IT biztonsági kérdések a beléptető rendszerek nézőpontjából

„Az IP technológiák világába beléptető rendszerünk biztonságban tartásához nem elegendő csak a biztonságtechnikai osztály, szoros közreműködés kell az IT szakemberekkel is, akik képesek a biztonságos környezet kialakítására és annak szinten tartására.”

Tisztelt olvasóink folytatjuk sorozatunkat a biztonságtechnikai rendszerek IT biztonsági kérdéseiről. Most Szautner Attilának az ASSA ABLOY Kft fejlesztési igazgatójának a hozzászólását olvashatjuk A témába első cikkünket is figyelmükbe ajánljuk. A szerk.

Szautner Attila

Szautner Attila

Az IT alapú rendszerek robbanásszerű növekedése lassan nyomon követhetetlen támadások és hibajavítások sorozatát eredményezi a teljes IT iparágban. Az IP alapú eszközök elterjedése a biztonság technikában rengeteg, mindenki által ismert előnyöket hozott ugyan magával. Tervezhetőség szempontjából megkönnyítette a mindennapokat, hiszen szabványos eszközökből építkezve speciális biztonságtechnikai ismeretek nélkül lehetségessé vált a tervezés.

Azonban míg korábban a beléptető rendszerek teljesen független hálózatokon üzemeltek, amelyek egyáltalán nem, vagy csak részben tartalmaztak IP alapú eszközöket, az IP technológiák elterjedésével kézenfekvővé vált, hogy a beléptető gerinc hálózata beépüljön a cég infrastruktúrájába. A hálózat függetlenségét nem fizikailag, hanem virtuálisan ún. VPN-en keresztül biztosítja a cégek többsége. Ez a megoldás azonban „csak” egy logikai elkülönítést jelent, így minden olyan támadásnak ki van téve a teljes rendszer, amely érinti a hagyományos értelemben vett hálózati eszközöket (switch, router), amelyekben napi szinten fedeznek fel biztonsági réseket. Beléptető rendszerünk biztonságban tartásához nem elegendő csak a biztonságtechnikai osztály, szoros közreműködés kell az IT szakemberekkel is, akik képesek a biztonságos környezet kialakítására és annak szinten tartására.

Eszközök mint másodlagos támadási felületetek

Amennyiben valakinek sikerül belépni a hálózatba a következő célpontot a rendszer biztonságtechnikai elemei jelentik. Ezen eszközök túlmutatnak az alapvető IT ismereteken, mégis rendelkeznek Ethernet kontrollerrel. A beléptető eszközök kevésbé publikáltak az informatikai körökben, így támadásukhoz nehezebb információt gyűjteni, de nem lehetetlen. Olyan gyártót kell preferálni, amely ezeken az eszközökön is folyamatosan nyomon követi a piacot up-to-date-en tartva annak szoftverét, valamint titkosított csatornán kommunikál. Elkerülhetetlen az IT és Biztonságtechnikai osztály szoros együttműködése, annak ismerete, hogy milyen változások várhatók az IT területén, és azok mennyire érintik a beléptető eszközöket. Jó példa erre az SSL titkosítás, amelynek 2018 Júniusától megszűnt a támogatása. Sok cég esetében ez akár egy Group Policy segítségével végleg kikerülhet a beállításból, így elvesztve a kapcsolatot az SSL titkosítást használó eszközökkel.

A felhasználó oldala – kontroll az emberi tényező felett

Minden szoftvert (magas, alacsony szintű) fel kell készíteni arra, hogy a lehető legbiztonságosabb authentikációs protokollal rendelkezzen. Akár több szintű authentikációval is. Sok esetben a kényelem azonban szembemegy a biztonsággal, ilyen például a tiszta AD authentikáció használata. Ha a rendszerek nem használnak speciális (execute as impersonate user, application role, AD-ból származtatott SQL user) bejelentkezési eljárásokat, a hálózat bármely gépéről lehetséges az adatbázis elérése egy egyszerű SQL connection segítségével. A leghatékonyabb módszer szintén IT által támogatott környezetben alkalmazható, ahol MAC cím alapján azonosítjuk az adott gépet, mint lehetséges munkaállomást. Így lehet szabályozni, hogy egy adott eszköz hozzáférhet-e a biztonságtechnikai hálóhoz. Ez sem kijátszhatatlan megoldás, de a bonyolultabb jelszóval kombinálva eléggé megnehezíti a visszaélést azokkal szemben, akik nem rendelkeznek komolyabb ismeretekkel. A hatékony működést elősegíti, ha van a rendszer felett egy működési szabályzat, amely bekorlátozza a gyenge jelszavak használatát.

Monitorozás

Elsődleges cél az illetéktelen felhasználás elleni védelem, de amennyiben valaki mégis bejut a hálózatba a legfontosabb, hogy azt időben detektáljuk, arról értesítést kapjunk. A monitorozásra léteznek felhő alapú megoldások, mint például a Threat detection, ahol a próbálkozások számát és a szokatlan habitusok vizsgálatát is ki lehet mutatni. Léteznek gyártó alapú megoldások, ahol a statisztika és hibakeresés mellett munkaállomás jogosultságot is figyelnek.

Elterjedt gyakorlat az adott hálózatunk sebezhetőségének auditálása

Rendszerünk sérülékenységének ellenőrzésére a legcélravezetőbb módszer a külső auditálás. Számos cég vállal Sérülékenységi vizsgálatokat (Etikus Hack), amely felhívja a figyelmet az alapvető rendszerhibákra.

A beléptető rendszerek mögötti IT infrastruktúra folyamatosan változik, csak úgy tarthatjuk rendszerünket a legmagasabb biztonságtechnikai szinten, ha követjük a fejlődést, szoros kapcsolatban együttműködve az IT szakemberekkel, illetve időnként teljese felülvizsgálatot végzünk a rendszer egésze felett.

Szautner Attila
fejlesztési igazgató
ASSA ABLOY
Opening Solutions Hungary Kft

Kapcsolódó cikkek: