Harmadik lépés: felügyeljük hatékonyan a felhasználókat

Egy felhasználónak jellemzően több azonosítója is van, annak ellenére, hogy ez neki is és a hálózati rendszergazdának is többletmunkát, problémát, biztonsági kockázatot okoz. Gyakori, hogy a helyzet nem is róható fel a felhasználónak, mert régebbi, öröklött rendszerekbe kell belépnie. Nos, a régi rendszereknek új trükköket kell betanítani: az egyik ilyen az NDS Authentication Services:
( http://developer.novell.com/nss_profile.jsp?product_key=79958 ). Ez a megoldás akkor is szinkronizálja az alábbi rendszerekbeli jelszavakat, ha a nevek különbözők:

• AIX
• FreeBSD
• HP-UX
• Linux
• OS/390
• Solaris
• WindowsNT/2000

A másik megoldás a Novell DirXML ( http://www.novell.com/poroducts/nds/dirxml ). Nemcsak a neveket és jelszavakat szinkronizálja, hanem egyéb, a felhasználókhoz rendelt adatokat is. Például, ha a címek és telefonszámok megváltoznak egy Oracle adatbázisban, a DirXML elküldi a változást az eDirectorynak és/vagy egyéb adatbázisoknak, adott esetben a cég levelezőrendszerének is.

Valójában az eDirectory és a DirXML az alapja a Novell „0. napi kezdés” (Zero Day Start) kezdeményezésének. Ez az eProvisioning (elektronikus erőforrás-kiosztási) megoldás szabványt teremt a különböző rendszerek vállalaton belüli szinkronizálásában. Segítségével az újonnan belépett Novell-alkalmazottak már az első napon produktívak lehetnek. A személyi adatokat csak egyszer kell bevinni, majd azok automatikusan szinkronizálódnak a különféle rendszerekben. Ez a folyamat a hagyományos (kézi) módszerekkel napokat, olykor heteket vett igénybe. Logikusan következik az eddigiekből, hogy a kiléptetés is csak néhány egérkattintást igényel.

A NetVision Synchronicity ( http://www.netvision.com ) az eDirectoryt használja több Windows NT tartomány közötti szinkronizálásra és egy ponton történő hivatkozásra. E cég bejelentette a NetVision Policy Management Suite-t is, amely automatizálja a jelszavak szinkronizálásának folyamatát a különálló rendszerek között. A csomag parancsállomány-könyvtárat is tartalmaz a biztonsági irányelvek érvényesítéséhez.

Negyedik lépés: védjük a jelszavakat

Az a nyers igazság, hogy a legtöbb helyen – UNIX és nagygépes rendszerekben, webhelyeken – a jelszó az egyetlen azonosító eszköz. A felhasználók meg képesek olyan könnyen hozzáférhető helyeken tárolni jelszavaikat, mint egy képernyőre ragasztott cetli, egy bármikor elveszthető PDA vagy mobiltelefon. &Eeacute;s ez így is fog maradni, amíg nem találják meg a jelszókáoszt megszüntető egyszerű megoldást.

Egy válasz lehet a Novell SecureLogin, amely megvédi a céget az egyszerű, kitalálható, jelszónak látszó karaktersorozatok sokaságától.

Először is a SecureLogin egyetlen bejelentkezést nyújt webhelyekre, Citrix-kapcsolatokra, szerverekre, valamint Windows alkalmazásokhoz. Másodszor a SecureLogin egyéni, címtár-alapú irányelvek alkalmazását teszi lehetővé. Végül, mivel a felhasználói bizonyítványok a címtárban tárolódnak, minden olyan munkaállomásról elérhetők, melyeken a SecureLogin fut.

A SecureLogin révén alkalmazások tucatjai válnak alkalmassá automatikus jelszóérzékelésre, azaz csak minimális felhasználói beavatkozás szükséges a jelszavak megjegyeztetésére és előhívására. Ha az alkalmazás mégsem ilyen, a SecureLogin lefuttathat egy varázslót, mellyel létrehozhat egy egyszeri bejelentkezésű alkalmazást. Webes bejelentkezések esetén a SecureLogin megkérdezi a felhasználót, hogy emlékezzen-e a bizonyítványokra (névre, jelszóra, egyéb adatokra).

Természetes ellenvetés az egyszeres bejelentkezéssel szemben, hogy az az egyetlen bizonyítvány megnyitja az összes többit. A természetes megoldás pedig az NMAS használata, amely lehetőséget nyújt a többtényezős vagy fokozatos autentikációra, amelyekben biometrikus módszer is szerepelhet.

De mi történik, ha a felhasználó bejelentkezés után elhagyja a gépét, bármely arra járó szabad prédájául? Nos, a NMAS beállítható, hogy bizonyos inaktív idő után lezárja a munkaállomást, vagy a gép magától zárolódik, ha a felhasználó kiveszi az autentikációs eljárásba foglalt kártyát, kulcsot vagy egyebet kiveszi a helyéről. Annak megakadályozására pedig, hogy a felhasználó bennhagyhassa a kártyát a gépben, kombinálni kell azt a munkahelyétől távolabb eső helyeken való belépésre jogosító fényképes azonosítóval, vagy kulccsal. Ez a három körülmény (jelszó, kártya, "kiléptető" eszköz) jelszavak tucatjait helyettesítheti – biztonságosan.

Ötödik lépés: biztosítsuk a munkaállomásokat és a kiszolgáló-kezelőpultokat

Ma a munkaállomásokon is több adatot lehet tárolni, mint a szervereken öt évvel ezelőtt. A helyben, (fizikailag) megbízhatóan tárolt adatok két kockázatot is felvetnek: nem készül róluk biztonsági másolat, és a géppel együtt eltulajdoníthatók. A Novell ZENworks for Desktops automatikusan érvényesíthet olyan, csoportokra vonatkozó és "öröklődő" irányelveket, melyek automatikus biztonsági másolást írnak elő. Integráns része a ZENworks for Desktopsnak az Application Launcher, amely eDirectory bejegyzéshez köti, hogy egy adott alkalmazás ikonja egyáltalán megjelenik-e valamely dolgozó munkafelületén.

Ügymeneti feladat, hogy az érzékenyebb adatok kizárólag szervereken tárolódjanak – ahol például az iFolder segítségével titkosíthatók.

Nem számít biztonságosnak a hagyományos RCONSOLE segédprogram, mert belépési jelszavai nem titkosítottak. Az Adrem Software sfConsole 4.0 nevű terméke biztonságos elérést nyújt helyi vagy távoli szerverekhez, 128 bites titkosítású, eDirectory alapú autentikáción keresztül. Jelszóvédelmes képernyővédőt és billentyűzárolást is tartalmaz. Egyes felhasználóknak adhatunk korlátozott szerver-hozzáférési jogokat, megszabva, milyen parancsokat hajthatnak végre.

Hatodik lépés: biztosítsuk az adatokat

Az adatok természetesen arra valók, hogy használjuk, azaz legalább megtekinthessük és/vagy kinyomtathassuk azokat. Ha van hálózat, és mindenki mindenhez hozzáfér, a másolásuk is könnyű, az illetéktelen hallgatózó mindent megszerezhet egyetlen kábelkapcsolat segítségével. Két elemi lehetőségünk van: kizárjuk az elérésből azokat, akiknek nincs szükségük az adott információkra és/vagy titkosítjuk az adatforgalmat.

Novell NetWare környezetben a hozzáférést kötetek, alkönyvtárak és állományok szintjén kontrollálhatjuk. Az eDirectoryban korlátozhatjuk, hogy mely attribútumok vagy objektumok legyenek láthatók vagy módosíthatók. Ennek ellenére, ha a behatoló megszerez egy jelszót, vagy egy egész szervert (előfordul!), az adatok veszélybe kerülnek. Ezért feltétlenül szükséges az adatok titkosítása a hálózati forgalomban – és a merevlemezeken.

Már volt arról szó, hogy az NMAS egy biztonsági címkét rendel a NetWare-kötetekhez, amely megköveteli, hogy minden felhasználó – az adminisztrátorok is – meghatározott módon azonosítsa magát, mielőtt hozzáfér az adott köteten tárolt adatokhoz. Például ha a PENZUGY kötet címkéje Password&Token, akkor a felhasználónak legalább ilyen fokozatú jogosítással kell rendelkeznie a részvényárfolyamok megszemléléséhez. Ez a fokozat pedig egy jelszó és egy intelligens kártya (és annak PIN-je) használatát követeli meg a hozzáféréshez. Az NMAS-ban az autentikálás módja összefügg azzal, hogy a felhasználó mit tehet és mit nem.

A Novell iFolder biztonságosan szinkronizálja az adatokat a munkaállomások és a kiszolgálók között ( http://www.novell.com/products/ifolder ). Az érintett alkönyvtárakban tárolt adatok titkosításon esnek át, mielőtt átkerülnek a szerverre. Így, ha valaki ellopja a szervert, azon csak számára értelmezhetetlen információ lesz. Viszont az arra feljogosított felhasználók akár böngészőn keresztül is biztonságosan férhetnek hozzájuk. Az iFolder is SSL-t alkalmaz az átvitel védelmére.

Hatékony módszer az adatok védelmére a titkosítás. De hogyan győződhetünk meg arról, hogy nem is nyúltak hozzájuk? A titkosítás biztonságba helyezi az adatokat, a digitális aláírás segít az épségük fenntartásában. Ha egy e-mail vagy állomány digitális aláírást tartalmaz, a címzett biztos lehet benne, hogy a küldőtől érkezett, és sértetlen.

A digitális aláírás illetve a nyilvános kulcsú titkosítás taglalása túlmutat e cikk keretein. Lényege, hogy nem ugyanazzal a kulccsal történik a bekódolás (rejtjelezés, tikosítás), mint a kikódolás. A megbonthatatlanul (matematikailag) összetartozó kulcspár egyik fele lehet nyilvános, és szabadon közzétehető, mint például a telefonszám – bele is kerülhet az eDirectory adatbázisába. A másik, titkos felet – elektronikus aláírás esetében a küldőnél, biztonságos levelezés esetében a címzettnél – szigorúan őrizni kell, és csak különleges óvintézkedések mellett szabad bárhová továbbítani.

Miután a nyilvános kulcsok bekerültek az eDirectoryba, a Novell címtárszolgáltatásai segítségével ugyanúgy kezelhetők, mint bármilyen egyéb adat, objektum vagy attribútum. Például a GroupWise 6 tartalmaz olyan funkciókat, amelyek a nyilvános kulcsok használatát segítik: amikor egy felhasználó digitálisan aláírt üzenetet kap, és nincs meg neki a küldő nyilvános kulcsa, lekérheti azt a GroupWise segítségével az eDirectoryból, és feljegyezheti a saját címjegyzékébe (lásd a 4. ábrát).

4. ábra. A Novell GroupWise 6 segít a küldőt biztonságosan azonosító, és a küldemény épségét garantáló digitális aláírás alkalmazásba vételében

Bár a noteszgépek jobban segítik a mobil munkavégzést, mint valaha, egyben a legkevésbé biztonságos adattárolónak számítanak. &Eeacute;vente százezerszámra lopnak el noteszgépeket – átlagosan minden tizennegyediket – és legtöbbjükön védtelenek az adatok. Ha a noteszgép operációs rendszere megkövetel is valamilyen jelszót, a tolvajnak vannak eszközei a hozzáféréshez. Biztonsági másolat nélkül az adatok el is vesznek a géppel. A Novell ZENworks for Desktops irányelvei megkövetelhetik, hogy a cég a noteszgépinek merevlemezeiről rendszeresen készüljön biztonsági másolat, és fusson le rajtuk vírusellenőrzés. A Novell iFolder alkalmazása biztosítja, hogy az erre kijelölt adattartalom szinkronizálódjon a kiszolgálón lévővel. Így a noteszgépek széleskörű alkalmazása nem csökkenti a biztonságot.

Hetedik lépés: biztosítsuk az internetelérést

Amikor a felhasználók az interneten át kívánják elérni a belső erőforrásokat, a rendszergazdák indokoltan aggodalmaskodnak. Ha aztán a beszállítók és ügyfelek is kérik a hozzáférést, az már valódi kitárulkozás.

A védelem első vonala a védőgát (tűzfal, firewall). Azám, egyetlen eszköz, amely megóv a bajoktól és a rossz fiúktól egyaránt, sampon és kondicionáló egy flakonban...

Elénézést, ha túl gúnyos voltam, de a "tűzfal" az egyik leginkább félreértelmezett kifejezés a hálózatos világban. Nincs olyan eszköz, amely egymagában megvéd egy egész hálózatot, és tilos is egyetlen eszközre hagyatkozni a védelemben. A védőgát valójában rendszerek, szolgáltatások és irányelvek összessége, amelyek megvédik a belső hálózatot a behatolóktól és az adatvesztéstől. Ennél fogva egy védőgát-megoldás szoftvereket és hardvereket – szervereket, internet-átjárókat sőt, munkaállomásokat – egyaránt magába foglal. Ennek része kell legyen a behatolásjelző rendszer, az autentikáció és annak felügyelete, auditáló és megfigyelő eszközök, vírusok elleni védelem, valamint azok az irányelvek, melyek gondoskodnak arról, hogy a felhasználók be is tartsák a szabályokat.

Mielőtt megnyitjuk hálózatunkat a külvilág felé, meg kell határoznunk, mely rendszereket tesszük elérhetővé. Rá fogunk döbbenni, hogy csaknem mindent el kell érni az internetről, és miután a rendszerek egy része már most elérhetővé tehető a weben, vagy rövidesen ilyen lesz, meg kell oldanunk a felhasználók azonosítását böngészős kezelőfelület segítségével.

A Novell iChain olyan fogadó felületet helyez a vállalati erőforrások elé, amely megköveteli, hogy a felhasználók jelszóval, kártyával vagy egyéb módon azonosítsák magukat, ha hozzá kívánnak férni a háttérrendszerekhez. Ráadásul a http- (internetes) adatok automatikus titkosításon esnek át az iChain által létesített SSL kapcsolat révén. Azaz minden, a felhasználó és a webkiszolgáló közötti kapcsolat titkosítottá válik – anélkül, hogy a webkiszolgálóhoz hozzá kellene nyúlni.

Másfajta biztonságos tranzakciót végez a Novell BorderManager virtuális magánhálózat (VPN) kialakításával. Ebben minden ügyfél létrehoz egy biztonságos kapcsolatot a szerverrel. Autentikáció után a használó pontosan olyan kapcsolatot nyer az intranet felé, mintha benn lenne az irodájában. A szerverek közötti VPN-ek titkosítják az adatforgalmat, az internetet használva átviteli közegnek.

Az adatokat minden ponton védeni kell. Nem elég az internetes tranzakciók biztosítása, a háttérrendszerek védelme elengedhetetlen. Egyetlen olyan eset sem vált ismertté, amikor a hitelkártyaszámot egyetlen tranzakció alkalmával szerezték volna meg, általában az adatbázis egy részéhez vagy az egészhez fértek hozzá a behatolók. Mind az iChain, mind a BorderManager hatékony védelmet nyújt a háttérrendszerek számára.

Végszó

Ha az eDirectory a vállalati hálózatunk alapköve, akkor tudjuk, hogy ki a felhasználó (azonosítás), tudjuk, hogy hol van (helymeghatározás), hogyan jelentkezett be (autentikáció), és hogy mit "lát" (hozzáférés-vezérlés). Ezzel együtt a biztonság nem különösen vonzó. A legtöbb biztonsági projekt szigorítja felhasználók, munkaállomások és épületek ellenőrzését. Már csak emiatt is aggódnak az üzemeltetők, hogy a biztonság erőltetése rossz színben tünteti fel őket.

Minden szervezet állandóan ki van téve bizonyos fenyegetésnek, kívülről és belülről is. Az üzemeltetők feladata, hogy a kockázatot a lehető legkisebbre szorítsák vissza. Ne feledjük, hogy a biztonság nem állapot, hanem folyamat! Be kell szereznünk a legújabb javításokat, folyamatosan védeni kell rendszereinket a kockázatoktól, és üzemben kell tartani a legjobb biztonsági eszközöket – amelyeket cégünk megengedhet magának.

Azt is szem előtt kell tartanunk, hogy legfőbb értékünk maga az ember. Néha kicsit nehéz a "júzerekkel", de leggyakrabban ők vannak a védelem első vonalában. Kérjük fel őket, hogy vegyenek részt a biztonsági folyamatban! Egy példa: amikor novemberben a COMDEX-ről jöttem vissza repülővel, az egyik légi kísérő megkért, hogy ha valami történne, segítsek a személyzetnek. A bármikor bekövetkezhető váratlan események szép új világában mindenkinek van feladata.

(Alan Mark a Novell vezető biztonsági stratégája. 11 éve dolgozik a cégnél, és világszerte számos cég tanácsadója.)

Az informatikai rendszerek biztonsági értékelésének tízparancsolata

1. Létre kell hozni és fent kell tartani a hálózat naprakész sémáját annak meghatározása céljából is, hogy hol és miképpen lehetséges a behatolás. Bitvadász- (hacker-) eszközök segítségével kell feltárni a rendszer sebezhető pontjait – vagy fel kell bérelni megfelelő személyt/szervezetet erre a célra. (Ez a "legal hacking".)

2. Föl kell állítani az üzletmenet szempontjából kritikus kiszolgálók és rendszerek listáját, amelyben fel kell tüntetni a telepítés dátumát, a telepítő személyt és az alkalmazott javításokat. Rendszeresen látogatni kell a biztonsággal foglalkozó webhelyeket az aktuális fenyegetések megismerése és az ellenük létrehozott javítások beszerzése céljából.

3. Fel kell állítani minden rendszergazda és hálózatüzemeltető számára kötelezően betartandó irányelveket. Az első és legfontosabb irányelv, hogy mindig telepítsük a használt szoftverek legfrissebb javításait. Szerepelnie kell az irányelvek között annak, hogy kövessék a gyártók vonatkozó levelezőlistáit, továbbá hogy rendszeresen változtassák a jelszavakat, vagy használjanak hardveres – mágnes- vagy aktívkártyás – autentikáló eszközöket. Annak is egyértelműnek kell lennie, hogy mely rendszernek ki(k) a felelőse(i), és milyen adatok vannak a rendszerben.

4. Létre kell hozni azokat a dokumentumokat, amelyek meghatározzák az alkalmazottak számára az információs rendszerek rendeltetésszerű használatát. Ezekben például fel kell sorolni azokat a teendőket, amelyeket egy felhasználónak el kell végeznie, ha gépén vírusfertőzésre gyanakszik. Meg kell határozni azt is, hogy milyen feltételekkel közölhetik egymással jelszavaikat, mit kell tenniük, mikor munkahelyüket rövidebb-hosszabb időre elhagyják, és hogy miképpen kell kezelniük a bizalmas adatokat.

5. Ki kell értékelni, hogyan tárolódnak az adatok és hogyan érhetők el. Biztonságos-e az e-mail rendszer? Kerülhet-e bizalmas adat helyi merevlemezre (nevezetesen: noteszgépre) úgy, hogy nincs biztonsági másolata valamely szerveren? Titkosítottak-e a hálózaton közlekedő adatok? Ha egy tároló adatai titkosítottak, hogyan érhetők el, amikor használójuk kilép, vagy beteg? Mi a következménye, ha egy noteszgépet ellopnak vagy tönkremegy?

6. Meg kell határozni, mi a következménye, ha elektronikus támadás miatt le kell kapcsolódni az internetről?

7. Meg kell határozni, mi a következménye, ha tűz vagy egyéb katasztrófa éri az adatközpontot. Lehetséges-e valamilyen alternatíva beindítása?

8. Meg kell határozni, mi a következménye, ha elvesztünk egy kulcsfontosságú alkalmazottat betegség vagy elhalálozás miatt?

9. Elektronikus auditálás és megfigyelés alá kell helyezni a vállalat összes szerverét és címtárát. Részletes jelentéseket készít a felhasználók tevékenységéről és a hálózati történésekről például a Visual Click DSMeter és DSRazor (www.visualclick.com) és a NetVision DiretoryAlert (www.netvision.com). Számos hálózati eseményt rögzít az Adrem Software NetTrendje (www.adremsoft.com)

10. Jól fizetettek-e a hálózati rendszergazdák? A repülőtéri biztonsági őrök (megfigyelők) például kevesebbet keresnek, mint a gyorséttermek dolgozói, holott rajtuk is múlik az USA belföldi légi közlekedésének biztonsága. Fizetésük megemelése nem javítja a teljesítményüket, viszont jobb jelöltek fognak jelentkezni az állásokra. Ugyanez igaz a rendszergazdákra is. (Lásd: www.humanfirewall.org...)

Biztonsági és elérési megoldások a Novelltől

A hálózati erőforrásokhoz való hozzáférés szabályozása alapvető fontosságú a cég hálózati biztonságában. Miután a rendszerek többnyire vegyesek, valamint a különféle alapvető alkalmazások eltérő azonosító- és felügyeleti eszközöket használnak, az elérés szabályozása nehéz és időigényes feladat. A Novell biztonsági és elérési megoldásai segítenek az alkalmazások és platformok közötti korlátok megszüntetésében, amivel nagymértékben megkönnyítik a felhasználók és hálózati erőforrások felügyeletét. Ráadásul ezek a megoldások jobb védelmet nyújtanak az erőforrások és a bizalmas információk számára, valamint könnyebben elérhetővé teszik az alkalmazásokat és adatokat.

• Novell eDirectory ( http://www.novell.com/products/nds ): platformfüggetlen, az LDAP-nak megfelelő címtár, amely azonosító, autentikáló és hozzáférési adatok (például ujjlenyomatok) központi tárolóhelyeként szolgál. Magától értetődően az eDirectory a Novell biztonsági és elérési szolgáltatásainak alapja.
• Novell Account Management (http://www.novell.com/products/nds/accountmanagement ): ez az eDirectory-alkalmazás leegyszerűsíti és egységesíti a felhasználói adatcsomagok (profilok) kezelését Windows 2000-, NT-, Solaris- és Linux-szervereken. Vegyes rendszerben a minden operációs rendszerhez való külön azonosító helyett elegendő egyetlen eDirectory-bejegyzés, és egyetlen jelszó vagy egyéb felhasználó-igazolás, amellyel minden erőforrás elérhetővé válik.
• NDS Authentication Services ( http://developer.novell.com/nss_profile.jsp?product_key=79958 ): segítségével nem NetWare platformokra is kiterjeszthetők a Novell címtárszolgáltatásai (az NDS) nyújtotta hitelesítés. Szinkronizálhatók a NetWare, Windows 2000 és NT, Linux, Solaris, OS/390, és UNIX platformok alatti felhasználói adatok az eDirectoryban tárolt szabályok és irányelvek alapján.
• Novell Modular Authentication Service (NMAS) Enterprise Edition ( http://www.novell.com/products/nmas ): segítségével javítható a hálózati erőforrások védelme több autentikációs tényező – jelszó, ujjlenyomat-olvasó, írisz-letapogató, intelligens kártya, digitális tanúsítványok stb. – tetszőleges kombinálásával. Továbbá a NetWare kötetek védelme is fokozható az NMAS fokozat-szolgáltatásaival, amely a felhasználóktól a megfelelő sorrendben kéri a hitelesítési tényezőket az elérni kívánt erőforráshoz társított hitelesítési fokozattól függően.
• Novell SecureLogin ( http://www.novell.com/products/securelogin ): egyszeri bejelentkezési szolgáltatásokat nyújt szerverekhez, webhelyekhez, Citrix-kapcsolatokhoz és Windows-alkalmazásokhoz. Jelszó-szabályokat, címtár-alapú bejelentkeztető alkalmazásokat és a fenti NMAS támogatását foglalja magában.
• Novell iChain ( http://www.novell.com/products/ichain ): webalkalmazások és -erőforrások biztonságos elérését valósítja meg. Támogatja a több tényezős autentikációt, és nem követeli meg, hogy minden védett webkiszolgálóhoz külön ügynökprogram tartozzon.
• Novell BorderManager Enterprise Edition ( http://www.novell.com/products/bordermanager ): integrálja a külső és belső fenyegetések elleni védelmet, ellenőrzi a webhelykhez való hozzáférést, és felügyeli a cég adatainak elérését a távoli felhasználók felé. Az iChainhoz hasonlóan kisegítő gyorsítótárat (proxy cache-t) is tartalmaz.