IMI szerintem

Auth Gábor auth.gabor at enaplo.hu
2005. Jan. 6., Cs, 22:24:03 CET


Halihó!

BERES Laszlo ezt írta:
> Éppenséggel legelőször a rendszergazdának kell tudnia arról, hogy mi és
> hogyan integrálódik a rendszerbe! Szépen is néznénk ki, ha valaki 
> behozna egy fekete dobozt, amiről semmit sem tudnék, nem tudnám, hogy
> mit csinál, milyen adatokat tárol, esetleg hova küldi azokat, de muszáj
> lenne üzemeltetnem, esetleges hibákat lokálisan elhárítanom.

  A felhasználóink mindegyike egy-egy fekete doboz. Amint egy ilyen fekete 
doboz hozzáfér egy hálózati végponthoz, bármit megtehet... bármi, ami a 
rendszer kapcsolódási pontjaihoz érhet, azt fekete dobozként kell 
értékelni, persze az érték-ellenérték elv alapján.

  Két védelmi stratégia alakult ki, az egyik a teljes rendszert védi a 
rendszer végpontjainál, a másik a rendszer elemeit védi minden belső 
bemeneti és kimeneti pontnál. Analóg módon az első az, amikor a gyár 
védelme érdekében a belépőket részletesen megvizsgáljuk, és miután 
átmentek a teszten, kapnak egy jegyet, amellyel a megfelelő helyekre 
beléphetnek. A másik módszer szerint minden egyes ajtó előtt ellenőrizzük, 
hogy jogosult-e a belépésre az adott személy.
  A optimális esetben kombinálva van a két módszer, mivel az első megoldás 
olcsóbb, mint a második. Bár a paranoid védelem esetén mindig a második 
módszert KELL használni.
  Ennyivel csak azt akartam megemlíteni, hogy általános esetben egy csomó 
két lábon járó ,,fekete doboz'' mászkál a rendszered környékén, esetleg 
úgy, hogy tudomásod sincs róla.

  Egy iskolában mondhatjuk azt is, hogy védelmi zónákat kellene szervezni a 
különféle biztonsági szinteknek megfelelően. Értve ez alatt, hogy egy 
átlagon felüli diák ne legyen képes arra, hogy az iskolai dolgozók 
fizetését tartalmazó adatbázisban, vagy szöveges állományban turkáljon 
(megtörtént eset!!!). Alapvetően négy védelmi zónát érdemes elkülöníteni, 
célszerűen a ,,idegen'', ,,diák'', ,,tanár'' és ,,védett tartalom''. 
Ezeket a zónákat egymástól úgy elkülöníteni, hogy kapcsolatot a zónák 
közötti DMZ kiszolgálók végezzék, ne legyen két hálózati fizikailag 
egy ,,vezetéken''.
  Továbbhaladva, a különféle zónákban a megfelelő személyek csak megfelelő 
jogokat kapjanak. Tehát ,,tanár'' jeggyel belépve egy ,,diák'' gépen, a 
magát ,,tanárnak'' kiadó személy csak ,,diák'' jogokat kapjon, ne tudjon 
elérni olyan tartalmat, amelyet egy ,,tanári'' gépről el tudna. Ugyanakkor 
egy ,,diák'' jeggyel belépve egy ,,tanári'' gépen a magát ,,diáknak'' 
kiadó személy ne legyen képes automatikusan ,,tanári'' jogokat kapni.
  Az IMI-t és más ,,fekete dobozt'' futtató gépet (tekintheted ennek az 
összes zárt forrású programot is) célszerű a megfelelő szintű zóna egy 
olyan DMZ területére tenni, amely nem kapcsolódik más hálózatokkal, csak a 
megfelelő zónával.
  Persze ezt nem mindig lehet megoldani szépen, ilyenkor lehet várázsolni 
SSL védett VPN csatornák felett átvitt képernyőképpel, amikoris a ,,fekete 
doboz'' egy teljesen különálló gépen fut, amelynek a hozzáférése egy 
vékonyka szálon ér össze a hálózattal, amely lehet például egy VNC vagy 
egy TerminalService is.
  
> Ha neadj'isten lenne egy szoftveraudit pár iskolában, igencsak lenne
> meglepetés abból, hogy hát igen, itt van ez a gép, a gazdaságisok
> pötyögnek rajta, remélem SSL csatornán küldi az adatokat valahová
> Csajágaröcsögére...

  Ezt egyébként sem tudod meg soha pontosan... :)
-- 
http://www.enaplo.hu - Iskolai Információs Rendszer
Auth Gábor -=- +36-70/9400-341 -=- ICQ: 49179141
FreeBSD 5.3


További információk a(z) Techinfo levelezőlistáról