Fia de documentare Soluii de securitate hardware i software

Conceptul de securitate hardware se refer la posibilitile de a preveni furtul, vandalismul i pierderea datelor. Se identific patru mari concepte: a) securizarea accesului posibilitatea de a restriciona i urmri accesul la reea (posibilitile de a ngrdi cldirile i de a securiza punctele de acces n cadrul unitii) b) securizarea infrastructurii protejarea caburilor, echipamentelor de telecomunicaii i dispozitivelor de reea gruparea pe ct posibil n locaii puternic securizate a tuturor echipamentelor de comunicaie, camere de supravegheat cu conectare wireless pentru zone greu accesibile firewall-uri la nivel hardware, posibilitatea de a monitoriza modificarea cablrii i a echipamentelor intermediare de comunicaie ex. monitorizarea switch-urilor, routerelor etc.; c) securizarea accesului la calculatoare folosind lacte pentru cabluri mai ales pentru laptopuri carcase ce se pot nchide, eventual cutii securizate ce conin unitile centrale ale desktop-urilor; d) securizarea datelor n special pentru prevenirea accesului la sursele de date ca de ex. Hard disk-urile externe vor trebui inute n carcase prevzute cu lacte, precum i dispozitive de siguran pentru stick-uri USB. O atenie foarte mare trebuie oferit soluiilor de back-up folosite, suporturile acestor date trebuiesc s fie stocate i transportate n locaii i n condiii foarte sigure(stricte). Implementarea unei soluii de securitate foarte puternice este o procedur foarte dificil ce implic de multe ori costuri foarte mari, ct i personal calificat i foarte disciplinat. Cum s-a menionat i n fia 1.3 se ncearc s se gseasc un compromis ntre nivelul de securizare dorit i implicaiile implementrii acestor restricii. O dezvoltare a ideii de securizare hardware o reprezint aa-numitele elemente de monitorizare hardware a reelelor. Aceste soluii sunt echipamente special concepute a ntreine reele ntregi de calculatoare i vin s nlocuiasc echipamentele uzuale. De multe ori aceste echipamente conin un ntreg ansamblu de soluii firewall, antivirus, criptri, IDS (Intrusion Detection System), VPN (virtial private network), trafic snaping. Aceste soluii se bazeaz pe cipuri ASIC (Application-Specific Integrated Circuit) care sunt circuite integrate personalizate s efectueze o anumit sarcin (se elimin cazurile generale, implementndu-se algoritmi speciali, specializai i optimizai). Versiuni similare sunt aa numitele SoC (System on a Cip) care conin i alte blocuri funcionale (procesare pe 32 de bii, memorie ROM, RAM, EEPROM, Flash). Aceste echipamente totui au preuri foarte mari, prohibitive pentru companiile mici i mijlocii, ele folosindu-se n special n cadrul marilor companii multi-naionale. Menirea unei soluii de securitate software este de a nlocui i eventual de a mbunti soluia de tip hardware(decizie luat n special din cauza preului dispozitivelor hardware specializate). Astfel i soluiile software se pot organiza ntr-un mod asemntor cu cel prezentat n fia 2.2, cu precizrile urmtoare: a) la nivelul accesului se pot folosi sistemele de monitorizare folosindu-se de coduri de acces, camere de supraveghere cu detecia micrii

b) la nivel de infrastructur firewall-uri software, sisteme de monitorizare ale reelei n vederea detectrii de modificri la nivel de cablri, schimbri de configurare, declanri de alarme, etc.; c) la nivel de date posibiliti de backup automate, pstrate n diferite locaii, programe de criptare, etc; d) la nivelul calculatoarelor - IDS (Intrusion Detection Systems) care pot monitoriza modificrile din cadrul codului programelor i sesizeaz activitatea neobinuit a reelei, folosirea de aplicaii de detectare a elementelor de tip malaware (virui, spyware, adware, grayware); Din alt punct de vedere este foarte important de evideniat faptul c aceste soluii de securitate se mai clasific i n funcie de importana lor, astfel, deosebim: a) aplicaii de tip firewall pentru filtrarea datelor din cadrul unei reele; b) aplicaii pentru detectarea codurilor duntoare: aplicaii antivirus, aplicaii anti spamware, anti-adware, anti-grayware la nivel de reea; c) obligativitatea actualizrii de patch-uri pentru sistemele de operare i aplicaii instalate pentru a minimiza posibilitile de infectare folosind breele de securitate nou aprute. Toate aceste aplicaii sunt absolut necesare n orice reea care este conectat la Internet. Pentru orice companie este foarte important ca pe lng setrile de securitate pe calculatoarele utilizatorilor s aib soluii de protecie i la nivelul reelei. ntruct soluiile de securitate care se pot seta la nivel de desktop (sau laptop) sunt relativ limitate n special prin prisma puterii de procesare i de disciplina i cunotinele utilizatorilor rmne s se instaleze i configureze soluii dedicate de securitate la nivel de reea, soluii de care s se foloseasc toi utilizatorii din cadrul ei. Conform unui studiu al companiei Blue Coat1 care prezint primele 5 cele mai bune practici de securitate pentru conectarea la internet, se disting direciile de urmat n urmtoarea perioad (luni, ani) i anume: 1. Alturarea la o comunitate de supraveghere (community watch). Din ce n ce mai muli utilizatori, se unesc n comuniti de supraveghere pstrate n aa numitele cloud services reele ntre care exist relaii bine-stabilite, de ncredere i dependen, bazndu-se pe concepte de procesare n reea(folosindu-se astfel de puterea de procesare oferit de fiecare calculator din cadrul ei) pentru a se proteja unii pe alii. Cnd o persoan detecteaz o ameninare, aceasta este perceput de fiecare utilizator din cadrul norului (cloud) astfel ajungnd s se apere fiecare utilizator. Aceste comuniti sunt un pas foarte important n asigurarea securitii deoarece confer avantaje foarte puternice comparativ cu alte soluii singulare, deoarece are la dispoziie mai multe resurse i soluii defensive. 2. Schimbarea mentalitii defensive one against the Web (singur mpotriva Internetului). Soluiile personale de protejare mpotriva atacurilor criminale care vizeaz furtul de date, de orice natur, devin foarte repede nvechite ntruct aceste atacuri devin din ce n ce mai complexe i mai sofisticate tehnologic. Sistemele de protecie bazate pe semnturi actualizate zilnic sunt forme de protecie depite. Nu se compar aceste soluii cu ceea ce se poate oferi prin soluiile cu design hibrid folosite de comunitile de supraveghere,
1

Solution Brief: Top Five Security Best Practices for you Web Gateway n 2009, din 06.05.2009, link http://networking.ittoolbox.com/research/top-five-security-best-practices-for-your-web-gateway-n-2009-19108

care se bazeaz pe servicii de protecie ce se actualizeaz odat la 5 minute, beneficiind de serviciile defensive a peste 50 de milioane de utilizatori. 3. Schimbarea politicilor bazate pe producie n politici bazate pe protecie. Dac soluia existent la momentul actual este mai veche de 1 an, atunci aceast soluie este bazat pe producie adic la momentul instalrii s-a luat n calcul mrirea productivitii utilizatorilor prin blocarea de site-uri cu coninut obscen i neproductiv(ex. jocuri online). Cum s-a ajuns ca peste 90% din coninutul malaware s vin de la site-uri populare i de ncredere, Internetul-ca un tot unitar - a ajuns s fie principalul furnizor de acest coninut. Pentru protejare de atacuri venite din Internet este necesar s se bloche ze toate formele de download venite din partea unor site-uri necunoscute sau cu reputaii tirbe, blocnd astfel o ntreag cale de acces al ameninrilor de tip malaware n reeaua local. 4. Folosirea de servicii Web real-time (n timp real) de evaluare. Coninutul Web cuprinde o multitudine de metode de filtrare de adrese URL care actualizeaz zilnic listele URL statice coninute de fiecare site. Serviciile Web care ofer posibilitatea de a evalua site urile devin unelte foarte puternice i necesare pentru a suplimenta valoare de protecie oferit de soluiile de filtrare de URL. Dealtfel aceste servicii ofer un real ajutor i utilizatorilor finali, oferind informaii n timp real cu privire la coninutul paginilor vizitate, utilizatorii bucurndu-se de navigri relativ sigure folosind politici de securitate acceptabile. 5. Protejarea utilizatorilor ce se conecteaz de la distan. Posibilitatea de a lucra la distan a devenit o foarte important unealt de lucru pentru majoritatea utilizatorilor. Adugarea unui agent de tip client, legat la o comunitate de supraveghere poate proteja mai bine utilizatorii la distan. Centralizarea politicilor de management poate oferi protecia necesar oferit de filtrarea de coninut i blocarea de malware de pe site-urile detectate de o ntreaga reea defensiv a unei comuniti de supraveghere. Productorii de hardware au venit cu soluia simpl de a oferi un nivel de securitate crescut folosind funcii bazate pe parole (maxim 8 caractere) pentru accesul la resursele unui calculator, aceast form de acces fiind o form des ntlnit, i la ndemna oricui. Este aa numita parolare din BIOS. Sunt cteva aspecte care confer acestei forme de securizare anumite avantaje i dezavantaje: - este la ndemna oricui (se regsete n orice laptop sau desktop); - ofer un grad suplimentar de securitate sistemului, reelei, etc.; - se poate securiza doar setrile BIOS sau i partea de bootare (prin parolarea doar a BIOS-ului se pot dezactiva de ex. alte surse pentru bootare); - are un numr de 3 ncercri pentru a introduce parola valid (privit dintr-un anumit punct de vedere este un avantaj, dar poate fi i un dezavantaj); - nu se pot securiza datele de pe HDD (cu excepia unor cazuri speciale ex. seria IBM ThinkPad), acestea fiind accesibile prin montarea n alt unitate; - odat blocat sistemul (s-a depit nr de ncercri pentru introducerea parolei) sistemul este blocat i este necesar intervenia specializat (posibile soluii pentru utilizatorul obinuit: resetarea BIOS-ului prin acionarea unui buton, setarea unui jumper sau scoaterea bateriei CMOS); - pentru anumite tipuri de BIOS sunt deja cunoscute unele parole backdoor care pot oferi acces pe sistem, fcnd aceast form de securizare inutil;

Activitatea de nvare 2.2 Soluii de securitate hardware i software

Obiectivul/obiective vizate: La sfritul activitii vei capabil s prezini avantajele i dezavantajele soluiilor de securitate hardware, respectiv software. Tipul activitii: Metoda grupurilor de experi Sugestii : activitatea se poate efectua pe grupe Sarcina de lucru: Fiecare elev va trebui s trateze una din urmtoarele teme de studiu:securizarea accesului perimetral, securizarea infrastructurii, securizarea accesului la sistemele de calcul, securizarea datelor. Aceste teme vor fi tratate att din punct de vedere al soluiilor hardware ct i software. Se va pune accent pe gsirea avantajelor i dezavantajelor soluiilor hardware, respectiv software. Avei la dispoziie 20 minute, dup care se vor reor ganiza grupele astfel nct n grupele nou formate s existe cel puin o persoan din fiecare grup iniial. n urmtoarele 20 de minute n noile grupe formate se vor mprti cunotinele acumulate la pasul I. Pentru rezolvarea sarcinii de lucru consultai Fia de documentare precum i sursele de pe Internet.