy a megfelel biztonsgi szinten a megfelel erssg kulccsal trtnjen meg az alrs. Fldrajzilag tvol lv kulcsok kezelse. A Szervezetnek a kulcs helytl fggetlenl kpesnek kell lennie a kulcsok kezelsre.
19
2001. vi XXXV. trvny az elektronikus alrsrl.

56/296
IHM-MTA-E4-3.doc
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
Hivatkozsok
A hossz Web-es hivatkozsok (csak sortrssel frnek el) TinyURL () rvidtett hivatkozssal is rendelkeznek.
[AirCERT] AirCERT Automated Incident Reporting http://aircert.sourceforge.net/ [CAIF] CAIF Common Advisory Interchange Format http://cert.uni-stuttgart.de/files/caif/requirements/ split/requirements.html http://tinyurl.com/6jtc8 [CERT_FAQ] The CERT Coordination Center FAQ http://www.cert.org/faq/cert_faq.html [CSIRT_lev] Klaus-Peter Kossakowski, Don Stikvoort: A Trusted CSIRT Introducer in Europe, M&I/Stelvio, Amersfoort, The Netherlands (Version 2.0, February 27. 2000) http://www.ti.terena.nl/about_ti/ti-v2.pdf [CSIRT_sen] eCSIRT.net statisztika az rzkelk jelentsei alapjn http://www.ecsirt.org/service/ids-sensor-data.html [CSIRT_trv] Dr. Andrew Rathmell, Dr. Lorenzo Valeri (Project Managers), Neil Robinson (Project Coordinator), Andrea Servida (Project Officer): Legislative Procedures of Computer and Network Misuse in EU Countries Study for the European Commission, DirectorateGeneral Information Society (2002) http://www.cordis.lu/ist/directorate_d/trust-security/ eeurope.htm http://tinyurl.com/5mpd9 http://europa.eu.int/information_society/eeurope/2005/ doc/all_about/csirt_handbook_v1.pdf http://tinyurl.com/7xhnr [EGC] EGC European Group of CERTs http://www.bsi.bund.de/certbund/EGC/index_en.htm [ENISA] ENISA (European Network and Information Security Agency) http://www.enisa.eu.int/ [FIRST_mem] FIRST Membership process http://www.first.org/membership/process.html [EISPP] EISPP The European Information Security Promotion Program http://www.eispp.org/ [IDWG] IDWG Intrusion Detection Workgroup of IETF http://www.ietf.org/html.charters/idwg-charter.html
IHM-MTA-E4-3.doc
57/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
http://www.terena.nl/tech/task-forces/tf-csirt/iodef/ docs/iodef-idmef-xmldtd-00-rfc.html http://tinyurl.com/4x5u3 [INCH_WG] INCH WG: Incident Handling Working Group of IETF http://www.ietf.org/html.charters/inch-charter.html http://www.ietf.org/internet-drafts/ draft-ietf-inch-rid-01.txt http://tinyurl.com/49os9 [MITS_IBRS] Magyar Informcis Trsadalom Stratgia Informatikai Biztonsgi Rszstratgia http://193.6.108.12/anyagok/stea/Mits/e-biztonsag/ IBRS_hazai.pdf http://tinyurl.com/6oqwz [RFC2828] R. Shirey: Internet Security Glossary, May 2000 http://www.ietf.org/rfc/rfc2828.txt [RFC2350] N. Brownlee, E. Guttman: Expectations for Computer Security Incident Response, June 1998. http://www.ietf.org/rfc/rfc2350.txt [RFC2350_h] Az RFC2350 magyar nyelv vltozata, elrhet a Hun-CERT honlapjn: http://www.cert.hu/szabaly/4RFC2350/ rfc2350-hun-cert-hun.html http://tinyurl.com/4st7e [RFC3227] D. Brezinski, T. Killalea: Guidelines for Evidence Collection and Archiving, February 2002 http://www.ietf.org/rfc/rfc3227.txt [RFC_crypt] RFC2440: OpenPGP Message Format RFC3156: MIME Security with OpenPGP RFC2631: Diffie-Hellman Key Agreement Method RFC2632: S/MIME Version 3 Certificate Handling RFC2633: S/MIME Version 3 Message Specification RFC3369: Cryptographic Message Syntax RFC3852: Cryptographic Message Syntax (CMS) Algorithm http://www.ietf.org/rfc/rfc<szm>.txt [RTIR] RTIR: RT for Incident Response. Nylt forrs incidenskezel rendszer a CERT-ek ignyeihez http://www.bestpractical.com/rtir/ [SF_kolts] David A. Dittrich: Developing an Effective Incident Cost Analysis Mechanism (last updated June 12, 2002) http://www.securityfocus.com/infocus/1592
IHM-MTA-E4-3.doc
58/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
[TF_CSIRT]
TF-CSIRT Term of Reference (TSec(04)084rev2, Approved by the TTC on 15 September 2004): http://www.terena.nl/tech/task-forces/tf-csirt/ TSec_04_084.pdf http://tinyurl.com/4kblz
Egyb felhasznlt (a-c) s ajnlott (d-j) irodalom:

(a) Tim Grance, Karen Kent, Brian Kim: Computer Security Incident Handling guide, NIST Special Publication 800-61, 2004 janur http://csrc.nist.gov/publications/nistpubs/index.html
(b) Myriam Dunn and Isabelle Wigert (edited by Andreas Wenger and Jan Metzger): Critical Information Infrastructure Protection, Swiss Federal Institute of Technology, 2004 http://www.isn.ethz.ch/crn/_docs/CIIP_Handbook_2004_web.pdf (c) Georgia Killcrece, Klaus-Peter Kossakowski, Robin Ruefle, Mark Zajicek: State of the Practice of Computer Security Incident Response Teams (CSIRTs), Technical Report, CMU/SEI-2003-TR001 http://www.sei.cmu.edu/pub/documents/03.reports/pdf/03tr001.pdf Handbook for Computer Security Incident Response Teams (CSIRTs) http:/59/www.sei.cmu.edu/pub/documents/03.reports/pdf/03hb002.pdf State of the Practice of Computer Security Incident Response Teams (CSIRTs) http://www.sei.cmu.edu/pub/documents/03.reports/pdf/03tr001.pdf Organizational Models for Computer Security Incident Response Teams (CSIRTs) ftp://ftp.sei.cmu.edu/pub/documents/03.reports/pdf/03hb001.pdf Forming an Incident Response Team http://www.auscert.org.au/render.html?it=2252&cid=1938 CSIRT Services http://www.cert.org/archive/pdf/CSIRT-services-list.pdf Computer Security Incident Handling Guide (NIST) http://csrc.nist.gov/publications/nistpubs/800-61/sp800-61.pdf Steps for Creating National CSIRTs http://www.cert.org/archive/pdf/NationalCSIRTs.pdf
(d) (e) (f) (g) (h) (i) (j)
Elektronikus segdeszkzk s hrforrsok: nem a szablyzat rsze, de a Szervezet Web-szervern s az intraweben is elrhetv kell tenni egy jl strukturlt s rendszeresen karbantartott listt (pl. Hivatkozsok/(a) 131-146. oldal F. s G. mellkletek). A kls vagy bels forrsbl rkez javaslat alapjn csak a felels jvhagysval lehet vltoztatni a listt.
IHM-MTA-E4-3.doc
59/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
10
Mellkletek
A mellkletek szerepe, hogy a szablyzathoz kpest gyakrabban vltoz, vagy eljrsokat tartalmaz rszeket kiemelhet formban fogja ssze. Az ISO minsgbiztostsi rendszer szellemben a mellkletek kln azonostval s ezen bell verziszmmal rendelkeznek, gy vltozs esetn az adott azonostj mellklet kerl cserre, eggyel nagyobb verziszmmal beemelve az j vltozatot. Ez a rendszer megengedi, hogy jabb mellkletek is bekerljenek, de ekkor meg kell hivatkozni a szablyzatban, illetve megszn mellkletek legyenek, de ekkor ezek azonostja nem adhat ki ms mellkletnek (jelezni kell, hogy volt, de megsznt).
10.1 A kpviseltek kre

E tblzat szolgl arra, hogy a Szervezet mkdsi terlethez tartoz intzmnyek, csoportok, szervezetek stb. legfontosabb elssorban a kapcsolatfelvtelhez szksges adatait sszefoglalja. A tblzat szksg esetn jabb oszlopokkal bvthet.
Intzmny Kapcsolattart Elrsi adatok Megjegyzs
Alapt intzmny
nv s/vagy beoszts
telefon / e-mail
Opertor / mszaki felels keresse
XY rszleg
Z Internet-szolgltat
Piaci szereplk
Szerzdsszm
Tblzat 4. Kpviseltek kre
IHM-MTA-E4-3.doc
60/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
10.2 Egy-egy tipikus hibabejelents szoksos kezelse

Minl tbb bejelents rkezik a Szervezethez, annl inkbb kialakulnak a bejelentsek tpusai, s a tpusvlaszok is.20 Ez a mellklet ezeket foglalja magba. 10.2.1 Tves bejelents Nem a megfelel helyre trtnt a bejelents, ezrt a bejelent figyelmt felhvva a megfelel helyre kell irnytani, a rendelkezsre ll legpontosabb adatok megadsval (ld. a mellkletek kztt is a megfelel tblzatokat). 10.2.2 Nem hatskrbe tartoz bejelents A bejelents a hasonl szervezetek krbe sem tartozik (pl. szervizre tartoz problmk, otthoni Internet-szolgltatra tartoz gyek stb.), gy akr a legpontosabb adatok megadsa nlkl (kerlni kell a marketinget, de ha egy adott cghez kthet a megolds, akkor megemlthet a nv), de szksges tjkoztatni a bejelentt, hogy nem a megfelel szervezethez fordult, s milyen irnyba lpjen tovbb. 10.2.3 Felveend bejelentsek Minden olyan bejelents, mely kzvetlenl vagy kzvetve a Szervezethez tartoz intzmnyek (ld. 10.1 rszben felsoroltakat) biztonsgt rinti. Ms szervezetek ltal alkalmazott rlapok minti megtallhatk a CSIRT-ek kvnatos mkdst ler anyagban (Hivatkozsok/(c) 213-266 oldalak). Ezek kzl is kiemelhet a SANS ltal kzztett rlap-csomag (Incident Handling Forms): http://www.sans.org/score/ Egy alapminta megtallhat a 10.3 fejezetben, melyet nemcsak a Web-en bejelentk tlthetnek ki, de ezt hasznlhatjk a Szervezet opertorai is a telefonos vagy ms formban rkez bejelentsek rgztshez. 10.2.4 Hibabejelent fk Ezek a fk az idvel felgyleml tapasztalatok alapjn a Szervezeten bell alaktandk ki, de mintaknt ajnlhat a Hivatkozsok/(a) dokumentumban a 105. s 113. oldalaktl (A. s B. szcenrik) azok a lersok, melyek a jellegzetesebb incidensekre trnek ki rszletesebben.
10.3 Prioritsok meghatrozsa

A prioritsok felosztsnl a sznkd s a szint neve (azonost vagy sorszm) tulajdonkppen msodlagos szereppel rendelkezik. A feloszts egyrtelmsge, s az egyes szintekhez kapcsold tevkenysgek sszessge a fontos. Az egyes prioritsok az id fggvnyben egy adott bejelents esetben vltozhatnak is. A 5.2 fejezetben lertakhoz tartoz prioritsi tblzat:
20 Beszlgets szvege, e-mail formtum, ktelez s opcionlis elemek, ltalnos s specifikus esetek idvel bvl, iterldik a bejelentsek szmtl s tpusaitl fggen.
IHM-MTA-E4-3.doc
61/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
Szint
Lers
Mi tartozik bele? Hogyan kezelend?
Semleges, a berkezett esemnnyel nem foglalkozik a Szervezet, de ekkor is rgzti a bejelentst Alap, a berkezett esemnyre egyszer megolds adhat (pl. rott anyag vagy egyszer s hamar elvgezhet belltsok) Kzepes, a berkezett esemnyre sszetettebb megolds adhat, szksg esetn helyszni kiszlls szksges Nagy, az esemny kls szakrtk bevonst is ignyelheti, a problma specilis, s a tudsbzisban nincs ismert ellenszere
Nem tartozik a tevkenysgi krbe a problma kezelse (pl. hardver-kompatibilitsi gondok, biztonsgot nem rint alkalmazi belltsok, tves vagy hamis megkeressek stb.) Az esemny loklis problma, s egyszer ton, rvid idn bell orvosolhat (pl. jelszvltoztats, megfelel paramter bellts, vrusfigyel frisstse) Az incidens megoldsn tl az jra elforduls ellen el kell vgezni tbb feladatot (frissts, vrusirt telepts s belltsok tbb klnbz szinten s rendszerelemben), melyekhez nem elgsges rott dokumentci vagy rvid lers biztostsa. Minden j s gyorsan terjed tmads, melynek nem ismert a teljes mrtk megoldst jelent ellenszere, s fl a hlzati kapcsolatok megszakadsa, a rendszerek rendelkezsre-llsnak ers romlsa. Szksg esetn a Szervezet intzkedik a hlzati kapcsolatok felfggesztsrl, amennyiben nem tudja elkerlni a tmads hatsban ugyanezt az llapotot, s a hlzati kapcsolat fenntartsa nagyobb krokat okozhat ksbb, mint a kapcsolat megszaktsa. A katasztrfatervben rszletezett esemnyek, melyekre a tervben foglaltak szerint kell reaglni (riadlnc, let s krments, tartalkrendszer stb.) Nagy valsznsggel a hlzati kapcsolatok megszaktsval vagy megszakadsval jr esemny.
Kiemelt, vszhelyzet, katasztrfa az adott rendszerre vagy kapcsolataira
Tblzat 5. Prioritsi szintek meghatrozsa
10.4 Hibabejelent rlapok

Ajnlott mintk szerepelnek a Hivatkozsok/(c) dokumentum 123. oldal C.1 s C.2 rszeiben (rvidebb s hosszabb rlap-minta). Ajnlatos az rlapok szmnak korltozsa, s inkbb egy vagy kt rlappal megoldani a bejelentsek kezelst. Ezeken lehetnek olyan sorok, melyek elre elksztett ment is knlnak (pl. incidens tpusa, a bejelentst tev intzmny stb.). A mindenkor aktulis web-form, s az azt kezel alkalmazs elrhet a Szervezet honlapjn/szervern, mg ez a mellklet csak szveges mintt mutat egy ilyen rlapra az [RFC2350_h] alapjn:
IHM-MTA-E4-3.doc
62/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
A CERT/CC ltal kifejlesztett rlapot hasznljuk az incidensek bejelentsre. Ha gy rzi, hogy szmtgpt vagy hlzatt tmads rte, krjk, adja meg az albbi adatokat s juttassa el hozznk. A *-gal megjellt sorokat felttlenl tltse ki. 1. 2. 3. 4. 5. 6. Nv s szervezet Nv * Szervezet neve * gazat (pl. bank, oktatsi intzmny, kzigazgats) * Elektronikus levelezsi cm * Telefonszm * Egyb adat
rintett gp(ek) 7. Host-nv s IP cm * 8. Idzna (Magyarorszgon CET, ld. http://wwp.greenwichmeantime.com/ time-zone/index.htm) 9. A host funkcija (lehetleg pontosan adja meg) * 10. 11. 12. 13. 14. A tmad gp(ek) Host-nv s IP cm Idzna Kapcsolatot felvettk? Az incidens ltal okozott kr becslt kltsge (ha ismeretes) Az incidens lersa (tartalmazza a dtumot, a bejuts mdjt, a tmad l tal hasznlt eszkzket, a megtmadott gp opercis rendszernek s rin tett alkalmazsoknak a verziszmt, a feltett javtsokat, a sebezhets geit, a tmads mdjrl feljegyzett adatokat (naplfjlok), s minden to vbbi lnyeges informcit): *
10.5 Elektronikus eszkzk

Leltr szerepet is betlt lista az eszkzk egyedi azonostival (kls forrsbl ideiglenesen a Szervezetben lv s sajt eszkzket jl lthat megklnbztet jellel kell elltni a Szervezetben tartott idre), fizikai helyvel, tulajdonosval vagy felgyeljvel. A jelzs sszer mdon alkalmazand, gy a szervertl a hajlkony lemezig mindenen a megfelel jelzsrendszer kerljn alkalmazsra, hogy az eszkzk hovatartozsa szemmel azonosthat legyen. A nyilvntartsba tartozik minden olyan eszkz, mely a szolgltatsban kzvetlenl vagy kzvetve rszt vesz a szmtgpektl a telekommunikcis eszkzkn t az iratmegsemmistkig. Az eszkzk adatai mellett szerepelnie kell egy vrhat idpontnak, amikor az adott eszkz cserre szorul, s ez alapjn egy meghatrozott idpontnak, amikor a ptlsrl vagy feljtsrl gondoskodni kell a beszerzsi eljrs elindtsval. Nem engedhet meg, hogy kulcsfontossg rendszerelem esetben az j elem ksbb kerljn zembelltsra, mint ahogy az aktulisan hasznlt elem kivonsra kerl az zemszer mkdsbl. A minsgbiztostsi rendszer rszeknt a leltrral sszhangban vezetett nyilvntarts a kvetkez tblzatformba foglalhat21:
21
A hajlkonylemezek, CD stb. esetben elgsges a fizikai megjells, leltrba csak akkor kell felvenni, ha az adattartalma ezt megkvnja (pl. specilis teleptkszlet).
63/296
IHM-MTA-E4-3.doc
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
Nv, tpus
Azonost (leltri szm)
Fizikai hely
Tulajdonos vagy felgyel
Kivons / ptls
PC1, szemlyi szmtgp
XYZ 1234
Titkrsg
AB
2007. jnius / 2007. prilis
Tblzat 6. Elektronikus eszkzk nyilvntarts
10.6 FAQ s hasznos informciforrsok

A FAQ (GYIK) egy idvel gyarapod krds-vlasz gyjtemny. Mintaknt elrhet plda: Hivatkozsok/(a) 139. oldaltl H. pont CERT/CSIRT FAQ: http://www.cert.org/csirts/csirt_faq.html A hasznos informciforrsok egy folyamatosan vltoz lista (ld. 577. oldal utols bekezds), ezrt itt csak egy minta szerepel az aktulisan leghasznosabb forrsokrl. 10.6.1 Levelezsi listk 10.6.1.1 Bugtraq
A Bugtraq a SecurityFocus-on mkdtetett moderlt lista, tmja a szmtgpes biztonsgot rint sebezhetsgek elemzse: a sebezhetsg mibenlte, a sebezhetsget kihasznlva hogyan trhet fel egy rendszer vagy alkalmazs, hogyan lehet javtani az rintett programot. A stattum rszletesen felsorolja, hogy milyen jelleg leveleket vr: szmtgpet illetve hlzatot rint sebezhetsgek (UNIX, Windows, vagy brmilyen ms rendszer), feltrshez alkalmazott programok, script-ek, vagy azok rszletes lersa, javtsok, a sebezhetsgek elkerlsre, bejelentsek, tancsok, figyelmeztetsek, szmtgp- s hlzatbiztonsgra vonatkoz tletek, tervek vagy munkk, egyes gyrtknl alkalmazott eljrsok a tmba vg informcis anyagai, egyni tapasztalatok a gyrtkrl, biztonsgi szervezetekrl, incidensekrl tancsok vagy informlis anyagok, j vagy frisstett biztonsgi eszkzk. A SecurityFocus-on tovbbi, a tmba vg listk tallhatk, pldul a tzfalakrl, honey potrl, IDS-rl, szmtgpes bntett kivizsglsrl stb. http://www.securityfocus.com/archive 10.6.1.2 Full disclosure
A lista a sebezhetsggel kapcsolatos mindenfle informcival foglalkozik. A levelez partnerektl pldul feltrsnl alkalmazott kdokat s technikkat, evvel kapcsolatos szoftver IHM-MTA-E4-3.doc 64/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
eszkzket, ilyen trgy bejelentseket taglal cikkeket vr. A lista tmjba vg leveleket nem moderljk. Az archvum 2002 jliustl kezdve letlthet, gy a feliratkozs nem szksges. http://lists.netsys.com/pipermail/full-disclosure/ 10.6.1.3 Penetration testing (Pen-test)
A listt elssorban hlzat-auditlssal foglalkoz szakembereknek szntk, de biztonsgi hibkkal s azok kihasznlsval foglalkoz levelek is tallhatk itt. Ugyancsak a SecurityFocus szervern rhet el. http://www.securityfocus.com/archive/101 10.6.1.4 LogAnalysis fruma, ahol a log-fjlok
A LogAnalysis lista elssorban rendszeradminisztrtorok konfigurlsrl, kezelsrl, biztonsgos trolsrl esik sz.
http://sisyphus.iocaine.com/pipermail/loganalysis/ Kt tovbbi weblap, ahol sebezhetsgekkel, incidensekkel kapcsolatos listk tallhatk: SecLists.Org, Neohapsis.com. http://seclists.org/ http://archives.neohapsis.com/ 10.6.2 Weblapok 10.6.2.1 Common Vulnerabilities and Exposures (CVE)
A CVE az ismert sebezhetsgeket s biztonsgi hibkat tartalmazza. A sebezhetsgek egyrtelm azonostsa, a szabvnyos lers nagy elrelps volt, amely elsegti a klnfle rendszerek tjrhatsgt. A CVE hivatkozst sok IDS rendszer hasznlja, pldaknt emlthet a Snort. A szolgltatst a Department of Homeland Security alaptotta. Egy biztonsgi rs bejelentsekor az egy ideiglenes CVE szmot kap. Amennyiben az Editorial Board megtrgyalta s jvhagyta a listba kerlst, akkor a CVE bejegyzs vglegess vlik. A lista tartalma (jelltek is) kereshet nv s kulcssz alapjn, kereshet egy alkalmazshoz tartoz sszes bejegyzs, valamint a teljes lista le is tlthet. http://www.cve.mitre.org/ 10.6.2.2 CERT/CC Incident Notes and Advisories
A CERT/CC az egyik legnagyobb kzpont, amelyik Internet biztonsgi problmkkal foglalkozik. A Carnegie Mellon University, Software Engineering Institute keretn bell mkdik. A munkatrsak tbbek kztt biztonsgi problmkat elemeznek, technikai dokumentumokat adna ki stb. 2004 februrjig jelentettek meg incidensekre vonatkoz tanulmnyokat s megjegyzseket, azta ez a tevkenysg az US-CERT-hez kerlt t. http://www.cert.org/incident_notes/ 10.6.2.3 US-CERT
Az US-CERT-et, az USA nemzeti biztonsgi csoportjt 2003. szeptemberben alaptottk, a US Department of Homeland Security tmogatsval. Pontosabban a minisztriumon bell a National Cyber Security Division (NCSD) rszleghez tartozik. A CERT/CC incidenskezel tevkenysgt tvve 2004. janurja ta ez a szervezet gyjti s teszi kzz a biztonsgi riasztsokat. Ktfajta riasztst kezel: az n. technical cyber security alert (TA04-nnnn)-t a szakemberek szmra, s a laikusoknak sznt cyber security alert (SA04-nnnn)-t. Egy-egy incidensre vonatkoz riaszts
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
tbbnyire mindkt kategriban megjelenik, eltrs az incidensek rszletezsben, a lers szakmai alapossgban mutatkozik (a szm venknt vltozik, mg az nnnn szekvencilis sorszmozst jelent). http://www.us-cert.gov/cas/techalerts/index.html 10.6.2.4 SANS (SysAdmin, Audit, Network, Security Institute)
A SANS weblapjain lv informcik kzl az ISC Storm-ot rdemes kiemelni, ami tulajdonkppen egy korai figyelmeztet rendszer. Az egyes portokon foly tevkenysgek s ezek trendjnek nyomon-kvetsvel szleli a kiugrsokat, s a vratlan tendencikra mg a biztonsgi hiba feltrsa eltt felhvja a szakemberek figyelmt. Az adatokat orszgonknt is sszesti, gy terleti trendek is elemezhetk. Ingyenes on-line folyiratra brki feliratkozhat (@RISK). http://isc.sans.org/ http://www.sans.org/ 10.6.2.5 SecurityFocus
A fontosabb levelezsi listknl mr szba kerlt a SecurityFocus. Ide a sebezhetsgeket tartalmaz adatbzisa miatt kerlt. Az adatbzis kereshet a gyrt, az elnevezs, a Bugtraq azonost, a CVE azonost s kulcsszavak szerint is. Egy-egy sebezhetsg lersa nagyon rszletes, tartalmazza a kzzttel dtumt, Bugtraq azonostt, bejelentt, az rintett rendszereket verzi szinten, a biztonsgi rs kikszblhetsgnek mdjt, hivatkozsokat stb. http://www.securityfocus.com/ 10.6.2.6 iDefense
Az iDefense-t az Infrastructure Forum Inc. alaptotta 1988-ban azzal a cllal, hogy segtse a felhasznlkat az informcis vagyonukat, szmtgpeiket, hlzatukat, az Internet-elrsk mkdkpessgt fenyeget veszlyek elkerlsben vagy legalbbis kezelsben. Ngy szolgltatst nyjtanak: kutatsjelentseket, rosszindulat kdokrl szl tanulmnyokat, sebezhetsgeket, s a teljes Internet-vilgot rint fenyegetseket ler anyagokat tesznek kzz. http://www.idefense.com/application/poi/display?type=vulnerab ilities 10.6.2.7 Gyrtk honlapjai
Ha brmilyen biztonsgi rsrl egy rendszergazda tudomst szerez, akkor a gyrt honlapjt rdemes elszr megnzni. A legtbb esetben a gyrt a cg honlapjn a /security cm alatt teszi elrhetv biztonsggal kapcsolatos anyagait. Ezen tl azonban egy-egy az adott opercis rendszerrel foglalkoz, de nem a gyrt ltal zemeltetett biztonsgi oldalt is rdemes figyelemmel ksrni, mert a npszerbb opercis rendszerek esetben sokszor a gyrt lapjn mg el nem rhet informcik is megtallhatk ezeken. Csak a plda kedvrt: http://www.nl.debian.org/security/ http://www.linuxsecurity.com/docs/ http://www.microsoft.com/security/ http://www.windowsecurity.com/
IHM-MTA-E4-3.doc
66/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
10.6.3 Konferencik Az albbi lapok mindegyike biztonsggal foglalkoz konferencikat gyjt ssze. Az els hivatkozst azrt lehet kiemelni, mert a biztonsggal foglalkoz konferencikat kulcsszavakkal ltja el. http://www.ee.oulu.fi/research/ouspg/sage/conferences/ http://www.cs.ucsd.edu/users/mihir/confs.html http://homelandsecurity.osu.edu/conferences.html http://www.cl.cam.ac.uk/Research/Security/conferences/all.html http://www3.ca.com/securityadvisor/newsinfo/team.aspx?q=60000 http://www.allconferences.com/Computers/Security/ A fenti forrsokbl viszonylag egyszer eszkzkkel rendezvnynaptr kszthet s ksztend. A rendezvnyek tmjnak Interneten keresztli figyelse is megmutatja, hogy milyen irnyba fejldik a hlzatbiztonsg, milyen j eszkzk jelentek meg, honnan s kitl lehet tovbbi informcit szerezni. 10.6.3.1 Nevesebb konferencik
FIRST (ld. 8.2.1) http://www.first.org/conference/ Rendszeres vi konferencijuk, az Annual FIRST Conference on Computer Security Incident Handling, a CERT csoportok tallkozja. Ezen kvl tavasszal s sszel mg egy-egy technikai kollokviumot is szerveznek, de ezekre csak FIRST tagok lehetnek hivatalosak. SANS (ld.10.6.2.4) http://www.sans.org/conference/archive/ A SANS szmos rendezvnybl kiemelkedik a SANS Annual Conference, amit k maguk is megakonferencinak neveznek. lland helyszn az Egyeslt llamok. ISACA (ld. 10.11 tblzatban) http://www.isaca.org Az ISACA trtnete egszen 1967-ig nylik vissza, amikor egy kis csoport egyre kritikusabban szemllve szervezetk szmtgpes rendszernek mkdst sszelt s egy informcis tmutatt ksztett. A csoport 1969-ben intzmnyeslt, EDP Auditors Association nven. Az ISACA-nak ma mr mintegy 100 orszgban 35,000 tagja van, akik a legklnflbb informcitechnolgiai pozcikat tltik be, pldul informcibiztonsgi szakrt, informatikai vezet, bels auditor. Ezek a pozcik tfogjk az ipar minden gazatt, belertve a banki, a kormnyzati szfrt, s a magnszektort. Az ISACA hrom nevezetes konferencit szervez: Computer Audit, Control and Security Conference (CACS) Network Security Conference Information Security Management Conference HISEC (Nemzeti adatvdelmi s adatbiztonsgi konferencia) www.hisec2004.hu 2003-ban kelt j letre ez a magyar konferencia. A 2004-es tmk: Common Criteria s a Magyar Informatika Biztonsgi rtkelsi s Tanstsi Sma (MIBTS); biometria s elektronikus szavazs; kriptogrfia; adatvdelmi tvilgts s audit elmlete s gyakorlata; mobil fizets s intelligens krtya; hlzat- s IT biztonsg aktulis krdsei; elektronikus alrs.
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
10.6.3.2
Underground
A fiatal rdekldk s tehetsgek egyes csoportjai klnbz rendezvnyeken vagy hrcsoportokban (news) tallkoznak, melyeken sokszor olyan informcik is elrhetk, melyek a tudomnyos s egyb konferencik egyikn sem. A tbb ves hagyomnyokkal megrendezsre kerl sszejvetelek aktulis informciira r kell keresni a kvetkez nhny kulcssz alapjn: Hacking Extreme (Hex 2005), eldei: HIP97, HAL2001 Hollandia Chaos Computer Club Nmetorszg DefCon, HOPE, Geek, H2K2, Alt2600 Egyeslt llamok Hacktivity Magyarorszg Ezek mellett zsiai forrsokra is figyelemmel rdemes lenni, mert nemcsak az ottani kutatk s kormnyok tmogatjk az elektronikus hadviselst22, hanem arra is volt plda, hogy eurpai vagy amerikai konferencirl elutastott elads zsiai konferencin kapott helyet, majd ksbb elismer szavakat, mert az adott sebezhetsg igaznak bizonyult. 10.6.3.3 Sajt rendezvnyek
Azokban az esetekben, amikor a konferencia vente ms s ms helysznen (orszgban) kerl megrendezsre megfontoland a hazai plyzat beadsa. Ebben az esetben a rszvtel szlesebb krnek lehet elrhet, s a kapcsolatpts is knnyebb. A kisebb rendezvnyek magban foglalhatnak egy adott tmban megrendezett szeminriumot akr egyetlen eladra ptve az esemnyt. A potencilis elad szemlyre s a szeminrium tmakrre minden alkalmazott tehet javaslatot a mszaki felels fel, aki elzetesen felmrheti az elad meghvsnak lehetsgeit, de a hivatalos felkrs csak a felsvezettl szrmazhat. Az alkalmazottak minden egyb felkrsnek a felsvezet jvhagysval tehetnek eleget, de a Szervezet tmogatja felsoktatsi tevkenysgket (oktats, szakdolgozk tmavezetse stb.), mivel ez j csatorna a fiatal tehetsgek felfedezsre.
22
A Zrnyi Mikls Nemzetvdelmi Egyetemen vek ta ltez szakirny.

68/296
IHM-MTA-E4-3.doc
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
10.7 Hazai CERT-ek elrsi adatai

(Az albbi adatok a 2006. prilis vgi llapotot tkrzik.)
Megnevezs
Magyar Nemzeti CERT (HunCERT):
Kapcsolattart
Becz Tams, Martos Balzs, Rig Ern, Tiszai Tams, Tth Beatrix,
Elrsi adatok
MTA-SZTAKI 1111 Budapest, Kende u. 13-17. Tel: +36-1-279-7190 (09:00-16:00) Fax: +36-1-466-7503 E-mail: cert@cert.hu PGP-KeyID: 0x59B9E495 Lenyomat: B368 6C6B F4A6 5693 9721 B271 F8EC 9F54 59B9 E495 NIIF-CSIRT NIIF/HUNGARNET 1132 Budapest, Victor Hug u. 18-22 Tel: +36-1-279-6030 (08:00 18:00) E-mail: csirt@mail.ki.iif.hu CERT-Hungary 1061 Budapest, Munkcsy Mihly u. 16. Tel: +36-1-301-2080 Fax: +36 1 353 1937 PGP Key lenyomat: 2E13 1DC5 0C31 51F0 E658 C670 89B3 CCF1 F3A0
Megjegyzs
HUNGARNET CERT (NIIF-CSIRT):
Farkas Istvn Mray Tams Mohcsi Jnos, Nmeth Ervin, Dr. Suba Ferenc Szekeres Balzs Birks Bence
Kormnyzati CERT (CERT Hungary):
Szervezet
Tblzat 7. Hazai CERT-ek elrsi adatai
IHM-MTA-E4-3.doc
69/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
10.8 Klfldi CERT-ek adatai

A mellklet legalbb vente egyszer fellvizsglatra s frisstsre kerl. A klfldi CERT-eket jelz trkp tbbfle mretben elrhet a CERT honlapjn: http://www.cert.org/csirts/images/csirts-big3.gif (Az albbi adatok a 2005. oktber vgi llapotot tkrzik.)
CERT/ FIRST TI CC * * * * * * * * * * The American Red Cross Computer Emergency Response Team Computer Emergency Response Team of the Argentine Public Administration "@stake" Response Team AT&T Australian Computer Emergency Team Aristotle University Avaya Global Computer Emergency Response Team Bank One Computer Security Incident Response University of Wisconsin-Madison Boeing CERT BMO InfoSec Incident Response Team BT Secure Business Services USA Argentna USA USA Ausztrlia Grgorszg USA USA USA USA Kanada Nagy-Britannia egszsggyi. kormnyzati cg cg nemzeti felsoktats cg banki felsoktats cg banki ---http://www.arcert.gov.ar/en/ http://www.atstake.com/ ---http://www.auscert.org.au/ http://www.auth.gr/ ------http://www.doit.wisc.edu/security/ ------* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
Nv AAB GCIRT AboveSecCERT ABUSE TP S.A. ACERT ACIRT ACOnet-CERT AFCERT AMC-CERT Apple APSIRT ARCcert ArCERT ART AT&T AusCERT Auth-CERT Avaya-GCERT B1CSIRT BadgIRT BCERT BE-CERT BMO ISIRT Brasil Telecom BT SBS
Hivatalos nv ABN AMRO Global CIRT Above Security Computer Emergency Response Team Tpnet Army Emergency Response Team Accenture CIRT ACOnet.CERT Air Force CERT Academic Medical Center Apple Computer
Orszg Hollandia Kanada Lengyelorszg USA USA Ausztria USA Hollandia USA banki cg cg katonai
Tpus
Webcm http://www.abnamro.com/ http://www.abovesecurity.com/ http://www.tpnet.pl/abuse-english.html ------http://cert.aco.net/ ---http://www.amc.uva.nl/cert/ ----
felsoktats lgier egszsggyi cg
IHM-MTA-E4-3.doc
71/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
Nv BTCERTCC CAIS/RNP CanCERT CARNet CERT CAT CCERT CC-SEC Cdn CIRCC CERN-CERT CERT Polska CERT.PT CERT/AQ CERT/CC CERTA CERT-Bund CERTBw CERTCom CERT-FI CERT-IDC CERT-IN CERT-IST CERT-IT CERT-KUN CERT-LEXSI CERT-Renater CERT-RUG CERT-UU CERT-VW CESNET-CERTS CGI CIRT Cablecom Security Team
Hivatalos nv British Telecommunications CERT Co-ordination Centre Brazilian Research Network CSIRT EWA-Canada / Canadian Computer Emergency Response Team Croatian Academic and Research Network CERT Cable & Wireless Cyber Attack Team
Orszg Nagy-Britannia Brazlia Kanada Horvtorszg USA Svjc Kanada Svjc Lengyelorszg Portuglia USA Franciaorszg Nmetorszg Nmetorszg Nmetorszg Finnorszg cg
Tpus ----
Webcm
CERT/ FIRST TI CC * * * * * * * * * * * * * * * * * *
kutati hlzat nemzeti nemzeti cg ISP kritikus infrastruktra kutatintzet Internet felhasznlk kutati hlzat Internet kormnyzati szvetsgi kormnyzati intzmnyek Vdelmi Minisztrium cg orszgos
http://www.cais.rnp.br/ http://www.cancert.ca/Home/Default.php http://www.cert.hr/
http://www.cablecom.ch/ http://www.ocipep-bpiepc.gc.ca/ http://www.cert.pl/ http://www.cert.pt http://www.cert.org/ http://www.certa.ssi.gouv.fr/ http://www.bsi.bund.de/certbund/
* * * * * * * * * *
Canadian Computer Incident Response Coordination Centre CERN, European Nuclear organization Computer Emergency Response Team Polska NRES CERT CERT Coordination Center CERT-Administration CERT-Bund Computer Emergency Response Team Bundeswehr CertCom AG
* * * * * * * *
CERT Internet Data Center
Hollandia ipar, felsoktats, szolgltats olasz Internet site-ok felsoktats l cg Kutatsi s Oktatsi Minisztrium felsoktats felsoktats cg akadmiai hlzat CGI, minisztriumok, magnipar
http://www.certcom.de/ http://www.ficora.fi/englanti/tietoturva/c ertfi.htm http://www.energis-idc.net
* *
* CERT Industries, Services & Tertiaire CERT Italiano CERT Katholiek Universiteit Nijmegen Laboratori d'Expertise en Securit Informatique CERT-Renater Computing Center, University of Groningen Utrecht University CERT-VW Hollandia Nmetorszg Csehorszg CGI Computer Incident Response Team Kanada Franciaorszg Olaszorszg Hollandia Franciaorszg Franciaorszg http://www.cert-ist.com/ http://security.dico.unimi.it/ http://www.kun.nl/cert http://www.lexsi.com http://www.renater.fr/Securite/CERT_Renate r.htm http://www.rug.nl/rc/security http://www.cs.ruu.nl/cert-uu/ http://www.cesnet.cz/ http://www.cgi.ca/ * * * * * * * * * * * * * * * * * * * * * * *
IHM-MTA-E4-3.doc
72/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
Nv CIAC CiART Cisco Systems Cisco-PSIRT Citigroup CIRT CLCERT CNCERT/CC ComCERT Cornell Univ CounterCERT CSE CSIRT ABM AMRO REAL CSIRT Santander Banespa CSIRT Unicamp CSIRT USP CSIRT.DK CTR/DPF CYPRUS DANCERT dbCERT dCERT DFN-CERT DIRT DK-CERT DND CIRT DoD-CERT E-CERT EDS EForensics Counterpane First Team Cisco Systems
Hivatalos nv US Department of Energy's Computer Incident Advisory Capability USA
Orszg
Tpus
Webcm
CERT/ FIRST TI CC * * *
Energiagyi Minisztrium http://ciac.llnl.gov/
USA USA USA Chile Kna Nmetorszg USA Kanada
cg cg cg .cl alatti felhasznlk, szervezetek .cn domain banki multi cg cg
http://www.cisco.com/security/
* * *
* * * * * *
Cisco Systems Product Security Incident Response Team Citigroup CIRT Chilean Computer Emergency Response Team National Computer Network Emergency Response Technical Team / Coordination Center of China Commerzbank CERT
http://www.clcert.cl/ http://www.cert.org.cn/ http://www.commerzbank.com/ http://www.counterpane.com http://www.csecst.gc.ca/en/about_cse/about_cse.html * * *
* * * *
Communications Security Establishment
* * * * *
Danish Computer Security Incident Repsonse Team Cyprus Academic Research Network Delivery of Advanced Network Technology to Europe, Ltd. Deutsche Bank Computer Emergency Response Team debis Computer Emergency Response Team DFN-CERT DePaul Incident Response Team Danish Computer Emergency Tam Department of National Defence US Department of Defense CERT Energis Computer Emergency Response Team EDS eForensics
Dnia Ciprus EU Nmetorszg Nmetorszg Nmetorszg USA Dnia Kanada USA Nagy-Britannia USA USA
TeleDenmark felhasznli http://www.csirt.dk/ akadmiai hlzat Eurpai kutati hlzata banki cg nemzeti felsoktats nemzeti minisztriumi Vdelmi Minisztrium cg cg gyszsg? http://www.cert.dfn.de/eng/ http://dirt.depaul.edu/ http://www.cert.dk/ http://www.first.org/about/organization/te ams/dnd_cirt/ http://www.cert.mil/ http://cert.energis2.net/ http://www.eds.com/ http://www.dante.net/safeflow.html http://www.db.com/
* * * * * * * * * * * * * *
* *
* * * * * * * * * * *
* * * *
IHM-MTA-E4-3.doc
73/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
Nv ELN-FIRST EnCIRT ESACERT EsCERT-UPC ETISALAT-CERT EUCS-IRT FCC CIRT FedCIRC Foundstone FRS-CERT FSC-CERT FUNet CERT GARR-CERT GD-AIS GE GI REACT GIST GNS-CERT Goldman Sachs GOVCERT.NL GRNET-CERT GTCERT Guardent HEANETCERT HKCERT HOUSECIRT HP SSRT Hun-CERT IBM MSS IBM-ERS IDCERT IHM-MTA-E4-3.doc Foundstone FIRST Team
Hivatalos nv
Orszg
Tpus
Webcm
CERT/ FIRST TI CC *
Encase Computer Incident Response Team CERT for Technical University of Catalunya ETISALAT Computer Emergency Response University of Edinburgh
USA Spanyolorszg Nagy-Britannia
cg EU rkutats felsoktats felsoktats
http://www.GuidanceSoftware.com http://www.esacert.esa.int http://escert.upc.es/ * * * *
* * * * * * *
ESA Computer and Communications Emergency Response Team Olaszorszg
USA USA Nmetorszg Finnorszg Olaszorszg USA
cg szervezet cg akadmiai hlzat akadmiai hlzat cg http://www.csc.fi/suomi/funet/cert/index.h tml.en http://www.cert.garr.it/ http://www.frsnirt.org/
* * * * *
* * * * * *
Federal Reserve System National Incident Response Team CERT of Fujitsu-Siemens Computers Finnish University and Research Network CERT GARR Network General Dynamics AIS
* * Google Information Security Team GNS-CERT Goldman, Sachs and Company GOVCERT.NL Greek Research and Technology Network Georgia Institute of Technology CERT USA Nmetorszg USA Hollandia Grgorszg USA cg cgek cg kormnyzati akadmiai hlzat felsoktats http://www.govcert.nl/ http://cert.grnet.gr http://www.gatech.edu/itis/security/home.h tml http://www.heanet.ie/cert.html http://www.hkcert.org http://www.house.gov/ushcert/ http://www.cert.hu http://www1.ibm.com/services/continuity/recover1 http://www.ers.ibm.com/ http://www.gnsec.net * * * * * HEANET CERT rorszg Hong Kong Computer Emergency Response Team Coordination Kna Centre US House of Representatives Computer Incident Response Team USA HP Software Security Response Team Hungarian Internet Service Provider IBM Managed Security Services IBM Emergency Response Services, Europe USA Magyarorszg USA USA akadmiai hlzat terleti kpviselhz cg Internet szolgltatk cg cg * * * * * * * * 74/296 * * * * * * * * * * * * * * * *
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
Nv IIJ-SECT ILAN-CERT IP+CERT IRIS-CERT IRS CIRT Isnet CERT ISS IU-CERT JANET-CERT JPCERT/CC JPMC CIRT JSOC KCSIRT KMD IAC KPN-CERT KrCERT/CC LITNET CERT LuxCERT MARCERT MCI MCIRT MCIWorldCom Micro-BIT MIT Network Security MLCIRT MODCERT MOREnet Motorola MSCERT mtCERT MYCERT Micro-BIT Virus Center MCI, Inc. ISS Indiana University CERT JANET-CERT
Hivatalos nv IIJ Group Security Coordination Team Israeli Academic CERT IP-Plus CERT IRIS-CERT IRS (Internal Revenue Service) Computer Security Incident Response Team Japn Izrael Svjc
Orszg
Tpus Internet szolgltat akadmiai cg kutati hlzat cg
Webcm
CERT/ FIRST TI CC * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
http://www.ip-plus.net/ http://www.rediris.es/cert/
* * *
Spanyolorszg USA Izland USA USA Nagy-Britannia Japn USA Japn Hollandia Dnia Hollandia Korea Litvnia Luxemburg USA USA Nmetorszg USA USA Nagy-Britannia
http://www.cert.isnet.is/ cg (biztonsg) felsoktats akadmiai hlzat Internet kzssg cg cg iskolai hlzat cg cg orszgos akadmiai hlzat orszgos cg cg felsoktats felsoktats cg vdelmi minisztrium http://www.mod.uk/cert/ http://web.mit.edu/net-security/ http://www.kmd.dk/ http://www.kpn-cert.nl http://www.certcc.or.kr/ http://cert.litnet.lt http://www.cert.lu/ http://www.lac.co.jp/security/ http://www.itso.iu.edu/ http://www.ja.net/CERT/cert.html http://www.jpcert.or.jp/
JPCERT Coordination Center JPMorgan Chase Computer Incident Response Team Japan Security Operation Center KENNISNET CSIRT KMD Internet Alarm Center Computer Emergency Response Team of KPN CERT Coordination Center Korea LITNET CERT
Metavante Computer Incident Response Team
Massachusetts Institute of Technology Network Security Team Merrill Lynch Computer Security Incident Response Team MOD Computer Emergency Response Team
* * * * *
Microsoft Product Support Services Security Team Malaysian Computer Emergency Response Team
USA Mlta Malajzia
cg cg orszgos
http://www.microsoft.com/technet/security/ http://www.mycert.org.my/
* *
* * *
IHM-MTA-E4-3.doc
75/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
Nv NAI NARIS NASIRC NAVCIRT NBSO/Brazillian CERT NCIRC CC N-CIRT NCSA-IRST NIHIRT NIIF-CSIRT NIRT NIST NN FIRST Team NORDUnet NU-CERT NUSCERT OGCBS Ontario IPC ORACERT OS-CIRT OSU-IRT OxCERT PAKCERT PCERT PERMALAN PHCERT POL34-CERT PRE-CERT PruCERT PSU Q-CIRT
Hivatalos nv
Orszg
Tpus
Webcm
CERT/ FIRST TI CC * *
NASA Incident Response Center Naval Computer Incident Response Team NIC BR Security Office - Brazilian Computer Emergency Response Team NATO Computer Incident Response Capability - Coordination Center National Center for Supercomputing Applications IRST NIH Incident Response Team Hungarnet CERT National Incident Response Team, Cabinet Secretariat NIST IT Security Nortel Networks FIRST Team NORDUnet Northwestern University NUS Computer Emergency Response Team Executive Agency of the Office of Government Commerce Ontario Information Protection Centre Oracle Global Incident response Team Open Systems AG Computer Incident Response Team the Ohio State University Incident Response Team Oxford University IT Security Team
USA USA Brazlia Belgium
gynksg
http://www-nasirc.nasa.gov/
* * *
* * * *
Tengerszeti minisztrium http://infosec.nosc.mil/ orszgos NATO http://www.nbso.nic.br/
* USA USA Magyarorszg Japn USA Kanada Dnia USA Szingapr Nagy-Britannia Kanada US Svjc USA Nagy-Britannia tartomnyi kormnyzat cg cg felsoktats felsoktats http://www.ox.ac.uk/it/compsecurity/oxcert / http://www.open.ch/ * * * * * * perComp Malware Analysis Team Polish Scientific Broadband Network CERT PRE-CERT Pennsylvania State University QinetiQ Computer Incident Response Team Nmetorszg Lengyelorszg Nmetorszg USA USA cg akadmiai cg felsoktats cg? http://www.qinetiq.com/ http://www.percomp.de * http://cert.pol34.pl http://www.pre-secure.de/ * * * * * * * * * * * * kutatkzpont egszsggyi akadmiai hlzat kormnyzati s kritikus infrastruktra szabvnygyi hivatal cg skandinv kutati hlzat felsoktats felsoktats http://csirt.niif.hu http://www.bits.go.jp/ http://www.ncsa.uiuc.edu/people/ncsairst/ * * * * * http://nortelnetworks.com http://www.nordu.net/ http://grumpy.acns.nwu.edu/nu-cert/ http://security.nus.edu.sg/ http://www.ogcbuyingsolutions.gov.uk/ * * * * * * * * * * * * * * * * * * * * * *
IHM-MTA-E4-3.doc
76/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
Nv RADIANZ RBC FG CSIRT RBSG RHNet CERT RM CSIRT RU-CERT RUS-CERT Rutgers CIRT SAIC-IRT SBACERT SBS S-CERT Secu-CERT SGI SIAPI-CERT SI-CERT Siebel Siemens-CERT SingCERT SITIC SPRINT Stanford SUN SUNet-CERT SUNSet SURFnet-CERT SWISS ReCERT SWITCH-CERT SymCERT T-Com-CERT TDBFG CSIRT SURFnet-CERT RADIANZ
Hivatalos nv USA
Orszg cg banki banki
Tpus
Webcm http://www.radianz.com/ http://www.radianz.com/ http://www.rbs.co.uk/
CERT/ FIRST TI CC * * * * * * * * * * * *
RBC Financial Group CSIRT Royal Bank of Scotland, Investigation and Threat Management ROYAL MAIL CSIRT CC Computer Security Incident Response Team RU-CERT Rechenzentrum Universitat Stuttgart CERT Science Applications International Corporation - Incident Response Team Small Business Administration Secure Business Services CERT of the German Savings Banks Organization SECUNET CERT Silicon Graphics, Inc. Siapi Networks Eleno, Morell & Sanchez Asociados S.L Slovenian CERT Siebel Security Team Siemens-CERT Singapore CERT Swedish IT Incident Centre SPRINT Stanford University Information Security Services Sun Microsystems, Inc. SUNet-CERT
Kanada Nagy-Britannia Izland Nagy-Britannia Oroszorszg Nmetorszg
felsoktats posta orszgos egyetemi http://www.cert.ru/Eng/ http://cert.uni-stuttgart.de/
* * *
USA USA Nagy-Britannia Nmetorszg Nmetorszg USA Szlovnia USA Nmetorszg Szingapr Svdorszg USA USA USA Svdorszg Hollandia Svjc USA Nmetorszg Kanada
cg * British Telecom banki cg cg cg akadmiai hlzat cg cg orszgos cg felsoktats cg felsoktatsi hlzat kutati hlzat akadmiai hlzat cg banki http://www.cert.sunet.se/ http://cert.surfnet.nl/ http://www.switch.ch/cert/ http://www.symantec.com/ http://security.stanford.edu/ * * * * * * * * http://www.singcert.org.sg/ http://www.sitic.se http://www.arnes.si/en/si-cert/ http://www.sgi.com/support/security/ http://www.btignitesolutions.com/solutions /securit http://www.s-cert.de/
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
Swiss Education and Research Network CERT Symantec Computer Emergency Response Team Deutsche Telekom AG CERT TDBFG Computer Security Incident Response Team
IHM-MTA-E4-3.doc
77/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
Nv Telekom-CERT TeliaCERTCC TESIRT ThaiCERT TRCERT TS/ICSA FIRST TS-CERT TWCERT/CC TWCIRC U.S. Coast Guard CIRT UB-FIRST UCERT Uchicago Network Security UGaCIRT UNAM-CERT UNINETT CERT UNIRAS US-CERT USPS UU-IRT UvA-CERT VeriSign VISA-CIRT WebPlus ISP WFCSIRT TruSecure Corporation
Hivatalos nv Internal CERT for Deutsche Telekom TELMEX Security Incident Response Team
Orszg Nmetorszg Peru Trkorszg cg orszgos
Tpus
Webcm
CERT/ FIRST TI CC * * * * * * * * * * *
http://www.telmex.com/pe/tesirt/
kormnyzat cg orszgos http://www.cert.org.tw/
TeliaSoneraCERT CC Taiwan Computer Emergency Response Team/Coordination Center
Svdorszg Taiwan
* * *
UB-First Unisys CERT The University of Chicago Network Security Center The University of Georgia Computer Incident Response Team UNAM-CERT
USA USA USA USA Mexik
felsoktats cg felsoktats felsoktats felsoktats felsoktats kormnyzati nemzeti infrastruktra posta felsoktats felsoktats cg cg cg banki
http://www.buffalo.edu/
* *
* * * * * * * * * * * * * * * * *
http://security.uchicago.edu/ http://www.uga.edu/compsec/ http://www.unam-cert.unam.mx/ http://cert.uninett.no/ http://www.uniras.gov.uk/ http://www.us-cert.gov http://www.irt.uu.se http://ic.uva.nl/cert/
* * * * * * * * * * *
UNINETT CERT Norvgia HM Government CERT / UK National Infrastructure Security CoNagy-Britannia ordination Centre (NISCC) United States Computer Emergency Readiness Center USA United States Postal Service Computer Incident Response Team Universitet Uppsala Incident Response Team University of Amsterdam, Informatiseringscentrum VeriSign VISA-CIRT WebPlus Internet Serrvice Provider Wells Fargo Computer Security Incident Response Team USA Svdorszg Hollandia USA USA Oroszorszg USA
http://support.wplus.net/security/ http://www.wellsfargo.com/
* *
Tblzat 8. Klfldi CERT-ek adatai
IHM-MTA-E4-3.doc
78/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
10.9 A Szervezet beosztottjai

A szemlyek feladatairl rszletek a 3. fejezetben tallhatk.
Beoszts
Vezr 1. (gyvezet igazgat):
Szemly
Elrsi adatok
Megjegyzs
Adminisztrci 1. (titkrsg):
Biztonsgi 1. (biztonsgi felels):
Gazdasgi 1. (gazdasgi felels):
Mszaki 1. (mszaki felels): Mszakvezet 1-2. (mszakvezet jjel/nappal): Opertor 1-2. (s 1-2 opertor csapatok): heti beosztstl fgg, hogy ki melyik csapatban van
Tblzat 9. Beosztsokat betlt szemlyek adatai
10.10 Szakrtk s szakemberek listja

A szakrtk s szakemberek szereprl rszletek a 3.2 fejezetben tallhatk. A szakterlet- s a nvszerinti tblzatok a kvetkezk:
Szakterlet Szemly Elrsi adatok Megjegyzs
Tblzat 10. Szakrtk s szakemberek szakterlet szerinti listja Szemly Szakterlet Elrsi adatok Megjegyzs
Tblzat 11. Szakrtk s szakemberek nvszerinti listja
IHM-MTA-E4-3.doc
79/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
10.11 Kls tanfolyamok s vizsgk

A kvetkez tblzat a biztonsgi szakemberek rszre megszerezhet, nevezetesebb bizonytvnyokat23 mutatja be (a szrkk gyrtfggk), s azt jelzi, hogy ezek kzl a Szervezet mit tart tmogatandnak (T), javasoltnak (J) vagy elnysnek (E):
Szervezet hozzlls
Killt
Internet Security Brainbench Network Security
Bizonytvny neve
Security Industry Knowledge American Society for Industrial Security (ASIS) Computing Technology Industry Association Information System Audit and Control Association (ISACA) International Webmaster Association (IWA) Information Systems Security Certifications Consortium SANS Institute Security Certified Program TruSecure Checkpoint Cisco IBM/Tivoli Microsoft Certified Protection Professional Security+ CISA (Certified Information System Auditor) Certified Web Professional (CWP) Security Specialist CIW Security Analyst Certified Information Systems Security Professional (CISSP) System Security Certified Practitioner (SSCP) GIAC Security Essentials Certification (GSCE) GIAC Security Engineer (GSE) Security Certified Network Professional (SCNP) Security Certified Network Architect (SCNA) TruSecure ICSA Certified Security Associate (T.I.C.S.A.) TruSecure ICSA Certified Security Expert (T.I.C.S.E.) Certified Security Administrator (CCSA) Certified Security Expert Plus (CCSE Plus) Cisco Security Specialist IBM SecureWay Firewall for Win NT MCP Exam 70-220: Security Design MCP Exam 70-227: Installing ISA server RSA Certified Administrator (RSA/CA) RSAs Certified Security Professional Program RSA Certified System Engineer (RSA/CSE) RSA Certified Instructor (RSA/CI) Symantec Product Specialist (SPS) Symantec Certification Program Symantec Certified Security Engineer (SCSE) Symantec Certified Security Practitioner (SCSP)
Tblzat 12. Tanfolyam- s vizsgabizonytvnyok s kiad szervezetek
23 Itthon elrhet mg az NJSZT (tbbfle), az NHH (digitlis alrs) s az Igazsggyi (tbbfle) szakrti igazolvny megszerzse. Ezek kzl az utbbi megszerzse tmogatott, a tbbi elnyt jelent egy alkalmazott szmra.
IHM-MTA-E4-3.doc
80/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
11
Rvidtsek, fogalmak
Az egyes szakkifejezsek megtallhatk a Fogalomtrban (http://www.fogalomtar.hu). Az anyagban szerepl kifejezsek s rvidtsek: 3DES (Triple) Data Encryption Standard AirCERT Automated Incident Reporting CERT APCERT Asia-Pacific CERT ASCII American Standard Code for Information Interchange CACS Computer Audit, Control and Security Conference CAIF Common Advisory Interchange Format CB Common Band (radio) CC, BCC Carbon copy, Blind carbon copy CERT Computer Emergency Response Team CERT/CC Computer Emergency Response Team / Coordination Center CET Central European Time CGI Common Gateway Interface CISA Certified Information Systems Auditor CMS Cryptographic Message Syntax CSIRT Computer Security Incident Response Team CVE Common Vulnerabilities and Exposures DARPA Defense Advanced Research Projects Agency DH Diffie-Hellman DoS, DDoS Denial of Services, Distributed Denial of Services DSA Digital Signature Algorithm EGC European Group of CERTs EISPP The European Information Security Promotion Program ENISA European Network and Information Security Agency FAQ Frequently Asked Questions FIRST Forum of Incident Response and Security Teams GIAC Global Information Assurance Certification GPG GNU Privacy Guard GYIK Gyakran Ismtelt Krdsek HTML HyperText Markup Language HTTP HyperText Transfer Protocol IBRS Informatikai Biztonsgi RszStratgia IDMEF Intrusion Detection Message Exchange Format IDS Intrusion Detection System IDWG IETF Intrusion Detection Workgroup IETF Internet Engineering Task Force INCH WG IETF Incident Handling Working Group IODEF Incident Object Description and Exchange Format IP Internet Protocol
IHM-MTA-E4-3.doc
81/296
MTA SZTAKI; E4 - 4671/4/2003
Szervezet szablyzat
ISACA Information Systems Audit and Control Association ISC Internet Storm Center IT Information Technology MIBTS Magyar Informatikai Biztonsgi rtkelsi s Tanstsi Sma MIME Multipurpose Internet Mail Exchange MITS Magyar Informcis Trsadalom Stratgia MTA Mail Transport Agent NCSD National Cyber Security Division NIIF Nemzeti Informcis Infrastruktra Fejlesztsi Program PGP Pretty Good Privacy PIN Personal Identification Number PPP Public-Private Partnership RAID Redundant Array of Inexpensive Disks RFC Request For Comments RSA Ron Rivest, Adi Shamir, Leonard Adleman RTIR Request Tracker for Incident Response SANS SysAdmin, Audit, Network, Security Institute SHA-1 Secure Hash Algorithm 1 SNML Simple Network Markup Language SQL Structured Query Language TERENA Trans-European Research and Education Networking Association URL Uniform Resource Locator VPN Virtual Private Network XML eXtensible Markup Language ***
IHM-MTA-E4-3.doc
82/296
MTA SZTAKI; E4 - 4671/4/2003
Hlzati incidenskezels Tutorial
Hlzati incidenskezels
oktatsi anyag
2006 mjus
IHM-MTA-E4-3.doc
83/296
MTA SZTAKI; E4 - 4671/4/2003
IHM MTA-SZTAKI, 2006. Az oktatsi anyag kidolgozsban s lektorlsban rszt vettek: Becz Tams, Psztor Szilrd, Rig Ern, Tiszai Tams, Tth Beatrix
IHM-MTA-E4-3.doc
84/296
MTA SZTAKI; E4 - 4671/4/2003
1 Bevezets
Jelen dokumentum egy a hlzati incidenskezels tmakrben kidolgozott oktatsi anyaghoz kapcsold eladsi bemutat-anyag, illetve a bemutat megtartshoz, valamint az egyes oldalak rtelmezshez segtsget nyjt megjegyzsek gyjtemnye. Maga az oktatsi anyag egy sszesen 6 rnyi eladst tartalmaz tanfolyam tutorial keretei kztt megismertethet, a hlzati incidenskezels terletn meglehetsen szles ismereteket kzl tananyag. A vetthet brkon bemutatott tananyag a kvetkez fbb fejezetekre oszlik: Bevezets
Az internetes veszlyeztetettsgrl A veszlyeztetettsgek alapvet fogalmait taglal, a ksbbiekben hivatkozott fogalmakat bevezet s rtelmez fejezet. Magyar s nemzetkzi CSIRT-ek A hlzati incidenskezelssel foglalkoz specilis szervezetek CERTek, CSIRTek feladatait ismertet, a meglv ilyen szervezetek jellemzi bemutat fejezet. Hlzatbiztonsgi szabvnyok A specilis szakterlet s a kapcsold rokon terletek legelterjedtebb szabvnyait, azok logikai felptst s egymshoz viszonytott kapcsolatait bemutat fejezet. Megelz intzkedsek
1. rsz: Technolgia A hlzati incidensek elkvetse sorn felhasznlt s tmadott alapvet megoldsok, protokollok, valamint a tmadsok eslyt cskkent megelz intzkedsek krt szmbavev fejezet. 2. rsz: Audit s management A hlzati incidensek felfedst, az esetleges incidensek megelzst biztost mdszereket, eszkzket, eljrsokat bemutat fejezet. 3. rsz: Visszahat intzkedsek Az incidensek kvetkezmnyeit mrskl, illetve bekvetkezsket specilis megoldsokkal elhrt vagy lasst eszkzk alapjait bemutat fejezet. Itt kerl ismertetsre nhny olyan eszkz s mdszer is, amely a bekvetkezett incidensek kezelst, a nyomok rgztst, dokumentlst clozza.
Az itt kvetkez eladsi anyag tnyleges felhasznlhatsgt, rthetsgt s eladshoz szksges valdi idtartam ellenrzst a szakterlet elismert, vtizedes hagyomnyokkal rendelkez ves konferencija a Network Shop 2006. vi rendezvnye sorn tartott Tutorial szekci keretben megtartott eladson ellenriztk. Tapasztalataink szerint a csaknem 200 oldalnyi vetthet ismeretanyag a hallgatsg elismerst vvta ki, amely alapjn felttelezhet, hogy ms, a szksges szmtgphlzati alapismeretekkel rendelkez rdekld kznsg szmra is hasznos informcikat tartalmaz.
IHM-MTA-E4-3.doc
85/296
MTA SZTAKI; E4 - 4671/4/2003
1.
Hlzati incidenskezels
Hlzati Incidenskezels Tutorial
2006 mjus
A tutorial clja, hogy ttekintst adjon a kis s kzepes mret, Internet-elrssel is rendelkez, IP alap hlzatok fizikai s management-szint vdelmi lehetsgeirl, valamint az zembe lltott vdelmi s behatolsrzkel rendszerek ltal felfedett incidensek kezelsrl. Az elads sorn kitrnk az incidensek nyomn esetlegesen htramarad informcik, bizonytkok gyjtsnek s elemzsnek mdszereire is.
IHM-MTA-E4-3.doc
86/296
MTA SZTAKI; E4 - 4671/4/2003
2.
Bevezet
2006 mjus
IHM-MTA-E4-3.doc
87/296
MTA SZTAKI; E4 - 4671/4/2003
3.
Tutorial tartalma, idterv

Bevezets Az internetes veszlyeztetettsgrl Magyar s nemzetkzi CSIRT-ek Hlzatbiztonsgi szabvnyok
Sznet ---
(45p) (15p) (30p)
Megelz intzkedsek 1. rsz: Technolgia

Sznet --- --- ---
(90p) (90p) (90p)

-32006 mjus
2. rsz: Audit s management

Sznet ---
Visszahat intzkedsek
Bevezets rvid tartalmi ttekints, idzts ismertetse Az internetes veszlyeztetettsgrl -- mit is neveznk veszlyeztetettsgnek -- forrsai, cljai, mdszerei defincii Magyar s nemzetkzi CSIRT-ek -- fogalom rtelmezse, jelentse, rgi s j rvidtsek -- CSIRT-ek szerepe, feladataik -- ms nemzetkzi szervezetek Hlzatbiztonsgi szabvnyok -- milyen ajnlsok szlettek a vilgban eddig a tmaterleten -- BS7799, Common Criteria, Cobit, stb. Megelz intzkedsek -- mit tehetnk elzetesen a veszlyeztetettsg elkerlsre 1. rsz: Technolgia -- forgalomszrs, tzfalak szerepe -- titkosts, hitelests -- jogosultsgellenrzs, hozzfrsvdelem 2. rsz: Audit s management -- nmegtmads, nellenrzs (Nessus) -- szoftverfrissts, verzikvets -- clszer fizikai/logikai struktra megvlasztsa -- adminisztratv eszkzk, elosztott biztonsgi szolgltatsok Visszahat intzkedsek -- behatolsjelzs (Honeynet, Snort) -- forensic eszkzk s alkalmazsuk -- incidenskezel rendszerek (RT-IR)
MTA SZTAKI; E4 - 4671/4/2003
4.
Az internetes veszlyeztetettsg
2006 mjus
IHM-MTA-E4-3.doc
89/296
MTA SZTAKI; E4 - 4671/4/2003
5.
Mi a veszlyeztetettsg
Szmos klnfle definci lehetsges RFC 2828 rtelmben
Veszlyeztetettsg, fenyegetettsg (threat) = olyan krlmny, kpessg, cselekedet vagy esemny hatsa, amely a biztonsg megsrtst eredmnyezi, s gy krokat okoz(hat). Threat = szndkos fenyegets, fenyegetettsg Figyelmen kvl hagyjuk a nem szndkos okokat
Hibs biztonsgi konfigurcik Adatvesztsbl fakad krok Nem szoftveres fenyegetettsgbl ered krok Fizikai krokozs (gprombols, lops)
-5-
2006 mjus
Szmos klnfle definci lehetsges, amelyek a fenyegetettsget (threat) klnfle szempontbl definiljk Az RFC 2828 (Internet Security Glossary, 2000) a fenyegetettsget is definilja. Hosszabban kifejtve: olyan krlmny, kpessg, cselekedet vagy esemny hatsa, amely a biztonsg megsrtst eredmnyezi, s gy krokat okozhat. Rviden: tmads az (informatikai) biztonsg ellen. Jelen esetben csak a szndkos fenyegetettsgeket vizsgljuk Figyelmen kvl hagyjuk a nem szndkos (s nem informatikai) fenyegetettsgeket: -- hibs konfigurci okozta problmk -- adatvesztsbl fakad krok -- nem szoftveres fenyegetettsgek, pl. villmcsaps, ramkimarads -- fizikai krokozs, gprombols, adathordoz lops
IHM-MTA-E4-3.doc
90/296
MTA SZTAKI; E4 - 4671/4/2003
6.
Veszlyek osztlyozsa
Sok klnfle besorols ltezik, tekintsnk egy viszonylag egyszer osztlyozst:
Tnyleges veszlyeztetettsg
Szerverek, tzfalak, egyb programok mr felfedett veszlyeztetettsgei (nyilvnosan ismert hibk)
Az okozott kr mrtke alapjn tovbbi csoportosts is ismert
Potencilis veszlyeztetettsg
Rejtett (nem ismert) veszlyeztetettsgek
ltalban csak penetrci tesztekkel fedezhetk fel Ha rendszernket teljesen ismernnk, tnyleges veszlyek lennnek
Informcis veszlyeztetettsg
A rendszer mikntjrl begyjthet adatok (info leakage)
Fut szolgltatsok, IP-cmek, portok, oprendszer verzik, stb. A rendszer fontos rszleteire lehet bellk kvetkeztetni Ksbbi tmadsokhoz adatokat szolgltathat
Hlzati incidenskezels Tutorial -62006 mjus
IHM-MTA-E4-3.doc
91/296
MTA SZTAKI; E4 - 4671/4/2003
7.
Fontos ez a problma? (1)

A fenyegetettsgek szma meredeken n (forrs: CERT/CC) A felkszlsi id gyorsan cskken (egyre hamarabb kihasznljk a felismert hibt)
7000 6000 5000 4000 3000 2000 1000 0 1988 1990 1992 1994 1996 1998 2000 2002 2004 Bejelentett sebezhetsg
160000 140000 120000 100000 80000 60000 40000 20000 0 1988 1990 1992 1994 1996 1998 2000 2002 2004 Bejelentett incidens
-7-
2006 mjus
Szksges-e a hlzati biztonsg krdsvel foglalkozni. Nhny beszdes adat: A felismert tmadsi lehetsgek szma meredeken emelkedik. A bejelentett incidensek szma exponencilisan n, mikzben egy-egy incidens egyre tbb gpet rint(het). Vagyis az als brn lthat grbe NEM a megtmadott gpek szmt, hanem a bejelentett incidensek szmt jelzi, mikzben egy incidens sokszor gpek szzait-ezreit rinti. A sebezhetsg felismerse/publiklsa, majd az ezt kihasznl tmads bekvetkezse kztt eltelt id (a felkszlsi id) gyorsan cskken. Korbban ez
IHM-MTA-E4-3.doc
92/296
MTA SZTAKI; E4 - 4671/4/2003
8.
Fontos ez a problma? (2)

Adatok egy konkrt hlzat vizsglatrl:
438 gp automatikus biztonsgi ellenrzse 1676 slyos biztonsgi hiba (3,8 / gp) 3192 biztonsgi rs (7,2 / gp)
Ugyanezen hlzat forgalmi elemzse:

Egyrtelm, automatikus tmads: 700.000/h IP cmenknti prblkozs: 66/ra Sebezhetsg tpusonknti prblkozs: 20/ra
Clkitzs: a fenyegetettsg megszntetse, de legalbb jelents cskkentse

A SZTAKI hlzatnak automatikus eszkzkkel (Nessus) vgrehajtott egy korbbi vizsglata rengeteg mr ismert sebezhetsg jelenltt trta fel. A 438 gpen a din lthat szm slyos biztonsgi hiba, illetve kevsbe veszlyes biztonsgi rs volt detektlhat. A vizsglat sorn az automata a hlzatra vonatkoz semmilyen elzetes informcival nem rendelkezett, vagyis egy hacker/cracker ltal vgrehajtott intelligens (ember ltali) tmads sorn a siker szinte bizonyos. A forgalom elemzse (Snort) azt mutatta, hogy a hlzatot havi tbb szz ezer automatikus, robotok ltal vgrehajtott, egyrtelmen azonosthat tmads ri. A tmadsok feloszthatk egyrszt a tmads trgya (IP cm, vagyis konkrt gp), msrszt a tmads mdja (a kihasznlni szndkozott biztonsgi hiba) alapjn. Mindezek alapjn kijelenthet: a problmt kezelni kell!!!
IHM-MTA-E4-3.doc
93/296
MTA SZTAKI; E4 - 4671/4/2003
9.
Mit tehetnk?
Vdekezznk!
A vdekezs rdekben ismernnk kell A tmadsok forrsait A tmadsok cljait A tmadsok trvnyszersgeit A tmadsok mdszereit s eszkzeit A tmadsok kockzatt
A fentiek ismeretben, a rendszerezs utn tehetnk megelz, szisztematikus lpseket a fenyegetettsgek mrsklsre, a kros hatsok cskkentsre.
Mirl lesz sz... valahogy arrl is kell beszlni, hogy ezek ellen a dolgok ellen harcolunk, s ehhez szeretnnk segtsget nyjtani az elkvetkez szekcikban.
IHM-MTA-E4-3.doc
94/296
MTA SZTAKI; E4 - 4671/4/2003
10.
A tmadsok forrsai
IP alhlzat hatrt tekintve a tmad lehet: Kls forrs
Kevs kezdeti informci Alacsony kiindulsi privilgiumszint Automatikus eszkzkkel megelzhet
klnfle tzfalak
Bels forrs
Sok bennfentes informci Magas kiindulsi privilgiumszint ltalnos esetben nehezen elzhet meg
ngy szem technika, hlzat szegmentlsa
A tmadst clszer a hatron meglltani

Beljebb tbb az informci, s a lehetsg
Hlzati incidenskezels Tutorial - 10 2006 mjus
Egy ltalnos rtelemben vett, internetes kapcsolattal rendelkez, IP alap hlzatot alapveten kt forrsbl, a hlzat s az Internet kzti hatrvonal szempontjbl bels s kls csatlakozsi pontrl rhetnek tmadsok. E kt forrs, vagy kt szint kzt az alapvet klnbsg a tmadst kivitelez program vagy szemly rendelkezsre ll informcik mennyisgben s a tmads kiindulpontjul szolgl rendszer vagy egyb hlzati csatlakozsi pont privilgiumszintjben rejlik. A szakirodalomban ( [SANSPenStud], [SANSPenTest]) az emltett kt szint (kls, bels) kztt mg szmos tovbbi tmeneti szintet is megklnbztetnek, de vgs kvetkeztetsknt levonhat, hogy a kls szintrl a bels fel haladva az informcimennyisg s a privilgiumszint is folyamatosan n, vagyis a felttelezett tmad dolga folyamatosan egyszersdik, ebbl kvetkezleg a tmads ltal okozhat kr mrtke s a krokozs kockzata folyamatosan nvekszik. Kevs olyan, specilisan tervezett (pldul a katonai s komoly zleti, banki krkben elterjedt, nem csak a szmtstechnikban mkdkpes, ngy szem technikt alkalmaz), rendszer ltezik, ahol a legbels szintre val behatols nem ruhzza fel teljes jogkrrel a tmad szoftvert vagy szemlyt, ezrt clszer a tmadst lehetleg a kls szinten megakadlyozni. Az elzekben lertakbl kvetkezleg azrt is rdemes a kls szintre koncentrlni, mert az ott alkalmazhat alapvet tmadsi mdszerek befel haladva csak bvlnek, a vdekezsi mdszerek csak fogynak, azzal a kiegsztssel, hogy befel haladva a vdekezsek hatkonysga, a tmadsokkal ellenttes arnyban, folyamatosan cskken a tmadsok szmra rendelkezsrell informci mennyisgnek nvekedse miatt.
IHM-MTA-E4-3.doc
95/296
MTA SZTAKI; E4 - 4671/4/2003
11.
A tmadsok cljai (1)

Informciszerzs
Klasszikus kmkeds esete Tovbbi tmadsok megalapozsa
Kik csinljk: kmek, (?)szolglatok, hackerek
Szolgltatsbnts
Nem maradand de pnzbe kerl kr DoS (Denial of Service) attack
Gyakran a tmadtl is jelents erforrst ignyel Patchelssel s tlmretezssel kivdhet
DDoS (Distributed DoS) attack

Sok kis erforrs zombie host egyestse (botnet) Vdekezni nagyon nehz Kik csinljk: ellensgek, maffia (vdelmi pnz)
A tmadsok sosem cltalanok, mindig a tmad hasznt s szndkait szolgljk. A clokat a kvetkezkpp csoportosthatjuk: Informciszerzs A legtbb tmads sorn elfordul, hogy a tmads indtja j informcikhoz jut a tmadott rendszerrel kapcsolatban: ha mst nem tud meg, legalbb azt, hogy a kiprblt tmadsi forma sikerrel jrt-e az adott rendszeren, vagy nem, sok esetben ez is fontos informci lehet. Az informciszerzs ilyen esetekben ltalban a tovbbi tmadsok elksztst segti s ltalban a tmad sajt cljait szolglja. Elfordul azonban az is, mikor a megszerzett informci nem a tmad sajt cljait, hanem megbzjnak, vagy leend vsrljnak cljait szolglja, ilyenkor az informciszerzs ltal okozott kr kzvetlenebb vlik, ez a klasszikus kmkeds esete. Szolgltatsbnts A szolgltatsbntsrl (Denial of Service, DoS) beszlhetnk gy is, mint kzvetlen hatsait tekintve tmeneti krokozsrl. ltalban akkor hasznljk, ha maradand krokozsra nincs knny md, mivel ltalban a szolgltatsbnts az egyszerbb mveletek kz tartozik. Az ilyen esetekben a tmad clja a tmadott rendszer ltalban publikus szolgltatsainak hasznlhatatlann ttele msok szmra. Ez egyszer esetben okozhatja pldul egy weboldal elrhetetlensgt, de sszetettebb helyzetben a tmad szmra j lehetsgek nylhatnak tovbbi tmadsok vghezvitelre (pldul egy azonost, hitelest szolgltats bntsa esetn). A szolgltatsbntsos tmadsok sorn nem ritkn elfordul, hogy a tmads erforrsignye messze alatta marad a megtmadott rendszer ltal felemsztett erforrsoknak (pldul keresseket, bonyolult mveleteket indt egy tvoli gpen), esetleg elegend egyetlen tmads egy szolgltats vgleges blokkolshoz (ilyen volt az
MTA SZTAKI; E4 - 4671/4/2003
egyes Intel processzorok F00F bug nven elhreslt hibja), ilyenkor egyszerbb a tmad dolga. Ha azonban a megtmadott rendszer megfelelen nagy teljestmny, s a tmads nem tl hatkony, elkpzelhet, hogy a tmad rendszere nmagban nem kpes a szolgltats teljes mrtk leterhelsre. Ilyen esetekben alkalmazzk az elosztott szolgltatsbntst (Distributed DoS, DDoS), melynek sorn a tmad tbb forrsgprl, azok teljestmnyt sszestve, prhuzamosan indthat tmadst clja ellen.
IHM-MTA-E4-3.doc
97/296
MTA SZTAKI; E4 - 4671/4/2003
12.
A tmadsok cljai (2)

Maradand kr okozsa
Ltvnyos deface tmadsok Nyomok eltntetse
Kik csinljk: nkntesek, tapasztaltabb tmadk kerlik
Erforrsok rosszindulat felhasznlsa

Ugrdeszka tovbbi tmadsokhoz Zombie host DDoS tmadsokhoz Illeglis szoftver (ms jogdjas termk) terjeszts Phising, Pharming Spam kld hlzatok
Kik csinljk: Nagy pnz, nemzetkzi csoportok (maffia)
- 12 -
2006 mjus
A maradand krokozs ltalban a legnyilvnvalbb eredmnyekkel jr tmadsi forma. Ezekben az esetekben a hinyz adatok, a mdostott tartalm (n. deface-elt) weboldal jrszt rgtn felfedezhetk, de elfordulnak kifinomultabb adatmegsemmistsi esetek is, mint pldul egy rendszer naplbejegyzseinek trlse, ahol az eltnt informcik nem felttlenl reztetik hinyukat. A tapasztaltabb tmadk ltalban kerlik a maradand krokozst (lsd.: . bra), mivel ilyen esetekben a kzvetlen haszon ltalban elhanyagolhat, viszont nagy a felfedezs valsznsge. Erforrsok rosszindulat felhasznlsa Ez a tmadsi forma azonosthat taln legkevsb az let ms terletein is elkvethet rosszndk cselekedetekkel. A tmad mindenfle eltulajdonts s kzvetlen krokozs nlkl utastsainak kvetsre br egy erforrst (sok esetben egy egsz hlzati hostrl van sz). Az erforrs jogos felhasznlja ltalban fel sem fedezi a tmads sikeressgt, a tmad pedig a birtokba jutott erforrst elosztott szolgltatsbntsra, kretlen zleti tartalm levelek kldsre, jelszadatbzisok feltrsre, megszemlyestses tmadsokra vagy brmilyen ms clra felhasznlhatja. Phising = social engineering egy formja, hamistott honlapon rzkeny informcik begyjtse Pharming = DNS meghamistsa, hogy egy adott nv ne a valdi gpre, hanem annak rosszindulat msolatra mutasson
IHM-MTA-E4-3.doc
98/296
MTA SZTAKI; E4 - 4671/4/2003
13.
Deface tmadsok okai
Forrs: zone-h.org
IHM-MTA-E4-3.doc
99/296
MTA SZTAKI; E4 - 4671/4/2003
14.
A tmadsok trvnyei (1)

A tmadsokkal kapcsolatban nhny trvnyszersg ismerhet fel
Forrs: Qualys (www.qualys.com)
Fl-lettartam (half-life) trvnye

A rendszerkomponensek felnek patch-elsi ideje
Vltozs 2004-rl 2005-re
kls rendszerek felnek kijavtsi ideje: 21 19nap bels rendszerek felnek kijavtsi ideje: 62 48nap
Gyakorisg trvnye
Az elterjedt/slyos veszlyeztetettsgek 50%-t egy ven bell jak veszik t
- 14 -
2006 mjus
IHM-MTA-E4-3.doc
100/296
MTA SZTAKI; E4 - 4671/4/2003
15.
A tmadsok trvnyei (2)

Megmarads trvnye
A kritikus veszlyeztetettsgek 4%-a nem tntethet el
A rendszer mindig visszaregedik (jratelepts sorn, ritkn fut gpek figyelmen kvl hagysa miatt)
Fkusz (fontossg) trvnye

A hibk 90%-t az ismert veszlyeztetettsgek 10%-a okozza
Kockzat trvnye
A hibk kihasznlshoz szksges id gyorsabban rvidl, mint a javtshoz szksges id
Kihasznls trvnye
A veszlyeztetettsgek 85%-hoz 15 napon vagyis half-life idn bell rendelkezsre ll az automatikus tmad kd
IHM-MTA-E4-3.doc
101/296
MTA SZTAKI; E4 - 4671/4/2003
16.
Tmadsok mdszerei
A tmadsi mdok osztlyozsa
Sebezhetsgek felfedse Megszemlyests Hlzati alkalmazsok gyengesgeinek kihasznlsa Hlzati struktra gyengesgeinek kihasznlsa Emberi hibk kihasznlsa A vdekezsek elleni tmadsok
- 16 -
2006 mjus
IHM-MTA-E4-3.doc
102/296
MTA SZTAKI; E4 - 4671/4/2003
17.
Sebezhetsgek felfedse
A tvoli rendszerbl kiszivrg informcik sszegyjtse
Host/address range scanning Port scanning
Klnfle mdszerek az IP/UDP/TCP protokollok esetn
Security scanning Egyb hasznosthat informcik begyjtse Frgek, kmrobotok, scannerek felhasznlsval
- 17 -
2006 mjus
IHM-MTA-E4-3.doc
103/296
MTA SZTAKI; E4 - 4671/4/2003
18.
Megszemlyests
Lehallgats (sniffing) Cmhamists
ARP poisoning IP spoofing DNS poisoning (pharming) URL spoofing (phising)
Cl: egy nem publikus erforrs elrshez szksges jogosultsg ellenrzs (authorization) vgrehajtshoz szksges azonosts (authentication) fzis sikeres lebonyoltsa
Kzbekelds
Man in the middle attack
Titkostott csatornk feltrse rdekben
- 18 -
2006 mjus
IHM-MTA-E4-3.doc
104/296
MTA SZTAKI; E4 - 4671/4/2003
19.
Alkalmazsok gyengesgei
Programhibk (hard sebezhetsgek)
Implementcis gyengesgek
Puffertlcsorduls (stack, dinamikus memriaterlet) Formzott string alap tmads
pl. SQL injection, directory traversal
Idzts-alap tmadsok
Time-of-check-to-time-of-use (TOCTTOU) tmads Symlink race tmads
Konfigurcis hibk (soft sebezhetsgek)

Biztonsgi hzirend hinya, hibs volta Konfigurcis mechanizmusok hinya Elgtelen (nem figyelt) naplzs Figyelmetlensg
IHM-MTA-E4-3.doc
105/296
MTA SZTAKI; E4 - 4671/4/2003
20.
Strukturlis hibk kiaknzsa

Fizikai struktra (szegmentls hinya) Logikai struktra (lehatrols hinya) Zrt hlzatok
Jl alakthatk Jl korltozhatk Korltozott felhasznlhatsgak
Internetes fellet hlzatok

Szolgltatsokat kell nyjtaniuk Nehezen korltozhatk Az ttekintett veszlyek nagyobb valsznsggel kvetkeznek be
IHM-MTA-E4-3.doc
106/296
MTA SZTAKI; E4 - 4671/4/2003
21.
Emberi hibk kihasznlsa

A tmadsra kiszemelt rendszerrl hasznos adatok begyjtse nem technikai eszkzkkel (social engineering)
Leglis adatbnyszat is eredmnyes lehet Fondorlatos adatgyjts, rszeds Zsarols, lelki/fizikai erszak Megvesztegets Szakemberek szndkos tlterhelse Elkeseredettsg, ellenszenv kihasznlsa Egyni akcik, bossz (tipikusan bels tmadsok)
IHM-MTA-E4-3.doc
107/296
MTA SZTAKI; E4 - 4671/4/2003
22.
Vdekezsek elleni tmads

Automatikus biztonsgi beavatkozs ellenrdek kihasznlsa DoS attack-re
Jelszhiba miatti kitilts Tvoli IP cm kitiltsa Vruskeres megtvesztse (tlterhelse)
Indirekt tmadsok
Figyelem elterels hamis riasztsokkal Kifraszts sorozatos oktalan riasztsokkal Rendszermentsek tmadsa
pl. kompromittlt ments felhasznlsnak kieszkzlse
- 22 -
2006 mjus
IHM-MTA-E4-3.doc
108/296
MTA SZTAKI; E4 - 4671/4/2003
23.
A tmadsok kockzata
A tmadsok kockzatot jelentenek A kockzat teljesen nem szntethet meg A kockzatokat elemezni kell s lehet...
Sokszor csak relatv kockzati rtkek mrhetk Elemzssel a kockzat/kltsg alacsonyan tarthat A leggetbb problmkra koncentrl(hat)unk Kockzati kocka fogalma Vagyon/rtk R pt d t t T
Fe ny eg et et ts
R = kockzat T = veszlyforrsok halmaza pt = t bekvetkezsi valsznsge
Kockzat = trfogat
g
- 23 -
dt = t bekvetkeztekor elszenvedett kr
Sebezhetsg
2006 mjus
IHM-MTA-E4-3.doc
109/296
MTA SZTAKI; E4 - 4671/4/2003
24.
Biztonsgi kockzat-elemzs
Minden ismert kockzatra vlaszoljuk meg az albbi krdseket (5M krds):
A kockzatot kikszbl intzkeds:
Milyen problmt old meg? Mennyire jl oldja meg? Milyen j problmt vet fel? Milyen kltsgeket generl? Megri (a fentiek tkrben)? (lert clok!) (hatkonysg) (egymsra hats) (kzvetett is van...) (foglalkozzunk vele?)
Nhny megszvlelend jtancs:

A biztonsg nem termk, hanem eljrs! A biztonsg nem llapot, hanem folyamat. A biztonsg nem a kockzat elkerlse, csak annak kezelse. Nincs teljes biztonsg, csak tudatos kockzatvllals.
IHM-MTA-E4-3.doc
110/296
MTA SZTAKI; E4 - 4671/4/2003
25.
A vdekezs alapvet lpsei

Erforrsok hierarchikus minstse
Ami fontos, azt minden ervel vdjk, ellenrizzk Ami drga/modern, mg nem biztonsgos is
A vdelmi rendszer felmrse

Mit vrhatok el az zemel rendszerektl Mit vrhatok el az zemeltet szemlyzettl
A vdelmi rendszerek sszevonsa

Minden vdelmi eszkz egysges sszekapcsolsa A biztonsgi szaktuds sszevonsa, folyamatos szintentartsa
A vdelmi rendszer ellenrzse

A rendszerek/szaktuds folyamatos vizsglata
IHM-MTA-E4-3.doc
111/296
MTA SZTAKI; E4 - 4671/4/2003
26.
sszefoglals
A hlzat alkalmazsa elkerlhetetlenl veszlyeztetettsgeket rejt A krok megelzse (mrsklse) rdekben vdekeznnk kell A vdekezs elfelttele, hogy ismerjk gyengesgeinket s a tmadsok mikntjt, valamint elhrtsuk (vltoz) mdszereit Mg a tmads eltt kell kidolgoznunk a vdekezs mdszereit, biztostani a szksges technikai s emberi erforrsokat Ne trekedjnk teljes vdettsgre, csak a relis kockzatok ellen kzdjnk, de azok ellen folyamatosan
IHM-MTA-E4-3.doc
112/296
MTA SZTAKI; E4 - 4671/4/2003
27.
Hasznos linkek, referencik

http://zone-h.org
the Internet thermometer
http://isc.sans.org
Internet storm center
http://www.qualys.com
veszlyeztetettsgi trvnyek, egyb ajnlsok
http://www.securitydocs.com
biztonsgi dokumentumok, tanulmnyok (white paper)
http://www.cert.hu
hlzatbiztonsgi tanulmny, egyb informcik
- 27 -
2006 mjus
IHM-MTA-E4-3.doc
113/296
MTA SZTAKI; E4 - 4671/4/2003
28.
Magyar s nemzetkzi CSIRT-ek
Networkshop 2006 Tutorial
2006-05-13
IHM-MTA-E4-3.doc
114/296
MTA SZTAKI; E4 - 4671/4/2003
29.
Mirl lesz sz?

CSIRT fogalma, clja, trtnete CSIRT ltrehozsa, tpusai CSIRT mkdsnek felttelei, elemei
Szolgltatsok
Incidenskezels
Hazai s nemzetkzi CSIRT szervezetek Projektek, trendek Szabvnyostsok Zrmegjegyzsek Hasznos linkek
IHM-MTA-E4-3.doc
115/296
MTA SZTAKI; E4 - 4671/4/2003
30.
CERT/CSIRT fogalma
CERT (Computer Emergency Response Team) fogalma CSIRT clja:
Segtsen az incidensek megelzsben Az incidensek ltal okozott krt minimalizlja Hossz tv segtsget nyjtson az incidenskezelsben
Szinonimk: CSIRT, IRT, CSIRC, CIRT, CIRC, SERT, SIRT
- 30 -
2006 mjus
CSIRT olyan szervezet vagy csoport, amely szolgltatst nyjt s tmogatst ad a szmtgpes incidensek megelzsben illetve a szmtgpes incidensekre adott vlaszlpsekben egy megadott kr rszre. ltalban a CSIRT-ek:

a helyi szmtgpes/hlzati biztonsgi problmk bejelentsre szolgl kontakt pont ahol azonostjk s elemzik a bekvetkezett esemnyt, belertve annak hatst s lehetsges veszlyeit, fenyegetseit keresik a megfelel megoldst a megtallt vlaszt, informcikat, tanulsgokat megosztjk a szervezet embereivel hossztv megoldsokat keresnek az incidensek elkerlsre
A CERT sz szerinti fordtsban: szmtgpes szksgllapottal, knyszerhelyzettel foglalkoz csapat, ez egy kicsit megtveszt, mert leszkti a tevkenysget, ugyanis nemcsak vszhelyzetben tevkenykednek. Korbban ezt az elnevezst hasznltk, most inkbb a CSIRT jtt divatba. A CSIRT (Computer Security Incident Response Team) jelentse: szmtgpes incidensekre adand vlaszokkal foglalkoz csapat. Megjegyzem, hogy az "incidenskezels"-t a tovbbiakban tgabb rtelemben hasznljuk, teht ez a fogalom nem azonos azzal, hogy egy adott szmtgpes/hlzati biztonsgi esemnyt megoldunk, annl tbb, olyan folyamatok sszessge, amelyben

benne van az incidensekre vonatkoz figyelmezets, az incidensek feldertsben, elemzsben val csapatmunka, az egyttmkds s a koordinci, a megelzst segt intzkedsek.
Szinonimk: CSIRT Computer security incident response team, IRT incident response team, CSIRC comp. Sec. Inc. Response Capability, CIRC comp. Inc. Response capability, SERT security emergency response team
MTA SZTAKI; E4 - 4671/4/2003
(A CSIRT kifejezs fleg Eurpban terjed, taln aa TERENA (Trans European Research and Education Networking Association) hatsra). Fontos megjegyzs: Nincs univerzlis csodaszer az informatikai biztonsgra, a CSIRT csak egy aspektus. Emellett a biztonsgos konfigurci, a tudatossg, kls s bels vdelem, szakrtk, megfelelen biztonsgos rendszerek... mind, mind kellenek.
IHM-MTA-E4-3.doc
117/296
MTA SZTAKI; E4 - 4671/4/2003
31.
CERT/CC
CERT/CC CERT/CC misszija
Koordincis kzpontknt mkdjn Elsegtse az internetes kzssg egyttmkdst az incidensekre adott vlaszban Tmogassa a CSIRT csoportok ltrejttt Figyelemmel ksrje, elemezze, vizsglja az incidensek alakulst.
- 31 -
2006 mjus
Taln az els CERT a CERT/CC volt. A CERT koordincis kzpontot 1988 novemberben hozta ltre a DARPA (Defense Advanced Research Porject Agency), az USA Vdelmi hivatalnak kutatsokrt felels rszlege. Az alkalmat a Morris freg megjelense knlta, amely demonstrlta, hogy mennyire sebezhet az internet. Helyileg a Carnogie Mellon University-n, a Software Engineering Institute-ben (SEI) van. A Morris fregrl: a nevet a szerzrl kapta. 1988-ban kb 60000 gp volt az Internetre ktve. A gpeken lv biztonsgi lyukakrl mr akkor is tudtak, de nem vettk komolyan. A freg ezeket a biztonsgi lyukakat hasznlta ki: a sendmail (levelez szerver) -be beptett hibakeres funkcin, mint hts ajtn keresztl hatolt be (els biztonsgi lyuk), s ezek utn a sendmail jogosultsgval tevkenykedhetett a gpen. A sendmailt abban az idben szinte mindenki rendszergazdaknt indtotta (msodik biztonsgi lyuk). Ezenkvl a gpek egymsban megbztak, teht egy msik gp rendszergazdit rendszergazdai jogosultsggal beengedtk (harmadik biztonsgi lyuk). A becslsek szerint az akkori 60000 gpbl 6000 gp, azaz 10 % fertzdtt meg. 2006. janurjban 394 milli host van az Interneten, egy hasonl mret hiba vgzetes lenne. A CERT/CC ma mr koordincis kzpontknt mkdik, cljai a din olvashatk.
IHM-MTA-E4-3.doc
118/296
MTA SZTAKI; E4 - 4671/4/2003
32.
CSIRT ltrehozsa
Mi motivlja az intzmnyeket a CSIRT-ek ltrehozsra
A szmtgpes/hlzati incidensek szma s az rintett intzmnyek szma llandan nvekszik A kockzatelemzsi stratgia sorn kitnik, hogy biztonsgi szablyzatra s bevlt gyakorlat alkalmazsra szksg van Az informatikai vagyon vdelme alapvet A rendszergazdk egymaguk kptelenek megvdeni az informatikai vagyont Az incidensek kezelse loklisan nem kielgt Egyre komolyabb incidensek kvetkeznek be Meglv trvnyek kteleznek (nlunk kzvetve) (FISMA (Federal Information Security Management Act, 2002)
Kit kell bevonni a CSIRT alaptsba?

Ezen a din azt elemezzk, mi indokolja a CSIRT-ek ltrehozst. A legfbb indokok fent olvashatak. Kt megjegyzs: 1.) Alapvet hiba, hogy a rendszergazdk oldjk meg a biztonsg krdst. Ktsgtelen, hogy a biztonsgi eszkzk bellts, a helyes konfigurls stb. az feladatuk, de egy sor olyan munka ltezik, ami kvl esik a feladatkrkn pl. tudatossg nvelse, oktats 2.) A trvnyek is kteleznek a nagyobb biztonsg elrsre. Magyarorszgon mg csak kzvetve, pl. 1992. vi LXIII. trvny a szemlyes adatok vdelmrl s a kzrdek adatok nyilvnossgrl, 2003. vi XLVIII. trvny az elektronikusan trolt adatokra is vonatkozik. Az USA-ban taln konkrtabb szablyozsok vannak:
Gramm Leach Billey trvny 1999, ami arra ktelezi a pnzintzeteket, hogy az gyfelek szemlyi adatait vdjk s informatikai biztonsgi programjaik legyenek; vagy az egszsggyi adatok vdelmrl szl HIPAA trvny, de a leginkbb a FISMA (Federal Information Security Management Act, 2002), amely arra ktelezi a szvetsgi intzmnyeket (agencies), hogy incidenskezel csoportokat hozzanak ltre.
Kik hozzk ltre a CSIRT-eket? A CERT ltrejtthez felsbbszint dnts kell, de a kezdemnyezs alulrl szokott indulni. Teht a CERT-ek ltrehozsban f szerepet jtszhat:

az informatikrt felels vezet a biztonsgrt felels vezet a szervezet vezeti

119/296
IHM-MTA-E4-3.doc
MTA SZTAKI; E4 - 4671/4/2003
projektvezetk, projekttagok a szervezet jogi kpviseljt szemlyzeti vezetjt a biztonsgi felelsket rendszer- s hlzatadminisztrtorokat fels vezetst kockzatkezelsrt vagy auditlsrt felels embereket, ha vannak
A CERT-ek alaptsba be kell vonni:

IHM-MTA-E4-3.doc
120/296
MTA SZTAKI; E4 - 4671/4/2003
33.
CSIRT-ek tpusai
Bels CSIRT-ek Koordincis kzpontok (pl. nemzeti CSIRT) Elemz kzpontok Gyrti CSIRT Incidenskezelst szolgltatk (MSSP Managed Security Service Providers)
- 33 -
2006 mjus
Mivel minden CSIRT ms-ms krlmnyek kztt mkdik, mindegyik klnbzik. Azonban a kvetkez tpusokat lehet megklnbztetni.
Bels CSIRT-ek: a sajt szervezet rszre vgeznek incidenskezelst, ez a szervezet lehet bank, egyetem, nkormnyzat stb. (pl. NIIF CSIRT a kutati hlzat, Hun-CERT az Internet szolgltatk rszre) Koordincis kzpontok: az incidenskezelst koordinl s sszehangol kzpont, munkjt tbb CSIRT szmra vgzi el. Ilyenek pldul pl. az nemzeti CSIRT-ek. Nlunk a CERT-Hungary. Elemz kzpontok:klnbz forrsokbl nyert informcik alapjn az incidensaktivits trendjt s formit elemzik, sszegzik. Ilyen pl. a BME-n a vruslabor. Gyrti CSIRT-ek: a gyrt ltal gyrtott termkekre specializldott CSIRT-ek. Incidenskezelst szolgltatk: kls cgek, akik ms szervezetek rszre nyjtanak incidenskezelst. Brmilyen ms tevkenysghez hasonlan az incidenskezelst is ki lehet szervezni (outsourcing).
IHM-MTA-E4-3.doc
121/296
MTA SZTAKI; E4 - 4671/4/2003
34.
CSIRT komponensei (1)

Mi kell ahhoz, hogy mkdjn a CSIRT? RFC2350: Expectations for Computer Security Incident Response
Clok (mission)
Pldk:
a helyi hlzat/szmtgpek biztonsgnak nvelse; a szervezet segtse a megelz biztonsgi tevkenysgben, a biztonsgi tudatossg nvelse, a biztonsg terletn a helyes gyakorlat terjesztse, a biztonsgi problmk feltrkpezse
Clkznsg/fennhatsg meghatrozsa (constituency)

Korltok:
fldrajzi hlzati szervezeti
A kvetkez 3 din vgigmegynk azokon az elemeken, ami egy CSIRT mkdshez szksges. Ha segtsgre van szksgnk, akkor vegyk el pl. az RFC2350-t, egy helyes gyakorlat sttusz RFC-t. Nagyon sok informci tallhat mg a NIST lapjain, ld. utols dik egyike. Krltekinten kell eljrni a clok meghatrozsban! Ha azok nem vilgosak, akkor a CSIRT ltal vgzett munka is ad-hoc jelleg. A clok megfogalmazsban legynk relisak, vegyk figyelembe a rendelkezsre ll erforrsokat (eszkzk, emberek, anyagi httr...), a clok kztt lltsunk fel prioritsi sorrendet. Clok lehetnek pldul:

a helyi hlzat/szmtgpek biztonsgnak nvelse; a szervezet segtse a megelz biztonsgi tevkenysgben, a biztonsgi tudatossg nvelse, a biztonsg terletn a helyes gyakorlat terjesztse, a biztonsgi problmk feltrkpezse
Clkznsg (fennhatsg) alatt azokat az embereket s eszkzket rtjk, akikrt s amelyekrt a CSIRT a tevkenysgt vgzi. A korltok kijellsi is idetartozik: hol vannak az adott intzmny telephelyei, szobi (fldrajzi hatrok); hogyan kzelthetk meg ezek; mi az az eszkzpark amit felgyelnk; hol van a hlzat hatra, amitl kezdve mr nem mi felgyeljk a rendszert; kik azok az emberek, akiknek a bejelentst elfogadjuk?... A clkznsg meghatrozsa egyes esetekben trivilis: pl. egy kisvllalkozs esetn a kisvllalkozs minden munkatrsa s szmtgpe lehet ez a kr. Egy nagy egyetem esetn mr nem olyan egyszer a krds: a CSIRT csak a rendszer- s hlzatgazdkkal lljon kapcsolatban vagy az egyetem minden hallgatjval s tanrval?
MTA SZTAKI; E4 - 4671/4/2003
A clkznsg meghatrozsa dnten befolysolja a jvbeni munkt, hogy pl. milyen szint figyelmeztetseket krznek, milyen szint tancsokat adnak...(Ez a krds klnsen nehz pl. egy koordincis kzpont esetn, mint amilyen a nemzeti CSIRT)
IHM-MTA-E4-3.doc
123/296
MTA SZTAKI; E4 - 4671/4/2003
35.

Szervezeti/szervezsi krdsek
A szervezeten bell hol helyezkedik el a CSIRT? Kinek szmol be a CSIRT a munkjrl? (CIO, CEO, CSO,...) Hogyan tartja a kapcsolatot a clkznsggel?
Finanszrozs
CSI/FBI Computer Crime and Security Survey
Dntsi jogosultsg
Teljes dntsi joggal intzkedhet Megosztott dntsi joggal intzkedhet Nincs dntsi joga, legfeljebb javasolhat
Csoport nagysga, sszettele Szolgltatsok

Szervezeti krdsek: A din lthat els kt krds szorosan sszefgg. A CERT/CC ltal vgzett felmrsek szerint rendszerint az Informcitechnolgiai rszleghez szoktk besorolni a CSIRT-et. Ugyanakkor az ISO 17799 szabvnyt szerint a CIO szmoljon be a CSO -nak, s az feleljen CEO-nak. (CIO -> CSO -> CEO) CIO: chief information officer CSO: chief security officer CEO: chief executive officer A szervezeti krdsek azrt fontosak, mert a CSIRT s az IT rszlegnek egytt kell mkdnie szmos esetben: CSIRT javaslatot tehet a bels s kls vdelemre (pl. tzfalak, vrusrtk, IDS-ok kivlasztsa, teleptse; de nemcsak az eszkzk, hanem a folyamatok megvltoztatsra is javaslatot tehet. Szervezsi krds az is, hogy hogyan tarthatja a kapcsolatot a clkznsggel: milyen informcit adhat ki, milyen informcikat kell kiadnia, a kapcsolatot milyen formban tarja (email, hirdettbla), megbzhat vagy nylt hlzaton stb. Finanszrozs: szksges Montecuccoli: Mi kell a hborhoz? Pnz, pnz s pnz Mennyibe kerl egy incidenskezels, mennyit fordtanak a vdelemre errl az hivatkozsban szerepl FBI/CSO jelentsben olvashatunk. Dntsi jogosultsg: Tisztzni kell, hogy milyen jogosultsga van a CSIRT-nek, mint csoportnak s mikor, kinek, milyen jogosultsga van a CSIRT-en az egyes csoporttagoknak. El kell klnteni azokat a jogokat, amelyben a CSIRTnek
teljes szabadsga van: pl. egy rendszergazdnak megmondhatja, hogy hzza le a gpt a hlzatrl, vagy maga lehzhatja, megosztott a felelssge: amikor rszt vesz a dntshozsban. Pldul egy patchet (javtst)-t fel kell tenni, addig lehzzk-e a hlzatrl az adott gpet.
124/296
IHM-MTA-E4-3.doc
MTA SZTAKI; E4 - 4671/4/2003
nincs dntshozsi jogosultsga: tegyenek fel egy javtst
Csoport nagysga, sszettele: nagyon vltoz, kevs flls szemlyzet, inkbb egy adott terlet szakrti flllsban; gyakorlata legyen, kommunikcikpes,
IHM-MTA-E4-3.doc
125/296
MTA SZTAKI; E4 - 4671/4/2003
36.

Szablyzatok, eljrsok
Viselkedsi kdex Az informcik kategorizlsnak szablyzata Az informcik nyilvnossgra hozatala Mdival val kapcsolattarts Biztonsgi szablyzat Emberi hibk kezelse ....
Infrastruktra
norml hlzatok, gpek, routerek, vdelmi eszkzk Incidens elemzsekhez szksges eszkzk s alkalmazsok Biztonsgos kommunikcis eszkzk (email, telefon..)
- 36 -
2006 mjus
IHM-MTA-E4-3.doc
126/296
MTA SZTAKI; E4 - 4671/4/2003
37.
CSIRT szolgltatsok
Reagl szolgltatsok
Riaszts s figyelmeztets Incidenskezels
~ elemzse ~re adott vlasz helyben ~re adott vlasz tmogatsa ~re adott vlaszok koordinlsa
Megelz szolgltatsok
Bejelents/kzlemny Technolgiai figyelmeztetsek Biztonsgi audit s rtkels Konfigurls & biztonsgi eszkzk, alkalmazsok hasznlata & infrastruktra Behatolsszlel szolgltatsok Biztonsggal kapcsolatos informcikterjesztse
Biztonsgot javt szolgltatsok

Kockzatelemzs Katasztrfavdelmi terv Biztonsgi tancsads Tudatossg nvelse Oktats/tanfolyamok Termkrtkels/ tansts
Sebezhetsgek kezelse
~ elemzse ~re adott vlasz ~re adott vlasz koordinlsa
Krtkony inf. termkek kezelse

~ elemzse ~re vlasz ~re vlasz koordinlsa Hlzati incidenskezels Tutorial
- 37 -
2006 mjus
A szolgltatsok hrom nagy csoportjt klnbztetjk meg: Reagl intzkedsek: ezek azok a szolgltatsok, amelyeket valamilyen esemny vagy krs indt el. Ilyen esemnyre plda: egy feltrt host, a hlzaton terjed rosszindulat kd, az IDS ltal szlelt esemny. Megelz intzkedsek: segtsget nyjtanak vagy valami informcit kzlnek arrl, hogy hogyan elzhet meg egy tmads, egy vratlan esemny. Ezekkel a szolgltatsokkal a ksbb bekvetkez incidensek szmt cskkenthetjk. A biztonsgot javt szolgltatsok: Ezek a szolgltatsok tvolabb llnak az incidenskezelstl, s ezeket a szervezeten bell ms rszlegek is megvalsthatjk. Ha a CSIRT rszt vesz vagy maga nyjtja ezeket a szolgltatsokat, akkor a CSIRT szempontjai is rvnyesthetk az egsz szervezet biztonsgnak nvelsben. Teht ez is megelz intzkeds, de csak kzvetve cskkenti a bekvetkez incidensek szmt. Az els oszlop elemei: Riasztsok: egy meglv problmra hvjuk fel a figyelmet, s megmondjuk, hogymit kell tenni rvid idn bell (pl. egy javts feltevse) Incidenskezels l. a kvetkez dit. Sebezhetsgek kezelse: bels vagy kls forrsbl egy olyan hardver/szoftver biztonsgi hibrl, gyengesgrl rteslnk, amelyet egy rosszindulat ember kihasznlhat. Az elemzs sorn megbizonyosodhatunk, hogy a gyengesg/hiba valban ltezik. A vlasz: javts megkeresse, teleptse; de lehet, hogy csak a sebezhetsg elkerlsre kapunk javaslatot. PL. MS IE hibknl: csak megbzhat oldalakat ltogassunk. Koordinls: a sebezhetsggel kapcsolatos informci terjesztse. Krtkony informatikai elemek: olyan a rendszerben tallhat fjl vagy objektum, amit a hlzat vagy a rendszer tmadsra lehet felhasznlni ide sorolja a vrust, frget, trjait, ismeretlen scriptet.
MTA SZTAKI; E4 - 4671/4/2003
Megelz szolgltatsok: Bejelents (sebezhetsg, tmadsfajts ismertetse); Technologiai figyelmeztets (j technolgiai fejlesztsek figyelemmel ksrse); Az informatikai vagyon felrtkelsre s auditlsra vannak szabvnyok, eljrsok, ezek hasznlata (OCTAVE: Operationally Critical Threats, Assets and Vulnerability Evaluation, CRAMM, FIRM); Szrk, tzfalak, VPN stb alkalmazsok, sajt patch szolgltat szerver ptse, gyors visszalltsi eszkzk elksztse. Harmadik oszlop: magrt beszl
IHM-MTA-E4-3.doc
128/296
MTA SZTAKI; E4 - 4671/4/2003
38.
Incidenskezels
k ad ezd at eti gy e j lem t s z s,
l, te lv k tfe e l a ts s o ez pc lm ka gye fi
email telefon tovbbi info osztlyozs
incidenskezels
te ch ni k a ie le m
IDS egyb
Osztlyozs: - incidens fajtja - slyossg - hats
sebezhetsg
s s
a, s ol g n ha ze
k i c m r fo z In las v
- 38 -
A fenti bra az incidenskezels folyamatt mutatja be. A CERT/CC brja ez, ettl klnbz mdszerek is alkalmazhatunk. 1. Az incidensekrl berkez hr sokfle mdon juthat el a csoporthoz: e.mail, web-felleten trtn bejelents, tzfal vagy IDS-ek okozta riaszts, telefon, fax... Szmos krs eldntsre kerl: sajt felhasznlinktl rkezett-e, foglalkozunk-e evvel...? 2. Ha krs berkezett, a kvetkez lps a kategorizls. A bejelents utn a kvetkez lps az osztlyozs, akr egy krhzban: van-e elg informcink az esetrl, incidensrl lehet-e egyltaln sz vagy egyb biztonsgot rint bejelents (pl. egy sebezhetsget fedeztek fel)? Osztlyozs mdjai: incidens tpusa (felhasznl veszlyeztetse, root veszlyeztetse, szolgltatsmegtagads, felderts, vrus, hoax...) Mekkora az incidens kiterjedse (egy gp, teljes hlzat? Slyossg: emberi letet veszlyeztet (krhz), pnzgyi vesztesget okozhat, CSIRT rendszert rinti, az infrastruktrt veszlyezteti, valamilyen tevkenysget korltoz. Hats: sikeres-e a tmads vagy csak ksrlet; az rintett vagy veszlyeztetett rendszer nagysga, a tmads sszetettsge Valsznleg incidens: - akkor dnteni kell, kinek kell szlni, mennyire srgs a beavatkozs? 3. Lehet, hogy a dntst mg nem lehet meghozni, mert kiegszt informcikra lenne szksg. Ekkor visszacsatols trtnik a bejelenthz. 4. Incidens trtnt: akkor a CSIRT megkapja a feladatot. (Azon bell ki?).
kezddik az adatok elemzse, egyb adatok gyjtse illetve bekrse. Ha - esetleg brsgi eljrsrl lesz sz, nagyon krltekinten kell a bizonytkok gyjtst vgezni, minden lpsnket rgzteni kell (rsban vagy szban). Ments ksztse.
129/296
z s
2006 mjus
IHM-MTA-E4-3.doc
MTA SZTAKI; E4 - 4671/4/2003
dnteni kell, hogy kit rtestsnk s kivel vegyk fel a kapcsolatot. (pl. a hlzatrl lehzzuk a gpet, az illet fnknek tudni kell errl; egy adott tmhoz rt szakrt szksges, meg kell keresni; hlzatadminisztrtor vagy ISP rtestse is szksges lehet; jabb ldozatot fedeznk fel, s az illet mg nem tudja, hogy ldozat t is.)( Krds: a tmad beazonostsakor rtestsk-e az intzmnyt, t stb. elkezddhet a technikai elemzs, optimlis esetben tudjuk: ki a tmad, milyen sebezhetsget hasznlt ki, milyen krt okozott Milyen tovbbi lpseket kvnunk tenni: rendszer helyrelltsa, feljelents, figyelmeztets a tbbi felhasznlnak, CSIRT-nek...
IHM-MTA-E4-3.doc
130/296
MTA SZTAKI; E4 - 4671/4/2003
39.
Hazai CSIRT szervezetek

Hungary CERT magyar llami, nkormnyzati s zleti szfra
http://www.cert-hungary.hu IHM, Kzhl, NETI Kft., Nemzeti Hrkzlsi Hatsg, NT Kht., Polgri Lgikzlekedsi Hatsg, Pusks Tivadar Kzalaptvny
Hun-CERT Internet Szolgltatk Tancsa

http://www.cert.hu
NIIF CSIRT magyar kutati hlzat

http://csirt.iif.hu/
- 39 -
2006 mjus
A CERT-Hungary a Pusks Tivadar Alaptvny keretein bell mkd Magyar Kormnyzati Hlzatbiztonsgi csoport, 2005. janurjban alakult. Az llami, nkormnyzati s zleti szfrt egyarnt kiszolglja, de elssorban a kormnyzati szfra tmogatsra jtt ltre. Klnsen a felsorolt szervezetek rszre nyjt szolgltatst. Hun-CERT: 2002. janurjban indult, az Internet szolgltatk rszre nyjt szolgltatst. NIIF CSIRT: az els volt, de hol mkdtt, hol nem. Ez attl fggtt, hogy ki az aki felvllalta ezt a szerepkrt. Psztor Mikls nevt felttlenl meg kell emlteni, mint a biztonsggal kapcsolatos munkk elindtjt. S ma mr jra elmondhat, hogy ltezik a NIIF CSIRT.
IHM-MTA-E4-3.doc
131/296
MTA SZTAKI; E4 - 4671/4/2003
40.
Nemzetkzi CSIRT-ek (1)

FIRST (Forum of Incident Response Teams) Tagok
ves konferencia Technikai kollokvium vente 3x

A FIRST az incidenskezel csoportok legnagyobb szervezete. 1988-ban alakult, nhny httel a CERT/CC eltt, szintn a Morris freg kapcsn, az USA-ban. 1989 oktberben, a Wank freg megjelense utn kitnt, hogy a biztonsgi incidensekkel foglalkoz csoportok kztt javtani kell a kommunikcit s a koordincit. Azta a FIRST clja a CSIRT csoportok sszefogsa. (Wank freg a VMS/DEC rendszereket fertzte, de nem a TCP/IP, hanem a DECNet-en keresztl. A jelszkezels gyengesgeit hasznlta ki, mdostotta a .com fjlokat, j azonostt generlt...) Tagjai kztt mindenfajta CSIRT van: kormnyzati, oktatsi, katonai, gyrti, kereskedelmi. A tagok ltszmnak alakulsa lthat az brn. Magyar tagja mg nincs, elssorban a fizetend tagdj miatt, de a CERT-Hungary mr elindtotta az eljrst. 1989 ta minden vben megrendezik a FIRST konferencit, amelyik az egyik legnagyobb tallkozja a biztonsgi szakembereknek. 2004-ben Budapesten tartottk az sszejvetelt.
IHM-MTA-E4-3.doc
132/296
MTA SZTAKI; E4 - 4671/4/2003
41.
Nemzetkzi CSIRT-ek (2)

TERENA TI
Akkreditlt s nem akkreditlt tagok FIRST TERENA kapcsolat
ENISA
(European Network and Information Security Agency)
a biztonsgi incidensek s a kockzatok adatainak gyjtse s elemzse eurpai szinten a klnbz szereplkkel (PPP) trtn egyttmkds a biztonsg terletn biztonsgi tudatossg nvelse, kockzatkezelsi eljrsok s a helyes gyakorlat elterjesztse biztonsgi szabvnyok kifejlesztse a termkekre, szolgltatsokra
E-COAT
(European Cooperation of Abuse Fighting Teams)
EGC (European Government CSIRTs Group)
- 41 -
2006 mjus
A TERENA az eurpai kutati hlzatokat tmrt szervezet. Ennek ellenre az n. Trusted Introducer listn nemcsak a kutati hlzatokhoz tartoz CSIRT-eket gyjti maga kr, hanem minden CSIRT-et. A CSIRT-eknek kt sttuszuk van, kezdetben nem akkreditlt, majd bizonyos felttelek utn akkreditlt sttuszt kapnak. Magyarorszgrl mindhrom szervezet tag, de a CERT-Hungary 2006. februr ta akkreditlt tag is.. ENISA: nem igazn a CSIRT-ek szervezete, az gynksget az Eurpai Parlament s a Bizottsg 2004-ben hozta ltre. Az gynksg feladata:

a biztonsgi incidensek s a kockzatok adatainak gyjtse s elemzse eurpai szinten a klnbz szereplkkel (PPP) trtn egyttmkds a biztonsg terletn biztonsgi tudatossg nvelse, kockzatkezelsi eljrsok s a helyes gyakorlat elterjesztse biztonsgi szabvnyok kifejlesztse a termkekre, szolgltatsokra
A tavalyi tevkenysgrl szl beszmol azt mutatja, hogy a TERENA-val karltve az eurpai CSIRT mozgalom tmogatst felvllalta. A tovbbi kt szervezet kzl az EGC egyttmkds a CERT-Hungary szmra fontos.
IHM-MTA-E4-3.doc
133/296
MTA SZTAKI; E4 - 4671/4/2003
42.
Projektek, trendek (1)

CHIHT Clearing House for Incident Handling Tools
Incidenskezels Az incidens helysznn bizonytkok gyjtse (eszkzk, rendszerek) Az incidens bizonytkainak vizsglata (a bizonytkok elemzse; azonossg vizsglat) Az incidenskezelst tmogat eszkzk Incidens utni rendszervisszallts CSIRT napi munkjt segt eszkzk CSIRT-ek tevkenysge (incidensek nyomon kvetse, archvlsa, kommunikci) Biztonsgos tvoli kapcsolat (tvoli hlzati kapcsolat, biztonsgos dial-up, bizt.tunnel) Megelzst segt eszkzk (audit, sebezhetsg szlelse...) Egyb (rosszul konfigurlt rendszerek ellenrzse...)
EU projektek: TRANSIT, RTIR WG, SIRIOS, WARP initiative Handbook of Legislative Procedures for CSIRTs
CHIHT: ennek a projektnek a keretben az Incidenskezel csoportok szmra hasznos eszkzket, irnymutatsokat, dokumentumokat gyjtik ssze. Teht eszkzk tallhatk a fentebb felsorolt tmkhoz. TRANSIT: CSIRT csoportok kpzse http://www.ist-transits.org/ 2002-2005 kztt az Eurpai Uni tmogatsval folyt az n. TRANSIT projekt, vente 2szer tanfolyamot szerveztek a biztonsgi szakembereknek. Miutn 2005 jliusban befejezdtt a TRANSIT projekt, ugyanakkor nagyon j visszhangja volt ennek, a TERENA s a FIRST kztt szorosabb kapcsolat alakult ki az oktats kapcsn. A FIRST a TRANSIT oktatsi anyagokat tveszi, s ennek alapjn Latin-Amerikba s zsiban is tanfolyamokat szervez. Ezenkvl hrmas tmogatssal (TERENA, FIRST, ENISA) kzs training workshop-okat terveznek. 2006. mrciusban mr Vilniusban volt ilyen tanfolyam. RTIR WG:incidensek kezelse elektronikusan http://www.terena.nl/activities/tf-csirt/rtir.html SIRIOS inicdenskezelsre szolgl eszkzkkel foglalkozik(Tools for incident handling) http://www.cert-verbund.de/sirios/ WARP: Warning, Advice and Reporting Point http://www.warp.gov.uk/ Handbook of Legislative Procedures for CSIRTs: 2002-ben az EU Bizottsg megbzsbl kszlt el a fenti cmmel egy kiadvny. A dokumentum kt rszbl ll:
az els rsz a rosszindulat hasznlat fajtit s biztonsgi incidenseket kategorizlja, tnzi a nemzetkzi szablyozst (Szmtgpes bnzsrl szl egyezmny, amit itt
IHM-MTA-E4-3.doc
134/296
MTA SZTAKI; E4 - 4671/4/2003
Budapesten rtak al), az incidensek jogi szempontbl trtn vizsglatnak elveit mutatja be,
a msodik rsz pedig a szmtgpes bnzsnek bntethetsgt ismerteti az egyes orszgokban .
Az eredeti dokumentum az 15 orszgra vonatkozik, jelenleg bvtik a ktetet.
IHM-MTA-E4-3.doc
135/296
MTA SZTAKI; E4 - 4671/4/2003
43.
Projektek, trendek (2)

Handbook for Legislative Procedures for CSIRTs
Szmtg pes nyom Rosszindul Szolgltats Azonost Behatolsi at kd megtagads feltrse ksrlet . Jogtalan hozzfrs az inf.-hoz Jogtalan hozzfrs az adattvitelh Az inf. jogtalanan megvltoztat sa Jogtalann hozzfrs a komm. rsshez
Austria Belgium Dnia Finnorszg Franciaorszg Grgorszg Hollandia rorszg Luxemburg Nagy-Brittania Nmetorszg Olaszorszg Portuglia Spanyolorszg Svdorszg
- 43 -
2006 mjus
Szerintem a szmtgpes bnzssel kapcsolatos jogi informcikra egyre nagyobb szksgk lenne a CSIRTeknek. A szmtgpes bnzs egyik alapproblmja, hogy a szablyozs az egyes orszgokra rvnyes, de a hlzat nem ismeri az orszghatrokat. Az EU evvel a kziknyvvel prbl segteni a krdsen. Az els knyv, ami 2002-ben kszlt, mg 15 orszgra vonatkozott. Most folyik a msodik vltozat ksztse, ami mind a 25 orszgra vonatkozik. A fenti brn a vzszintes oszlopban az incidensek osztlyozsa lthat, a fggleges oszlopban az egyes orszgok lthatk. A sznek jelentse:

Fehr: nincs jogi szablyozs Szrke: adminisztratv szankci van Fekete: bntet szankci van
Tovbbi informcik: Handbook of Legislative Computer Security Incident Response Teams Eredeti anyag: http://www.sei.cmu.edu/pub/documents/03.reports/pdf/03hb002.pdf j anyag: http://www.csirthandbook.org.uk/app/index.php?&table_name=app_countries&function=search&where_cl ause=&page=1&order=country&order_type=ASC
IHM-MTA-E4-3.doc
136/296
MTA SZTAKI; E4 - 4671/4/2003
44.
Szabvnyostsok (1)
IETF Extended Incident Handling WG (INCH)
Kvetkez krdsek formalizlsval foglalkozik: - az incidenskezels modellje - informcik szabvnyos formtuma -- a rosszindulat mvelet forrsa s clpontja, a viselkeds jellege -- az elemzshez szksges bizonytkok, -- rzkeny informcikkal kapcsolatos metainformcik (szemlyisgi jogok, adatok nemzetkziv ttele, jogosultsgok) - az incidens vizsglatnak sttusza s az elemzs folyamata
The Incident Object Description Exchange Format Data Model and XML Implementation Requirements for the Format for Incident Information Exchange (FINE) Incident Handling: Real-time Inter-network Defense Extension to IODEF-Document Class for Phishing, Fraud, and Other Non-Network Layer Reports
IODEF/RID over SOAP
- 44 -
2006 mjus
Jobb lenne a szabvnyostsi ksrletek fogalmat hasznlni. Az INCH csoport clja egy adatformtumok definilsa, amely elsegti, hogy a biztonsgi incidensekrl szl informcit lehet elektronikus lehessen kezelni. A feladatok kz tartozik teht annak szabvnyostsa, hogy hogyan nzzen ki a modell s milyen legyen az zenet szabvnyos alakja, pldul a kvetkez esetekben:

a berkez jelents (amit a felhasznlktl kapnak) a egyb szemlyektl (pl.technikai szemlyzettl, ms CSIRT-ektl) berkez informci elemz kzpontbl rkez informci
A szabvnyostott formtum a ma mg emberi erforrs-ignyes kommunikcis folyamatokat fogja segteni. A csoport a kvetkez krdsek formalizlsval s tvitelvel foglalkozik:

. a rosszindulat felhasznls forrsa s clpontja, a viselkeds elemzse az elemzshez szksges bizonytkok, az incidens vizsglatnak sttusza s az elemzs folyamata rzkeny informcikkal kapcsolatos metainformcik (szemlyisgi jogok, adatok nemzetkziv ttele, jogosultsgok)
Az alul felsorolt IETF dokumentumok mg n. Draft-ok, teht nem elfogadott anyagok. Ezt a munkt az eurpaiak indtottk el IODEF (Incident Object Description and Exchange Format) nven, amely csoport munkjt folytatta az IETF most mr INCH nven.
IHM-MTA-E4-3.doc
137/296
MTA SZTAKI; E4 - 4671/4/2003
45.
Szabvnyostsok (2)
CAIF Common Advisory Interchange Formats
(Exchange format for Security Advisories)
DAF German Advisory Scheme

(Exchange format for Security Advisories, deducted from EISPP)
EISPP European Inf. Sec. Promotion Prog.

(Exchange format for Security Advisories)
VEDEF Vulnerability and Exploit Description and Exchange Format

(Exchange format for security information, vulnerabilites and exploits)
Common Vulnerabilites and Exposures
- 45 -
2006 mjus
Mindenfle eurpai szabvnyostsi ksrleteket megprbltam sszeszedni, amelyek az adatcserre vonatkoznak. Az utols taln a legelfogadottabb ksrlet: CVE: sebezhetsgek s kitettsgek http://cve.mitre.org
IHM-MTA-E4-3.doc
138/296
MTA SZTAKI; E4 - 4671/4/2003
46.
A hazai helyzetrl
Nlunk kevs a bejelentett CSIRT CSIRT-ek kzti egyttmkdst javtani kell
(Javaslat: munkacsoport megalaktsa)
Felhasznlk a meglv lehetsgeket sem ismerik Katonasgnl lv (military) CSIRT hinyzik Finanszrozs - CERT-Hungary-t kivve megoldatlan Nincs szabvnyos, akr a brsg ltal is elfogadott incidenskezels (forensics)
Sokfajta biztonsgi csoport mkdik nlunk: vruskzpontok, rendszergazdk,... de ezek nem valamilyen kellen szablyozott formban dolgoznak, nemzetkzi szervezetekben nem vesznek rszt. Szemben a klfldi pldkkal, a magyar frgek megjelense Maya Gold, Zafi nem ksztette sszefogsra a hazai szakrtket. Mindenki a sajt terletn dolgozik. Valamilyen szervezett forma (pl. Az IHM vezetsvel egy munkacsoport) javthatna a helyzeten. S a CERT Hungary lehetne az a szervezet, ami jobban sszefogja a munkt. Felhasznlk nem ismerik a CSIRT-eket. A felhasznlk alatt a rendszergazdk is rtendk. Nagyon sok helyen a katonasghoz ktdik a CERT (nyilvn a hrszerzssel is sszefggsben). Itt a keleti blokkban pl. a lengyeleknl vannka jl mkd katonai (kormnyzathoz kapcsoldan) s civil csoportok.
IHM-MTA-E4-3.doc
139/296
MTA SZTAKI; E4 - 4671/4/2003
47.

CERT/CC
http://www.cert.org
Handbook for CSIRTs
(2003.pr.)
http://www.cert.org/archive/pdf/csirt-handbook.pdf
State of Practice of CSIRTs
(2003.okt.)
http://www.sei.cmu.edu/pub/documents/03.reports/pdf/03tr001.pdf
CSI/FBI Computer Crime and Security Survey

http://www.gocsi.com/forms/fbi/csi_fbi_survey.jhtml
Incident Cost & Analysis Modeling Project

http://www.cic.uiuc.edu/groups/ITSecurityWorkingGroup/archive/Report/ICAMP
TF-CSIRT
http://www.terena.nl/tech/task-forces/tf-csirt
- 47 -
2006 mjus
Tovbbi linkek: Forming an Incident Response Team http://www.auscert.org.au/render.html?it=2252&cid=1938
IHM-MTA-E4-3.doc
140/296
MTA SZTAKI; E4 - 4671/4/2003
48.

IETF Extended Incident Handling WG
http://www.ietf.org/html.charters/inch-charter.html
Clearing House for Incident Handling Tools (CHIHT)

http://chiht.dfn-cert.de/
SANS Institute
http://www.sans.org/
SecurityFocus
htto://www.securityfocus.com/incidents
ENISA eurpai helyzetkp

http://www.enisa.eu.int/doc/pdf/deliverables/enisa_cert_inventory_v1.2_0602 10.pdf
- 48 -
2006 mjus
IHM-MTA-E4-3.doc
141/296
MTA SZTAKI; E4 - 4671/4/2003
49.
Informatikai biztonsgi szabvnyok
2006-05-13
IHM-MTA-E4-3.doc
142/296
MTA SZTAKI; E4 - 4671/4/2003
50.
Tartalom
Informci/informatikai biztonsg Szabvnyok, szintek szerinti osztlyozsuk Az informatikai biztonsg (IB) nemzetkzi s hazai szabvnyostsnak fszerepli Az informcibiztonsgi szabvnyok rendszere Nhny kiemelt szabvny ismertetse
Common Criteria , MIBTS BS 7799 -> ISO 27000 , IBIK COBIT ITIL ->ISO20000
A trsadalom minden rtege a kormnyzati szektor, a gazdlkod szervezetek s az egynek is egyre fokozottabb mrtkben fgg az informatikai rendszerektl, j kockzatok jelennek meg, amelyeket hatkonyan kezelnnk kell. Az embereknek az informcis rendszerekhez vegyes rzelmekkel kzeltenek: rlnek annak, hogy az informcikhoz knnyen s gyorsan hozzjutnak (az informcihoz val jog), ugyanakkor flnek, hogy a velk kapcsolatos, rluk szl stb. bizalmas informcik kikerlnek (bizalom hinya, tudatlansg). Az informatikai biztonsg nemcsak, st elssorban nem technolgiai krds, hanem megkzeltshez t kell alaktani a

technolgiai feltteleket, krnyezeti felttelek, szervezeti kereteket.
E felttelek talaktsa sem vezet el a teljes biztonsghoz, mivel olyan ma mg nincs, csak valamennyire megkzelthet. A kvetkezkben
a technolgiai felttelekrl csak rintleges szlok, arrl inkbb az elkvetkez eladsokban lesz sz. krnyezeti felttelek alatt itt csak a szabvnyostsi tevkenysgrl lesz sz, egyb krnyezeti felttelek: jog, emberi tnyezk (tudatossg nvelse) itt nem kerl szba. a szervezeti keretekbl is egyetlen tnyezrl, a szmtgpes incidenskezel csoportokrl beszlnk.
IHM-MTA-E4-3.doc
143/296
MTA SZTAKI; E4 - 4671/4/2003
51.
A biztonsg elemei (NATO)
Szemlyi biztonsg Informci biztonsg
INFOSEC
Fizikai biztonsg
Dokumentum biztonsg
+ iparbiztonsg
- 51 -
2006 mjus
A biztonsg napjaink egyik leginkbb eltrbe kerlt problmja, a 2001. szept. 11-i esemnyek dnten befolysoltk ennek kezelst. A biztonsggal a hivatalos kormnyzati, rendvdelmi, hazai s nemzetkzi szervezetek (NATO) ppgy foglalkoznak, mint az Internet felhasznlk millii. ppen ezrt a biztonsg - st leszktve az informatikai biztonsg - tmakrre nagyon sok helyen, nagyon sokfle nha egymsnak ellentmond meghatrozsokat tallunk. Sokszor felhvjk a figyelmnket arra, hogy tegynk klnbsget az informcibiztonsg s az informatikai biztonsg kztt, ezt most megtesszk. A NATO szablyai a biztonsgnak t eleme van: a szemlyi -, fizikai -, kommunikci-, dokumentum -, iparbiztonsg. Ez utbbi nem tartozik a NATO titokvdelmi terletei kz, csak az elz nggyel foglalkoznak. (Az informci: olyan tnyek vagy elgondolsok, amelyet klnfle adatformban lehet reprezentlni.) A szemlyi biztonsg elve: Szksges, hogy megismerje! Csak, akire tartozik Fizikai biztonsg: megvdeni a jogosulatlan hozzfrstl az informcikat (vdelem az erszakkal trtn behatols ellen; vdelem a kialaktott rend ellen tevkenykedk ellen) Dokumentum biztonsg terletei: iratkezelsi eljrsok, dokumentumok minstse, tvtele, tovbbtsa, megsemmistse, betekints szablyozsa Elektronikus informci (kommunikci) biztonsg: informatika, adattvitel, rejtjelezs, kisugrzs. Az informcibiztonsg (information security) helyett gyakran hasznljk az informci szavatols/garancia (information assurance) kifejezst is. Az informatikai rendszerek biztonsga (INFOSEC) = informatikai biztonsg: az informcis rendszerek vdelme az informci jogosulatlan felhasznlsa vagy mdostsa ellen, akr az informci trolsrl, processzlsrl vagy tvitelrl legyen sz, ide tartoznak
MTA SZTAKI; E4 - 4671/4/2003
mindazok az intzkedsek, amelyek a fenyegetettsgek szlelshez, dokumentlshoz vagy elhrtshoz szksgesek. (Azrt megjegyzem, hogy pl. az Internet Security Glossary RFC2828 nem teszi meg a megklnbztetst: information security = INFOSEC!!!)
IHM-MTA-E4-3.doc
145/296
MTA SZTAKI; E4 - 4671/4/2003
52.
INFOSEC modell (McCumber)

ek emberi tnyezk s d e szablyzatok, szabvnyok,.. zk t n technolgia i
tvitel
t iz
g ns
feldolgozs
(I) srtetlensg
(A) rendelkezsrells
Biztonsgi szolgltatsok
Az elz dia vgn egy elg bonyolult defincit mondtam az informatikai rendszerek biztonsgrl, az 1991ben elksztett McCumber -fle modell ezt szemlletess teszi. Az informatikai rendszerek biztonsga (INFOSEC) = informatikai biztonsg(?): az informcis rendszerek vdelme az informci jogosulatlan felhasznlstl vagy mdoststl, akr az informci trolsrl, feldolgozsrl vagy tvitelrl legyen sz, valamint a vdelem azrt, hogy a jogos felhasznl a szolgltatst elrhesse; s ide tartoznak mindazok az intzkedsek, amelyek a fenyegetettsgek szlelshez, dokumentlshoz vagy elhrtshoz szksgesek. Information system security (INFOSEC): Protection of information system against unathorized access to or modification of information, whether in storage, processing or transit, and against the denial of service of authorized users, including those measures necessary to detect, document, and counter such a threats. A McCumber -fle modell kezdetben a bvs kockra hasonltott, ugyanis egy 3x3x3-as kocka volt. A tengelyeket rtelmezve nem adok pontos definicit, az megtallhat a NSTISSC 4009-ben. Az els tengely a biztonsgi szolgltatsok, ami kezdetben a CIA volt, azaz a megbzhatsg (titkossg), srtetlensg s elrhetsg. Ehhez jtt ksbb a letagadhatatlansg s a hitelests (hitelessg), ekkor mr a kocka egy kicsit eltorzult. Titkossg/bizalmassg: csak a jogosult szemly, folyamat vagy eszkz juthat az erforrshoz (informcihoz) Srtetlensg: erforrs (informci/rendszer) az eredeti llapotnak megfelel s teljes; mdosts vagy trls nem trtnt. (...Magba foglalja az informci pontossgt, lnyegessgt s teljessgt mindez adja ki a rendszer robosztussgt) Elrhetsg: a jogosult felhasznl a megfelel szolgltatst, a megfelel idben s helyen megkapja. Letagadhatatlansg: hiteles informcink van egy adott cselekvssel kapcsolatban (kld a kzbests tnyrl bizonytkot kap, a fogad pedig a kld kiltrl biztostva van). Hitelessg: biztonsgi intzkeds, ami arra szolgl, hogy az tvitel, az zenet vagy a kezdemnyez rvnyessgt igazolja, vagy egy olyan eszkz, ami egy adott szemlynek egy adott informcihoz val hozzfrsnek jogosultsgt igazolja.(IP cmek hamistsnl kezdtek erre felfigyelni) A msodik tengely: az informci llapota trols, processzls (feldolgozs) vagy tvitel. Az informci egyszerre ktfle llapotban is lehet. (pl. trols s tvitel)
IHM-MTA-E4-3.doc
Az
in fo rm c i
l la po
ta
(C) bizalmassg
letagadhatatlansg
hitelessg
trols
146/296
MTA SZTAKI; E4 - 4671/4/2003
A harmadik tengely: a biztonsgi intzkedsek, amely a technolgibl,az zemeltetsbl (szablyzatok s eljrsok/gyakorlat; ide tartoznak mindazok az intzkedsek, amit pl. a rendszergazdk knyszertenek a felhasznlikra) s az emberi tnyezkbl ll. Ez utbbi tkp fekete doboz: betartjk-e a szablyzatokat, mit csinlnak egy olyan helyzetben, ami nincs lefedve szablyzatokkal stb. Negyedik dimenzi: id mindezt folyamatban kell tekintennk. Az egyes elemek fontossga idben vltozhat, pl. egy projekt befejezsnl nagyobb szerepe lesz a trolsnak, adatelrsnek, mint a letagadhatatlansgnak. s nem vletlenl kockaknt brzoljk ezeket a dimenzikat, mert a modell elemei kztt klcsnhatsok vannak.
IHM-MTA-E4-3.doc
147/296
MTA SZTAKI; E4 - 4671/4/2003
53.
A szabvnyok szintjei
Szabvny: ltalban egy ipargi megllapods, melynek keretben egy termk ellltsa vagy egy szolgltats elre specifiklt mdon trtnik Informatikai szabvnyok osztlyozsa
hivatalos, de-jure szabvnyok
Nemzetkzi szint (pl. ISO, IEC, ITU-T) Regionlis szint (pl. CEN, CENELEC, ETSI) Nemzeti szint (pl. MSZT, BSI)
ipari, de-facto szabvnyok (pl. W3C) ad-hoc szabvnyok sajt, vdett szabvnyok
Az elbbi kockt nzve a fels rtegrl kzeltem a modell, s abbl is a kzps svbl fogok rszleteket ismertetni. Szabvny:ltalban egy ipargi megllapodst rtnk alatta, melynek keretben egy termk ellltsa vagy egy szolgltats zemeltetse elre specifiklt (szabvnyos) mdon trtnik. A szabvnyhoz olyan kpzetek kapcsoldnak, mint idtllsg, minsg, tekintly, egyttmkds, konszenzus stb. Az informatikai szabvnyok ngy szintjt szoktk megklnbztetni, ez az informatikai biztonsgi szabvnyokra is igaz: hivatalos (de-jure) szabvnyok: Idetartoznak azok a szabvnyok, melyeket a klnbz llamok ltal trvnyi szinten elismert, szabvnyok megalkotsra ltrejtt szervezetek adnak ki. A szabvnygyi testletek hrom szinten helyezkednek, s az ltaluk kiadott szabvnyok is ezekre a szintekre rvnyesek. Ipari (de facto) szabvnyok: a legtbb ilyen szabvny egy adott iparg konzorciumba tmrlt rdekelt feleinek egyttmkdsi trekvse kapcsn jtt ltre. Pl a W3C 350, informatikban rdekelt szervezet egyttmkdse. Ad-hoc szabvnyok: habr egyik szabvnygyi szervezet sem adta ki vagy hagyta jv, de lnyegben szabvnny vlt. A de-facto szabvnyok elkpnek lehet tekinteni. Sajt, vdett szabvnyok nem is igazi szabvnyok, ltalban egy dominns szoftverfejleszt cg ad ki ilyet, a tulajdonjog a kibocsjt kezben marad, licenszdjat krnek rte stb. (MS Windows)
IHM-MTA-E4-3.doc
148/296
MTA SZTAKI; E4 - 4671/4/2003
54.
IB szabvnyosts szerepli
ISO JTC1 IEC ITU ETSI IETF CCIMB MSZT/MB 819
Informcitechnolgia Informcibiztonsg
SC27
Kvetelmnyek, biztonsgi szolgltatsok s tmutatk Management (WG1) Biztonsgi technikk s eljrsok Engineering (WG2) Biztonsgrtkelsi szempontok Evaluation (WG3)
MSZT
...
NIST
BSI
- 54 2006 mjus
Az brn azok a szabvnyostsi szervezetek lthatk, amelyek az informatikai biztonsg terletn fontos szerepet jtszanak. Az ISO, a svjci szkhely Nemzetkzi Szabvnyostsi Intzet s az IEC, a Nemzetkzi Elektrotechnikai Bizottsg egy kzs bizottsgot (JTC1) hozott ltre, melynek feladata az informcitechnolgia terletn trtn szabvnyosts. A JTC1-en bell klnbz albizottsgok mkdnek, a SC27-es az informcitechnolgiai biztonsgrt felels (IT Security Techniques). (SC7: rendszer s rendszerfejleszts) Hrom munkabizottsga mkdik, amelynek feladata magba foglalja

az informatikai rendszerek biztonsgi szolgltatsai ltalnos kvetelmnyeinek meghatrozst, biztonsgra vonatkoz tmutatsok fejlesztst, tmogat dokumentumok fejlesztst a vezets szmra, biztonsgi technikk s mechanizmusok fejlesztst (kriptogrfiai s nem kriptogrfiaiit egyarnt) informatikai rendszerek, komponensek s termkek biztonsgi rtkelsre s tanstsra vonatkoz szempontrendszer kialaktst
ITU (International Telecommunication Union) Nemzetkzi Tvkzlsi Egyeslet - ENSZ gisze alatt mkdik ETSI (European Telecommunications Standards Institute) Eurpai Tvkzlsi Szabvnyostsi Intzet NIST (National Institute of Standards and Technology) Amerikai Szabvnygyi Testlet BSI (British Standards Institution) Brit Szabvnygyi Testlet IETF (Internet Engineering Task Force) Internet szabvnyok (RFC-k) CCIMB (CC Interpretation Management Board) MSZT - Magyar Szabvnygyi Testlet. Az MSZT feladata: szabvnyosts, tansts (minsgirnyts ISO 9001:2000), oktats, szabvnykiads, szabvnyforgalmazs, informciszolgltats. A szabvnyosts n. Mszaki Bizottsgok keretben mkdik. A 819-es Mszaki Bizottsg felel az informatikrt. Tulajdonkppen ehhez a mszaki bizottsghoz kapcsoldik a ISO/IEC/JTC1 nemzetkzi technikai bizottsg.. A szabvnyostsi szervezetek termszetesen egymssal is tartjk a kapcsolatot tartanak fent:
IHM-MTA-E4-3.doc
149/296
MTA SZTAKI; E4 - 4671/4/2003
A JTC/SC27pl. az ITU-T SG7/Q20-val egytt kzs szabvnyokat, vagy n. tkrszveg dokumentumokat adnak ki erre plda : Elrs kvl ll bizalmi felek (TTP) digitlis alrs alkalmazst tmogat szolgltatsaira CCIMB pl. az SC27 publiklta az egysges szempontokat IS 15408-knt. Az ISO TC 68 (Bank s kapcsold pnzgyi szolgltats) s az SC27 klcsnsen rdekelt az egyttmkdsben az informatikai biztonsg tern (zenelhitelests, vdelmi profilok, biztonsgi tmutatk stb.) ISO TC 215 (Egszsggyi informatika, WG4 biztonsg) ETSI TC SEC/ESI vgezte pl. az elektronikus alrs szabvnyostsrt Eurpban (EESSI)
IHM-MTA-E4-3.doc
150/296
MTA SZTAKI; E4 - 4671/4/2003
55.
Az IB szabvnyok rendszere
Informcibiztonsg-irnytsi rendszer kvetelmnyei tmutats folyamatra Irnytsi rendszer auditlsa, tanstsa, akkreditls
Mszaki szabvnyok s lersok
tmutats eljrsra + ellenintzkedsek katalgusa
Termk/rendszer tesztels s rtkels
- 55 -
2006 mjus
A fenti bra az informatikai biztonsgi (informcivdelmi) szabvnyok tma szerinti csoportostst mutatja be. (Ez s a kv. brt Krauth Ptertl, MSZT vettem t.) Akkor nzzk a csoportostst:

a szabvnyosts cscsn az irnytsi rendszer lersa van, jobb oldalon az irnytsi szabvnyok lthatk, rendszerek auditlsa, tanstsra vonatkoz
kzpen fell folyamatokra (zemeltets) vonatkoz szabvnyok helyezkednek el, alatta pedig a eljrsok, vdelmi mdok katalgusa lthat, kln csoportot kpeznek a mszaki szabvnyok s lersok, ezek technikai jellegek alul lthatk a termkek, rendszerek tesztelsre s rtkelsre vonatkoz szabvnyok
Npestsk be a fenti brt:
IHM-MTA-E4-3.doc
151/296
MTA SZTAKI; E4 - 4671/4/2003
56.
Az IB szabvnyok rendszere
Irnyts Folyamat
Infokom vdelem modelljei IS 13335-1 Kockzatkezels IS 13335-2 BS 15000 (ITIL) EN 45013 Idblyegzs IS 18014 zenethitelests IS 9797 Hozzfrs-ell. IS 15816 Letagadhatatlansg - IS13888 TTP szolgltatsok IS 15945 Kulcsgondozs IS 11770 Lenyomatkpzs IS 10118 Mkd rendszerek felmrse IS 19791 Kriptogrfiai modulok biztonsgi kvetelmnyei IS 19790 SSE-CMM IS 21827 ISO 9001 BS 7799-2 ISO/IEC 24743
Mszaki
Hlzatbiztonsg IS 18028 Titkosts - IS18033 Digitlis alrs IS 14888
Audit, tansts
ISO 62-es tmutat ISO 19011 EN 45012
Mrs IS 24742
Ellenintzkeds
Behatolsrzkels TR 15947 SSE-CMM IS 21827 EA 7/13 Inf.bizt. incidensek kez. TR 18044
Termk/rendszer rtkels
Az inf. biztonsg rtkelsnek kzs szempontjai CC IS 15408 Inf. biztonsgrtkels mdszertana IS 18045 Az inf. biztonsg garancilis keretei IS 15443 Kriptogrfiai modulok rtkelse FIPS 140-2
EN 45011 Vdelmi profilok nyilv. - IS 15292 Vdelmi profilok megadsa IS 15446 Vdelmi profilok (pl. NIST)
Krauth Pter
2006 mjus
- 56 -
IHM-MTA-E4-3.doc
152/296
MTA SZTAKI; E4 - 4671/4/2003
57.
Magyar IB szabvnyok (1)

Informatika. Biztonsgtechnika. Kulcsgondozs. 1. rsz: Keretrendszer Informatika. Biztonsgtechnika. Kulcsgondozs. 2. rsz: Szimmetrikus technikkat alkalmaz mechanizmusok Informatika. Biztonsgtechnika. Kulcsgondozs. 3. rsz: Aszimmetrikus technikkat alkalmaz mechanizmusok Informatika. Biztonsgtechnika. Az informatikai s tvkzlsi biztonsg menedzselse. 1. rsz: Az informatikai s tvkzlsi biztonsg menedzselsnek fogalmai s modelljei MSZ ISO/IEC TR 13335-3:2004 Informatika. Az informatikai biztonsg menedzselsnek irnyelvei. 3. rsz: Az informatikai biztonsg menedzselsnek techniki MSZ ISO/IEC TR 13335-4:2004 Informatika. Az informatikai biztonsg menedzselsnek irnyelvei. 4. rsz: A biztonsgi ellenintzkedsek megvlasztsa MSZ ISO/IEC TR 13335-5:2004 Informatika. Az informatikai biztonsg menedzselsnek irnyelvei. 5. rsz: A hlzatbiztonsg menedzselsi tmutatja MSZ ISO 13491-1:2001 Bankgyek. Kriptogrfiai eszkzk biztonsga (kiskereskedelem). 1. rsz: Elvek, kvetelmnyek s rtkelsi mdszerek MSZ ISO/IEC 13888-1:2005 Informatika. Biztonsgtechnika. Letagadhatatlansg. 1. rsz: ltalnos ismertets MSZ ISO/IEC 13888-2:2001 Informcitechnika. Biztonsgtechnika. Letagadhatatlansg. 2. rsz: Szimmetrikus technikkon alapul mdszerek MSZ ISO/IEC 13888-3:2001 Informcitechnika. Biztonsgtechnika. Letagadhatatlansg. 3. rsz: Aszimmetrikus technikkon alapul mdszerek MSZ ISO/IEC 14888-1:2001 Informcitechnika. Biztonsgtechnika. Digitlis alrsok fggelkkel. 1. rsz: ltalnos ismertets MSZ ISO/IEC 14888-2:2001 Informcitechnika. Biztonsgtechnika. Digitlis alrsok fggelkkel. 2. rsz: Azonosts alap mdszerek MSZ ISO/IEC 14888-3:2001 Informcitechnika. Biztonsgtechnika. Digitlis alrsok fggelkkel. 3. rsz: Tanstvny alap mdszerek MSZ ISO/IEC 15292:2005 Informatika. Biztonsgtechnika. A vdelmi profil regisztrcis eljrsai MSZ ISO/IEC 15408-1:2002 Informatika. Biztonsgtechnika. Az informatikai biztonsgrtkels kzs szempontjai. 1. rsz: Bevezets s ltalnos modell MSZ ISO/IEC 15408-2:2003 Informatika. Biztonsgtechnika. Az informatikai biztonsgrtkels kzs szempontjai. 2. rsz: A biztonsg funkcionlis kvetelmnyei MSZ ISO/IEC 15408-3:2003 Informatika. Biztonsgtechnika. Az informatikai biztonsgrtkels kzs szempontjai. 3. rsz: A biztonsg garancilis kvetelmnyei MSZ ISO 15668:2001 Bankgyek. Biztonsgos fjltvitel (kiskereskedelem) MSZ ISO/IEC 15816:2005 Informatika. Biztonsgtechnika. A hozzfrs-ellenrzs biztonsgi informciobjektumai MSZ ISO/IEC 15945:2002 Informatika. Biztonsgtechnika. Ajnls/nemzetkzi szabvny bizalmi harmadik fl (TTP) digitlis alrsok alkalmazst tmogat szolgltatsaira MSZ ISO/IEC TR 15947:2004 Informatika. Biztonsgtechnika. Az informatikai behatols rzkelsnek keretszablya MSZ ISO/IEC 17799:2002 Informatika. Az informatikai biztonsg menedzselsnek eljrsrendje MSZ ISO/IEC 18014-1:2004 Informatika. Biztonsgtechnika. Idblyegzsi szolgltatsok. 1. rsz: Keretszably MSZ ISO/IEC 18014-2:2004 Informatika. Biztonsgtechnika. Idblyegzsi szolgltatsok. 2. rsz: Fggetlen adattokokat elllt mechanizmusok MSZ ISO/IEC 18014-3:2005 Informatika. Biztonsgtechnika. Idblyegzsi szolgltatsok. 3. rsz: sszerendelt adattokokat elllt mechanizmusok MSZ ISO/IEC 18028-4:2005 Informatika. Biztonsgtechnika. IT-hlzatbiztonsg. 4. rsz: Biztonsgos tvoli hozzfrs MSZ ISO/IEC 11770-1:2005 MSZ ISO/IEC 11770-2:2005 MSZ ISO/IEC 11770-3:2005 MSZ ISO/IEC 13335-1:2005
- 57 -
2006 mjus
Az MSZT honlapjrl lekrdezhetek a magyar szabvnyok (www.mszt.hu). A krdezs trtnhet: Szabvnyjelzet (hivatkozsi szm) alapjn vagy cm szerint Besorols szerint. A szabvnyok nemzetkzi osztlyozsa (ICS international classification if standards) hromszint hierarchit alkot.

els szint a szakterlet (ebbl 40 van) 35 Informcitechnolgia. Irodagpek -azon bell 040 Karakterkszletek s informcikdols
Mg egy megjegyzs: vannak angol nyelv magyar szabvnyok is, pl. a kkkel megjelltek. A szmozs utal az eredeti szmozsra. 35.100.70 Alkalmazsi rteg 35.240.15 Azonostkrtyk s a velk kapcsolatos kszlkek 35.240.60 IT alkalmazsa a szlltsban, kereskedelemben 35.240.80 IT alkalmazsa az egszsggyi technikban 35.240.80 IT alkalmazsa az egszsggyi technikban 03.120.20 Termktansts s vllalattansts. Megfelelsgrtkels
IHM-MTA-E4-3.doc
153/296
MTA SZTAKI; E4 - 4671/4/2003
58.

MSZ ISO/IEC 9594-8:2004 MSZ ISO/IEC 7816-11:2005 MSZ ISO 10202-1:2001 Informatika. Nylt rendszerek sszekapcsolsa. Nvtr: A nyilvnoskulcs- s az attribtumtanstvny keretszablyai Azonost krtyk. Integrlt ramkrs krtyk. 11. rsz: Szemlyellenrzs biometriai eljrsokkal Pnzgyi tranzakcis krtyk. Integrlt ramkrs krtykat hasznl pnzgyi tranzakcis rendszerek biztonsgi architektrja. 1. rsz: A krtya letciklusa MSZ ISO 10202-2:2001 Pnzgyi tranzakcis krtyk. Integrlt ramkrs krtykat hasznl pnzgyi tranzakcis rendszerek biztonsgi architektrja. 2. rsz: Tranzakcis eljrs MSZ ISO 10202-3:2001 Pnzgyi tranzakcis krtyk. Integrlt ramkrs krtykat hasznl pnzgyi tranzakcis rendszerek biztonsgi architektrja. 3. rsz: A titkost kulcsok kztti kapcsolatok MSZ ISO 10202-4:2001 Pnzgyi tranzakcis krtyk. Integrlt ramkrs krtykat hasznl pnzgyi tranzakcis rendszerek biztonsgi architektrja. 4. rsz: Biztonsgos alkalmazsi modulok MSZ ISO 10202-5:2001 Pnzgyi tranzakcis krtyk. Integrlt ramkrs krtykat hasznl pnzgyi tranzakcis rendszerek biztonsgi architektrja. 5. rsz: Algoritmusok hasznlata MSZ ISO 10202-6:2001 Pnzgyi tranzakcis krtyk. Integrlt ramkrs krtykat hasznl pnzgyi tranzakcis rendszerek biztonsgi architektrja. 6. rsz: A krtyabirtokos visszaigazolsa MSZ ISO 10202-7:2001 Pnzgyi tranzakcis krtyk. Integrlt ramkrs krtykat hasznl pnzgyi tranzakcis rendszerek biztonsgi architektrja. 7. rsz: Kulcsgondozs MSZ ISO 10202-8:2001 Pnzgyi tranzakcis krtyk. Integrlt ramkrs krtykat hasznl pnzgyi tranzakcis rendszerek biztonsgi architektrja. 8. rsz: Alapelvek s ttekints MSZ ISO 9735-5:2000 Az igazgatsi, kereskedelmi s kzlekedsi adatok elektronikus cserje (EDIFACT). Alkalmazsi szint szintaktikai szablyok. (A szintaktika vltozatszma: 4.) 5. rsz: A ktegelt EDI biztonsgi szablyai (hitelessg, srtetlensg s a szrmazs letagadhatatlansga) MSZ ISO 9735-6:2000 Az igazgatsi, kereskedelmi s kzlekedsi adatok elektronikus cserje (EDIFACT). Alkalmazsi szint szintaktikai szablyok. (A szintaktika vltozatszma: 4.) 6. rsz: A biztonsgos hitelests s nyugtzs (AUTACK) zenete MSZ ISO 9735-7:2000 Az igazgatsi, kereskedelmi s kzlekedsi adatok elektronikus cserje (EDIFACT). Alkalmazsi szint szintaktikai szablyok. (A szintaktika vltozatszma: 4.) 7. rsz: A ktegelt EDI biztonsgi szablyai (bizalmassg) MSZ ISO 9735-8:1999 Az igazgatsi, kereskedelmi s kzlekedsi adatok elektronikus cserje (EDIFACT). Alkalmazsi szint szintaktikai szablyok. (A szintaktika vltozatszma: 4.) 8. rsz: Ksr adatok az EDI-ben MSZ ISO 9735-9:2000 Az igazgatsi, kereskedelmi s kzlekedsi adatok elektronikus cserje (EDIFACT). Alkalmazsi szint szintaktikai szablyok. (A szintaktika vltozatszma: 4.) 9. rsz: A biztonsgi kulcs- s tanstvnymenedzsels (KEYMAN) zenete MSZ EN 60950:2001 Informcitechnikai berendezsek biztonsga (IEC 60950:1999 + 2000. februri helyesbts, mdostva) MSZ EN 60950-1:2001/A11:2004Informcitechnikai berendezsek. Biztonsg. 1. rsz: ltalnos kvetelmnyek MSZ EN 60950-1:2002 Informcitechnikai berendezsek. Biztonsg. 1. rsz: ltalnos kvetelmnyek (IEC 60950-1:2001, mdostva) MSZ EN 60950-21:2003 Informcitechnikai berendezsek. Biztonsg. 21. rsz: Tvoli energiabetplls (IEC 60950-21:2002) MSZ EN 726-7:2000 Azonostkrtya-rendszerek. Tvkzlsi integrlt ramkrs krtyk s terminlok. 7. rsz: Biztonsgi modul
- 58 -
2006 mjus
35.100.70 Alkalmazsi rteg
IHM-MTA-E4-3.doc
154/296
MTA SZTAKI; E4 - 4671/4/2003
59.

MSZ ENV 1257-1:2001 MSZ ENV 1257-2:2000 MSZ ENV 1257-3:2000 MSZ EN 1546-2:2000 MSZ ENV 12924:2000 MSZ ENV 13608-1:2000 MSZ ENV 13608-2:2000 MSZ ENV 13608-3:2000 MSZ CR 13694:2001 MSZ ENV 13729:2001 MSZ EN 14484:2004 MSZ EN 14485:2004 MSZ EN 61703:2002 MSZ EN 12251:2005 Azonostkrtya-rendszerek. A szemlyi azonost szm kezelsnek szablyai szektorok kztti krnyezetben. 1. rsz: A PIN bemutatsa Azonostkrtya-rendszerek. A szemlyi azonost szm kezelsnek szablyai szektorok kztti krnyezetben. 2. rsz: A PIN vdelme Azonostkrtya-rendszerek. A szemlyi azonost szm kezelsnek szablyai szektorok kztti krnyezetben. 3. rsz: A PIN igazol ellenrzse Azonostkrtya-rendszerek. Szektorok kztti elektronikus pnztrca. 2. rsz: Biztonsgi architektra Orvosi informatika. Egszsggyi informcis rendszerek biztonsgi kategorizlsa s vdelme Egszsggyi informatika. Az egszsggyi kommunikci biztonsga. 1. rsz: Fogalommeghatrozsok Egszsggyi informatika. Az egszsggyi kommunikci biztonsga. 2. rsz: Biztonsgos adatobjektumok Egszsggyi informatika. Az egszsggyi kommunikci biztonsga. 3. rsz: Biztonsgos adattviteli csatornk Gygyszati informatika. Biztonsg s adatbiztonsg vonatkozs szoftverminsgi standardok az e szmra (SSQS) Egszsggyi informatika. Biztonsgi felhasznlazonosts. Szigor hitelestst hasznl mikroprocesszoros krtyk Egszsggyi informatika. Az EU adatvdelmi irnyelv hatlya al tartoz szemlyes egszsggyi adatok nemzetkzi adattvitele. Magas szint biztonsgpolitika Egszsggyi informatika. tmutat az EU adatvdelmi irnyelvvel kapcsolatban a szemlyes egszsgi adatok nemzetkzi felhasznlsokban val kezelshez A hibamentessgi, a hasznlhatsgi, a karbantarthatsgi s a karbantarts-elltsi fogalmak matematikai kifejezsei (IEC 61703:2001) Gygyszati informatika. Biztonsgos felhasznlazonosts az egszsggyben. A jelszavas feljogosts kezelse s biztonsga Termktanstsi rendszereket mkdtet szervezetekre vonatkoz ltalnos kvetelmnyek (ISO/IEC Guide 65:1996) tmutat minsgirnytsi s/vagy krnyezetkzpont irnytsi rendszerek auditjhoz (ISO 19011:2002) Minsggyi rendszerek minstst s tanstst/regisztrlst vgz szervezetekre vonatkoz ltalnos kvetelmnyek (ISO/IEC Guide 62:1996) Az informcivdelem irnytsi rendszerei. Elrs s hasznlati tmutat Az informatikaszolgltats irnytsa. 1. rsz: Elrs a szolgltatsirnytshoz Az informatikaszolgltats irnytsa. 2. rsz: tmutat a szolgltatsirnytshoz
MSZ EN 45011:1999 MSZ EN ISO 19011:2003 MSZ EN 45012:2000 MSZE 17799-2:2004 MSZE 15100-1:2005 MSZE 15100-2:2005
- 59 -
2006 mjus
35.100.70 Alkalmazsi rteg
IHM-MTA-E4-3.doc
155/296
MTA SZTAKI; E4 - 4671/4/2003
60.
Termk/rendszer rtkelsi szabvnyok

TCSEC 1983 (Orange book) Rainbow Series
CESG3 DTIEC GB
ZSIEC DE
SCSSI F
ITSEC 1991 (White book)
CTCPEC CA
FC USA
CC 2.1 ISO/IEC 15408:1999 + CEM
ITB 16. ajnls MIBTS (ISO/IEC 15408-1:2002)
- 60 -
2006 mjus
Az USA Vdelmi Minisztriuma az 1980-as vek elejn dolgozta ki a TCSEC-et (Trusted Computer System Evaluation Criteria), vagy kzismertebb nevn az Orange Book-ot. Az ebben foglalt kvetelmnyrendszer az USA kormnyzati s katonai szervezeteinl teleptett szmtstechnikai rendszerek biztonsgi szempontbl trtn rtkelsre szolgltak. A narancs szn knyvet tbb ktet kvette, amely az egyes rszelemek biztonsgnak rtkelsben nyjtott segtsget, ezek az n. szivrvny ktetek. Ilyenek pl. Jelszkezels zld knyv, naplzs - tan napbarna... Ezek mind a mai napig rvnyesek, hasznlatuk ktelez. A TCSEC az informatikai rendszereket ngy osztlyba sorolja, amely a klnbz erssg vdelmi szintek alapjn rtkelik a bepl biztonsgi szablyozs hatkonysgt. Jelenleg a D, C1,C2, B1,B2, B3, A1 osztlyok lteznek, ahol a D a minimlis, az A1 a legmagasabb szint vdelmet jelenti. Az osztlyozshoz a minstst ngy terleten kell elvgezni Biztonsgi stratgia (security policy) Kvethetsg (accountability) Biztostkok (assurance) Dokumentls (documentation) Ezutn tbb eurpai orszg is fejlesztett sajt kritriumrendszert, Nagy-Brittaniban (kln a kormnyzat rszre: CESG3, kln kereskedelmi clra DTIEC, Nmetorszgban ZSIEC, Franciaorszgban SCSSI) 1991-ben ngy orszg (a fenti hrom s Hollandia) dolgozta ki ITSEC 1.2-t (Information Technology Security Evaluation Criteria), s ez az Eurpai Kzssg kzs rtkelsi rendszere lett. AZ ITSEC s a TCSEC azonos mdon rtelmezi a biztonsgi osztlyokat, de a TCSEC-kel sszevetve finomt az rtkelsen (pl. az TCSEC-kel szemben kln kell
IHM-MTA-E4-3.doc
156/296
MTA SZTAKI; E4 - 4671/4/2003
rtkelni a veszlyeket elhrt intzkedseket, s azok teljeskrsgt szolgl garancikat.) jabb kanadai s amerikai ajnlsok utn vgre az ISO keretein bell kidolgoztk a Common Criteria-t, a CC-t (Kzs szempontrendszert) s a CEM-t (a kzs rtkelsi mdszertan), amely megprblta sszhangba hozni a korbbi dokumentumok tartalmi s technikai vonatkozsait. 1996. ver.1; 1998 verzi 2; 2000 verzi 2.1. A 3.0-as verzi draft vltozata elkszlt, nyilvnos vitra s ksrleti kiprblsra bocsjtottk. A CEM (Common Evaluation Methodology) a CC trsdokumentuma. Clja, hogy lerja azokat a tevkenysgeket, melyeket egy rtkel elvgez a CC szerinti rtkels folyamn. A CC magyarorszgi honostsnak els lpse 1997-ben trtnt, amikor a MEH tmogatsval kiadtk az ITB 16. sz. ajnlst (Cme: Common Criteria (CC), az informatikai termkek s rendszerek biztonsgi rtkelsnek mdszertana)
IHM-MTA-E4-3.doc
157/296
MTA SZTAKI; E4 - 4671/4/2003
61.
CCRA tagorszgok
A Kzs szempontok szerint kibocstott tanstvnyok klcsns elismersrl szl nemzetkzi megllapods
Tanstvnyt kiad
Ausztrlia s j Zland (2) Franciaorszg (5) Hollandia (1) Japn (3) Kanada (3) Nagy Brittania (5) Nmetorszg (14) Norvgia (2) USA (9)
Tanstvnyt elfogad
Ausztria Csehorszg Finnorszg Grgorszg India Izrael Magyarorszg Olaszorszg Svdorszg Spanyolorszg Szingapr
ISO 17025:2000
Trkorszg
- 61 2006 mjus
Magyarorszg 2003-ban csatlakozott a CCRA-hoz. A csatlakozs kt lpcsben valsul meg. Els lpcsben (jobb oszlop) az orszgok vllaljk, hogy elfogadjk a killtott tanstvnyokat, msodik lpcsben pedig mr maguk is killthatnak ilyeneket. Ahhoz, hogy tlpjnk a felsbb csoportba, sajt nemzeti smt kell kidolgoznunk, mkdtetnnk, valamint ki kell alaktani a megfelel bevizsglsi, auditlsi folyamatokat. Ehhez pedig rtkel laboratriumok/szervezetek s tanst szervezet fellltsa szksges. A laboratriumokat fellltsuk utn az ISO 17025:2000 szabvnynak megfelelen auditltatni kell. A baloldali oszlopban az egyes orszgokban tallhat rtkel laboratriumok szmt jeleztk.
IHM-MTA-E4-3.doc
158/296
MTA SZTAKI; E4 - 4671/4/2003
62.
CC alapfogalmai
(Kzs szempontrendszer)
rtkels trgya (ToE) informatikai termk vagy rendszer Vdelmi profil (PP) - kvetelmnyrendszer Biztonsgi kvetelmny felosztsa funkcionlis kvetelmnyek (functional) garanciakvetelmnyek (assurance) Kvetelmnyek csoportostsa (osztly, csald, komponens) Vdelmi profil Biztonsgi rendszerterv (ST) Bevezets (cm, kulcsszavak azonosts) Garanciaszintek (assurance level) ToE lersa Hatkr Biztonsgi krnyezet (veszlyek, szervezeti Mlysg biztonsgpolitika...) szigorsg Biztonsgi clok
IT biztonsgi kvetelmnyek Funkcionlis Garancilis Indokls
Profile Name Ver. Application-Level Firewall for Basic Robustness Environments PP 1.0 Application-Level Firewall for Medium Robustness Environments PP 1.0 Traffic Filter Firewall PP for Medium Robustness Environments 1.1 Robustness Traffic Filter Firewall PP for Medium Robustness Environments Medium Robustness Date Short Name Sponsor Jun 00 ALFWPP-LR_V1.0 NSA Jun 00 ALFWPP-MR_V1.0 NSA Jan 06 TFFWPP-MR_V1.1 NSA 1.0 Feb 05 TFFWPP-MR_V1.0 Conf Claim EAL 2 EAL 2+ Medium NSA
- 62 -
2006 mjus
http://www.commoncriteriaportal.org/ http://niap.nist.gov/cc-scheme/index.html A CC informatikai termkek s rendszerek rtkelsvel foglalkozik. rtkels trgya (target of evaluation): IT termk vagy rendszer Vdelmi profil (protection profile): elre megadott kvetelmnyelemekbl egy adott feladatot lefed, nmagban konzisztens kvetelmnyrendszer. Az adott feladat lehet pl. vrusrtra, tzfalra, opercis rendszerekre, biometrira, PKI-ra, adatbzisra stb. vonatkoz kvetelmnyrendszer.) A vdelmi profilokat a klnbz alkalmazsokra felkszlt szakemberek lltjk ssze feladatspecifikus kockzatelemzs utn. Termszetesen egyre jabb PP-k jelennek meg. Jelenleg a NIST lapjn kb 40 db PP lthat, a msik (francia) honlapon kb 50. db. A kvetelmnyeket kt nagy csoportba osztjk:
funkcionlis kvetelmnyek az rtkels trgynak a biztonsg szempontjbl lnyeges funkciira vonatkoznak garanciakvetelmnyek a vizsglatokkal szembeni kvetelsek. A vizsglatok garantljk,hogy az rtkels trgya eleget tesz a funkcionlis biztonsgi kvetelmnyeknek, a megvalsts megfelel.
Mind a biztonsgi, mind a garancilis kvetelmnyeket osztlyozzk. A legfels osztly a csoport, a csoport csaldokbl ll, a csald pedig komponensekbl. A komponensek kztt hierarchia lehet.) Garanciaszint: az rtkels trgynak vizsglatt milyen mlysgben, milyen erforrsrfordtssal vgeztk BRT biztonsgi rendszerterv/security target
IHM-MTA-E4-3.doc
159/296
MTA SZTAKI; E4 - 4671/4/2003
63.
Plda egy vdelmi profilra(1)

1. Hlzati/szlltsi szinten csomagszr tzfal (TCP, IP, IPX, tzfal...) 2. Az rtkels trgya egy tzfal. Tipikus elrendezs.... 3. Biztonsg krnyezet 3.1. A biztonsgra vonatkoz fenyegetsek 3.1.1 Az T ltal kivdend fenyegetsek
T.LACCESS: illetktelen szemly hozzfrhet a tzfalhoz T.SPOOF: illetktelen szemly hlzati cmeket becsap tmadsokat hajthat vgre
3.1.2. A mkdsi krnyezet ltal kivdend fenyegetsek

T.EVIL_ADM: vannak gondatlan szndkosan hanyag vagy ellensges rszadminok T.INSHARE: ...a tzfal mgtti informcit akarjk megosztani egy kls hlzat felhaszn..
3.2 Szervezeti biztonsgi elvek 3.3 A biztonsgos hasznlat felttelei 3.3.1 Fizikai felttelek
A.SECURE: felttelezik, hogy csak a felhatalmazott szemlyek frhetnek hozz fizikailag
3.3.2 Szemlyi felttelek:

A.NO_EVIL: felttelezik, hogy az adminisztrtorok nem ellensgesek
3.3.3 sszekttetsi felttelek

A_SINGL.PT A tzfal a hlzatok kztti egyetlen kapcsolati pont
- 63 -
2006 mjus
Bevezets:
vdelmi profil azonosts (cme, kulcsszavak), ttekintse
Az rtkels trgya: tzfal, tipikus elrendezsrl egy brt kzl, mire j a tzfal (hlzati tartomnyok sztvlasztsra), a forgalom ellenrzse hlzati/szlltsi szinten trtnhet Biztonsgi krnyezet
IHM-MTA-E4-3.doc
160/296
MTA SZTAKI; E4 - 4671/4/2003
64.
Plda egy vdelmi profilra(2)

4. Biztonsgi clok 4.1 Informcitechnolgiai biztonsgi clok
O.ACCESS: A tzfalnak a ...hlzatok kztt ellenrztt hozzfrst kell biztostani,... O.AUDIT: A tzfalnak biztostani kell, hogy az sszes felhasznlt utlag felelssgre lehessen vonni
4.2 Nem IT-biztonsgi clok

O.PACCESS: A tzfalrt felels szemlynek biztostani kell a tzfalhoz trtn fizikai hozzfrs ellenrzst
5. T-re vonatkoz IT biztonsgi kvetelmnyek 5.1 Funkcionlis kvetelmnyek

FAU_GEN.1 Napladat generls FIA_ADA.1 Felhasznli hitelest adat inicializls FDP_ACF.4 Hozzfrs hitelests s megtagads ...
5.2 Garancilis kvetelmnyek
Osztlyok: FAU -security audit FIA identification and authent. FDP- user data protection Csaldok: FAU_GEN - SA data generation
6. Indokls
Osztlyok: ACM configuration management Komponensek FAU_GEN.1 Audit data generati ADV development FAU_GEN.2 User identity assoc ALC life cycle .... (Komponensek kzott hierarchikus sszefggsek lehetnek)
- 64 2006 mjus
Funkcionlis kvetelmnyek osztlyainak szma: 10 osztly FAO - security audit FCO communication FCS cryptographic support FDP user data protection FIA identification and authentication FMT security management FPR privacy FPT protection of TSF(ToE Security Function) FRU resource utilisation FTA ToE access Garanciakvetelmnyekhez tartoz osztlyok 7 osztly: ACM Configuration management ADO delivery and operation ADV development AGD Guidance documents ALC life cycle support ATE tests AVA -vulnerability assessment
IHM-MTA-E4-3.doc
161/296
MTA SZTAKI; E4 - 4671/4/2003
65.
rtkelsi Garancia Szintek

Evaluation Assurance Level (EAL) GSZ:mennyire felel meg a termk/rendszer az adott VP-nak?
Alapgaranciaszint (az a termk, amit kifejlesztettek s megvizsgltak; a felfedezett hibkat kvetik; van adminisztrtori s felh. tmutat)) EAL1 - funkcionlisan tesztelt (a termk klnbz konfigurcis ttelei rendben; a megtervezett biztonsgi funkcik helyesen valstottk meg; a termk a lert mdon mkdik) EAL2 strukturlisan tesztelt (biztonsgos telepts, generls, installls; rendelkezik a PP kielgtshez szksges tulajdonsgokkal, a fejleszt felmri a sebezhetsgeket; rtkeli az egyes biztonsgi funkcik erejt) EAL3 mdszertanilag tesztelt s ellenrztt EAL4 mdszertanilag tervezett, tesztelt s tnzett (a konfigurcikezels s a fejleszts terletn, az letciklus tmogats s a tesztels vonatkozsban, sebezhetsg elemzse terletn) EAL5 flformlis mdszerrel tervezett s tesztelt EAL6 flformlisan ellenrztt tervezs s tesztels EAL7 formlisan ellenrztt s tesztelt
A vdelmi profiloknl ktfajtakvetelmnyt lltottak fel, funkcionlis garanciakvetelmnyt. A CC szerint rtkelt termk/rendszer kt rtkelst kap:

funkcionlisan megfelel-e az adott Vdelmi profil elvrsainak? mennyire biztos ez a megfelels? (Hnyas GSZ-en volt biztostva az rtkels?) azt a termket kapja, amit a gyrt kifejlesztett s az rtkel megvizsglt (teht a szllts sorn nem kompormittldik) felfedezett hibkat nyomon kvetik, kijavtjk a termkhez admin s felh. tmutatkat adnak, admin: installls, biztonsgos mkdtets...)
Egy felhasznl ftlenl az rtkels szintjrl garancit kap az albbiakrl:
GSZ1:legnyilvnvalbb hibk kimutatsa min. ellenrzsi s rtkelsi kltsg mellett) Az alapgaranciaszinten kvl az albbi terleteken ad tbbletgarancit:

-a fejleszt nem keveri ssze a termk klnbz konfigurcis tteleit a fejleszts sorn a megtervezett biztonsgi funkcikat helyesen bontottk le s valstottk meg -a termk a lert mdon mkdik a termk biztonsgos teleptshez, generlshoz s indtshoz szksges lpseket az tadott dokumentciban lerta a biztonsgi funkcikat helyesen valstottk meg a fejleszt felmri a termk ltrehozsa s mkdtetse sorn jelentkez sebezhetsgeket,
162/296
GSZ2: lnyegesen magasabb garancit biztost szint, tbbletgarancik:
IHM-MTA-E4-3.doc
MTA SZTAKI; E4 - 4671/4/2003
a fejleszt rtkeli az egyes biztonsgi funkcik erejt: alalp/kzepes/ers
EAL4:tervszeren tervezett, tesztelt s ttekintett ez a a szint, ami gazdasgosan megvalsthat utlag egy mr ltez termkre. (A magasabb garanciaszintek csak gy rhetk el, ha mr a tervezst alrendelik a garanciaszintnek) kb 150 rtkelt termka NIST oldalain, ebbl 2 EAL5 s egy EAL7: EAL5 XTS 400 op rsz.; multiple domain solution EAL5,7:Tenix Interactive Link Version 5.1 , Tenix Interactive Link Data Diode Device Version 2.1
IHM-MTA-E4-3.doc
163/296
MTA SZTAKI; E4 - 4671/4/2003
66.
Plda az rtkelt termkekre

Tzfalak Product Name / Manufacturer / Conformance Claim / PP/ Valid. Date
CyberGuard Firewall/VPN v6.1.2 CyberGuard Corporation CyberGuard Firewall/VPN v6.2.1 CyberGuard Corporation EAL 4 Augmented ... Dec 05 Cryptek, Inc., DiamondTEK (DiamondCentral (NSC Application S/W version 2.4.0.5, NSD-Prime F/W version 2.4.0.3) and NSD (Dia Cryptek, Inc. EAL 4 Dec 05 DiamondTEK Cryptek Secure Communications, LLC Lucent Technologies, Inc. Lucent Technologies, Inc. Marconi SA-400 Firewall Marconi Communications EAL 2 Jul 04 EAL 4 EAL 2 EAL 4 PP3: Jun 02 Oct 03 Jan 06 Lucent Technologies Lucent VPN Firewall V7.0 (Patch 531) Lucent Technologies Lucent VPN Firewall (LVF) version 7.2 with patch 292 EAL 4 Augmented.. PP1,PP2 Jun 05
PP1: U.S. Government Application-Level Firewall Protection Profile for Low-Risk Environments PP2: U. S. Department of Defense Application-level Firewall Protection Profile for Basic Robustness Environments PP3: Traffic Filter Firewall Protection Profile for Low-Risk Environments, V1.1, Apr 1999
- 66 -
2006 mjus
A kirtkels eredmnye egy olyan dokumentum, amely kijelenti, hogy a termk/rendszer

egy adott vdelmi profilnak megfelel egy adott biztonsgi cl kvetelmnyeinek megfelel -a megfelels az 1-7 szint valamelyikn trtnik
IHM-MTA-E4-3.doc
164/296
MTA SZTAKI; E4 - 4671/4/2003
67.
MIBTS
agyar informatikai Biztonsgi rtkelsi s Tanstsi Sma
4.2 Ki kell alaktani az informatikai alkalmazsok minsgnek s biztonsgnak hiteles tanstsi rendjt, az ehhez szksges jogszablyok megalkotsval s intzmnyrendszer fellltsval. 1214/2002. (XII.28.)
MIBTS nemzeti sma ltalnos modellezse v.0.9 (2003. aug.) - 1.sz. Az rtkels s tansts folyamatai v.0.9 (2003.szept.) - 2.sz. Az rtkels mdszertana v.0.9 (2003. nov.) - 3.sz. Az rtkelsi mdszertan alapjainak sszefoglal ttekintse A biztonsgi elirnyzat rtkelsnek mdszertana Az alap garanciaszint rtkelsnek mdszertana A fokozott garanciaszint rtkelsnek mdszertana A kiemelt garanciaszint rtkelsnek mdszertana A tansts mdszertana v.0.9 (2003. nov.) - 4.sz. Mdszertani tmutat a megbzk szmra v.0.9 (2004. jan.) - 5.sz. Mdszertani tmutat a fejlesztk szmra v.0.9 (2004.mrc.) - 6.sz. Mdszertani tmutat az rtkelk szmra v.0.95 (2005. febr.) - 7.sz. Mdszertani tmutat a tanstk szmra v.0.9 (2004. mj.) - 8.sz.
Visszatrve a CC + CEM-hez, kt skon zajlik a folyamat A termkre vonatkoz szint ez a CC teljes egszben magyar szabvny (MSZ 15408) azaz megfelel-e a termk azoknak a biztonsgi tulajdonsgoknak, amit gr/llt magrl Milyen a termk biztonsga, knnyen feltrhet-e Elg biztonsgos- a termk ahhoz, hogy egy adott krnyezetben hasznljk Az rtkels folyamata/gyakorlata - CEM Az rtkels sorn helyes mdszereket alkalmazunk-e? Elg biztonsgos-e az rtkelst vgz labor? A MITS ksztsrl rendelkez 1024/2002 (XII.28.) sz. kormnyhatrozat tbbek kztt azt a feladatot tzte ki clul: 4.2 Ki kell alaktani az informatikai alkalmazsok minsgnek s biztonsgnak hiteles tanstsi rendjt, az ehhez szksges jogszablyok megalkotsval s intzmnyrendszer fellltsval. 2003. ta elkszletben van az az IHM rendelettervezet, amely az rtkelst vgz szervezetek kijellsnek szablyairl valamint magrl a tanstsrl szl. (Ez azta is csak tervezet.) A MIBTS dokumentumai fent lthatk. A MIBTS az rtkels mdszertanra a CEM (Kzs rtkelsi mdszertan) egyszerstett vltozatt dolgozta ki s fogadja el. Ez tulajdonkppen elkszt anyag a teljes kr csatlakozshoz.
IHM-MTA-E4-3.doc
165/296
MTA SZTAKI; E4 - 4671/4/2003
68.
MIBTS
Cl: a kereskedelmi s kormnyzati szfra szmra informatikai termkek s rendszerek biztonsgi rtkelsre s tanstsra vonatkoz ignyek kielgtse Clkznsg: fejlesztk/gyrtk, beszerzk/vsrlk, akkreditorok Az rtkelsi mdszertan ltalnos elvei (alkalmassg, prtatlansg, objektivits, megismtelhetsg, jraelllthatsg, az eredmnyek helyessge) A smba rsztvevk: fejleszt, az rtkels megbzja, rtkel, tanst
- 68 -
2006 mjus
Clnl tovbbi felttelek is vannak: kltsg-hatkony s eredmnyes legyen az rtkels. Clkznsg: fejlesztk/gyrtk lehetsget kapnak arra, hogy biztonsgi lltsokat fogalmazzanak meg beszerzk/vsrlk: bizonyossgot szerezhetnek arrl, hogy a felknlt termkek a biztonsgi ignyket kielgtik akkreditorok:meggyzdhetnek arrl, hogy az ket rint biztonsgi fenyegetseket kellen figyelembe veszi Mdszertani elvek:
alkalmassg: az alkalmazott rtkelsi tevkenysgnek alkalmasnak kell lennie a megclzott garanciaszint elrshez prtatlansg: elfogultsgmentessg objektivits szubjektv elemek vagy szemlyes vlemny csak min. mrtkben megismtelhetsg: ugyanazon termk ugyanazon rtkelkkel megismtelve ugyanazt az eredmnyt adja jraelllthatsg: ugyanarra a termkre, ugyanazon kvetelmnyek mellett megismtelt rtkelsnek ugyanoda kell vezetnia az eredmnyek helyessge: az rtkels eredmnynek teljesnek s szakmailag hibtlannak kell lennie
IHM-MTA-E4-3.doc
166/296
MTA SZTAKI; E4 - 4671/4/2003
69.
Rsztvevk kzti kapcsolat, felelssg
- az rtkels tmogatsa - az rtkelsre tadand bizonytkok fejlesztse s kezelse - szerzdsek ltrehozsa - az rtkelsre tadand bizonytkok biztostsa
fejleszt rtkel tanst - bizonytkok tvtele -az rtkelsi tevkenysg vgrehajtsa - tmogats krse, nyjtsa - a tanstsra tadand bizonytkok biztostsa - az rtkeli vlemny indoklsa - az ltalnos elveknek s elrsoknak val megfelels
megbz
- az rtkels ellenrzse - a tanstsra tadott bizonytkok tvtele s megtekintse - az rtkels megfelel mdjnak biztostsa - az rtkelsek tmogatsa elrsok ltrehozsval, a kvetelmnyek rtelmezsvel s irnymutatssal - az rtkeli hatrozat jvhagysa vagy elvetse -a tanst szervezet szmra a Tanst hatrozat dokumentlsa s indoklsa
- 69 -
2006 mjus
IHM-MTA-E4-3.doc
167/296
MTA SZTAKI; E4 - 4671/4/2003
70.
Az rtkels folyamata
Elkszlet
A megbz kezdemnyezi az rtkelst A megbz tadja az T-nak biztonsgi elirnyzatt Az rtkel megvalsthatsgi tanulmnyt kszt (milyen informcit vr el, mi lesz a tervezett rtkelsi tevkenysg) A megbz, fejleszt tadja a krt informcikat Megbz s rtkel megllapodst kt
Lebonyolts
Az rtkel vgrehajtja a megkvetelt garanciaszintnek megfelel rtkelsi tevkenysget szrevtelezsi jelentst tehet Tanst ellenrzi az rtkelst Az rtkel rtkelsi jelentst kszt
Kvetkeztets
Az rtkelsi jelents a tansthoz kerl A tanst dntst hoz (Tansti hatrozat), elkszti az rtkels sszegz jelentst
IHM-MTA-E4-3.doc
168/296
MTA SZTAKI; E4 - 4671/4/2003
71.
Menedzsment s folyamatszabvnyok
Fejleszts Mrs Rendszertechnolgiai-s szoftvertechnolgiai szabvnyok Vdelem
zemeltets
Informatikai irnyts szabvnyai - ITIL - BS 15000 - ISO/IEC 20000
Az informcivdelem irnytsi rendszernek szabvnyai BS7799, ...., ISO27000, COBIT

Ez az bra mutatja az menedzsment s folyamatszabvnyok fkuszterleteit. Egy informatikai rendszer vagy termk fejlesztse sorn tekintettel kell lenni a rendszer- s szoftvertechnolgiai szabvnyokra. Az zemeltets sorn az informatikai irnyts szabvnyait kell figyelembe venni. A vdelemre mind a fejleszts, mind az zemeltets sorn gondolnunk kell, teht az informcivdelem irnytsi rendszernek (azaz a menedzsmentnek) a szabvnya gy jn a kpbe.
IHM-MTA-E4-3.doc
169/296
MTA SZTAKI; E4 - 4671/4/2003
72.
Az irnytsi rsz. szabvnyai

BS7799 -tl ISO/IEC 2700x-ig Az IB irnytsnak gyakorlati kdexe -> BS7799-1:1995, 1999 ISO/IEC 17799:2000,2005 Az IB irnytsi rendszernek specifikcija ->BS7799-2:1998 ISO: retlen szabvny BS7799-2:2002 ISO/IEC 27001:2005
ISO 9001/2000 Minsgbiztostsi rendszer ISO 14001:1996 Krnyezetirnytsi rendszer OECD Guidelines:: PDCA modell
A jv: az ISO/IEC 27000 sorozat: ISO/IEC 27000: ISMS Principles and vocabulary ISO/IEC 27001: ISMS specification ISO/IEC 27002: ISO/IEC 17799:2005 helyett ISO/IEC 27003: ISMS Implementation Guidelines ISO/IEC 27004: ISMS Metrics and Measurements ISO/IEC 27005: ISMS Risk Management ISO/IEC 27005: zleti folytonossg s katasztrfavdelem
Hlzati incidenskezels Tutorial - 72 -
2006 mjus
Ez a szabvny nem az USA-bl, hanem Nagy-Brittanibl indult ki. 1987-ben az akkori Kereskedelmi s Ipari Minisztrium (Department of Commerce and Trade) megalaptotta a CCSC-t (Commercial Computer Security Center), ketts feladattal:

a szmtgpes termkek/rendszerek biztonsgi rtkelst oldja meg (ITSEC) segtse az embereket (a felhasznlkat) a helyes biztonsgi szablyzatok, gyakorlatok alkalmazsban.
Ennek eredmnyekpp 1989-ben elkszlt a User Code of Practice, ami konzultcik s finomtsok utn 1995-ben brit szabvnny vlt: A code of practice for information security management BS7799:1995. - Az informcibiztonsg irnytsnak gyakolati kdexe lnyegben a helyes biztonsgi gyakorlatok tfog katalgusa. Az els rsz 2000. decemberben kis mdostsokkal ISO/IEC 17799:2000 nven szabvnny vlt. Azonban korn kiderlt, hogy a szabvny nem ad arra vlaszt, hogy az adott vezet melyik vdelmi eszkzt alkalmazza s melyiket ne. Ekkor fogalmaztk meg a szabvny msodik rszt, Az informcibiztonsg irnytsnak specifikcija,-t BS7799:2. A megfogalmazs sorn derlt, hogy ez a rsz sokkal fontosabb, mint az els. Mert a visszacsatolsi hurkok bevezetsvel a vezet figyeli s ellenrzi a biztonsgi rendszert, gy minimalizlja a biztonsgi kockzatot, s gy sikerl a szervezeti, a vevi s jogi ignyeknek megfelelni. Ezutn a BS7799:2-t j nhny ISO szabvnnyal harmonizltk, s figyelembe vettk az OECD Guidelines for the Security for the Security of Information Systems and Standards Plan-Do-Check-Act modelljt, s elkszlt a 2002-es vltozat. A jv a 27000-es sorozat: 27001 -kvetelmnyrendszer
IHM-MTA-E4-3.doc
170/296
MTA SZTAKI; E4 - 4671/4/2003
27002 BS7799:1 j neve 27003: tmutat a 27001-hez 27004: ISM measurement and 27005: kockzatkezels MO: ISO 17799.2004 elszabvny
IHM-MTA-E4-3.doc
171/296
MTA SZTAKI; E4 - 4671/4/2003
73.
IB gyakorlati kdexe ISO/IEC 17799:2005

Informci (elektronikus, papr, rgztett, kommunikci) Kezdet: ignyek s szksgletek felmrse Fcmek (11) > intzkedsek (133) -> 5000+ helyes gyakorlat
Vdelmi politika A vdelem szervezeti vonatkozsai Vagyontrgyak osztlyozsa s felgyelete A vdelem szemlyzeti vonatkozsai A vdelem fizikai s krnyezeti vonatkozsai A kommunikci s zemeltets irnytsa Hozzfrsellenrzs Rendszerek fejlesztse s karbantartsa Informatikai biztonsgi incidensek kezelse Mkdsfolytonossg fenntartsa Megfelelsg
A szabvny alapfogalma az informci. Az informcit szles rtelemben veszi:

elektronikus fjl (szoftver fjl, adatfjl) papr alap dokumentum (nyomtatott, kzzel rt, fnykpek) rgztett (recording) dokumentumok: video s audio kommunikci

beszlgets (telefon-, mobil-, szemtl-szemben trtn -) zenetek(email, fax, video, instant, fizikai)
Az informcinak rtke van, teht az vagyontrgy. A vagyon vdeni kell, s vdeni kell a vagyont trol infrastruktrt is. Vdeni kell a fenyegetsrl... Az ISO 17799 szerint a vdelem intzkedsek (control) alkalmazsval valsthat meg. Az intzkedsek lehetnek szablyzatok, eljrsok, folyamatok s szervezsi elemek.) Az informci vdelmre intzkedseket kell kifejleszteni, telepteni, figyelni (monitor), rtkelni s javtani. A szabvny szerint indulskor az ignyeket s szksgleteket fel kell mrni:

kockzatelemzst kell vgezni (fenyegetsek, sebezhetsgek) jogi krnyezet tnzse (szablyzatok, szablyozsok, elrsok a szervezetben s a partnereknl) sajt ignyek felmrse
A szabvny 11 fcm alatt 133 biztonsgi intzkedst hatroz meg, amelyek tovbbi intzkedseket foglalnak magukban, gy 5000 felett van a helyes gyakorlat kontrolljai s elemei Minden intzkeds 4 rszbl ll:
MTA SZTAKI; E4 - 4671/4/2003
mi a szablyozsi cl, hogy lehet az adott clt elrni (intzkedsek - control) hogy lehet megvalstani/implementlni a cl elrshez szksges eszkzket tbaigazts, magyarzat (note)
IHM-MTA-E4-3.doc
173/296
MTA SZTAKI; E4 - 4671/4/2003
74.
Plda: fcm + intzkedsek

Hozzfrsellenrzs A hozzfrsellenrzs szervezeti-mkdsi kvetelmnye Az informcikhoz val hozzfrs ellenrzse Hozzfrsellenrzsi politika Szablyozsi cl Fcm
Intzkeds Felhasznli hozzfrs kezelse Az informcis rendszerekhez val hozzfrsi jogosultsgok megfelel engedlyezsnek, kiosztsnak s karbantartsnak biztostsa Szablyozsi cl Felhasznlk nyilvntartsa Intzkeds Privilgiumok kezelse Intzkeds Felhasznli jelszavak kezelse Felhasznli jogosultsgok tvizsglsa Intzkeds .... Intzkeds
- 74 -
2006 mjus
IHM-MTA-E4-3.doc
174/296
MTA SZTAKI; E4 - 4671/4/2003
75.
Az IB irnytsi rendszernek specifikcija (ISO/IEC 27001:2005)

Az ISO/IEC 27001:2005: hogyan alkalmazza az ISO/IEC 17799-et, s hogyan ptse fel, mkdtesse, tartsa szinten s javtsa az IB irnytsi rendszert.
- 75 -
2006 mjus
PDCA ez az amit az OECD egyik tletbl vettek t. A ngy lps (tervezs, megvalsts, ellenrzs, beavatkozs) lland krforgsban van. Tervezs: Az els lps az ISMS (IBIR) hatkrnek meghatrozsa: az egsz szervezet, egy rszleg vagy csak egy szolgltats. Irnyvonal (policy): mirt fontos az IB; van-e valamilyen specilis fenyegetettsg; mit szeretne elrni a CIA (titkossg, srtetlensg, rendelkezsrells) terletn; mi az elfogadhat kockzat; van-e valamilyen trvnyi vagy egyb korltozs, amit be kell tartani;... kockzatok felmrse: mit szeretne vdeni; milyen kockzatok vannak; mi az kockzat, amit mg elviselhetnek tl; mrje fel a kockzatokat a bekvetkezs valsznsge s a kivltott hats fggvnyben,,, Kockzatkezelsi terv: egy adott kockzatot elfogad-e s ha bekvetkezik azonnal tudna arra vlaszolni; egy msik kockzatot mindenron el szeretne kerlni vagy harmadik flre hrtani (biztosts)?... Alkalmassgi nyilatkozat: az ISO/IEC 17799 135 db intzkedsel melyeket szeretn alkalmazni, s melyeket nem. Megvalsts: Hajtsa vgre az intzkedseket: szksg van eljrsokra, amelyek segtsgvel szleli az incidenseket s vlaszol rjuk, kpeznie kell az embereket, biztostani kell a megfelel infrastruktrt stb. Ellenrzs: az intzkedsek megfelelen mkdnek s el is rik a cljukat Beavatkozs: az ellenrzs eredmnyekpp megteend lpsek: javt, megelz akcik
IHM-MTA-E4-3.doc
175/296
MTA SZTAKI; E4 - 4671/4/2003
76.
(IB Irnytsi Keretrendszer + I vizsglata)
IBIK + IBIV
IBIK
Elzmny: Informatikai Rendszerek Biztonsgi Kvetelmnyei (ITB 12. ajnls, 1996) Alap: ISO/IEC 17799
ISO/IEC TR 13335 NATO C-M(2002)49 EU Tancsnak Biztonsgi szablyzata (2001/264/EK)
Verzi: 0.95
IBIV
Elzmny: Informatikai biztonsg mdszertani kziknyv (ITB 8. ajnls, 1994) Alap: BS7799-2 Verzi: 0.95
IBIV, IBIK sttusza mg bizonytalan.
IHM-MTA-E4-3.doc
176/296
MTA SZTAKI; E4 - 4671/4/2003
77.
COBIT
Control Objectives for Information and Related Technologies (ISACA) 1.0 1992, 4.0 2005. dec. Misszi: to research, develop, publicize and promote an
authoritative, up-to-date, international set of generally accepted information technology control objectives for day-to-day use by business managers and auditors. A COBIT 4.0 struktrja
Executive Summary Framework Control Objectives Audit Guidelines Implementation Tool Set Management Guidelines
7 + . + . 8 + . 0 . 9 10 11 12 13 - - 0 . . . . . . . 0 0 + 0 0 . . . . .
- 77 2006 mjus
COBIT s az ISO 17799:2000

COBIT DOMAIN Plan and Organize Acquire and Implement Deliver and Support Monitor and Evaluate 1 + 2 + 0 + 0 3 0 0 4 + 0 5 + 0 + . 6 + + . .
Az IB irnytsi rendszerek kz tartozik, tudtommal mg nem ISO szabvny. A COBIT tulajdonkppen a helyes gyakorlatok gyjtemnye, amelyet az ISACA s az IT Governance Institute (ITGI) 1992-ben lltott ssze. A dokumentumot a vezetk, auditorok s IT felhasznlk szmra ksztettk, ltalnosan elfogadott intzkedseket, indiktorokat, folyamatokat s helyes gyakorlatot tartalmaz. Clja, hogy az IT technolgia hasznlatbl szrmaz elnyket maximlisan kihasznljk a vllalatok/intzmnyek IT irnytsnl s ellenrzsnl. Az els vltozat 1996-ban, a msodik 1998-ban, majd 2000-ben, a legjabb negyedik vltozat 2005. decemberben jelent meg. (Ez utbbi mr tartalmazza azokat a mdostsokat, amelyeket az Enron botrny miatt tettek bele, s ami az hires SarbanesOxley trvnyhez vezetett (USA)). A COBIT struktrja:

vezeti sszefoglal keretrendszer Kontroll clkitzsek implementcis eszkztr auditlsi tmutat (Ingyenesen letlthet, kivve ezt!!!)
A COBIT keretrendszere 34 informatikai folyamatot hatroz meg, ehhez kapcsoldnak a (215) rszletes kontroll clkitzst tartalmaz 4 trgykrben: Tervezs s Szervezs, Beszerzs s telepts, Szolgltats s Tmogats valamint Monitorozs s rtkels. A kontroll: mindazon szablyok, eljrsok, gyakorlati mdszerek s szervezeti struktrk, amelyeket arra a clra terveztek, hogy az zleti clkitzsek megvalstst elsegtsk, s a nemkvnatos esemnyeket megelzzk, feldertsk s korrigljk. A COBIT az IT irnyts s vezets nemzetkzileg elfogadott keretrendszere. Az ISO17799:1 a helyes gyakorlatok kziknyve, nem versenyeznek, hanem egymst
MTA SZTAKI; E4 - 4671/4/2003
kiegsztik. A COBIT szlesebb terletet fed le, az ISO17799 jobban fkuszl a biztonsg terletre. COBIT DOMAIN Plan and Organize Deliver and Support Monitor and Evaluate 1 2 + 0 + 0 3 0 0 4 + 0 5 + 0 + . 6 + + . 7 + . . 8 + . 0 . 9 10 11 12 13 . 0 . . 0 . 0 . + . . . 0 . . . 0 .
Acquire and Implement +
. +
+ j illeszkeds; - nincs vagy kicsi illeszkeds, 0 rszleges illeszkeds, . nincs
IHM-MTA-E4-3.doc
178/296
MTA SZTAKI; E4 - 4671/4/2003
78.
COBIT keretrendszere
A folyamatok nyomon kvetse A bels irnyts felmrse Ftlen megerst vizsglatok Fggetlen auditls
Tervezs s szervezs
Monitorozs s rtkels
Az inf. stratgiai terv meghatrozsa Az inf. architektra meghatrozsa A technolgiai irny meghatrozsa Az inf. szervezet s kapcsolatainak meghat. Az inf. beruhzs kezelse A vezeti clok... Az emberi erforrs kezelse A kls kvetelmnyek betartsnak biztostsa A kockzatok rtkels A projektek irnytsa A minsgirnyts
A szolg. szintek meghatrozsa A kls szolg. kezelse A teljestmny s kapacits kezelse A folyamatos mkds biztostsa A rsz. Biztonsgnak megvalstsa A kltsgek megllaptsa s felosztsa A felhasznlk oktatsa, kpzse A felhasznlk segtse, tancsads A konfigurcikezels A rendkvli esemnyek kezelse Az adatok kezelse A ltestmnyek kezelse Az zemeltets irnytsa
Beszerzs s telepts Szolgltats s tmogats

Az automatizlt megoldsok meghatrozsa Az alkalmazsi szoftverek beszerzse s karbantartsa A technolgiai infrastruktra beszerzse Az eljrsok kifejlesztse s karbantartsa A rendszerek teleptse s jvhagysa A vltozskezels
- 78 2006 mjus
IHM-MTA-E4-3.doc
179/296
MTA SZTAKI; E4 - 4671/4/2003
79.
ITIL kialakulsa
Brit kormnyzati ajnls
IT Infrastructure Library
itSMF Service Delivery BS 15000 (2000, 2002) Service Support
ISO 20000 (2005)
- 79 -
2006 mjus
A 80-as vektl kezdve az informatikai rendszerek egyre mlyebben pltek be a vllalatok, intzmnyek letbe, s egyre inkbb fgg helyzetbe kerltek a vllalatok az informatiktl. Az informatika zemeltetse sorn felmerlt problmra az angol CCTA (Central Computer and Telecommunicaton Agency) prblt vlaszt adni avval, hogy sszegyjttte s egysges formba nttte a helyes gyakorlatot. Ez a dokumentum az ITIL: IT Infrastructure Library. Ebben a sorozatban mintegy 40 ktet ltott napvilgot, s ez lett az alapja s nvadja a kialakult mdszertannak. Ennek alapjn megszletett a brit kormnyzati ajnls, amely a legfontosabb 10 tmt tartalmazza, s ez az informatikai szolgltatsirnytsi s zemeltetsi mdszertan de facto szabvnny vlt. Ezutn Eurpa tbb orszgban is terjedt, helyi frumok jttek ltre (a msodik ppen Hollandiban.) Vgl megalakult az IT Service Management Forum (itSMF), amely segtette a ITIL terjedst, msrszt vigyzott arra, hogy egysges maradjon az ajnls. Mo.-on az MTA KFKI-ban s a MATV Informatiknl jelent meg elszr, majd a MEH ajnlsok kztt jelent meg. (15. ajnls) A 2000-es vre r nagyon sok nagyvllalat hasznlta, pl. a Microsoft. Ebben az vben az ITIL brit szabvny lett BS 15000 szmmal. A brit szabvny kt ktetben jelent meg, az egyik a Szolgltatsnyjts, a msik a szolgltats tmogats. 2002-be a szabvny lnyegesen megjult, majd 2005-ben javasoltk, hogy gyorstott mdszerrel ISO szabvny is legyen ISO 20000.
IHM-MTA-E4-3.doc
180/296
MTA SZTAKI; E4 - 4671/4/2003
80.
ITIL
az informatika zlet s az zlet informatika
Informatikai szolgltatsmenedzsment ~ clkitzsei:

Az informatika szolgltatst hozz kell rendelni a jelen s a jv zleti ignyeihez s felhasznlihoz Javtani kell a nyjtott informciszolgltats minsgn Cskkenteni kell a szolgltatsok hossz tv kltsgt
Szolgltatsbiztosts Szolgltatsi szint menedzsment Rendelkezsrells menedzsment Informatika-szolgltats folytonossg menedzsment Kapacitsmenedzsment Informatikaszolgltats pnzgyi irnytsa Szolgltatstmogats gyflszolglat Incidensmenedzsment Problmamenedzsment Vltozskezels Konfigurcikezels Kiadskezels
- 80 -
2006 mjus
Az informatikai szolgltatsmendezsment egymssal egyttmkd folyamatok egyttese, amelynekfeladata, hogy az gyfllel megllapodott szolgltatsi szinteken biztostsa az informatika szolgltats minsgt. Az informatikai szolgltatsmenedzsment a tmakrket kt f csoportba szervezte:

szolgltatsbiztosts szolgltatstmogats
IHM-MTA-E4-3.doc
181/296
MTA SZTAKI; E4 - 4671/4/2003
81.
ITIL dokumentcija
Forrs: http://www.itsmf.hu
Szolgltatstmogats Szolgltatsnyjts Az zleti nzpont: az zletvezetst ismerteti meg az zleti folyamatokat tmogat informatikai s kommunikcis technolgia sszetevivel, tervezsvel s a bevlt gyakorlatokkal. Az infokommunikcis technolgia menedzsmentje: aAz ICT infrastruktra menedzsmentjnek minden aspektust trgyalja: az zleti kvetelmnyek meghatrozst, a tenderezst, az infrastruktra alkatrszeinek s az informciszolgltats egyes elemeinek tesztelst, teleptst, zembelltst, karbantartst. Alkalmazsmenedzsment: az ~trgykrt dolgozza fel a kezdeti zleti ignyektl egszen a megszntetsig. Biztonsgmenedzsment: klnll, de integrldik a meglv folyamatokba,
IHM-MTA-E4-3.doc
182/296
MTA SZTAKI; E4 - 4671/4/2003
82.
sszefoglals
Termkrtkels
CEM IS 18045
Irnytsi menedzsment
ISO 17799:1, :2
TCSEC IS15408
CC
Orange Book MIBTS
IBIK, IBIV
BS7799
ISO 27000
COBIT
itSMF MSZE 15100
ITIL
BS15000 ISO 20000
Szolgltats menedzsment
IHM-MTA-E4-3.doc
183/296
MTA SZTAKI; E4 - 4671/4/2003
83.

Informance Assurance powwow http://www-128.ibm.com/developerworks/security/library/s-confnotes/ MITS Informatikai Biztonsg Rszstratgia Krauth Pter: Az informcibiztonsgi szabvnyok fejldse az elmlt vben (Magyar Minsg, 2003. aug.) http://www.quality-mmt.hu/motor/php/index.php?o=44&c=4&f=7&portal=mmt&lang=1 TCSEC (Orange Book) http://www.boran.com/security/tcsec.html Rainbow series http://www.radium.ncsc.mil/tpep/library/rainbow/ Common Criteria http://niap.nist.gov/cc-scheme/index.html MIBTS http://www.itktb.hu/engine.aspx?page=dokumentumtar&docstorefolder=11 BS7799 http://www.bs7799.hu IBIK s IBIV http://www.itktb.hu/engine.aspx?page=iba_oldal ITIL http://www.itsmf.hu/portal/C34905428C0F4A4D99D44F736C817E36_71E4865BF07C4AEFA24AE6D5C96D0C55.php
- 83 -
2006 mjus
1. National Information Assur ance Glossary Ksztette: National Security Telecommunications and Information System Security Committee (NSTISSC, No. 4009) http://www.cultural.com/web/security/infosec.glossary.html (1992. jn.) 2. Internet Security Glossary (RFC 2828) http://www.ietf.org/rfc/rfc2828.txt 3. Informance Assurance powwow (indin ceremnia) http://www-128.ibm.com/developerworks/security/library/s-confnotes/ MITS http://www.bs7799.hu. 4. Krauth Pter: Az informcibiztonsgi szabvnyok fejldse az elmlt vben (Magyar Minsg, 2003. aug.) http://www.qualitymmt.hu/motor/php/index.php?o=44&c=4&f=7&portal=mmt&lang=1 http://www.itktb.hu/engine.aspx?page=dokumentumtar&DocStoreFolder=13 5. TCSEC (Orange Book) http://www.boran.com/security/tcsec.html 6. Rainbow series http://www.radium.ncsc.mil/tpep/library/rainbow/ 7. CC http://www.commoncriteriaportal.org 8. MIBTS: http://www.itktb.hu/engine.aspx?page=dokumentumtar&docstorefolder=11 9. IBIK s IBIV: http://www.itktb.hu/engine.aspx?page=iba_oldal 10. ITIL:
IHM-MTA-E4-3.doc
184/296
MTA SZTAKI; E4 - 4671/4/2003
http://www.itsmf.hu/portal/C34905428C0F4A4D99D44F736C817E36_71E4865BF0 7C4AEFA24AE6D5C96D0C55.php1. NATO a biztonsg sszetevi http://www.mki.gov.hu/file/Biztonsagpolitikai_agazat.ppt 11. Az informatikai szabvnyokrl ltalban http://www.martin-charles.hu/forrasanyagok/szabvanyokrol.html 12. Common Criteria 3.0-as draft verzi kszen http://niap.nist.gov/cc-scheme/index.html 13. CCRA orszgok http://www.commoncriteriaportal.org/public/developer/index.php?menu=8
IHM-MTA-E4-3.doc
185/296
MTA SZTAKI; E4 - 4671/4/2003
84.
Rvidtsek
BSI CC CCRA CC CEM CC CEN CENELEC CLEF ETSI EESSI FIPS IBIK IBIV IEC IETF British Standards Institution Common Criteria Recognition Arrangement Evaluation Methodology European Committee for Standardization (Comit Europen de Normalisation) European Committee for Electrotechnical Standardization Commercial Evaluation Facility European Telecommunications Standards Institute European Electronic Signature Standardization Initiative Federal Informations Processing Standards Informatikai Biztonsg Irnytsi Keretrendszer Informatikai Biztonsg Irnytsnak vizsglata International Electrotechnical Commission (Nemzetkzi Elektrontechnikai Bizottsg) Internet Engineering Task Force - 84 2006 mjus ISACA Information Systems Audit and Control Association ITIL ISO ITU JTC IT Infrastructure Library International Organization for Standardization (Nemzetkzi Szabvnygyi Szervezet) International Telecommunication Union Nemzetkzi Tvkzlsi Egyeslet Joint Technical Committee ISMS Information Security Management Systems CCIMB CC Interpretation Management Board
MIBTS Magyar Informatikai Biztonsg rtkelsi Stratgia MSZT Magyar Szabvnygyi Testlet NIST National Institute of Standards and Technology Amerikai Szabvnygyi Testlet
BSI CC CCIMB CCRA CEM CEN CENELEC CLEF ETSI EESSI FIPS IBIK IBIV IEC IETF ISMS ISO ITU
British Standards Institution Common Criteria CC Interpretation Management Board CC Recognition Arrangement CC Evaluation Methodology European Committee for Standardization (rvidits: Comit Europen de Normalisation) European Committee for Electrotechnical Standardization Commercial Evaluation Facility European Telecommunications Standards Institute (Eurpai Tvkzlsi Szabvnyostsi Intzet) European Electronic Signature Standardization Initiative Federal Informations Processing Standards Informatikai Biztonsg Irnytsi Keretrendszer Informatikai Biztonsg Irnytsnak vizsglata International Electrotechnical Commission (Nemzetkzi Elektrontechnikai Bizottsg) Internet Engineering Task Force (RFC-k) Information Security Management Systems International Organization for Standardization (Nemzetkzi Szabvnygyi Szervezet) International Telecommunication Union Nemzetkzi Tvkzlsi Egyeslet (1947 ta az ENSZ tvkzlsre szakosodott szervezete. Feladata az egsz hrkzlsi szektor munkjnak sszehangolsa, koordinlsa kezdve afejlesztlsektl, szabvnyoktl, egszen az egyes frekvencik, mholdplyk kiosztsig.)
IHM-MTA-E4-3.doc
186/296
MTA SZTAKI; E4 - 4671/4/2003
JTC MIBTS MSZT NIST
Joint Technical Committee Magyar Informatikai Biztonsg rtkelsi Stratgia Magyar Szabvnygyi Testlet National Institute of Standards and Technology Amerikai Szabvnygyi Testlet
IHM-MTA-E4-3.doc
187/296
MTA SZTAKI; E4 - 4671/4/2003
85.
Megelz intzkedsek 1.
(technolgia)
2006-05-13
IHM-MTA-E4-3.doc
188/296
MTA SZTAKI; E4 - 4671/4/2003
86.
Tartalom
Bevezets Az internetes veszlyeztetettsgrl Magyar s nemzetkzi CSIRT-ek Hlzatbiztonsgi szabvnyok Megelz intzkedsek
1. rsz: Technolgia 2. rsz: Audit s management
- 86 -
2006 mjus
IHM-MTA-E4-3.doc
189/296
MTA SZTAKI; E4 - 4671/4/2003
87.
Mirl lesz sz?

Biztonsgi problmk elfordulsai Forgalomszrs, tzfalak Biztonsgi kockzatok, tmadsok Klnbz hlzati rtegek Titkosts s hitelests Titkostsi mdszerek s alkalmazsaik Jogosultsgellenrzs, hozzfrsvdelem AC-rendszerek ttekint sszehasonltsa Elmleti Gyakorlati
A biztonsgi problmk elfordulsi helyei, a klnbz hlzati rtegek. Fontos, hogy minden hibt a maga helyn kell kijavtani. Vzlatos sszefoglal a klnfle vdekezsi mechanizmusokrl:

megelzs korltozs krments
Titkostsok: szimmetrikus s nyilvnos kulcs AC-rendszerek sszehasonltsa: az elmleti elvek s az ismertebb implementcik
IHM-MTA-E4-3.doc
190/296
MTA SZTAKI; E4 - 4671/4/2003
88.
Az ISO OSI referenciamodell

Hlzat logikai felptse 7. 6. 5. 4. 3. 2. 1. Szolgltatsok Kdcsere Felhasznli kapcsolat End-to-end csatorna tvonalvlaszts Hibamentessg Csatornakdols
Alkalmazsi Megjelentsi Viszony Szlltsi Hlzati Adatkapcsolati Fizikai
Alulrl flfel haladva a klnbz rtegek: 1. Bitek tovbbtsa fizikai kzegen (pl. Manchester-kdols) 2. Az tkldtt bitek hibtlan megrkezsnek biztostsa (Ethernet-keretezs) 3. Routing, tvonal flptse pontrl pontra 4. Kt vgpont kezelse 5. Session kezelse, szinkronizcik 6. Kdlapok konverzija 7. Alkalmazsi protokollok Beszmozva a rtegek alapfeladatai. Ezek kifejtse.
IHM-MTA-E4-3.doc
191/296
MTA SZTAKI; E4 - 4671/4/2003
89.
Forgalomszrs, tzfalak
Hlzati szinten
Csomagszrk
Protokoll, forrs, cl, port, stb. szerint
Alkalmazsi szinten
Proxyk, gyermekvdk, forgalmat elemzk
Host-szinten
Szemlyi tzfalak, programok alapjn szrk
Stateful Inspection
Egyes adati jellemzk alapjn (mint vruslk)
Az alapvet tzfaltpusok: Csomagszr: pl. iptables, portokra s hostokra konfigurlhat Application: pl. squid, tartalomelemzst vgez Szemlyi: programok hozzfrst engedi vagy nem engedi llapotgpes: jellemz mintk, lenyomatok alapjn keres (+connection tracking) Bvebb kifejtse annak, hogy melyik hogyan mkdik.
IHM-MTA-E4-3.doc
192/296
MTA SZTAKI; E4 - 4671/4/2003
90.
Fizikai rteg kockzatai

Lehallgats (thalls) Kbelek megcsapolsa Szabotzsakcik (tkts)
- 90 -
2006 mjus
Rtrnk a klnbz hlzati rtegekre. Bevezet arrl, hogy mirt kell a tmadsokat a sajt rtegkben kezelni. Rvid plda a monitor lehallgathatsgrl s a vmprcsatlakozkrl. A szabotzsakcik, mint szlssges plda emltse.
IHM-MTA-E4-3.doc
193/296
MTA SZTAKI; E4 - 4671/4/2003
91.
Layer 2 problmi (1)

CAM Table overflow
Switchek CAM-tbli vges mretek Elraszts utn elfelejti az sszerendelseket Minden porton megjelenik a forgalom Lehallgathatv vlik Csak adott VLAN-on bell mkdik
Megelzs:
Port security, korltozs MAC-re
- 91 -
2006 mjus
Layer 2 rvid ismertetse (keretezs) CAM-tbla lnyegnek ismertetse: Ismert hostok helyt port szerint megjegyzi s a CAM-tblban trolja Hogyan is alakul ki a problma: vges tblkat fellrjk flooddal, gy elfelejti a hozzrendelseket Bevezet a megelzs mdszereibe, rvid ismertet az emltett technolgikrl. Port security: csak az adott MAC cm(ek)et engedi forgalmazni, gy a hamistott forrscmmel kldtt csomagok nem jutnak tl a switchen.
IHM-MTA-E4-3.doc
194/296
MTA SZTAKI; E4 - 4671/4/2003
92.
Layer 2 problmi (2)

MAC Spoofing
Hamis MAC propaglsa Switch CAM-tbljban fellrdik a helyes cm Valdi cmzett nem kap forgalmat, mg nem kld Felhasznlsa: lehallgats, DoS
Megelzs:
Port security Hamis MAC nem jut ki a hlzatra
- 92 -
2006 mjus
Rvid bevezet az idtheft-es tmadsokrl: lehet IP-t vagy brmi mst spoof-olni. ltalnos ismertet a spoofing-rl: a forrst hamistva msokat lehet megszemlyesteni, ez sok tmads alapjul szolgl. Switch forgalomirnytsi mdszernek rvid ismertetse: megjegyzi a switch, hogy melyik portjn ltta azt a MAC-cmet, aminek a tovbbtand csomag szl. gy a csomagot ezen a portjn adja ki. Ezt hogyan hasznlja ki a MAC Spoofing? gy, hogy a hamis MAC-cmmel mst megszemlyestve valaki egy msik portjra kld csomagot a switchnek, mint ahol az eredeti tulajdonos tartzkodik. Innentl kezdve a switch azt fogja gondolni, hogy a hamistott csomagot felad tmad a MAC-cm valdi tulajdonosa, gy a tovbbiakban erre a portra fogja tovbbtani a neki szl csomagokat, tvesen. Egszen addig gy marad ez, amg az eredeti tulajdonos egy jabb csomagot nem kld s ezzel vissza nem ratja a switchben a helyes portszmot.
IHM-MTA-E4-3.doc
195/296
MTA SZTAKI; E4 - 4671/4/2003
93.
Layer 2 problmi (3)

ARP Poisoning
Tmad hamis ARP Reply-t kld a hlzatra ARP-tbla bejegyzst fellrja Pl. switch ell elhalssza a forgalmat: DoS Msik hostot tud megszemlyesteni Man-in-the-Middle
Megelzs:
Port security Bejegyzsek az ARP-tblban vges ideig Csak krdsre jv ARP Reply-t fogadunk el
Switchekrl most ttrnk a hostokra. Mire is j az ARP? Arra, hogy az interface szerept jtssza a layer2 s 3 kztt, sszerendelst biztostson MAC-cm s IP-cm kztt. DoS-tmads rvid ismertetse: elrasztssal vagy egyb mdszerrel a clpont szolgltatsi kapacitst kimerteni, ezzel a szolgltatst megbntani. Utals a Man-in-the-Middle tmads ksbbi rszletezsre. ARP-tbla kezelsnek magyarzsa: hostok a kzelmltban felbukkan, ismert IP/MACsszerendelseket megjegyzik, hogy ne kelljen ARP krseket kldzgetnik a hlzaton flslegesen. Ezt a tblt lehet szndkosan, tmadsi cllal fellrni.
IHM-MTA-E4-3.doc
196/296
MTA SZTAKI; E4 - 4671/4/2003
94.
Layer 2 problmi (4)

Spanning Tree Manipulation
Redundnsan linkelt alhlzatok prioritsi gyei Hierarchia-fa erszakos talaktsa (BPDU flood) Tmad bepti magt a hierarchiba Forgalom illetktelenl lehallgathat
Megelzs:
Root Guard attribtum a gykrswitch jellsre BPDU Guard az talaktsok korltozsra
- 94 -
2006 mjus
Spanning Tree algoritmus rvid ismertetse Switchek hierarchia-fjt elmagyarzni: a redundnsan kapcsolt switchek egy prioritsi fba rendezdnek, hogy eldnthessk a forgalom tvonalt. Mirt van ezekre szksg? Local echo s zenetpattogs megelzsre, mert ha ez nem lenne, akkor minden switch minden vonaln adn-venn a forgalmat s megsokszorozdna a vonalon. Tmad szerepe az, hogy ervel talaktani prblja a ft s ezzel sajt maga fel irnytani olyan forgalmakat, amikhez eredetileg semmi kze sem lett volna. Guard attribtumok ismertetse: Root Guard segtsgvel megmondhatjuk, hogy melyik switch legyen a gykr a fban. BPDU Guard pedig a portokra alkalmazhat, ezzel lehet tiltani a BPDU-k elfogadst. Ha csak az uplink portokra engedjk, akkor a tmad gpek nem tudjk a ft talaktani.
IHM-MTA-E4-3.doc
197/296
MTA SZTAKI; E4 - 4671/4/2003
95.
Layer 2 problmi (5)

DHCP Starvation
Hamis MAC-cmekkel val elraszts Cmtartomny kimertse egy idre Kamu DHCP-szerver indtsa DoS-ra ad lehetsget
Megelzs:
Azonos a MAC Spoofing-nl hasznlttal
- 95 -
2006 mjus
DHCP rvid ismertetse: Dynamic Host Control Protocol, dinamikus cmkioszts MACekkel trtn azonosts alapjn. IP-cmet s a hozz tartoz egyb adminisztratv adatokat osztja ki a DHCP-szerver a krst kldknek. jabb idtheft-es tmads: MAC-ek hamistsval az sszes kioszthat cmet kiosztathatjuk a DHCP-szerverrel, ezzel egy idre lellthatjuk a szolgltatst. Ezalatt pldul kamu szervert indthatunk s a tovbbi krseket ezzel kiszolglva tverhetjk a hlzat gpeit. DHCP->DoS magyarzsa
IHM-MTA-E4-3.doc
198/296
MTA SZTAKI; E4 - 4671/4/2003
96.
Layer 3 problmi (1)

IP Spoofing
Csomagok hamis forrsIP-vel Nem-vak spoof: host-alap ellenrzst kikerlheti Ismernie kell a megbzhat (trusted) IP-cmet Vak spoof: DoS, sok forrscmrl elraszts
Megelzs:
Tbbfzis hostellenrzs Nem IP-alap hostazonosts DoS: egress, ingress filtering
- 96 -
2006 mjus
ttrnk a hlzati rtegre. IP-cmek ismertetgetse, gyis mindenki tudja Ktfle spoof van, vak s nem vak: a vak spoofnl ad hoc hamistunk egy cmet, tipikusan DoS-hoz, a nem vak spoofnl pedig egy ltalunk ismert gp nevben jrunk el az IPcmvel, hogy olyan szolgltatshoz jussunk hozz, amihez egybknt nem lennnk jogosultak s a hozzfrs ellenrzsre az IP-cmet hasznlja a szolgltatst nyjt. Megelzs mdszerei, utals elre (handshaking, authentication): visszaigazolsos handshake bevezetsvel pldul ellenrizni lehet, hogy valdi host van-e a forrsIP mgtt. Ms, nem IP-alap azonostssal pedig a problmt teljes egszben meg lehet elzni. Routerek egress/ingress filterezsi technikit ismertetni: egress filterezs a kimen forgalmat elemzi s ha nem olyan forrscm szerepel benne, ami a bels hlzatban valban ltezik, akkor eldobja -> ms hlzatok vdelme; ingress filtering pedig bejvskor elemzi a forgalmat s ha olyan forrscm szerepel benne, ami a bejv hlzatban ltezik, akkor eldobja -> bels hlzat vdelme.
IHM-MTA-E4-3.doc
199/296
MTA SZTAKI; E4 - 4671/4/2003
97.
Layer 3 problmi (2)

Routing (RIP) attack
RIP-nl nincs azonosts Hamis RIP-csomaggal forgalmat lehet tirnytani Lehallgathat s meghamisthat Hostot lehet megszemlyesteni
Megelzs:
RIP v2: jelszavas azonosts IPsec VPN
- 97 -
2006 mjus
RIP ismertetse, mire val? A legrvidebb vagy legkisebb kltsg utak megtallsra a hlzati topolgiban. Kiemelni, hogy nincs autentikci RIP v1-ben: boldog-boldogtalan kldhet RIPcsomagokat, hogy ezzel tverje a routereket. jra idtheft, mint mr korbban szerepelt. Elreutalni VPN-re, meg a kvetkez eladsra: vagy RIP v2-t kell hasznlni, vagy VPN s titkosts segtsgvel az azonostst biztostani.
IHM-MTA-E4-3.doc
200/296
MTA SZTAKI; E4 - 4671/4/2003
98.
Layer 3 problmi (3)

ICMP attack
DoS: hamis Time exceeded vagy Destination unreachable zenetekkel Kapcsolat megszakthat Lehallgats: Redirect zenettel
Megelzs:
Hlzati struktra (tzfalakkal ICMP blokkolsa) Csak nhny tpus ICMP-zenet engedlyezse
- 98 -
2006 mjus
Ritkn hasznlt ICMP zenetekre figyelmet felhvni/ Time exceeded vagy Destination unreachable zenetet kldve az egyik vagy mindkt kommunikl flnek a kapcsolatot azonnal bontani lehet, mert a hostok gy rzkelik, hogy a msik fl nem elrhet. Ez DoS-tmadsra ad lehetsget. Redirect rtelmt megmagyarzni: a gateway szokta kldeni azoknak a hostoknak a Redirect zenetet, amelyek tvesen azt gondoljk, hogy az ltaluk keresett cmzett az alhlzaton kvl tallhat, ezrt a gateway-nek cmeznek. Hamis Redirect zenetekkel forgalmat lehet tirnytani s aztn illetktelenl lehallgatni. Struktra: tzfalakkal blokkolni a flsleges ICMP zeneteket, s csak a szksgeseket tengedni.
IHM-MTA-E4-3.doc
201/296
MTA SZTAKI; E4 - 4671/4/2003
99.
Layer 3 problmi (4)

ICMP Flood
DoS: Ping flood Script kiddie-k kenyrre is kenhetik (szegny ember tmadsa)
Megelzs:
Hlzati struktra, tzfalak ICMP Echo Request blokkolsa vagy korltozsa Egress, ingress filtering
- 99 -
2006 mjus
Egyszer tmads, a jl ismert ICMP Echo Request csomagokkal elrasztani a tipikusan kis svszlessg vonalon lg clpontot. Nagy svszlessg ellen nemigen van hatsa. A keskeny vonal teljes elfoglalsval DoS-olhat a clpont. Gyakori prblkozs, mert szaktudst s specilis segdprogramokat nemigen ignyel. ICMP Echo Request zeneteket lehet pldul tzfallal szrni, valamint a korbban mr emltett egress ill. ingress filteringet hasznlni.
IHM-MTA-E4-3.doc
202/296
MTA SZTAKI; E4 - 4671/4/2003
100.
Layer 3 problmi (5)

Sniffing
Egyszer lehallgats Kdolatlan szvegek kinyerhetk Forgalomstatisztika kszthet
Megelzs:
Hlzati struktra (csillagpontos) VLAN-ok, Port security Titkosts
- 100 -
2006 mjus
Lehallgats, passzv tmads rszletesebb kifejtse: a hlzaton kzleked adatokhoz hozzfrve lehet a kdolatlan szvegek tartalmt kinyerni, illetleg forgalomstatisztikt kszteni a megfigyelt forgalom jellemzi alapjn. A szvegek kinyerse ltal okozott biztonsgi kockzat trivilis. A forgalomelemzssel arra kvetkeztethetnk, hogy a megfigyelt host vagy alhlzat milyen jelleg tevkenysgeket vgez s mekkora mennyisgben, ezzel sok informci szerezhet az ismeretlen clpontrl. Elreutalni VLAN-okra (kvetkez elads): forgalom lehallgathatsgnak korltozsra. Titkosts: egyrtelm s legkzenfekvbb mdszer, mind a szvegek kinyerst, mint a minsgi s mennyisgi jellemzk alapjn trtn statisztikaksztst meg lehet vele elzni.
IHM-MTA-E4-3.doc
203/296
MTA SZTAKI; E4 - 4671/4/2003
101.
Layer 4 problmi (1)

TCP SYN Flood
3utas handshake Sok SYN packet, nincs vlasz a SYN&ACK-ra Az ldozat nem tud TCP-kapcsolatokat nyitni DoS
Megelzs:
Tzfalakkal korltozni a trusted hostokat Opercis rendszer szintjn (Linux: TCP Syncookie support)
- 101 -
2006 mjus
TCP handshake sorn 3 lpsben veszik fel egymssal a kapcsolatot a kommunikl felek. Az els lps egy SYN csomag kldsrl szl a gyantlan cmzettnek, aki ekkor nyit egy csatornt s lefoglal hozz egy erforrst (TCP connection pool), majd visszakld egy SYN&ACK-ot a feladnak. Ha a felad nem vlaszol a SYN&ACK-ra, akkor valamennyi id (tipikusan 75 msodperc) utn az erforrs felszabadul. Ha azonban a vlasz helyett jabb SYN csomag rkezik, akkor ja csatorna nylik s j erforrs foglaldik. Ennek ismtlsvel, valamint a SYN&ACK-ra trtn vlasz megtagadsval a vges TCP connection pool kimerthet, ezutn a clpont nem tud tbb TCP-kapcsolatot ltesteni addig, amit timeouttal fl nem szabadulnak a lefoglalt erforrsok.
IHM-MTA-E4-3.doc
204/296
MTA SZTAKI; E4 - 4671/4/2003
102.
Layer 4 problmi (2)

TCP Connection Hijacking
A tipikus Man-in-the-Middle attack Rossz szinkron kihasznlsa kamu csomagokkal
Megelzs:
IP Spoofing megelzsvel
Visszautalni a Man-in-the-Middle emltsre (IP Spoofing): hamistott identitssal mindkt fl szmra eljtssza a tmad, hogy a valdi msik fllel beszlnek az ldozatok, mikzben mindkett szmra a msikat megszemlyesti. Teljes ellenrzse alatt ll az adatforgalom: tengedheti, mdosthatja, meghamisthatja, statisztikt kszthet. TCP elcsszott szinkronja sorn plhet be a tmad, illetleg handshaking kzben. Ha nem tud IP-cmet hamistani, akkor viszont eslye sincs: ezrt IP Spoofing megelzsvel ez a tmads is megelzhet.
IHM-MTA-E4-3.doc
205/296
MTA SZTAKI; E4 - 4671/4/2003
103.
Layer 4 problmi (3)

UDP Flood
Vletlenszer portokra csomagok ICMP destination unreachable pattan vissza DoS
Megelzs:
Tzfallal a nem hasznlt portokat vdeni ICMP echo zeneteket tiltani
- 103 -
2006 mjus
Ha UDP-csomag rkezik egy portra, akkor a gp megnzi, hogy van-e ott szolgltat. Ha nincs akkor visszakld egy destination unreachable ICMP-csomagot. Nagy mennyisg UDP-csomag kldse esetn ezzel egyrszt a gp maga leterhelhet, msrszt a megduplzott hlzati forgalom miatt a vonala is eltmhet.
IHM-MTA-E4-3.doc
206/296
MTA SZTAKI; E4 - 4671/4/2003
104.
Layer 4 problmi (4)

Land Attack
TCP SYN csomag azonos feladval s cmzettel Sajt magval handshake-elne a host Windows XP (SP2), Win2003, minden BSD TCP/IP sszeomolhat a rendszer
Megelzs:
Hasznlhat TCP/IP-stack implementcijval Egress, ingress filtering Kamu csomagok szrse (pl. forrs: 127.0.0.1)
- 104 -
2006 mjus
Puttzni a rossz TCP/IP-stackeket: rhej, de nincs bennk ellenrzs arra, hogy ne foglalkozzanak az azonos cl- s forrscmet tartalmaz csomagokkal, vagy azokkal, ahol a felad 127.0.0.1-knt van jelezve. Ha egy ilyen csomagot kapnak, elkezdenek magukkal handshake-elni s sszeomolhat az opercis rendszer. Nagyon knnyen megelzhet, tipikusan ingress filtering alkalmazsval.
IHM-MTA-E4-3.doc
207/296
MTA SZTAKI; E4 - 4671/4/2003
105.
Layer 4 problmi (5)

Portscan
Feldert tmads, krlnzs Floodra is hasznlhat (DoS) Potencilis sebezhetsgek utn kutat
Megelzs:
Hlzati struktra (tzfalak) Host-tzfal, ami elnyeli a csomagokat
- 105 -
2006 mjus
A portscan sorn a tmad megvizsglja az ismeretlen clpontot, hogy szolgltatsok utn kutasson rajta. Ha feltrkpezte, hogy mik futnak a clponton, akkor utna clzott tmadsokat indthat ezek ellen. Tzfalakkal nagyon knnyen kivdhet.
IHM-MTA-E4-3.doc
208/296
MTA SZTAKI; E4 - 4671/4/2003
106.
Layer 7 problmi (1)

Vgfelhasznli programok biztonsgi zrjei
Hlzaton kzleked plaintext adatok Rgi protokollok: telnet, RSH, FTP Ahny alkalmazs, annyi problma: minden, ami autentikcit hasznl, veszlyes lehet Hlzaton thalad rzkeny adatokra vigyzni
Problmk thidalsa:
Hlzati forgalom titkostsa Kzpontostott, karbantartott autentikci (LDAP, PAM)
- 106 -
2006 mjus
Flrtnk a felhasznlk szintjre. A sok nyltszveges hlzati kommunikci mind veszlyeket rejt magban, ld. Sniffing. Az elavult telnet ilyen volt, ma mr az SSH-t hasznljk minden normlis helyen (l. ksbb). De lehetne emlteni sok pldt, ami autentikcit hasznl, pl. Apache, samba, stb. Kt vdekezsi md, ezeket mindjrt kifejtjk: 1. titkosts 2. ellenrztt autentikci
IHM-MTA-E4-3.doc
209/296
MTA SZTAKI; E4 - 4671/4/2003
107.
Layer 7 problmi (2)

Hlzati forgalom titkostsa:
Telnet, RSH/RCP helyett SSH/SCP FTP: tl elterjedt, nehz rla leszokni szortsuk vissza s ne jelszavas, hanem host-alap azonostst hasznljunk inkbb Ha mgis jelszavas kell, akkor szeparlt LAN-ban, VLAN-ban, minl kisebb nzkznsg eltt Van SFTP is HTTP: jelszavak, knyes adatok csak HTTPS-en Plda: banki vagy egyb szemlyes gyintzs
- 107 -
2006 mjus
A sokat emlegetett titkosts. Protokollok pldaknt citlsa: HTTPS, meg gy ltalban minden, ami SSL fltt van (l. ksbb), SSH, VPN/IPSec, stb. Plda a banki gyintzsre, szemlyes adatokra val hivatkozst mindenki rti.
IHM-MTA-E4-3.doc
210/296
MTA SZTAKI; E4 - 4671/4/2003
108.
Layer 7 problmi (3)

Autentikci:
Az ttekinthetsg rdekben kzpontostsunk Hasznljunk bevett, bevlt megoldsokat: LDAP, PAM, Kerberos LDAP: felhasznli informcik PAM: alacsonyszint autentikcis smk integrcija magas szinten Kerberos: szimmetrikus kulcs titkostst hasznl autentikcis protokoll
- 108 -
2006 mjus
Msodik megelzsi forma. Emlegetni a bevlt megoldsokat: LDAP, PAM, Kerberos. Kicsit rszletezve LDAP-ot: knyvtrstruktra felhasznli adatok szmra. Pam: modulris szerkezet, wrapperknt hasznlhat autentikcis smagyjtemny, amit szmos program ignybe vesz. Kerberos emlegetse s elreutals a kvetkez eladsra.
IHM-MTA-E4-3.doc
211/296
MTA SZTAKI; E4 - 4671/4/2003
109.
Titkosts
Clok: nyilvnvalak Felhasznls terletei folyamatosan nnek Sokfle mdszer, elrhet szmtsi teljestmny nvekedsvel sokan gyengv vltak klszably: sohase gondoljuk azt, hogy a tmad nem ismeri a titkosts mdszert
A kulcsra bzzuk magunkat, ne a mdszerre
Kt titkostsi alaptpus:
Szimmetrikus kulcs Aszimmetrikus (ltalban nyilvnos) kulcs
Titkosts bvebb ismertetse jn. ltalnos bevezet elszr, az alapvetsek: katonai clbl hasznltk elszr, ma mr meg sem lehet lenni nlkle. A mdszerek mind arra alapoznak, hogy remnytelenl nagy teljestmnyre lenne szksg a titkosts feltrshez, nem arra, hogy a tmad nem tudja, hogy milyen mdszert hasznlunk. Vals let pldit hozni illusztrcinak. Kiemelni, hogy alapveten ktfle mdszer van, ezeket mindjrt krljrjuk.
IHM-MTA-E4-3.doc
212/296
MTA SZTAKI; E4 - 4671/4/2003
110.
Titkosts biztonsga
Tkletes titkosts csak elmletben ltezik
Kdolshoz hasznlt kulcs (legalbb) annyi bites, mint maga a hasznos adat: One Time Pad I(D, F(D)) = 0
Gyakorlatban megvalstott titkosts

Elmletileg trhet, gyakorlatilag remnytelen Kzenfekv algoritmusok: csapajt-mdszerek Plda: nagy szmok prmtnyezkre bontsa, Hamilton-kr grfban, elliptikus grbk
Teljes biztonsgban nem vagyunk soha...

A tbbieknl viszont lehetnk nagyobb biztonsgban
Titkosts ltalnos jellemzi: Shannon-t felemltve, One Time Pad-ot magyarzva: tkletes titkosts, legalbb azonos kulcshossz, mint adatmret. Ez esetben semmi kvetkeztetst nem lehet levonni a titkostott szvegbl az eredetire, azaz a klcsns informci nulla. Gyakorlati mdszerek elmlete: egyirnyba knnyen, visszafel igen nehezen szmthat mdszerek.
IHM-MTA-E4-3.doc
213/296
MTA SZTAKI; E4 - 4671/4/2003
111.
Szimmetrikus kulcs titk.

Ugyanazt a K kulcsot hasznljuk titkostsra s visszafejtsre
C=F(D, K) knnyen szmthat, F'(C) remnytelen Folyamkdolk, blokk-kdolk
Plda: DES
Rgi s sikeres, de mr elavult -> teljestmny Szempont volt a knny hardveres megvalsthatsg
Leggyakrabban hasznlt algoritmusok:

Blowfish, Twofish, Serpent, 3DES, IDEA, AES
Els tpus mdszer elmagyarzsa: azonos kulcs oda-vissza. A kulcsot ismernie kell a cmzettnek s a feladnak is. Sok problmt okoz, hogy mindkett tudhasson a kulcsrl, de gy, hogy illetktelenektl az rejtve maradjon. Lsd ksbb: kulcskioszts. Stream cipher, block cipher, blokkok lncolsa: kombinlva a mdszereket, jelentsen javtani lehet a hatkonysgon. Als sor pldinl kicsit elidzni, pl. DES levltsra hirdetett plyzat.
IHM-MTA-E4-3.doc
214/296
MTA SZTAKI; E4 - 4671/4/2003
112.
Nyilvnos kulcs titk. (1)

P, Q kulcsprt hasznljuk: egyiket titkostsra, msikat visszafejtsre
Szerepk algoritmikusan felcserlhet Egyikbl a msik nem szmthat sszetartoz prt alkotnak F(G(D, P), Q) = D; F(G(D, Q), P) = D
Nem kell hozz kzs kulcsot ismerni

Egyik kulcs titkos, msik nyilvnos Alapja: amit az egyikkel titkostottak, azt csak a msikkal lehet visszafejteni (bizalmassg)
- 112 -
2006 mjus
A kt kulcspr viszonya rszletesebben. Mirt fontos, hogy nem szmthat egyikbl a msik? Ht azrt, mert a mdszer lnyege, hogy az egyik kulcsot nyilvnossgra hozzuk. Ha ebbl a msikat ki lehetne szmtani, akkor teljesen rtelmt veszten az, hogy egyltaln titkostst hasznlunk. Hogyan kell kezelni? gy, hogy az egyik kulcsot propagljuk, a msikat pedig szigoran titokban tartjuk. Formalizmus kicsit kifejtve azt mondja, hogy amit az egyik kulccsal elkdoltak, azt a msikkal vissza lehet fejteni, s viszont. Hrom funkcira utalni: bizalmassg, hitelessg letagadhatatlansg.
IHM-MTA-E4-3.doc
215/296
MTA SZTAKI; E4 - 4671/4/2003
113.

Felhasznlsi mdjai:
Titkosts Digitlis alrs Kulcscsere
Titkosts
A szoksos rejtjelezs, majd visszafejts
Digitlis alrs
Hitelessg Srtetlensg Letagadhatatlansg
Krljrni a hrom felhasznlsi mdot, melyik mire j. 1. Titkosts az egyik kulccsal visszafejts a msikkal 2. Digitlisan alrni dokumentumokat az egyik kulcs segtsgvel, gy a msikkal ellenrizhetv vlik az adat. 3. Kulcscserre lehet hasznlni, mert a felek azonostani tudjk egymst. Nyilvnos kulcs mdszerrel lehet titkostani a szimmetrikus kulcs algoritmusok kulcsait, ezzel biztonsgoss tve a kulcskiosztst. Kulcscsert fleg, mirt van erre szksg, hol hasznljk? (Kerberos)
IHM-MTA-E4-3.doc
216/296
MTA SZTAKI; E4 - 4671/4/2003
114.

Kulcscsere
Kulcs illetktelen szmra ismeretlen marad Tmad nem tud kulcsot knyszerteni a felekre
Hasznlt algoritmusok
RSA, DSS (DSA), Diffie-Hellmann
Problmk:
Titkos kulcs nyilvnossgra kerlse alssa az egsz rendszert Visszavons propaglsa megoldatlan (key revoke)
- 114 -
2006 mjus
RSA emlegetse kapcsn visszautalni a bevett matematikai mdszerekre (prmszorzat). Rszletezni, hogy mirt megoldatlan a key revoke, elreutalni a PKI-ra (kvetkez elads): rviden azrt, mert a kulcs kompromittldsakor nincs mdszer arra, hogy rvid id alatt rvnytelenteni lehessen a kulcsprt, azaz a kzkzen forg nyilvnos kulcsot ki lehessen vonni a forgalombl.
IHM-MTA-E4-3.doc
217/296
MTA SZTAKI; E4 - 4671/4/2003
115.
Levelezs
S/MIME
RSA-t hasznl Szabvnyba illeszkedik (X.500) Kzpontostott
PGP (GnuPG/OpenPGP)
Phil Zimmermann maceratrja Alrt kulcsok, bizalmi hl Nyilvnos kulcsszerverek
- 115 -
2006 mjus
Jjjenek a pldk. X.500 (megint csak elreutalni PKI-ra) hasznossgnak emlegetse: illeszkedik a nyilvnos kulcs titkosts infrastruktrjba. PGP s Zimmermann esete a szvetsgi kormnnyal (per): a kormny azzal vdolta Zimmermannt, hogy megsrti a szabadalmi trvnyt az algoritmus publiklsval, de valjban arrl volt sz, hogy nem tudtk visszafejteni (tl j titkosts volt) s ezrt nem frtek hozz az adatokhoz.
IHM-MTA-E4-3.doc
218/296
MTA SZTAKI; E4 - 4671/4/2003
116.
OpenSSL (SSL s TLS)

Secure Socket Layer/Transport Layer Security Layer 5 s Layer 6 funkciit vgzi
ltalnos cl csatornatitkost
SSL Handshake
Session key agreement
Tipikus felhasznlsai
HTTP POP IMAP SMTP (ESMTP)
Ismertetni, hogy mirt is tudja mindenki betve, hogy mi az az SSL: wrapper a biztonsgos kommunikcihoz s kliensazonostshoz. Handshake kapcsn konkrt plda a kulcscserre, megemlteni, hogy a szimmetrikus kulcs algoritmusoknak sokkal kisebb az erforrsignyk. A tipikus felhasznlsokra pldt hozni (mindre): banki tranzakcicik, levelezsek.
IHM-MTA-E4-3.doc
219/296
MTA SZTAKI; E4 - 4671/4/2003
117.
SSH (OpenSSH)
Kliens/szerver-architektra Sajt protokoll Minden rdemi kommunikci titkostott Host azonostsa
Nyilvnos kulccsal
Felhasznl azonostsa
Jelszavas Kulcsalap
SSH-Agent
Hostazonosts s felhasznl-azonosts. Sajt protokoll, sajt port, minden titkostva. Hostot mindig a kulcsval (host key) azonost, felhasznlt lehet ktflekppen: kulccsal s jelszval. Agent arra szolgl, hogy az azonosult felhasznlnak ne kelljen mindig tornznia, ha tovbbi hostokon is azonostani akarja magt: agent megoldja helyette.
IHM-MTA-E4-3.doc
220/296
MTA SZTAKI; E4 - 4671/4/2003
118.
SSH szolgltatsai
Sokfle titkostsi algoritmus Tmrts Interaktv kapcsolat Tvoli futtats, csatornk tirnytsa Port forwarding (SSH tunnel)
Tvoli gp portjra kapcsolds sajtrl Port nyitsa tvoli gpen sajt gp fel
X11 Forwarding
Adatcsatorna helyi X-szerver fel
- 118 -
2006 mjus
Sorolni a titkostsi algoritmusokat, visszautalni az ltalnos bevezet pldira. Shell s tvoli linuxos/unixos elrs felttlen megemltse. Tunnelezs kapcsn szemlyes plda, ha belefr az idbe (frjen, sznesti az eladst). X, mint grafikus fellet szmra nyjtott szolgltatst, az X11 Forwardingot kiemelni, megjegyezni, hogy mennyire hasznos, meg azt is, hogy bezzeg ez is csak a unix/linux vilgban rhet el, mint szolgltats, a tbbiek mind ott lenn a porban.
IHM-MTA-E4-3.doc
221/296
MTA SZTAKI; E4 - 4671/4/2003
119.
Hozzfrsvdelem (AC)
Elmletben:
DAC: Discretionary Access Control
Tulajdonos szabja meg a hozzfrsi jogokat Technikk: ACL, RBAC
MAC: Mandatory Access Control

Rendszer szabja meg a hozzfrsi jogokat Technika: rzkenysgi szint (cmke)
RBAC: Role-Based Access Control

Szereplk tevkenysgi csoportokba sorolva Jogosultsgok a csoportokhoz tartoznak
Gyakorlatban:
RSBAC, GRSecurity, WinNT (Posix+) ACL
Rvidke ismertet mindegyik mdszerrl, pldkkal illusztrlva, hogy tudjk a valsgos opercis rendszerekhez ktni Katonai pldt felhozni MAC-re: pldul krtyk hasznlata, illetkessgi szintek. Amit mondjuk egy tbornok megtehet, azt nem teheti meg a kzlegny, ezrt a tbornoknak nagyobb jogokat biztost krtyja lesz, gy bemehet a fegyverraktrba, mg a kzlegny csak az plet bejrati ajtajt nyithatja, hogy ne kelljen kint llnia az esben. RBAC pedig az adminisztratv megkzelts, klnbz funkcik szerint csoportokba sorolt szereplk klnbz dolgokhoz frnek hozz. Gyakorlati pldkrl mindrl egy-egy mondatka.
IHM-MTA-E4-3.doc
222/296
MTA SZTAKI; E4 - 4671/4/2003
120.
ttekints
Biztonsgi technolgia klnbz szintjei Rengeteg tmadsi koncepci Figyeljnk kln a gpeink s a vonalak vdelmre A paranoia itt nem szgyen Ha rst hagyunk, ott be is jnnek A rosszindulat mindig lpselnyben van A hamis biztonsgrzet rosszabb, mint a bizonytalansg Mindig mindent titkostsunk
sszefoglalan megismtelni az klszablyokat a vdekezsre s a titkostsra. Mindig, mindenki csak minket akar bntani. Hamis bzitonsgrzet rossz voltnak ers hangslyozsa, elreutals a kvetkez utni eladsra. Mindig mindent titkostani kell, abbl nem lehet baj.
IHM-MTA-E4-3.doc
223/296
MTA SZTAKI; E4 - 4671/4/2003
121.

Network Dictionary (Security) http://www.networkdictionary.com/security Wikipedia http://www.wikipedia.org/ OpenSSL http://www.openssl.org/ OpenSSH http://www.openssh.com/ GRSecurity http://www.grsecurity.net/
Linkekhez nem kell tl sok magyarzat, csak annyit emlteni, hogy szmtalant lehetett volna mg felsorolni. Kiemelni a netes irodalom gazdagsgt
IHM-MTA-E4-3.doc
224/296
MTA SZTAKI; E4 - 4671/4/2003
122.
Megelz intzkedsek 2.
(audit s management)
2006 mjus
A cl nem csak a konkrt tzolt technolgik bemutatsa, hanem a problma hossz tv kezelsre is megoldsokat szeretnnk mutatni.
IHM-MTA-E4-3.doc
225/296
MTA SZTAKI; E4 - 4671/4/2003
123.
Tartalom
- 123 -
2006 mjus
IHM-MTA-E4-3.doc
226/296
MTA SZTAKI; E4 - 4671/4/2003
124.
Mirl lesz sz?

nmegtmads, nellenrzs Szoftverfrisstsek, verzikvets Elosztott biztonsgi szolgltatsok Hlzati struktra megfelel kialaktsa Fizikai szint Logikai szint
- 124 -
2006 mjus
IHM-MTA-E4-3.doc
227/296
MTA SZTAKI; E4 - 4671/4/2003
125.
Penetration testing
A problma A biztonsg nem szmszersthet Nem szmszersthet = nem mrhet Nem mrhet = zletileg nem indokolhat Megolds (?): nmegtmads, nellenrzs Szmszersthetk: Az elvgzett vizsglatok A felfedett biztonsgi hinyossgok A hatkonysg, pontossg krdses
A legtbb tmadsi sorozat kzenfekven a clzott rendszer sebezhetsgeinek feltrkpezsvel kezddik. Ezek a vizsglatok sok esetben nem konkrt gyengesgeket fedeznek fel, hanem a tmad szmra hasonlkpp rtkes szerkezeti informcikkal szolglhatnak. A tmad clszeren elszr a clrendszer hlzatrl prbl bvebb informcikat szerezni. Nem kevs esetben, pldul az automatikusan mkd frgek vagy az esetlegesen kompromitlt gpeken elhelyezett kmrobotok esetn a clhlzat akr az egsz Internet is lehet.
IHM-MTA-E4-3.doc
228/296
MTA SZTAKI; E4 - 4671/4/2003
126.
Penetration testing (def.)

A penetration test is a method of evaluating the security of a computer system or network by simulating an attack by a malicious hacker. The process involves an active analysis of the system for any weaknesses, technical flaws or vulnerabilities. This analysis is carried out from the position of a potential attacker, and can involve active exploitation of security vulnerabilities. Any security issues that are found will be presented to the system owner together with an assessment of their impact and often with a proposal for mitigation or a technical solution. (forrs: Wikipedia)
Egy ilyen szimullt tmads menete, s ennek megfelelen fbb eszkzei megfelelnek egy valdi tmads jellemzinek: els lpsben egy host scannerrel megkeresik azokat a szmtgpeket (IP cmeket), melyek a vlasztott cmtartomnyban elrhetek, ezutn az elrhet gpek ltal nyjtott szolgltatsok port scannerrel trtn feldertsre van szksg, amit a szolgltatsok security scannerrel val ellenrzse kvet. Egyre gyakrabban elfordul, hogy a security scanner munkjt bizonyos helyzetekben a publikus informcikeress (pldul: web search) eszkzeivel is megtmogatjk, mivel bizonyos Internetes frgek s automatk hasonl mdszerekkel kutatnak ldozatok utn.
IHM-MTA-E4-3.doc
229/296
MTA SZTAKI; E4 - 4671/4/2003
127.
Pen. testing taxonmia

Mlysg (depth) Single horizon scan Multiple horizon scan Behats (impact) Intelligence (low) Exploit (moderate) DoS (high) Perspektva Zero knowledge (black box) Valid account (grey box) Full knowledge (white box)
Mlysg Az ellenrzs mlysge nem a rszletessgre utal, hanem a felttelezett behatols mlysgre. A vizsglni kvnt hlzat s rendszer a klvilg (Internet) fel ltalban csak egy korltozott felleten, pldul egy tzfalon keresztl nyjt szolgltatsokat. A hlzat bellrl is tbb rszbl, biztonsgi znbl llhat, melyek nll tmadsi terleteket, szinteket jellhetnek ki az ellenrzs sorn. Mlysg szempontjbl az ellenrzsek kt csoportjt klnbztetjk meg: Behats A behats (impact) a biztonsgi ellenrzs erszakossgt hatrozza meg. Minl erszakosabb egy tmads, annl tbb sebezhetsgre hvhatja fel a figyelmet, de annl tbb krt is okozhat. Perspektva Az ellenrzs perspektvjnak nevezzk a behatolst vgz/megksrl ember vagy gp a hlzatra vonatkoz elzetes ismereteinek mlysgt. Minl teljesebb ezen elzetes ismeretek kre, annl valsznbb a behatols sikeressge, vagyis a jogosulatlan informciszerzs vagy krokozs.
IHM-MTA-E4-3.doc
230/296
MTA SZTAKI; E4 - 4671/4/2003
128.
Pen. testing fogalmak

War dialing Nem hivatalos csatlakozsi pontok kutatsa Source code analysis Nem nyilvnval tmadsi mdok Public information search Informciszivrgs Social engineering user security scanning
- 128 -
2006 mjus
War dialing: clja egy hlzathoz val, a hlzat elsdleges vdelmi peremeit (pldul a tzfalat) megkerl kapcsoldsi lehetsgek feldertse. ltalban az analg telefonhlzat egyes mellkein a felhasznlk ltal sajt clokra zemeltetett modemes elrsekre kell gondolni, melyeket a hlzatra val kapcsoldsra alkalmas gpek melll elrhet telefonvonalak feltrcszsval lehet legegyszerbben felderteni (innen az elnevezs). Source code analysis: a kiszolgl szoftverek forrskdjnak analzise hlzati s ltalnos biztonsgi szempontokbl, fknt buffer-tlcsorduls hibk s egyb hlzati viselkedsi hinyossgok utn kutatva. Public information search: tbb esetben elfordul, hogy a vdeni kvnt adatok egy rsze valamilyen mdon nyilvnosan elrhet. Elfordulhat pldul, hogy egy tvolrl is elrhet webszerver egy cg dolgozinak intranet szolgltatst is nyjt, az intranet s internet fellet pedig kzs keresvel rendelkezik. Ilyenkor hiba elrhetetlenek kvlrl az intranetes oldalak, a keres jl formzott keressi felttelek alapjn apr rszletekben tszivrogtathatja az egsz informcit a klvilgba. Ilyen, s ehhez hasonl problmk alapjn clszer minden lehetsges informci megszerzsre prbkat tenni, hogy idben elzrhatak legyenek az adatszivrgsi csatornk. Social engineering: sokszor nem is gondolnnk mekkora tmadsi felletet nyjthatnak egy hlzat jhiszem felhasznli, akik egy magt hlzati felgyelnek vagy rendszergazdnak kiad szemly telefonhvsra vagy levelre hajlandk gpeikre ismeretlen eredet programokat telepteni, vagy jelszavakat s egyb rzkeny informcikat kiadni. A jindulat social engineering egyfajta user scanner-knt mkdve a felhasznlk krben fellelhet ilyen jelleg biztonsgi hinyossgokra prbl rtallni.
IHM-MTA-E4-3.doc
231/296
MTA SZTAKI; E4 - 4671/4/2003
129.
Pen. testing metodolgia (1)

Open Source Security Testing Methodology Manual (osstmm.org, isecom.org) Informci s adatok kontrolljai Szemlyzet biztonsgtudatossga Megtvesztsi ksrletek ellenllsga Szmtgpes s telekom. hlzatok Wireless s mobil eszkzk Fizikai biztonsgi intzkedsek Biztonsgi folyamatok Fizikai hatrolelemek s adottsgok
The Open Source Security Testing Methodology Manual (OSSTMM)is a peer-reviewed methodology for performing security tests and metrics. The OSSTMM test cases are divided into five channels which collectively test: information and data controls, personnel security awareness levels, fraud and social engineering control levels, computer and telecommunications networks, wireless devices, mobile devices, physical security access controls, security processes, and physical locations such as buildings, perimeters, and military bases. The OSSTMM focuses on the technical details of exactly which items need to be tested, what to do before, during, and after a security test, and how to measure the results. OSSTMM is also known for its [Rules of Engagement] which define for both the tester and the client how the test needs to properly run starting from denying false advertising from testers to how the client can expect to receive the report. New tests for international best practices, laws, regulations, and ethical concerns are regularly added and updated. The National Institute of Standards and Technology (NIST) discusses penetration testing in Special Publication 800-42, Guideline on Network Security Testing. NIST's methodology is less comprehensive than the OSSTMM however it is more likely to be accepted by regulatory agencies. For this reason NIST refers to the OSSTMM.
IHM-MTA-E4-3.doc
232/296
MTA SZTAKI; E4 - 4671/4/2003
130.
Pen. testing metodolgia (2)

National Institute of Standards and Technology (NIST) 800-42-es klnkiadvny OSSTMM alapokon, de ltalnosabb Hatsgi elfogadsra eslyesebb Information Systems Security Assessment Framework (oissg.org) Szakrti terletek kln kezelve Vllalati management krnyezetre szabva Mg nincs ksz...
- 130 -
2006 mjus
There is a new Methodology known as the Information Systems Security Assessment Framework (ISSAF) by Open Information System Security Group The Information System Security Assessment Framework (ISSAF) is a peer reviewed structured framework that categorizes information system security assessment into various domains & details specific evaluation or testing criteria for each of these domains. It aims to provide field inputs on security assessment that reflect real life scenarios. ISSAF should primarily be used to fulfill an organization's security assessment requirements and may additionally be used as a reference for meeting other information security needs. ISSAF includes the crucial facet of security processes and, their assessment and hardening to get a complete picture of the vulnerabilities that might exist. The ISSAF however is still in its infancy.
IHM-MTA-E4-3.doc
233/296
MTA SZTAKI; E4 - 4671/4/2003
131.
Pen. testing eszkzk (1)

MBSA (Microsoft Baseline Security Analyzer) Taxonmia: Single horizon Low impact Grey (white?) box Elnyk: Patch verzik detektlsa Htrnyok: Csak M$ termkek Naprakszsg krdses
A host scanner mkdse a mr emltett ping programhoz hasonl, st sok esetben teljesen azonos: az ellenrzst vgz gp egy prbacsomagot kld a clgp hlzati cmre, majd vlaszra vr. A vlasz elmaradsa egyet jelent azzal, hogy a clgp nem rhet el. Mr ez az informci is nagyon fontos lehet, hisz alkalmas a hlzat alapvet logikai felptsnek feltrkpezsre, felfedi azokat a gpeket is, melyek nem felttlen nyjtanak szndkosan publiklt szolgltatsokat, de elrhetek. A port scanner feladata a clgp egyenknt 65535 TCP s UDP portja kzl megkeresni azokat, amelyeket a gpen fut valamely alkalmazs nyitva tart. A mkds alapveten itt is a krs-vlasz mdszerrel zajlik: az ellenrz gp kapcsolatot prbl kezdemnyezni a clgp adott portjn keresztl, ha sikerrel jr, tudja, hogy a krdses port nyitva van, azaz a porton a clgp valamilyen szolgltatst nyjt. Ezutn kvetkezik a legszertegazbb feladatot vgrehajt program, a security scanner, melynek trhzban a clgpen nyitva tallt portokhoz tartoz szolgltatsok specializlt ellenrzsre alkalmas tesztek vrnak kiprblsra. Egy ilyen teszt kt csoportba tartozhat: A fenyegetettsgi teszt csak a szolgltatst vgz kiszolgl program ltnek, tpusnak, verziszmnak megllaptsbl von le kvetkeztetst az ezekhez tartoz ismert hibk s tmadsi lehetsgek vonatkozsban.
IHM-MTA-E4-3.doc
234/296
MTA SZTAKI; E4 - 4671/4/2003
132.

Nessus (www.nessus.org) Taxonmia: Single/multiple horizon Low/moderate/high impact Black/grey/white box Elnyk: The network security scanner Napraksz plugin rendszer Htrnyok: Mr nem GPL
A behatolsi teszt a rosszindulat felhasznl viselkedsnek szimulcijbl, elrsi jogosultsgok ellenrzsbl, st, esetleg krokozsra alkalmas szolgltats tlterhelsi tmadsbl (denial of service attack, DoS), vagy a kiszolgl szoftver puffertlcsordulsnak elidzsbl is kvetkeztethet egy valdi tmads lehetsges eredmnyeire. A figyelmet rdemes mg felhvni arra, hogy az ellenrzst vgz s az ellenrztt gp nem felttlen klnbzik egymstl, st lteznek olyan security scannerek, melyek nem is alkalmasak hlzati mkdsre. Ezek ltalban a helyi futtatsbl szrmaz helyzeti elny miatt fenyegetettsgi tesztek vgrehajtsra klnsen alkalmasak, viszont a behatolsi tesztels eredmnyeinek megbzhatsgt nagymrtkben befolysolhatja, ha egy gp sajt magt teszi prbra. A hoszt, port s security scannerek ltal begyjttt informcikat, a tesztek eredmnyeit egy teljes alhlzat ellenrzsekor ltalban sszestett statisztika formjban rdemes megtekinteni, ezutn nylik lehetsg a kockzatok elemzsre s megfelel kezelsre, vagyis a szksges biztonsgi frisstsek, vdelmi megoldsok alkalmazsra. Bizonyos id elteltvel rdemes lenne megismtelni a teljes szimullt tmads alap ellenrzst, ez azonban sok erforrst s idt vesz ignybe, ezrt sok esetben elnysebb gynevezett kvet ellenrzst vgezni, ahol csak az elz ellenrzs ta nyilvnossgra kerlt biztonsgi rsek vonatkozsban kell az egsz alhlzatot jra ttekinteni.
IHM-MTA-E4-3.doc
235/296
MTA SZTAKI; E4 - 4671/4/2003
133.

Nmap, Ethereal, Netcat, Hping2, DDD, GCC, ps, lsof, sysinternals.com, stb... Elnyk: Mindent visz Htrnyok: Idignyes Szakrtelemignye nagy Mg ez sem tkletes
- 133 -
2006 mjus
A hlzatbiztonsgi psztzsok s ellenrzsek fejldsre jellemz, hogy a tmogat eszkzk fejldsvel prhuzamosan nylt csak lehetsg a teljes szimullt tmadsi folyamat automatikus elvgzsre, vagyis kezdetben csak a legegyszerbb host scanner funkci volt brki szmra elrhet, majd ksbb napvilgot lttak klnbz port scanner eszkzk, s csak az utbbi vekben vlt jellemzv a nem ritkn zleti forgalomban kaphat security scannerek elterjedse. A publikus eszkzk hinya azonban nem jelentette soha az ellenrzs megvalsthatatlansgt, csupn jval tbb szakrtelmet ignyelt a mvelet vgzjtl. A mai napig nem megoldott, s a mestersges intelligencia tovbbi fejldsig nem is lesz automatikusan megoldhat, egy hlzat teljes kr biztonsgi ellenrzse.
IHM-MTA-E4-3.doc
236/296
MTA SZTAKI; E4 - 4671/4/2003
134.
Patch management
A problma: Nincs szoftver, amiben nincs hiba Sok kis hiba is sokra megy A megolds: Szoftverek kzponti patchelse, frisstse Best practice: tervezetten, rendszeresen Security scanning eredmnyekpp jabb problmk: Az j patcheket auditlni kell A rendszer teljes kpe: verzikvets Hogy knyszertsk a frisstseket?
Frisstsek ltal rejtett veszlyek fontosak! A hlzat vdelmnek fontos eszkze a felhasznli vgpontok, a kiszolglk s az aktv hlzati eszkzk rendszeres szoftveres frisstse. Az automatikus szoftveres frisstsek kockzati tnyezinek ismeretben elfordulhat, hogy a frisstseket clszer egy mintagpen elzetesen kiprblni. A biztonsgi frisstsek hitelessgnek ellenrzsre digitlisan alrt frisstcsomagok hasznlata javasolhat. Az alrsok ellenrzse kzzel s automatikus eszkzk segtsgvel, a frissts teleptsnek megkezdse eltt megtrtnhet. Fontos, de nem technolgiai feladat a kritikus biztonsgi hinyossgokrl val idben val tjkozds rdekben a biztonsgi levelezlistk, automatikus esetben ezek streaming news (RSS) forrsainak figyelse.
IHM-MTA-E4-3.doc
237/296
MTA SZTAKI; E4 - 4671/4/2003
135.
Patch mgmt. taxonmia

Kliens elrsnek mdja Non-agent based SW problmk eslye kisebb Agent-based Komolyabb beavatkozsi lehetsgek SNMPv2 agentek biztonsga krdses Tmogatott hlzati infrastruktra Homogn Ez tipikusan M$ hlzatokat jelent Heterogn ltalban agent-based
Agent based: tipikusan Enterprise krnyezetben, tipikusan NMS-ek rszeknt.
IHM-MTA-E4-3.doc
238/296
MTA SZTAKI; E4 - 4671/4/2003
136.
Patch mgmt. eszkzk (1)

Nagy NMS-ek idevg funkcii (vzfejjel) IBM Tivoli CA Unicenter HP OpenView GPL NMS megoldsok (gyerekcipben) Nagios (nagios.org) JFFNMS (jffnms.org) Egy jstet megolds: CiscoWorks (www.cisco.com) IP routing felhasznlsa a knyszertsre
El lehet mondani, ogy a cisco megolds azrt nagyszer, mert nem a kliensre bzza sajt biztonsgt...
IHM-MTA-E4-3.doc
239/296
MTA SZTAKI; E4 - 4671/4/2003
137.
Patch mgmt. eszkzk (2)

Non-agent-based clszoftverek Homogn UpdateExpert (www.stbernard.com) Heterogn HFNetChkPro (www.shavlik.com) Agent-based clszoftverek Homogn M$ Systems Management Server Heterogn BigFix (www.bigfix.com)
IHM-MTA-E4-3.doc
240/296
MTA SZTAKI; E4 - 4671/4/2003
138.
Nem kzponti patch mgmt.

Windows Microsoft Windows Update Nem teljes kr megolds (csak OS) Taln az M$ installer vltoztat ezen Linux apt-get, yum Teljes kr lehet Nem igazi patch management
- 138 -
2006 mjus
Mi az a Windows Update? A Microsoft egy webhelye, amely frisstseket biztost a Windows opercis rendszerekhez, illetve a Windows alap hardvereszkzkhz. A frisstsek megoldst nyjtanak az ismert problmkra, s elsegtik az ismert biztonsgi fenyegetsekkel szembeni vdelmet.
IHM-MTA-E4-3.doc
241/296
MTA SZTAKI; E4 - 4671/4/2003
139.
Elosztott bizt. szolgltatsok

A problma: Patchek hitelestse Hrom tpus szerepl: A patch kibocstja A patch management felelse A frisstend kliensek A megolds: Elosztott biztonsgi szolgltatsok jabb problma: Elosztott biztonsgi szolgltatsok
Az LDAP, vagyis a Lightweight Directory Access Protocol egy objektum orientlt, olvassra s keressre optimalizlt, redundns mkdsre is felksztett adatbzislekrdez nyelv. A kzpontostott felhasznlkezels, vagyis az tfog jogosultsgkioszts s hozzfrsvdelem elterjedt eszkze, hasznlhat kulcskiosztsra, authentikcira, authorizcira. A Microsoft Active Directory megoldshoz hasonlt, azzal a klnbsggel, hogy nem integrlja a Kerberost s inhomogn alkalmazsi krnyezetben is mkdkpes.
IHM-MTA-E4-3.doc
242/296
MTA SZTAKI; E4 - 4671/4/2003
140.
EBSZ - taxonmia
Infrastruktra Centralizlt (certification authority) Elosztott (web of trust) Autentikci mdja Nyilt kulcs algoritmus (BLACK key) Osztott kulcs algoritmus (RED key) Alkalmazhatsgi tartomny Szleskr, sok alkalmazsi terlet Specializlt, szkebb alkalmazhatsg
- 140 -
2006 mjus
A Certificate Authority, vagyis a hitelest hatsg, a nyilvnos kulcs infrastruktra gykere, gyakorlatilag egy, a tanstvnyok kibocstsra s alrsra, hasznlatos, ersen vdett titkos kulcs, valamint a hozz tartoz gykrtanstvny (root certificate) egyttese alkotja. A CA kulcsnak biztonsga az egsz infrastruktra kritikus pontja, kompromittldsa esetn az ltala kibocstott certificate-eket hasznl TLS s egyb gyfelek kommunikcija teljesen vdtelenn vlik a megszemlyestses tmadsok ellen, ezrt clszeren elzrtan kell trolni, s a tanstvnyok kibocstshoz egy erre a clra elklntett, hlzati kapcsolattal nem rendelkez szmtgpet ajnlatos hasznlni.
IHM-MTA-E4-3.doc
243/296
MTA SZTAKI; E4 - 4671/4/2003
141.
EBSZ eszkzk (1)

X.509 authentication framework Centralizlt - A CA a rendszer egyedli kulcsa + Tiszta, tlthat szerkezet + CA anyagi felelssgvllalsa (?) - Tipikusan pnzbe kerl Nylt kulcs + Kulcsdisztribci egyszer (X.500) Szleskr alkalmazhatsg SSL, S/MIME, stb...
Biztonsgos tviteli protokoll. (Secure Socket Layer = biztonsgos tart rteg) "RSA" eljrssal titkostott biztonsgos adattviteli protokoll webszerverek s klienseik kztti kommunikcira. jabb webalap levelezrendszerek tmogatjk, a megclzott tvzletek biztonsgos lebonyoltsa rdekben; az ilyen szerverek url cmben (https://...) egy "s" bet jelzi a biztonsgos adattvitelt.
IHM-MTA-E4-3.doc
244/296
MTA SZTAKI; E4 - 4671/4/2003
142.
EBSZ eszkzk (2)

Pretty good privacy - PGP Elosztott (web of trust) + Nincs egyszeres hibapont + Tipikusan ingyenes - Nincs pnzgyi garancia Nylt kulcs + Egyszer kulcsdisztribci (key server) Specializltabb alkalmazsi kr Szvegek (e-mail) kdolsa, alrsa
- 142 -
2006 mjus
(Pretty Good Privacy = elg j biztonsg) Az adatbiztonsgot szolgl, titkost kulcsrendszer, mely az internet kommunikcinak egy alapvet felttelt hivatott szavatolni. A PGP (Pretty Good Privacy) Phill R. Zimmermann egy RSA alap, rejtjelez programja. Tbb, mint egy tucat vltozatt kt f csoportra lehet osztani. Az RSAREF. fggvnyeivel fordtott verzikat tilos az Egyeslt llamok s Kanada terletrl kiadni vagy letlteni. Viszont nem tilos hasznlni, ha mr egyszer kikerltek - kivve azokat az orszgokat, ahol az llam bels trvnyei tiltjk vagy korltozzk a titkostst (pldul Franciaorszg, Oroszorszg, Irak, Irn, Kna) Az RSAREF freeware, az RSA Data Secutity Inc. szabadalma. Az USA-ban a PGP-nek csak az RSAREF-es verziit szabad hasznlni. Az MPILIB is Phill R. Zimmermann munkja, de az MPILIB fggvnyeire pl programokat az USA-ban tilos hasznlni (!) Az MIPLIB-esek az n. "nemzetkzi" (i) verzik. Ezek hatkonyabbak (gyorsabbak), 100%-ig kompatibilisek a PGP 2.x (x =< 3) verziival is, ltalban kevesebb hibt tartalmaznak, s tbbfle opercis rendszert tmogatnak. Mivel Magyarorszgon minden verzi szabadon hasznlhat, clszer az "international" vltozatokat elnyben rszesteni.
IHM-MTA-E4-3.doc
245/296
MTA SZTAKI; E4 - 4671/4/2003
143.
EBSZ eszkzk (3)

Kerberos Centralizlt (CA kritikus szerepe) Osztott kulcs (bonyolult kulcscsere) Specializlt alkalmazhatsgi kr Kliens autentikci szolgltatsokhoz Internetes alkalmazhatsga krdses IPSec Elosztott Nylt kulcs Specializlt: csak layer-3
IPV6-ban mr tbb IPSEC funkcit is tvettek, pl IKE Az Internet Key Exchange (IKE) protokoll kzvetlenl az IPSec szabvnyhoz kerlt kifejlesztsre, s, mint ahogy neve is sejteti, az Interneten zajl kommunikci eseti titkostshoz hasznlhat kulcsok megszerzst tenn lehetv az IPSec projekt eredeti clkitzsben szerepl eseti titkostott kapcsolatok kiptshez.
IHM-MTA-E4-3.doc
246/296
MTA SZTAKI; E4 - 4671/4/2003
144.
IT security management
A problma Security is a process, not a product (B.S.) A megolds Mdszertanok, szabvnyok alkalmazsa Errl volt mr sz - Bea Megfelel fizikai struktra Megfelel logikai struktra Megfelel eszkzk hasznlata jabb problma: A biztonsg a hasznlhatatlansgig fokozhat kompromisszumok kellenek
A strukturlsnl elsdleges szempontknt a fizikai adottsgok s az elsdlegesen megoldand feladatok jtszanak szerepet. A hlzat az elsdlegesen fizikai elhelyezkedsi alapokon kialaktott munkacsoportokban (3), vagy ezeken praktikus okok miatt kvl es (4, 7) munkallomsokbl, az ezek szoftveres mkdtetshez szksges kiszolglkbl (9, 10), valamint a hlzati elrst biztost aktv s passzv elemekbl (2, 6, 8) ll.
IHM-MTA-E4-3.doc
247/296
MTA SZTAKI; E4 - 4671/4/2003
145.
IT sec. - fizikai struktra

A gyenge fizikai struktra Egyszer lehetsget ad SW behatolsra (keylogger, usb diszk, reboot, stb...) Hajlamosabb a meghibsodsra (DoS rzkenyebb lehet) Nem IT szempontbl is veszlyes Logikailag is meghatroz egyes tnyezket Alapvet problma az organikus fejlds Gondoljunk a jvre is vsrlskor Tervezett bvts, legyen policy
Nem IT szempont: tzvdelem
IHM-MTA-E4-3.doc
248/296
MTA SZTAKI; E4 - 4671/4/2003
146.
IT sec. - logikai struktra

Alapja a helyes fizikai struktra ISO OSI (DoD) bottom-up tervezs
- 146 -
2006 mjus
A komponensek logikailag csak a funkcionlis szempontoknak felelnek meg, azaz: Az 1 jells LAN egy Ethernet szegmenst alkot, az sszes szerepl vals publikus IP cmmel rendelkezik, vagyis minden kiszolgl s munkalloms minden kiszolglt s munkallomst teljes felleten elrhet. A hlzat a 2 jells elrsi pontokon biztost elrst a klvilg (WAN) szmra. A 3 jells helyi (LAN kapcsolat) munkallomsok, a 4 jells otthoni (WAN s pont-pont elrs) munkallomsok s a 7 jells mobil (WLAN) szmtgpek egyenl jog felhasznli a hlzati szolgltatsoknak. Az 5 jells helyi hasznlat szerverek szintn a hlzat egsz terletrl elrhetek, br csak loklisan, az adott munkacsoport kiszolglst vgzik. A 8 jells router nem vgez cmfordtst s tzfalszer funkcikkal sem rendelkezik, hisz ezek egyike sem szksges a hlzat zemeltetshez. A hlzati kiszolgl funkcikat a 9 jells, a munkallomsokkal, munkacsoportokkal fizikailag azonos hlzatra kttt gpek vgzik, esetlegesen egyttmkdve a 10 jells, az Internet ms rszn elhelyezked kiszolglkkal.
IHM-MTA-E4-3.doc
249/296
MTA SZTAKI; E4 - 4671/4/2003
147.
IT sec. - network access (1)

ISO OSI layer-1 (phy.) s layer-2 (data link) Hozzfrsvdelem Ethernetnl pl. MAC korltozs Csatlakozsi pontok fizikai vdelme Hlzati szint elklnts, VLAN technolgia Funkcionlis szempontok szerint LAN (Local Area Network) kliensek LAN kiszolglk DMZ (DeMilitarized Zone) VPN (Virtual Private Network)
A demilitarizlt zna, rviden DMZ azokat a gpeket (9) tartalmazza, melyek szolgltatsait egyarnt ignybe veszik az Interneten s a helyi hlzaton elhelyezked gpek is. A DMZ gpei legfkpp abban klnbznek a hlzat tbbi znjtl, hogy az Internet irnyba kzvetlen kiszolgl tevkenysget vgeznek. A DMZ vdelmt a 14 jells tzfal ltja el, mely, az bra egyszerstse vgett ahogy az brn lthat tbbi tzfal is router szerepet is vllal. A DMZ hlzat klasszikusan publikus, statikus IP cm gpeket tartalmaz, de a 14 jells tzfal port tirnyt szolgltatsai esetn akr privt cmek hozzrendelse is lehetsges. Ez a tzfal a zna funkciinak megfelelen mindkt irnyban vgez forgalomtovbbtst.
IHM-MTA-E4-3.doc
250/296
MTA SZTAKI; E4 - 4671/4/2003
148.

LAN kliensek Csak szolgltatsokat vesz ignybe Tipikusan layer-3 szinten is elklnl Szksg szerint tovbb bontand Legkevsb knnyen karbantarthat NMS-ek, patch management Hozzfrsvdelem kiemelten fontos Legfontosabb bels hozzfrsi pont A penetration testing fontos clpontja
- 148 -
2006 mjus
A LAN az eredeti hlzat fizikai munkacsoportjait, vagyis a hlzat java rszt kitev kliens szerep munkallomsokat (1) tartalmazza. Ellenttben az eredeti fizikai elhelyezkedsen alapul elklntstl, az j megolds a hlzatot logikailag, a munkacsoportok alapjn csoportostva layer 2 szinten szeparlt virtulis LAN-okra bontja. A LAN vdelmt a 13 jells kzponti tzfal ltja el, a LAN gpeinek korltozott elrst biztostva a tbbi fbb csoportban tallhat szmtgpek szolgltatsaihoz. A LAN s virtulis felbontsai privt IP cmtartomnyokat foglalnak el, mivel ezek a szmtgpek csak kliens szerep felhasznli a rendszernek. A tzfal csak a LAN gpei ltal kezdemnyezett forgalom tovbbtst vgzi a LAN irnyba, ez megoldhat a hlzati cmfordtst alkalmaz NAT technolgia alkalmazsval is. A LAN esetben dinamikus cmkioszts (DHCP) is clszerv vlhat. Ilyen esetben, mivel a DHCP protokoll alapveten nem route-olhat, problmt jelenthet a kiszolgl (16) VLAN-okhoz viszonytott elhelyezse. A problmra tbb megolds adhat: Minden VLAN-ba kln DHCP kiszolglt kell telepteni. Ennek csak akkor van rtelme, ha az aktv hlzati eszkzk (6) tmogatjk a cmkiosztst. Ez nem ritkn gy van. Egy DHCP kiszolglt kell telepteni, de a kiszolglnak tmogatnia kell a VLAN protokollt, gy megoldhat, hogy fizikailag egy gp tbb VLAN-t is ellsson dinamikus cmekkel. Az elz megoldshoz hasonlan egy kiszolglt kell telepteni, azonban a VLAN-ok kiszolglsa megoldhat az aktv hlzati eszkz (6) DHCP-proxy szolgltats tmogatsnak segtsgvel.
IHM-MTA-E4-3.doc
251/296
MTA SZTAKI; E4 - 4671/4/2003
149.

LAN kiszolglk Csak a LAN s a DMZ gpeit szolgljk ki Kollaborcis feladatok, adatbzisok Elosztott biztonsgi szolgltatsok Felbontsa a kliensekhez alkalmazkodik Felhasznlsa is hasonl Patch management Penetration testing
- 149 -
2006 mjus
A SERVICE zna a DMZ privt megfelelje. Itt tallhatk azok a nem kliens szerep gpek, melyek szolgltatsokat nyjtanak a DMZ s a LAN szmtgpei szmra. Ilyen szerep juthat egy intranetes groupware (3), egy ltalnos, a ., funkcionlis brn egy vagy tbb logikai munkacsoport kiszolglst vgz ltalnos szerep szerver (5) s ltalban minden adatbzis-kiszolgl (4). A SERVICE zna vdelmt a 13 jells tzfal ltja el, a DMZ s LAN znk szmtgpeinek korltozott elrst biztostva a zna szolgltatsaihoz. A SERVICE zna szmtgpei a bels elrhetsg biztostsa rdekben clszeren statikus privt IP cmmel rendelkeznek, az Internetet a LAN gpeihez hasonlan csak kliens szerepben rhetik el.
IHM-MTA-E4-3.doc
252/296
MTA SZTAKI; E4 - 4671/4/2003
150.

Demilitarizlt zna - fegyvermentes vezet :) A LAN s az Internet irnybl is elrhet Tipikusan SMTP, HTTP, stb... kiszolglsa Virtual Private Network Tvoli LAN kliensek csatlakozsi pontja Knyes ketts kvetelmnyrendszer LAN s Internet egyszerre Fontos belpsi pont Patch management problms lehet Penetration testing
Kln znaknt szerepel a LAN-on fizikailag kvl, de logikailag bell elhelyezked, a LAN-hoz hasonl szolgltatsokat ignybe venni kvn, gynevezett szatellit munkallomsokat kiszolgl VPN zna. A VPN biztonsgi problmirl a . fejezetben bvebb informci tallhat. A VPN zna az ltalnosan elterjedt hrom kls csatlakozsi pont fell a kvetkezkppen rhet el az otthoni (4) s mobil (7) szatellit munkallomsok szmra: Az internet kapcsolattal rendelkez szatellitek, a hlzat egyb internetes forgalmval egytt, a 14 jells tzfalon keresztl juthatnak el a 11 jells VPN szerverhez. A telefonos behvk a 2 jelzs modemen keresztl a 12 jells, elklntett terminlszerverrel veszik fel a kapcsolatot, ahonnan a 15 jells tzfalon keresztl juthatnak el a VPN szerverhez. A 7 jells mobil munkallomsok egy WLAN elrsi ponton keresztl szintn a 15 jelzs tzfalhoz kerlnek, melyen keresztl a VPN szerverhez csatlakozhatnak. Mint lthat, a szatellit gpek egymstl s a hlzat tbbi rsztl layer 2 szinten elklntve, tzfalas szrs utn juthatnak el az azonostst s hitelestst vgrehajt, valamint a biztonsgos csatornt kzvetlenl kipt kzponti VPN szerverhez. Az gy authentiklt forgalom a 13 jelzs tzfal szigor szrszablyain keresztl logikailag a LAN egy VLAN-jbl szrmaz forgalomknt kezelhet a tovbbiakban, de a szolgltatsokat az tba es tzfalak segtsgvel clszer minimlisra korltozni. A szatellit gpek biztonsgos kezelsre, mivel ezek a gpek a vdeni kvnt hlzat szmra ellenrizhetetlen adatforgalmat is folytathatnak, nincsen teljes rtk megolds, csak abban az esetben ha teljesen a hlzatkezel felgyelete al vonhatk, m erre a gyakorlatban kevs lehetsg addik.
IHM-MTA-E4-3.doc
253/296
MTA SZTAKI; E4 - 4671/4/2003
151.
IT sec. - internet (1)

ISO OSI layer-3 (network) Itt trtnik a routing A tzfalak elsdleges mkdsi krnyezete Hozzfrsvdelem Megfelel tzfalszablyok DHCP, BOOTP szolgltats IPSec autentikcis szolgltatsok Strukturlsa az elz rtegt kveti LAN, DMZ, VPN, stb...
- 151 -
2006 mjus
Az brn lthat struktra fizikai szempontbl sszevonsokra ad lehetsget, a 6, 13, 14, 15 jells aktv hlzati eszkzk akr egyetlen VLAN kompatibilis routing switchben is helyet kaphatnak, fontos azonban, hogy az apr szaggatott vonallal elklntett hlzatok (DMZ, LAN s rszei, SERVICE, VPN s rszei) fizikailag, vagy virtulisan is klnbz (Ethernet) szegmensekre essenek. Az brn vzolt logikai struktra a . fejezetben emltett fizikai kzpontostst is knnyebb tve az eszkzk behatols elleni vdelmt is.
IHM-MTA-E4-3.doc
254/296
MTA SZTAKI; E4 - 4671/4/2003
152.
IT sec. - internet (2)

Alkalmas cmtartomnyok LAN kliensek: dinamikus privt IP cm Default bastion host policy: deny VPN: dinamikus privt cm, ms tartomny IP szinten is levlasztva! Lsd: Cisco trkk LAN kiszolglk: statikus privt IP cm A kiszolglk nem rhetik el a klienseket! DMZ: publikus IP cm A DMZ gpei nem rhetik el a klienseket!
A routing trkk az, hogy a peccseletlen klienset a peccsszerverrel egy vlanba zrjk, s minden http requestet hozz irnytanak.
IHM-MTA-E4-3.doc
255/296
MTA SZTAKI; E4 - 4671/4/2003
153.
IT sec. - host-to-host
ISO OSI layer-4 (transport), layer-5 (session) Tzfalak msodlagos mkdsi terlete TLS (Transport Layer Security) - X.509
SSL (Secure Sockets Layer)
VPN kiszolgl s kliensek kzti kapcsolat

Ajnlatos egyszeres hozzfrsi pontot definilni
Nem agent alap NMS-ek mkdsi terlete
- 153 -
2006 mjus
Fknt egyszerbb, de a magyarorszgi Internet elterjedsnek kezdeti korszakban kiptett hlzatokra jellemz lehet a csak kliens jelleg felhasznlsi md mellett a publikus internetes elrhetsg. Ilyen esetben gyakorlatilag a kliensek szmra semmi szksg a publikus IP cmek megtartsra, vagyis az egsz hlzat, egy ToReS IP cmtranszformcis tzfal mg elhelyezve, az brn NAT jellssel elltott alhlzatnak megfelel pozciba tolhat. Ezzel a megoldssal rszben kivlthatak a kliensekre teleptett alkalmazstzfalak, hiszen a hlzat kvlrl indtott kapcsolatfelvtelek ellen vdett vlik, a NAT hlzat privt IP cmei nem elrhetk az Internet irnybl.
IHM-MTA-E4-3.doc
256/296
MTA SZTAKI; E4 - 4671/4/2003
154.
IT sec. - alkalmazsok
ISO OSI layer-6 (present.), layer-7 (app.) Agent alap NMS-ek mkdsi terlete Elosztott biztonsgi szolgltatsok X.500, PGP, Kerberos Penetration testing Patch management Lan alkalmazsok teleptsnek korltozsa Layer-7 szint (proxy) tzfalak
- 154 -
2006 mjus
Fontos megjegyezni, hogy sok tzfal eldobja az ICMP echo-request s echo-reply zeneteket, ezrt nem vonhatak le felttlen kvetkeztetsek egy ping prba eredmnybl, szksg lehet tovbbi ellenrzsekre. Ennek legegyszerbb mdja az lehet, hogyha a host scannert teljesen kihagyjuk a psztzsi mveletbl, s egyenesen a port scannert irnytjuk a letapogatni kvnt cmtartomnyba, a ping mdszer ltal eldntend krdst gy fogalmazzuk t, hogy egy hoszt akkor rhet el, ha a port scanner tallt rajta nyitott, vagy zrt portot, s akkor nem rhet el, ha semmilyen vlaszt sem sikerlt kapni. A mdszer htrnya termszetesen a nagy idignyben rejlik: a ping program egy zenetvltssal eldnthette az elrhetsget, mg a port scanner technikval nagysgrendekkel tbb zenetre is szksg lehet.
IHM-MTA-E4-3.doc
257/296
MTA SZTAKI; E4 - 4671/4/2003
155.
sszefoglals
A megelzs alapjai: Legyen vilgos s tlthat Fizikai, logikai struktra, management Tudjuk, hogy mink van Penetration testing, NMS-ek Tartsuk karban Patch management Kvessk a biztonsgi szempontokat Kssnk tudatos kompromisszumokat A biztonsg hasznlhatatlansgig fokozhat, ugyangy a management is
IHM-MTA-E4-3.doc
258/296
MTA SZTAKI; E4 - 4671/4/2003
156.

nmegtmads, nellenrzs Szoftverfrisstsek, verzikvets Elosztott biztonsgi szolgltatsok Hlzati struktra megfelel kialaktsa Fizikai szint Logikai szint
- 156 -
2006 mjus
IHM-MTA-E4-3.doc
259/296
MTA SZTAKI; E4 - 4671/4/2003
157.
2006 mjus
IHM-MTA-E4-3.doc
260/296
MTA SZTAKI; E4 - 4671/4/2003
158.
Tartalom
- 158 -
2006 mjus
IHM-MTA-E4-3.doc
261/296
MTA SZTAKI; E4 - 4671/4/2003
159.
Mirl lesz sz? (1)

Behatolsrzkels HIDS rendszerek NIDS rendszerek Honeypot rendszerek Incidenskezel rendszerek (RT-IR) RTIR bemutatsa IDMEF s egyb gpi s humn interfszre clz incidens/report szabvnyostsi ksrletek
- 159 -
2006 mjus
IHM-MTA-E4-3.doc
262/296
MTA SZTAKI; E4 - 4671/4/2003
160.
Mirl lesz sz? (2)

forensics eszkzk s lehetsgek forensics eszkzk A ToReS kezdemnyezs bemutatsa
- 160 -
2006 mjus
IHM-MTA-E4-3.doc
263/296
MTA SZTAKI; E4 - 4671/4/2003
161.
Behatols rzkels
A behatols-rzkel rendszerek a hlzati illetve a szmtgpes erforrsokon olyan specilis esemnyek, nyomok utn kutatnak, amelyek rosszindulat tevkenysgek, tmadsok jelei lehetnek. Feladata a tmadsnyomok szlelse, riaszts s esetleg ellenlps.
- 161 -
2006 mjus
IHM-MTA-E4-3.doc
264/296
MTA SZTAKI; E4 - 4671/4/2003
162.
Trtnelmi ttekints
Trtnelem
1980 - James P. Anderson tanulmnya: szmtgpek biztonsgi vizsglatnak s felgyeletnek javts; automatikus behatols-rzkels 1984 - 1986 IDES (Intrusion Detection Expert System) Az IDES utn a fejlesztsek sora indult meg, az USA kormnya tmogatta az ilyen irny kutatsokat. Jelentsebb projektek voltak: Discovery, Haystack, MIDAS (Multics Intrusion Detection and Alerting System), NADIR (Network Audit Director and Intrusion Reporter). Ez utbbi rendszert Los Alamos 9000 felhasznls hlzatra teleptettk. Br jobbra offline mkdtt, a behatolsok rzkelsre statisztikai mdszereket s nyomfelismerst (signature) hasznlt.
A behatols-rzkels majdnem egyids a szmtgpek megjelensvel Kezdetben a adminisztrtorok monitoroztk a felhasznlk tevkenysgt, szrevehettk pl. ha egy szabadsgon lv munkatrs nevben bejelentkeztek stb. Ebben az idben szoks volt a bejelentkezsi logfjlok kinyomtatsa s utlagos elemzse. Egy esetleges incidens esetn kevs remny volt a tmad azonnali azonostsra. 1980-ban James P. Anderson tanulmnyban azt elemezte, hogy lehetne a szmtgpek biztonsgi vizsglatt s felgyelett javtani. Az automatikus behatolsrzkels gondolatt is neki tulajdontjk, amelyet egy msik cikkben rt le. 1984 s 1986 kztt Dorothy Denning s Peter Neumann fejlesztette ki az els valsidej IDS-t, az IDES-t (Intrusion Detection Expert System). Az IDES tulajdonkppen egy szablyalap szakrti rendszer volt, amit a rosszindulat, veszlyes tevkenysg rzkelsre tantottk. A kvetkez genercija a NIDES lett, amit mg ma is hasznlnak. Az IDES utn a fejlesztsek sora indult meg, az USA kormnya tmogatta az ilyen irny kutatsokat. Jelentsebb projektek voltak: Discovery, Haystack, MIDAS (Multics Intrusion Detection and Alerting System), NADIR (Network Audit Director and Intrusion Reporter). Ez utbbi rendszert Los Alamos 9000 felhasznls hlzatra teleptettk. Br jobbra offline mkdtt, a behatolsok rzkelsre statisztikai mdszereket s nyomfelismerst (signature) hasznlt.
IHM-MTA-E4-3.doc
265/296
MTA SZTAKI; E4 - 4671/4/2003
163.
IDSek osztlyozsa (1)

Beavatkozsi pont szerint
HIDS - Hoszt-alap IDS-eket magra a vdend hosztra teleptik, adatforrsa a gpen lv logfjlok, naplfjlok s megadott biztonsgi szablyok. A hoszt alap rendszerek nemcsak az opercis rendszer elleni behatols--vdelemre, hanem az alkalmazsok vdelmre is szolgl. NIDS - Hlzat-alap IDS-ek adatforrsa a hlzaton thalad csomagok, ezeket elemzi. Stack-alap IDS-ek a rendszerek figyelik, ahogy a protokollelemek haladnak a klnbz OSI szintek kztt felfel, s mg mieltt az opercis rendszer vagy az alkalmazs megkapn, az IDS elemzsre maghoz vonja.
Az IDSeket alapveten kt kategriba sorolhatjuk attl fggen, hogy hol helyezkednek el az infrastruktrban. Egyrszt telepthetnk behatols rzkelt a rendszerben hasznlt hostokra. Itt tudunk vdekezni mint az opercis rendszert, mind a hoston fut szolgltatsokat, alkalmazsokat rt tmadsok ellen. Telepthet IDS a hlzat kritikus pontjaira is. Ezeken a pontokon az thalad hlzati forgalom megfigyelsvel s ezek elemzsvel vonhatunk le kvetkeztetseket az esetleges behatolsokra nzve. jabban szoks megklnbztetni egy harmadik tpust is, az gynevezett stack alap rendszert. Ez esetben arrl van sz, hogy mg a NIDSek userspaceben fut programok, addig a stack alap rendszerek beplnek az operencis rendszer hlzatot kezel rszbe, s mr ott kpesek az adatok elrsre. Teht tulajdonkppen ez nem egy kln kategria, inkbb a hlzat alap IDSek kvetkez evolcis lpse.
IHM-MTA-E4-3.doc
266/296
MTA SZTAKI; E4 - 4671/4/2003
164.

Alkalmazott technolgia szerint
Rendellenessget szlel modell (anomaly-based, behavior-based, policy-based): az ilyen IDS-t elszr megtantjk arra, hogy az adott hlzaton, gpen melyek a normlis esemnyek. A normlistl eltr viselkedst szleli a rendszer, tmadsnak veszi s riaszt. Visszalst rzkel modell (misuse detection, knowledge-based): az ilyen modell esetben a klnfle tmadsokrl s sebezhetsgekrl szl informcit troljk, s ha rendszer egy olyan adatot szlel, ami a trolt informcikkal egybeesik, tmadsnak jelzi azt.
Alkalmazott technolgia szerint alapveten kt mdszer klnbztethet meg. Az els kategriba azok a rendszerek tartoznak, amelyek rendellenessget szlelnek. Ezek az IDSek gy mkdnek, hogy a mkdsk elejn megtanuljk'' azt, hogy az adott krnyezetben mi tekinthet normlis mkdsnek, s az ettl val eltrsekre riaszt. A msik kategria a visszalst rzkel modell. Ezek egy olyan adatbzisbl dolgoznak, amely ismert behatolsi mdszerekre vonatkoz informcikat tartalmaz. A rendszer ezek nyomt keresi. A msodik rendszer elnye, hogy kevesebb fals pozitv eredmnyt ad, htrnya viszont, hogy ismeretlen mdszerrel elkvetett behatolsok rzkelsre alkalmatlan.
IHM-MTA-E4-3.doc
267/296
MTA SZTAKI; E4 - 4671/4/2003
165.

Utlagos reakci szerint
Passzv rendszer: a passzv rendszer rzkeli a behatolsi ksrletet, feljegyzi az erre vonatkoz adatokat, riaszt. A reagl rendszer (reactive): a fentieken kvl mg tovbbi automatikus vdekez tevkenysget is vgez.
- 165 -
2006 mjus
Utlagos reakci szerint ismernk passzv rendszereket, amelyek mkdse csak a riasztsig terjed, vagyis csak felismer, naplz s jelez, ill. reagl rendszereket, amelyek megprblnak valamilyen automatikus vlaszlpst is eszkzlni a behatols ellen. Ez utbbi sajnos jelenleg mg gyerekcipben jr, aminek oka egyrszt a hamis riasztsok igen nagy szma, msrszt az ilyen automatizmusok kihasznlhatsga. (Pldaknt hozhatk egy fontos host nevben elkvetett tmads hatsai egy ilyen automatra).
IHM-MTA-E4-3.doc
268/296
MTA SZTAKI; E4 - 4671/4/2003
166.
HIDS rendszerek (1)

A hoszt-alap IDS-eket (HIDS) a vdend gpekre teleptik. Adatforrsuk a gpen keletkez logfjlok, ezen kvl ellenrzik a fjlrendszer integritst, a rendszer-processzek vgrehajtst s esetleg mg egyebeket is.
Mkds
Monitorozand erforrsok, ill. a kapcsold veszlyszintek meghatrozsa Referencia adatbzis felptse Rendszeres ellenrzs Legitim vltozs esetn a referencia adatbzis frisstse
A host alap rendszereket a hlzat szmtgpeire teleptik. Informciforrsaik a rendszeren tallhat fileok, a naplzott adatok s a fut alkalmazsokra vonatkozott adatok. A host alap IDSek teleptse eltt meg kell hatrozni a megfigyelni kvnt erforrsokat, ill. az ezekhez kapcsold veszlyszinteket. Ezekbl aztn fel kell pteni egy olyan referencia adatbzist, amely a normlis llapot jellemzit tartalmazza. A mkds sorn az aktulis llapot kerl sszehasonltsra a referencia adatbzissal, s a klnbsgek alapjn trtnik meg a figyelmeztets. Termszetesen ha egy esemnyrl kiderl, hogy az mgis legitim volt, akkor a vltozsokat be kell vezetni az adatbzisba.
IHM-MTA-E4-3.doc
269/296
MTA SZTAKI; E4 - 4671/4/2003
167.
HIDS rendszerek (2)

HIDS rendszerek vdelme Behatols esetn a referencia adatbzis, ill. a HIDS maga is megvltoztathat. Vdekezs
Nem rhat referencia adatbzis, binris (CD-ROM, hlzat Azonnali loggols tvolra (egyirny csatornn), emailben, nyomtatra Kls referencia adatbzis (debsums, rpm --verify)
- 167 -
2006 mjus
HIDS rendszereknl tekintettel kell lenni arra, hogy a host kompromittldsa esetn az IDShez is hozzfr a tmad, gy lehetsge van nyomai elleplezsre. Ez ellen tbbflekppen lehet vdekezni: Nem rhat helyen trolt referencia adatbzissal: cd-rom, csak olvashat hlzati meghajt, stb. Termszetesen az adatbzis gyakori vltozsnl ez knyelmetlensget okozhat. Azonnali naplzs egyirny (vagyis csak egyszer rhat) csatornn, pl. e-mail, nyomtat. Bizonyos esetekben, pl. Linux disztribciknl rendelkezsre ll fggetlen referencia adatbzis.
IHM-MTA-E4-3.doc
270/296
MTA SZTAKI; E4 - 4671/4/2003
168.
HIDS rendszerek (3)

Elnyk
Monitorozhat a felhasznlk tevkenysge, a fjlokon vgzett mveletek. Lehetv teszi a rendszerkomponensek figyelst, mint pl. Windows esetn a Registry vagy fontos DLL-ek monitorozsa. A kdols hasznlata a NIDS-et egyes tmadsokkal szemben rzketlenn teheti, a HIDS-et pedig nem. A HIDS futatshoz nem hasznlnak kln hardvert, gy olcsbb lehet a NIDS-nl. Megllapthat egy tmads sikeressge, ill. rszletesebb informcik szerezhetk rla.
IHM-MTA-E4-3.doc
271/296
MTA SZTAKI; E4 - 4671/4/2003
169.
Tripwire
Kritikussgi tpusok
SEC_CRIT fjlok, amelyek soha nem vltozhatnak SEC_BIN fjlok, amelyeknek nem kellene vltozniuk SEC_CONFIG ritkn vltoz, de gyakran olvasott konfigurcis fileok SEC_LOG Folyamatosan nvekv, de sosem tulajdonost vltoztat fjlok SEC_INVARIANT knyvtrak, melyeknek sosem vltozik a tulajdonosuk, vagy a jogosultsgaik
- 169 -
2006 mjus
A fenti felsorols a Tripwire nev HIDS osztlyozsi rendszert mutatja be. Termszetesen lehetsg van ezeknek a megvltoztatsra, ill. jak ltrehozsra.
IHM-MTA-E4-3.doc
272/296
MTA SZTAKI; E4 - 4671/4/2003
170.
NIDS rendszerek (1)

A NIDS az adott hlzati szegmens adatforgalmt monitorozza. Msik szegmens forgalmnak elemzsre, illetve ms kommunikcis eszkz (pl. telefonvonal) forgalmnak figyelsre ltalban nem alkalmas. NIDS hlzatba illesztse HUB SPAN port Tap (forgalom legaztats)
- 170 -
2006 mjus
A hlzati IDSek (NIDS) egy adott hlzati szegmens forgalmt figyelik, s ebben keresnek behatolsra utal nyomokat. Mivel jelenleg a tipikus szmtgp hlzatok mikroszegmentltak (switcheltek), ezrt meg kell oldani, hogy a NIDShez a hlzat teljes forgalma eljusson. Erre hromfle mdszer addik: A csatlakozsi pont s a hlzat kz egy HUB segtsgvel bekthet a NIDS. Ezen megolds azonban teljestmny- s megbzhatsgbeli problmkat jelenthet. Komolyabb switchek kpesek bizonyos portjaikra a teljes forgalmat kivezetni (span port), ill lehetsg van a direkt forgalomgaztatsra ksztett eszkzk (un. tap-ek) hasznlatra.
IHM-MTA-E4-3.doc
273/296
MTA SZTAKI; E4 - 4671/4/2003
171.
NIDS rendszerek (2)

Elnyk
Elg a hlzat kritikus pontjaira telepteni. A hlzaton thalad csomagok fejlct s tartalmt is ellenrzi, gy olyan jelleg tmadsokat is rzkelhet, amit a HIDS nem. A gyans forgalmat vals idben kezeli, gy nagyobb az esly a tmad beazonostsra, valamint gyorsabb vlaszok adhatk, akr a tmads befejezse mg meg is akadlyozhat. Ha a tzfalon kvlre helyezik a NIDS-et, a rosszindulat ksrlet amit a tzfal klnben megszr is rzkelhet. szlelrendszere tbbnyire opercis rendszertl fggetlen.
IHM-MTA-E4-3.doc
274/296
MTA SZTAKI; E4 - 4671/4/2003
172.
NIDS technikk
Mintailleszts llapotfgg mintailleszts Heurisztikn alapul elemzs (statisztikai becslsek) Rendellenessgen alapul elemzs Profil alap Protokoll alap Trend elemzs Statisztikai rendellenessg Protokoll-dekdol elemzs
IHM-MTA-E4-3.doc
275/296
MTA SZTAKI; E4 - 4671/4/2003
173.
Snort (1)
Felpts
csomag-begyjt egysg (packet capturing) csomag dekdol (packet decoder) elfeldolgoz egysgek (preprocessor) detektl egysg (detection engine) zr egysgek (output plugins)
Hlzati forgalom
Elfeldolgoz egysgek... (preprocessor) Csomag-begyjt egysg (libpcap) Csomagdekdol egysg (decoder) Elfeldolgoz egysgek (preprocessor)
Detektl egysg (detection) Zr egysg (output plugin)
- 173 -
2006 mjus
IHM-MTA-E4-3.doc
276/296
MTA SZTAKI; E4 - 4671/4/2003
174.
Snort (2)
Csomag-begyjt egysg
Kls fggvnyknyvtr (libpcap) platformfggetlen Teljestmny korltok (egyszerre egy csomag)
Csomag dekdol
klnbz fejlcek (Ethernet, IP, TCP) eltvoltsa s megrtse Adatstruktra felptse
Elfeldolgoz egysgek
Adatstruktra optimalizlsa signature illesztshez Egyb tmadsok felismerse
A Csomag-begyjt egysg feladata a csomagok begyjtse az az opercis rendszertl. A Snort a libpcapet hasznlja, ami sok platformon elrhet, htrnya, hogy prhuzamos feldolgozsra mg alkalmatlan. A dekdol egysg feladata a csomagok fejlceinek eltvoltsa, ill. a ksbbiekben hasznlhat adatstruktra felptse. Az elfeldolgoz egysgek adatstruktra optimalizcit vgeznek a mintaillesztshez, ill. bizonyos ltalnos tmadsi formk felismerse is itt trtnik meg.
IHM-MTA-E4-3.doc
277/296
MTA SZTAKI; E4 - 4671/4/2003
175.
Snort (3)
Elfeldolgoz egysgek Frag2, Frag3 IP defragmenter
Stream4 TCP stream sszellts, elemzs Flow univerzlis llapotgp Portscan, Flow-Portscan, sfPortscan IP, TCP, UDP portscan, porsweep detector (decoy s distributed is) Telnet Decode telnet sessionok sszelltsa RPC Decode RPC defragmenter HTTP Inspect http dekder, mg llapotmentes
IHM-MTA-E4-3.doc
278/296
MTA SZTAKI; E4 - 4671/4/2003
176.
Snort (4)
Detektl egysg
A mr elksztett adatstruktrkat (csomagokat) a detektl a szablyrendszeren tfuttatja, s ha az a szably feltteleinek megfelel, akkor a szablyban lv akci vgrehajtdik. Szably rszei Fejlc: akci, forrs- s cl cmek, maszkok, portok Opcik: riaszts zenetek, ill a signature, s a r vonatkoz meta-adatok Ha egy szably illeszkedett a csomagra, a feldolgozs megll, ezrt a sorrend is fontos.
IHM-MTA-E4-3.doc
279/296
MTA SZTAKI; E4 - 4671/4/2003
177.
Snort (5)
Zr egysg
Feladata az adatok kimeneti formjnak meghatrozsa
Kimeneti lehetsgek
Syslog Gyors log minimlis, egy soros logok Teljes log Teljes fejlc, ill. a teljes csomagok IPnknt Unix socket IPChez Tcpdump log formtum CSV Unified binris formtum, gyors, kt rszbl fejlc, ill. rszletes csomaginf Prelude Null
IHM-MTA-E4-3.doc
280/296
MTA SZTAKI; E4 - 4671/4/2003
178.
ACID
Analysis Console for Intrusion Databases Snort frontend Funkcik
Lekrdezs Riaszts keress a riaszts metaadatai, ill. a kapcsold hlzati adatok alapjn Csomag megjelent a 3. s 4. rtegbeli csomag informcik grafikus megjelenttse Riaszts management logikai csoportosts, fals poztv trls, e-mail export, adatbzis archivls Statisztika s grafikon generls
- 178 -
2006 mjus
A Snort rengeteg informcit naplz, aminek ttekintse nehzkes. Ebben nyjt segtsget az Analysis Console for Intrusion Databases. Az ACID egy webfellet frontend a snort ltal naplzott adatok ttekintshez. Kpes klnbz szempontok szerinti lekrdezsekre, riaszts-management funkcikkal rendelkezik (logikai csoportosts, archivls, stb.), statisztikkat kszt, ill. kpes grafikusan megjelenteni az adatbzisban tallhat csomagokra vonatkoz 3. s 4. rtegbelii informcikat.
IHM-MTA-E4-3.doc
281/296
MTA SZTAKI; E4 - 4671/4/2003
179.
HIDS/NIDS gyengesgek
az IDS-ek korltai:
hamis pozitv eredmnyt adhatnak, azaz tmadst jeleznek, ha nincs is tmads, hamis negatv eredmnyt adhatnak, azaz nem jeleznek, pedig tmads trtnik, nagyszabs tmads megbnthatja az IDS-t, nagysebessg hlzat vdelmre ma mg korltozottan alkalmasak, nem helyettestik a jl konfigurlt tzfalat, a biztonsgi szablyzatot s a rendszeres biztonsgi ellenrzseket.
- 179 -
2006 mjus
A HIDS/NIDS rendszerek hasznlata minden egyb intzkedshez hasonlan bizonyos kockzatokkal jr, amelyekkel szmolni kell. Egyrszt fals pozitv eredmnyeket adhatnak. Ez akkor jelent problmt, ha ezekbl tl sok van, egyrszt mert eltereli a figyelmet az igazi tmadsokrl, msrszt mert komoly erforrs s idvesztesg ezeknek a feldolgozsa, ill. reaktv rendszerek esetn vezethet hibs intzkedshez. Fals negatvok is keletkeznek, vagyis bizonyos problmkat nem vesz a rendszer szre. (Pl. a visszalst felismer rendszerek mkdsi modelljkbl addan nem alkalmasak ismeretlen mdszerrel trtn behatolsok detektlsra.) Fontos, hogy ne alakuljon ki hamis biztonsgrzet a felhasznlban, s tudatostsa, az IDS rendszerek hasznlata nmagban nem megolds. A nagy szmtsi teljestmny miatt bizonyos NIDSek kiemelten rzkenyek a DOS tpus tmadsokra.
IHM-MTA-E4-3.doc
282/296
MTA SZTAKI; E4 - 4671/4/2003
180.
Honeypotok (1)
Olyan informatika erforrs, melynek rtke annak nem legitim hasznlatban rejlik. Vagyis nem nyjt semmilyen szolgltatst, brmilyen vele trtn kommunikci gyansnak tekinthet. Elnyk:
Kevs, de relevns adat Alacsony erforrsigny A kdolt forgalom nem akadlyozza a mkdst tfog informcik behatolsi technikkrl Egyszer technolgia
A honeypot rendszerek olyan rendszerek, amelyek csaliknt vannak kihelyezve, nincsenek vals funkciik, szolgltatsaik, ezrt a rendszerhez trtn sszes hozzfrs elve gyans. Ezen technika elnye, hogy kevs, de relevns adatot szolgltat, a HIDSekhez kpest lnyegesen alacsonyabb erforrsignyekkel rendelkezik, nem jelent problmt a kdolt csatornk hasznlata.
IHM-MTA-E4-3.doc
283/296
MTA SZTAKI; E4 - 4671/4/2003
181.
Honeypotok (2)
Htrnyok
Nem lthat a mshova irnyul forgalom Biztonsgi kockzatok
Osztlyozs
Low interaction
lt. emullt szolgltatsok / hosztok / hlzatok
High interaction
Valdi (de az les krnyezettl elklntett) hosztok.
- 181 -
2006 mjus
A honeypot rendszereknek termszetesen htulti is vannak: egyrszt csak az a forgalom jelenik meg rajtuk, aminek k voltak a cmzettjei, vagyis nmagban nem alkalmas teljes kr behatols detektlsra, ill. (az esetenknt szndkosan rosszul vdett) hamis rendszerek beptse a hlzatba biztonsgi kockzatot jelent. A honeypotokat kt csoportba szoks sorolni: low ill. high interaction rendszerek.
IHM-MTA-E4-3.doc
284/296
MTA SZTAKI; E4 - 4671/4/2003
182.
Honeypotok (3)
Low interaction honeypot (honeyd)
Emullt szolgltatsok Emullt hlzati stack
Elnyk
Knyebb telepthetsg Alacsony kockzati szint
Htrnyok
Kevesebb informci Csak mr ismert problmk kezelsre alkalmas Knnyebb felismerni
- 182 -
2006 mjus
A low interaction rendszerek lt. szolgltatsokat, szmtgpeket, hlzatokat emull programok. Az egyik legismertebb ilyen a honeyd nev szoftver, ami a fentieken fell kpes klnbz opercis rendszerek hlzati stackjnak emullsra (az nmap adatbzisa alapjn), vagyis kpes elrejteni, a host opercis rendszer identitst. Ezen rendszerek elnye, hogy vannak ksz megoldsok, amelyek viszonylag knnyen bellthatak, ill. mivel emulcirl van sz, lnyegesen alacsonyabb a kockzati szint. Htrnyuk, hogy kevesebb informcihoz jutunk, csak ismert problmkat tud kezelni (hiszen az emulcit csak mr ismert esetre lehet rni), ill. az emulci felismerse knnyebb, mintha valdi rendszereket hasznlnnk.
IHM-MTA-E4-3.doc
285/296
MTA SZTAKI; E4 - 4671/4/2003
183.
Honeypotok (4)
High interaction honeypotok (honeynets)
Valdi rendszerek Nem termk, architektra
Elnyk
Tbb informci Teljesen nyitott krnyezet, elfelttelezsek nlkl - lehetsg ismeretlen technikk megismersre
Htrnyok
Bonyolult, nehezen tervezhet Magas kockzati szint tovbbi vdelem szksges
A high interaction rendszereknl nincsenek ksz termkek. Itt arrl van sz, hogy valdi szmtgpekre teleptnk valdi szoftvereket, amelyek igazbl nyjtanak szolgltatsok, s esetleg igazi hlzatokba vannak rendezve, de egyb clra ezeket nem hasznljuk. Ilyen hlzatok sszefogsa pl. a honeynet projekt. Ennek elnye, hogy lnyegesen tbb ismeretet lehet begyjteni, ill. mivel egy ilyen rendszer teljesen nyitott, mindenfle elfelttelezstl mentes, lehetsget nyjt az eddig ismeretlen tmadsi mdszerek megismersre. Htrnya egyrszt, hogy komoly hozzrtst ignyel, ilyen rendszerek ptse egyltaln nem trivilis, s meglehetsen kltsges, igazbl csak kutatsi clokra hasznlhat. Tovbb tekintve, hogy itt valdi rendszerektl van sz, a biztonsgi kockzatok meglehetsen magasak.
IHM-MTA-E4-3.doc
286/296
MTA SZTAKI; E4 - 4671/4/2003
184.
Honeypotok (5)
Felhasznlsi terletek
les rendszerekben
ltalban low-interaction Megelzs
Stickey honeypots automata scanek, wormok lasstsa, meglltsa Humn tmad lasstsa, esetleg szndktl is eltrt
szlels Vlaszlps segtse
Kutatsi clokkal
Informcigyjts ltalban high-interaction
Honeytokens
Hamis adatok elrejtse
A honeypot rendszerek fbb felhasznlsi terletei a kvetkezk: les rendszerekben szlelsre, megelzsre lehet ket hasznlni, klnbz trkkkkel az automatk mkdst jelentsen le lehet vele lasstani, ill. plusz adatokkal szolgltathat az esetleges vlaszlpsek megttelhez. Ilyen clokra ltalban low intercation rendszereket hasznlunk. Kutatsra is remekl hasznlhat, j mdszer a friss tmadsok felismersre. A gondolat egy msik igen rdekes lehetsges felhasznlsi terlete a honeytokenek bevezetse. Ezek hamis adatok les rendszerben val elhelyezst jelentik (pl. hres emberek szerepeltetse adatbzisokban), amivel valamilyen szinten szrhet az egybknt megbzhatnak tartott felhasznlk esetleges rosszindulat tevkenysgnek felismerse.
IHM-MTA-E4-3.doc
287/296
MTA SZTAKI; E4 - 4671/4/2003
185.
RTIR (1)
Request Tracker: ltalnos ticketkezel rendszer RT for Incident Response (RTIR): kifejezetten a CERT/CSIRT jelleg tevkenysgek munkatmogatsra kialaktva, JANET Cert rszre Felpts
Bejelentsek Problmk Vizsglatok Blokkok
A kvetkezkben rviden megismerkednk Az RTIR nev ticketing rendszerrel, amelyet kifejezetten az CSIRT jelleg tevkenysgekkel kapcsolatos feladatok megknnytsre fejlesztettek. Az RTIR egy web alap rendszer, amiben a nyitott jegyek (ticketek) ngy csoportba sorolhatak: A bejelentsek a nyers berkez adatokat tartalmazzk, a problmk a vals megllaptott problmkat (amikrl tbb bejelents is rkezhetett), a vizsglatok a problmk kapcsn esetlegesen felmerlt kls kommunikcik (pl. szolgltatkkal) nyilvntartsra szolgl, a blokkok pedig a sajt hlzat zemeltetssel folytatott kommunikcira val. Termszetesen a rendszer tud minden olyan alapfunkcit, amely egy ticketing rendszertl elvrhat, mint jegyek kztti relcik, keressek, szrsek, stb.
IHM-MTA-E4-3.doc
288/296
MTA SZTAKI; E4 - 4671/4/2003
186.
RTIR (2)
- 186 -
2006 mjus
Az bra egy jegy lettjt kveti nyomon a rendszerben. Miutn a bejelents berkezik a rendszerbe (s tesik az esetleges elzetes automata vizsglatokon, pl. spam s vrusszrs) bekerl a bejelentsek kz. Itt el kell dnteni, hogy kezelend krdsrl van-e sz, s ha igen, akkor ismert problmhoz kapcsoldike? Problma esetn meg kell tenni az esetlegesen szksges lpseket a sajt hlzatunkban, ill. le kell folytatni a kls felekkel trtn kommunikcitt, ha erre szksg van a problma elhrtshoz. Vgl a jegyet le kell zrni..
IHM-MTA-E4-3.doc
289/296
MTA SZTAKI; E4 - 4671/4/2003
187.
RTIR (3)
Tovbbi szolgltatsok
Csoportos rtestsek ltrehozsa, akr whois alapjn is Integrlt hlzati lekrdez eszkzk (traceroute, whois) Vlheten kapcsold jegyek keresse Testreszabhat automatikus esemnyek (scrips) Automatikus statisztikk
- 187 -
2006 mjus
IHM-MTA-E4-3.doc
290/296
MTA SZTAKI; E4 - 4671/4/2003
188.
Szmtgpes nyomelemzs
Incidens adatainak hivatalos rgztse
Trvnyi eljrshoz Bels vizsglathoz
Alapvet megfontolsok
Az eredeti bizonytk minimlis kezelse Teljes kr dokumentci Hazrdrozs kerlse Nem rintett, de elkerlt bizalmas adatok kezelse
- 188 -
2006 mjus
A kvetkezkben azt tekintjk t, hogy milyen alapvet elvrsoknak kell megfelelni, ha egy incidenssel kapcsolatban nyomrgztsre van szksg, akr bels vizsglathoz, akr jogi eljrshoz. A mai magyar jogi gyakorlatban sajnos nincs egyrtelmen rendezve a digitlis bizonytkok kezelsnek mdja, az ilyen dntsek igazsggyi szakrti vlemnyek alapjn meglehetsen eseti jelleggel trtnnek. Ezrt nagyon fontos a munka pontos dokumentlsa.
IHM-MTA-E4-3.doc
291/296
MTA SZTAKI; E4 - 4671/4/2003
189.
Szmtgpes nyomelemzs
A gp s az adatok biztonsgba helyezse
Az elemzst, ha csak lehet, nem az les rendszeren kell vgezni => msolatok Adatok begyjtse a krnyezetbl (merevlemezek, diskek, pendriveok, biztonsgi tokenek, rott utastsok) On-line adatrgzts Lekapcsols Fizikai vdelem keresse Hardwer konfigurci dokumentlsa Merevlemezek msolata
Teljessg Pontossg
IHM-MTA-E4-3.doc
292/296
MTA SZTAKI; E4 - 4671/4/2003
190.
ToReS
program elzetes teleptst nem ignyl futtatsnak lehetsge Egyszer, rszben automatikus hlzati konfigurci a kezd felhasznlk munkjnak megknnytse rdekben Szmos szolgltats futtatst biztost kiszolgl alkalmazsok Hlzati biztonsg fokozsra figyelemmel elzetesen belltott konfigurcis llomnyok Utlagos adatmentst, bizonytk-gyjtst tmogat segdprogramok A bvts, frissts, mdosts lehetsge nyitott
Tbb szz, szabadon felhasznlhat, rendszerezett
IHM-MTA-E4-3.doc
293/296
MTA SZTAKI; E4 - 4671/4/2003
191.

http://www.snort.org http://www.cert.hu/szabaly/ http://sysinternals.com
- 191 -
2006 mjus
IHM-MTA-E4-3.doc
294/296
MTA SZTAKI; E4 - 4671/4/2003
192.
Kapcsolatfelvtel
MTA SZTAKI, Hlzatbiztonsgi osztly
1518 Budapest, Pf. 63 1111 Budapest, Lgymnyosi utca 11. Tel: (1) 279-6222 http://nsd.sztaki.hu
Hun-CERT
http://www.cert.hu
btoth@sztaki.hu becz@sztaki.hu don@sztaki.hu mcree@sztaki.hu tiszai@sztaki.hu (Tth Beatrix) (Becz Tams) (Psztor Szilrd) (Rig Ern) (Tiszai Tams, ov.)
- 192 -
2006 mjus
IHM-MTA-E4-3.doc
295/296
MTA SZTAKI; E4 - 4671/4/2003
193.
Ksznjk a figyelmet!
2006 mjus
IHM-MTA-E4-3.doc
296/296

Az Informatikai Hálózati Infrastruktúra Biztonsági Kockázatai És Kontrolljai

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Az Informatikai Hálózati Infrastruktúra Biztonsági Kockázatai És Kontrolljai

Uploaded by

Copyright:

Available Formats

Az informatikai hlzati infrastruktra biztonsgi kockzatai s kontrolljai

Kszt: Sttusz: Utols ments:

MTA SZTAKI Harmadik mrfldk lezrsa; nyilvnos! 2006-05-14

IHM MTA-SZTAKI, 2006.

MTA SZTAKI; E4 - 4671/4/2003

1.1 Rviden a tartalomrl s a clokrl

MTA SZTAKI; E4 - 4671/4/2003

1.2 Szerzi jogi nyilatkozatok

MTA SZTAKI; E4 - 4671/4/2003

MTA SZTAKI; E4 - 4671/4/2003

MTA SZTAKI; E4 - 4671/4/2003

MTA SZTAKI; E4 - 4671/4/2003

MTA SZTAKI; E4 - 4671/4/2003

1.2 Helyzetkp s felmerlt ignyek

MTA SZTAKI; E4 - 4671/4/2003

1.3 Trtneti ttekints

1.4 Ms hazai CERT-ek

MTA SZTAKI; E4 - 4671/4/2003

MTA SZTAKI; E4 - 4671/4/2003

MTA SZTAKI; E4 - 4671/4/2003

MTA SZTAKI; E4 - 4671/4/2003

A Szervezet ltal nyjtott szolgltatsok

Tblzat 1. Szolgltatsok csoportostsa s besorolsa

MTA SZTAKI; E4 - 4671/4/2003

MTA SZTAKI; E4 - 4671/4/2003

Egyes licenc-szerzdsek ezt tiltjk, gy erre figyelemmel kell lenni.

MTA SZTAKI; E4 - 4671/4/2003

MTA SZTAKI; E4 - 4671/4/2003

MTA SZTAKI; E4 - 4671/4/2003

2.2 Jelentsek, statisztikk

MTA SZTAKI; E4 - 4671/4/2003

2.4 Kapcsold terletek, egyb szolgltatsok

MTA SZTAKI; E4 - 4671/4/2003

MTA SZTAKI; E4 - 4671/4/2003

Gazdasgi 1. Gazdasgi felels

Mszaki 1. M szaki felels

M szakvezet 1. Mszakvezet nappal (08-20)

M szakvezet 2. Mszakvezet jjel (20-08)

Opertor 1'. Opertor-csapat

Opertor 2'. Opertor-csapat

bra 1. ltalnos szervezeti felpts

3.1 A beosztsok rvid lersa

MTA SZTAKI; E4 - 4671/4/2003

3.2 Szakrtk s szakemberek

MTA SZTAKI; E4 - 4671/4/2003

3.3 Bels oktats

MTA SZTAKI; E4 - 4671/4/2003

MTA SZTAKI; E4 - 4671/4/2003

4.1 Informatikai eszkzk

4.2 Informatikai rendszert kiszolgl eszkzk

MTA SZTAKI; E4 - 4671/4/2003

4.4 RTIR Az incidenskezel eszkz

MTA SZTAKI; E4 - 4671/4/2003

MTA SZTAKI; E4 - 4671/4/2003

MTA SZTAKI; E4 - 4671/4/2003

MTA SZTAKI; E4 - 4671/4/2003

bra 2. Bejelentsek kezelsnek folyamata

MTA SZTAKI; E4 - 4671/4/2003

MTA SZTAKI; E4 - 4671/4/2003

bra 3. A bejelentsek kezelsnek munkafolyamatai

MTA SZTAKI; E4 - 4671/4/2003

bra 4. Jegytpusok keletkezsi lehetsgei

MTA SZTAKI; E4 - 4671/4/2003