IMI szerintem
Auth Gábor
auth.gabor at enaplo.hu
2005. Jan. 6., Cs, 22:24:03 CET
Halihó!
BERES Laszlo ezt írta:
> Éppenséggel legelőször a rendszergazdának kell tudnia arról, hogy mi és
> hogyan integrálódik a rendszerbe! Szépen is néznénk ki, ha valaki
> behozna egy fekete dobozt, amiről semmit sem tudnék, nem tudnám, hogy
> mit csinál, milyen adatokat tárol, esetleg hova küldi azokat, de muszáj
> lenne üzemeltetnem, esetleges hibákat lokálisan elhárítanom.
A felhasználóink mindegyike egy-egy fekete doboz. Amint egy ilyen fekete
doboz hozzáfér egy hálózati végponthoz, bármit megtehet... bármi, ami a
rendszer kapcsolódási pontjaihoz érhet, azt fekete dobozként kell
értékelni, persze az érték-ellenérték elv alapján.
Két védelmi stratégia alakult ki, az egyik a teljes rendszert védi a
rendszer végpontjainál, a másik a rendszer elemeit védi minden belső
bemeneti és kimeneti pontnál. Analóg módon az első az, amikor a gyár
védelme érdekében a belépőket részletesen megvizsgáljuk, és miután
átmentek a teszten, kapnak egy jegyet, amellyel a megfelelő helyekre
beléphetnek. A másik módszer szerint minden egyes ajtó előtt ellenőrizzük,
hogy jogosult-e a belépésre az adott személy.
A optimális esetben kombinálva van a két módszer, mivel az első megoldás
olcsóbb, mint a második. Bár a paranoid védelem esetén mindig a második
módszert KELL használni.
Ennyivel csak azt akartam megemlíteni, hogy általános esetben egy csomó
két lábon járó ,,fekete doboz'' mászkál a rendszered környékén, esetleg
úgy, hogy tudomásod sincs róla.
Egy iskolában mondhatjuk azt is, hogy védelmi zónákat kellene szervezni a
különféle biztonsági szinteknek megfelelően. Értve ez alatt, hogy egy
átlagon felüli diák ne legyen képes arra, hogy az iskolai dolgozók
fizetését tartalmazó adatbázisban, vagy szöveges állományban turkáljon
(megtörtént eset!!!). Alapvetően négy védelmi zónát érdemes elkülöníteni,
célszerűen a ,,idegen'', ,,diák'', ,,tanár'' és ,,védett tartalom''.
Ezeket a zónákat egymástól úgy elkülöníteni, hogy kapcsolatot a zónák
közötti DMZ kiszolgálók végezzék, ne legyen két hálózati fizikailag
egy ,,vezetéken''.
Továbbhaladva, a különféle zónákban a megfelelő személyek csak megfelelő
jogokat kapjanak. Tehát ,,tanár'' jeggyel belépve egy ,,diák'' gépen, a
magát ,,tanárnak'' kiadó személy csak ,,diák'' jogokat kapjon, ne tudjon
elérni olyan tartalmat, amelyet egy ,,tanári'' gépről el tudna. Ugyanakkor
egy ,,diák'' jeggyel belépve egy ,,tanári'' gépen a magát ,,diáknak''
kiadó személy ne legyen képes automatikusan ,,tanári'' jogokat kapni.
Az IMI-t és más ,,fekete dobozt'' futtató gépet (tekintheted ennek az
összes zárt forrású programot is) célszerű a megfelelő szintű zóna egy
olyan DMZ területére tenni, amely nem kapcsolódik más hálózatokkal, csak a
megfelelő zónával.
Persze ezt nem mindig lehet megoldani szépen, ilyenkor lehet várázsolni
SSL védett VPN csatornák felett átvitt képernyőképpel, amikoris a ,,fekete
doboz'' egy teljesen különálló gépen fut, amelynek a hozzáférése egy
vékonyka szálon ér össze a hálózattal, amely lehet például egy VNC vagy
egy TerminalService is.
> Ha neadj'isten lenne egy szoftveraudit pár iskolában, igencsak lenne
> meglepetés abból, hogy hát igen, itt van ez a gép, a gazdaságisok
> pötyögnek rajta, remélem SSL csatornán küldi az adatokat valahová
> Csajágaröcsögére...
Ezt egyébként sem tudod meg soha pontosan... :)
--
http://www.enaplo.hu - Iskolai Információs Rendszer
Auth Gábor -=- +36-70/9400-341 -=- ICQ: 49179141
FreeBSD 5.3
További információk a(z) Techinfo levelezőlistáról