Nagy Gyula: A személyes információszervezés hat alapelve, gyakorlati példákka...
Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztonságtechnikájának alapjairól
1. Pécsi Tudományegyetem
Felnőttképzési és Emberi Erőforrás Fejlesztési Kar
INFKBA07-L – Információtechnológia, könyvtárgépesítés B (könyvtári informatika V.)
Béres Csaba Zoltán
Néhány szó a személyi számítógépek és
hálózatok biztonságtechnikájának alapjairól
Ambrus Attila József
Informatikus könyvtáros – AL – 2. évfolyam. 2. félév
Pécs, 2009. május 10.
2. Bevezetés
Manapság a számítástechnika előretörésével egyre nagyobb jelentőséggel bír az
informatikai biztonság kérdése. A biztonság középpontjában áll az adatok által
hordozott információ, az az információ, amelyet a birtokosa mindenáron meg akar
védeni az illetéktelen „szemek” elől, és egyben az az információ, melyet a másik fél
adott eseben minden eszközzel igyekszik megszerezni vagy elpusztítani. Ezért az
informatikában a gép védelme szinte azonossá vált az adatok (az információ)
védelmével.
Egy „adattámadás” esetén sem a „védő”, sem a „támadó” nem ismerheti a másik
stratégiáját, egymásról minimális, vagy semmilyen információval sem rendelkeznek.
Az adatvédelmi filozófia szerint bizonyos, hogy a „védő” mindig többet veszíthet, mint
amennyit adott esetben a „támadó” nyer. Időrendben ábrázolva a támadási stratégia
megismerése után van lehetőség kidolgozni a védekezési eljárást (pl. a klasszikus
vírustámadás esetén). Így a megelőző védekezési stratégia, mindig egy már
megtörtént támadás meg(ki)ismeréséből építkezhet, ezért egy újfajta algoritmussal
szemben kevéssé védett, így csak követő-eljárásról beszélhetünk.
A fentiek ismeretében megérthetjük, hogy az adatvédelem nagyon kényes és
költségigényes folyamat. Azért nevezhetjük folyamatnak, mert tökéletes biztonság
nem létezik, így a biztonsági „réseket” folyamatosan kell „betömni”, ami állandó
anyagi/fizikai/szellemi ráfordítást és fejlesztést igényel.
„A biztonság akkor kielégítő mértékű, ha a védelemre akkora összeget és
olymódon fordítunk, hogy ezzel egyidejűleg a támadások kárvonzata, pontosabban a
kockázata (kárérték * bekövetkezési gyakoriság) az elviselhető szint alá süllyed...”1
Manapság, az elterjedt hálózatiasodottság világában sokfajta biztonságról kell
gondoskodnunk, ami nem feltétlenül egyetlen „munkagépet” foglal magában.
Figyelnünk kell a fizikai biztonságra (pl. a hardver zártsága/védelme, hűtés,
tűzvédelem stb.), elsődleges figyelmet kell fordítanunk az adatbiztonságra, a
szolgáltatás biztonságára. A folyamatos mentés és archiválás elengedhetetlen. A
szerver(ek) és maga a szerverszoba kialakítása is fontos tényező. Meg kell
vizsgálnunk a szoftverek biztonsági kockázatait/mutatóit. A lehetséges támadásokra
és a támadások különböző fajtáira is fel kell készülnünk. Fontos feladat a szerver(ek)
és a hálózat folyamatos rendelkezésre állása. Az alapvető négy tényező: biztonság,
gazdaságosság, teljesítmény és kényelem. Ezeknek a tényezőknek egymáshoz
szorosan kell illeszkedniük, bármelyik hiányában kockázati tényezőkről kell
beszélünk. A hálózati biztonság alapvető eleme, hogy a felhasználói jelszavakat
megfelelően titkosítsuk és védjük. Ez utóbbi fokozott figyelmet igényel, hiszen a
rendszer egyik gyenge és ezért támadható pontja lehet, mivel a rendszergazdán
kívül a felhasználói magatartásnak is nagy szerepe van ebben. A megfelelő
felhasználói jogokkal is óvatosan kell bánnunk. Hiszen ha „lakáskulcsot adunk” egy
felhasználónak, onnantól kezdve sohasem lehetünk biztosak abban, hogy a
megengedett „személyzeten” kívül más nem jár-e be a „lakásba”. A biztonság
humán-oldali kérdése a munkahelyi lojalitás is, azaz sok esetben az elégedetlen
(vagy elbocsájtott) kolléga okozhatja a legtöbb kárt (bosszúból vagy konkurens
„megkeresés” miatt).
A hálózaton „mozgó” adatforgalom titkosítása is kényes eleme a védekezésnek.
Jelenleg sokfajta titkosítási algoritmus elterjedt. Vannak egyszerűbbek és vannak
1
Bodlaki Ákos et all.: Informatikai rendszerek biztonsági követelményei (12. sz. ajánlás 1.0 verzió)
Miniszterelnöki Hivatal Informatikai Koordinációs Iroda Budapest, 1996.
URL: http://www.itb.hu/ajanlasok/a12/html/a12_1.htm (Letöltés: 2009. 05. 01.)
1
3. bonyolultabb eljárások. Fontos, hogy titkosításkor az adataink információs
veszélyeztetettségének megfelelő algoritmusokat használjunk (szimmetrikus kulcsú,
asszimetrikus kulcsú, digitális aláírások/bizonyítványok és különböző kombinált
titkosítás). A hálózati munka nagyon kényelmetlenné válhat, amennyiben a titkosítási
algoritmus nem megfelelő kiválasztásával „túllövünk a célon”, azaz fontos ismernünk
a védelmezendő információ biztonsági „fajsúlyát” (pl. atomerőmű vs. utcai
információs terminál).2
Bevezetőnkből megállapíthatjuk, hogy a támadások célja alapesetben a
következőkre terjedhet ki: az informatikai rendszer fizikai környezete és
infrastruktúrája, hardver rendszer, szoftver rendszer, kommunikációs, hálózati
rendszerek, adathordozók, dokumentumok és dokumentáció, külső/belső személyi
környezet. A következőkben áttekintjük a legalapvetőbb biztonsági kérdéseket.
Adatbiztonság
Adatmentés
Mivel a számítógépek korában digitális adatokról beszélünk, ezért manapság már
elavult mentési forma a „régen jól bevált” nyomtatás. Ellenben a digitális adatok
korlátlan számban sokszorosíthatók. Ez egy viszonylag egyszerű és nagyszerű
eljárás adataink védelmére (pl. biztonsági másolat vagy backup). Fontos hogy a
backup-olt vagy archivált adataink fizikailag az „anyagép”-től távol legyenek, mert
adataink, esetleg duplikált adataink egy épületben tárolása potenciális veszélyt
jelenthet. Az azonos épületben őrzött adatokra különböző veszélyek leselkedhetnek:
környezeti katasztrófák, elemi károk, eltulajdonítás, szándékos rongálás, lefoglalás,
szolgáltatások szünetelése, véletlen törlés, téves jogosultság szervezésből származó
adatvesztés, műszaki meghibásodás.
Fontos, hogy adatainkról átlátható időszakonként folyamatosan készítsünk
biztonsági mentéseket. Ez azért is célszerű, mert egy esetleges adatvesztés esetén,
könnyebben visszaállíthatjuk a „majdnem eredeti” állapotot. Nyilvánvaló, hogy minél
sűrűbb időközönként történik a backup-olás, annál nagyobb az adatvisszaállítási
sikeresség. Természetesen a két mentés közötti időszak (holtidő) adatai sajnos nagy
valószínűséggel elvesznek, ezért nem mindegy, hogy 1 napi munka ment kárba,
vagy esetleg egy féléves munkafolyamat. A nem jól átgondolt biztonsági mentés
vagy a mentés hiánya egy kisebb vállalatot akár teljességgel tönkretehet, de egy
nagyvállalatnál is pótolhatatlan veszteségeket okozhat. Bizonyos esetben törvényi
szabályozásban is előírt a biztonsági mentés időintervallumos (bizonyos óránkénti,
napi, heti, havi mentés) és módszertani (teljes vagy differenciált mentés)
kötelezettsége. (Egyetemek, különböző hivatalok és pénzintézetek adatainak
elvesztése beláthatatlan következményekkel járna.)
Azonban nem szükséges, hogy a munkahely keletkezésétől számított
adatmennyiséget állandóan magunk „előtt görgessük”, ezért a lezárt
munkafolyamatból adódó adatokat archiválással (adatmegőrzés) „kivehetjük” a
rendszerből. Ezzel hatékonyabbá válik az adatkezelésünk, tárhelyet és nem
utolsósorban időt nyerünk, hiszen csak a nyitott munkafolyamatokkal kell
foglalkoznunk.
2
Lásd a titkosítási algoritmusok rövid, közérthető bemutatását Software Online szoftverfejlesztői magazinban.
URL: http://www.softwareonline.hu/Article/View.aspx?id=2902 (Letöltés: 2009.05. 01.)
2
4. Adatvesztés megelőzése
A kár megelőzése az egyik legfontosabb szegmense a biztonságnak. A „Jobb félni,
mint megijedni!” közhelynek számító szlogen-mondat „életet menthet” a szó
legszorosabb értelmében. Amennyiben hardvereink fizikálisan jó állapotban és
biztonságosan működnek, akkor kisebb százalékban érhet bennünket kellemetlen
meglepetés. Sok esetben a legapróbb és legolcsóbb alkatrész a „leggyengébb
láncszem” a rendszerben, ezt tartsuk mindig szem előtt. Használjunk jó minőségű
tápegységet. Ha nem megfelelő minőségű, akkor könnyen túlfeszültségnek tehetjük
ki gépünket és a háttértára(ka)t is. Fontos lehet a szünetmentes áramforrás
használata is, hiszen ez megvédi gépünket a túlfeszültségtől is, és áramkimaradás
esetére elegendő időnk marad a szükséges mentések elvégzésére is. Fontos a
merevlemez megfelelő hűtésének biztosítása is. A mai merevlemezek hűtését a
gyártók már szavatolják (presztízs), de bizonyos esetekben nem árt a „rásegítés”.
Természetesen az előzőekben már tárgyalt biztonsági mentések fontosságára nem
elég ismételten is felhívni a figyelmet! Háttérkatasztrófa ellen jó megoldás lehet a
párhuzamos mentés (RAID-tömbös megoldás). Előnye mellett hátránya, hogy a
logikai hibákat is tükrözi az összes lemezre, ráadásul az esetleges tápegység
meghibásodásánál könnyen vezethet a gépünkben lévő háttértár sérülésére,
azonban amenyiben jó fizikai állapotban van a számítógépünk, ennek az esélye
elhanyagolható.
Adathozzáférés és jogosultság
A hozzáférés szigorúan fizikai (fizikailag hozzáfér-e a felhasználó a géphez,
adattároló eszközeihez) és jogosultsági (azonosító/jelszó) kérdés.
A hálózatokban előre definiált hozzáférési szintek szabályozzák a
felhasználóknak az adatokhoz való hozzáférést. Alapesetben ez egy azonosítónév
és egy jelszó párosításával megoldható. Mára már kényes kérdésnek tűnik azonban
az a fordított arányosság, hogy minél „kacifántosabb” egy jelszó, annál nagyobb
biztonságban vannak az adatok. Matematikailag természetesen tartható a fenti
állítás, azonban köztudott, hogy a humán-tényező rendesen „lebonthatja” ezt a
biztonságot. A felhasználók (userek) a nehéz jelszavakat képtelenek megjegyezni,
ezért sokszor leírják azokat és hanyag magatartásból eredően minden óvintézkedés
nélkül tárolják ezeket a „fecniket” (jobb esetben asztalfiókban, extrém esetben a
monitor szélére ragasztva). A kevésbé szigorú nyílt rendszerek (webes fórumok,
inyenes e-mail szolgáltatók, blogoldalak stb.) már engedélyezik a felhasználóknak,
hogy saját maguk által választott és biztonságosnak tartott jelszavakkal
regisztráljanak. Illetve egyre több intézményi hálózatban van lehetősége a
felhasználónak, hogy a sokszor „random” módon generált alfabetikus és numerikus
karaktereket tartalmazó „gépi-jelszavakat” később saját „ízlés” szerint
megváltoztassák. Természetesen ebből a későbbiekben újabb hibalehetőségek
adódhatnak (a felhasználó nem emlékszik a megváltoztatott jelszóra, vagy a hálózati-
élete miatt akár több tíz jelszó megjegyzésének problémája miatt, sok helyütt azonos
jelszót használ, mely nagy kockázati tényezővel bír).
A számítógépes-hálózathoz való hozzáférési jogosultságok kiosztása és
meghatározása mindig a rendszergazda feladata és felelőssége. A jogosultságok
megadásánál pontosan meg kell határoznia, hogy mely erőforráshoz, mely
felhasználónak vagy mely felhasználói csoportoknak lehet hozzáférése. A
jogosultságok többfélék lehetnek: „teljes jogú”, „csak olvasási” jogú és a „nincs
3
5. hozzáférés” jogok előírása a leggyakoribb. Ezenkívül lehetőség van még más, egyéni
jogosultságok kialakítására is: „adatolvasás”, „adatírás”, „adatlétrehozás”,
„adatmódosítás”, „adattörlés”, „jogosultság módosítás”.
A fentiek a belső „munkatársi-hozzáférési” eseteket taglalták, de ehhez a ponthoz
tartozik még a „külső”, esetleg váratlan/hívatlan betolakodó hozzáférési kísérlete is.
Ez esetben fontos a megfelelő tűzfal, vírusvédelem spywer-védelem megléte is.
A tűzfal célja annak biztosítása, hogy a hálózaton keresztül egy adott
számítógépbe ne történhessen illetéktelen behatolás. A tűzfalak általában
folyamatosan jegyzik (log) a forgalom bizonyos adatait, a bejelentkező gépek és
felhasználók azonosítóit, a rendkívüli és kétes eseményeket, továbbá riasztásokat is
adhatnak.
Fontos, hogy a vírusvédelmi modul folyamatos védelmet és alapos víruskeresést
biztosítson. Fontos, hogy a vírusvédelem 100%-os teljesítménnyel szerepeljen a
Virus Buletin nemzetközi tesztjein, és a vírusvédelem adatbázisa naponta frissüljön.
A kémprogram-védelmi modulja biztosítson bennünket arról, hogy a rendszerre
kémprogramok ne jussanak be, ne aktiválódjanak és ne is továbbítsanak
információkat rólunk. A bizalmas adatok védelmének funkciója elsődleges
(személyes adatok, jelszavak, bankkártya számok). Fontos, hogy figyelemmel
kövessen minden programindítást, és elejét vegye a kémprogramok futásának.
Találja meg és távolítsa el a kémprogramokat a merevlemezről és egyéb írható
adattárolókról. Fontos előnye, ha automatikusan frissíti a kémprogram-adatbázist.
Mit tehet még a rendszergazda?
Ellenőrizze a bejelentkezési jelszavakat. Fontos a jelszóval nem rendelkező fiókok
keresése és a rendszeradminisztrátori fiókok szűrése. Elengedhetetlen a gyanús
fiókhasználatok követése (az utolsó és a sikertelen bejelentkezések alapján) és a
keresési útvonalak tesztelése. Feladata még a setuid és setgid programok (a
programfájl tulajdonosaként szereplő felhasználó vagy csoport nevében futnak, nem
pedig az azokat meghívó felhasználó nevében) és rootkitek (segítségével a behatoló
könnyen visszatérhet a „tett színhelyére”, ha már korábban beférkőzött a rendszerbe,
hogy bizalmas adatokat gyűjtsön a fertőzött számítógépről) keresése. Fontos teendő
még a nyitott portok ellenőrzése és a hálózati forgalom figyelése különböző
szoftverekkel. Ezen kívül fontos a rendszergazdának a megfelelő és folyamatos
szakmai ismeretre való törekvés (továbbképzés), a különböző „hacker” technikák
ismerése és a megfelelő védekezési stratégiák kialakítása a támadókkal szemben.
Öszegzés
Dolgozatunkban áttekintésszerűen mutattuk be az alapvető informatikai
biztonsági eljárásokat, nem volt célunk speciális védelmi rendszer ismertetése vagy
filozófiai fejtegetések leírása (a kapcsolódó társdiszciplinák: minőségbiztosítás,
hagyományos biztonság, jogi és etikai szabályozók, stb.), ahhoz egy hosszabb
kutatás és felmérés lett volna szükséges. A bemutatott biztonsági tényezők
elegendőek lehetnek egy átlagos kisvállalkozás hálózatának biztonságos
üzemeltetésére. Természetesen nem feledkezhetünk meg továbbra sem arról, hogy
a hálózatosodás elterjedésével arányosan a kockázati tényezők is megnövekedtek,
melyre oda kell figyelni és legfőképpen áldozni kell, megelőzve saját és
munkatársaink álmatlan éjszakáit.
4
6. Ajánlott irodalom:
Béres Csaba Zoltán – Harka Győző: Számítógépes biztonság – hálózati biztonság I., PTE TTK, Pécs, 2004.
Biztonsági kézikönyv informatikusok számára. Microsoft Magyarország, Kézirat. URL:
http://download.microsoft.com/download/e/4/e/e4ed3c66-01c0-423b-bc08-
6001c779c510/InformationWorkers Handbook.doc (Letöltés: 2009. 05. 01.)
Bodlaki Ákos et all.: Az informatikai biztonság kézikönyve. Verlag Dashöfer Szakkiadó Kft.
Budapest, 2003.
Conry-Murray, A. – Weafer, V.: Internetes biztonság otthoni felhasználóknak. Kiskapu Kiadó, Budapest,
2006.
Csizmazia István: Vírusok varázslatos világa c. cikksorozata.
URL: http://nonstopmobil.hu/rovat/cikkek?q=&kat=&days=&szerzo=&tag=v%EDrusok%20var
%E1zslatos%20vil%E1ga&brand=&sch=1 (Letöltés: 2009. 05. 01.)
Dravecz Tibor – Párkányi Balázs: Hogyan védjük hálózatra kötött számítógépes rendszereinket? (NIIF
információs füzetek) NIIF, Budapest, 1995-2000. URL: http://mek.oszk.hu/01200/01280/ (Letöltés:
2009. 05. 01.)
Dreilinger Tímea: Vírusvédelem. Panem Kiadó Kft., Budapest, 2004.
F. Ható Katalin: Adatbiztonság, adatvédelem. Számalk Kiadó, Budapest, 2005.
Fekete Imre: Biztonsági kérdések és megoldások az egyéni számítógép-felhasználók tükrében.
Szakdolgozat, DE Informatika Kar, Debrecen, 2005.
URL: http://ganymedes.lib.unideb.hu:8080/dea/bitstream/2437/92/1/szakdolgozat_574.pdf
(Letöltés: 2009. 05. 01.)
Hegedüs, Márton: Informatikai biztonsági audit. Szakdolgozat, BCE Gazdálkodástudományi kar,
Információrendszerek Tanszék, 2003. URL: http://szd.lib.uni-corvinus.hu/85/ (Letöltés: 2009. 05. 01.)
Hudson, K. – Stewart, J. M. – Tittel, E.: Hálózati ismeretek. Kiskapu Kiadó, Budapest, 1999.
Kocsis, Viktor: Számítógépes hálózatok biztonsága és annak értékelése. Szakdolgozat, BCE
Gazdálkodástudományi Kar, Információrendszerek Tanszék, 2007. URL: http://szd.lib.uni-
corvinus.hu/565/ (Letöltés: 2009. 05. 01.)
Kovács Péter: Számítógép-hálózatok. ComputerBooks Kft., Budapest, 2003.
Leitold Ferenc: Számítógépes biztonsági kultúra. Networkshop 2003, Pécs, 2003. URL:
http://www.fleitold.hu/publications/nws2003.pdf (Letöltés: 2009. 05. 01.)
Norton, Peter: A hálózati biztonság aapjairól. Kiskapu Kiadó, Budapest, 2000.
Sándor Zsolt: Vírusok, spamek és a többiek... – Avagy, mire figyeljünk egy számítógépes hálózat
biztonságával kapcsolatban. Magyar grafika, 2006. (3. évf.) 4. sz. 48. o.
URL: http://epa.oszk.hu/00800/00892/00018/pdf/10.pdf (Letöltés: 2009. 05. 01.)
Smid Norbert: A vírusok és ellenük való központosított védekezés. Szakdolgozat, DE Informatika Kar,
Debrecen, 2003.
URL: http://ganymedes.lib.unideb.hu:8080/dea/bitstream/2437/1186/1/szakdolgozat_329.pdf
(Letöltés: 2009. 05. 01.)
Szlezák Gergely: Számítógépes biztonság MS platformon. Szakdolgozat, DE Informatika Kar, Debrecen,
2007.
URL: http://ganymedes.lib.unideb.hu:8080/dea/bitstream/2437/2202/1/Szakdolgozat.pdf
(Letöltés: 2009. 05. 01.)
Tanenbaum, Andrew S.: Számítógép-hálózatok. Panem Kiadó Kft., Budapest, 2004.
Tom, Thomas: Hálózati biztonság. Panem Kiadó Kft., Budapest, 2005.
Túri, Dániel: Informatikai biztonság. Szakdolgozat, BCE Gazdálkodástudományi Kar,
Információrendszerek Tanszék, 2002. URL: http://szd.lib.uni-corvinus.hu/79/ (Letöltés: 2009. 05. 01.)
További érdekes cikkek magyar és angol nyelven: http://jelszo.lap.hu
·
A fedőlapon Tószegi Szabolcs: Teljes internetes védelmi csomagok tesztje c. cikkének illusztrációja
látható. URL: http://pcworld.hu/teljes-internetes-vedelmi-csomagok-tesztje-1-resz-20090216.html
(Letöltés: 2009. 05. 01.)
5