Hálózatvédelem

A szervezeti infrastruktúra és az abban tárolt adatok védelme, távoli elérése és az internettől való elválasztása az IT biztonság egyik fontos feladata.

Biztosítani kell az üzleti rendszerek távoli elérését a hálózat kommunikáció teljes átláthatósága mellett, továbbá meg kell védeni a rendszerekben tárolt adatokat az illetéktelen hozzáférésekkel szemben.

Tűzfalak

Az általunk ajánlott tűzfalak professzionális szinten szolgálják ki a felmerülő igényeket, mérnökeink pedig biztosítják a problémamentes integrációt, a leghatékonyabb védelmi szint elérését és megtartását.

Megoldásaink

  • Kiterjednek a pár fős hálózatoktól a több ezer végpontot és felhasználót magába foglaló hálózatokig.
  • Széles teljesítményskálájú, magas funkcionalitású eszközök.
  • UTM eszközei wifis változatban is elérhetők.
  • Nagyvállalatok részére is rendelkezésre állnak:
    AccessPoint (AP) eszközeink alkalmazásával biztonságos vezeték nélküli hálózat alakítható ki, ahol az AP-k és eszközök menedzselése, a vezeték nélküli hálózati forgalom felügyelet és a hálózati hozzáférés szabályozása egyetlen eszközzel valósítható meg.

Gyártói megoldásaink: WatchGuard, Fortinet, Sophos

VPN vagy távmunka

Az elmúlt években növekvő igény mutatkozik az irodai informatikai rendszerek, eszközök, alkalmazások távoli elérésére.

A portfóliónkban található tűzfalak biztonságos IPSEC vagy SSL VPN kapcsolaton biztosítják az erőforrásokat a távmunka során is.

 

  • A One-Time password alapú, akár mobil telefonon is futtatható jelszó generáló vagy push üzenetet fogadó alkalmazásokkal a felhasználói azonosítás magasabb biztonsági szintre emelhető.
  • Biztonságunk érdekében nem kell megjegyezni bonyolult jelszavakat. Időközönként változó, egyszer használatos jelszavakkal valósítható meg a hozzáférés. 
  • A gyártók felhő alapú menedzsment megoldásaival  magasabb biztonsági szintű, kétfaktoros azonosítás válik lehetővé kisebb integrációs ráfordítással és informatikai rendszer erőforrás igénnyel.
    Kiterjeszthető ki további informatikai rendszerek hozzáférésére is.

 

Gyártói megoldásaink: WatchGuard, Fortinet

Alkalmazásvédelem és terhelés megosztás

A webes alkalmazások számos támadásnak vannak kitéve, melyek sikeres végrehajtása esetén

  • bizalmas adatokhoz (SQL Injection, Sensitive Data Exposure) juthatnak
  • hitelesítési információkhoz (Broken Authenticaton) juthatnak
  • XSS hibákat kihasználva parancsfájlokat hajtanak végre az áldozat böngészőjében
  • átirányítják a felhasználót rosszindulatú webhelyre (Cross-Site Scripting)

 

Ezek a támadás fajták csak töredékek a web alkalmazásokra leselkedő veszélyek felsorolásában. Kivédésük többszöri teszteléssel valósítható meg, ezért nem minden esetben végzik el a fejlesztési folyamat során idő hiány, fejlesztői hozzáállás vagy a növekvő fejlesztési költségek miatt.

 

A rossz hírnévkeltés, adatvesztés elkerülése érdekében a web alkalmazások speciális tűzfalakkal, ún. Web Application Firewall (WAF) eszközökkel megvédhetők.

Ezek az eszközök:

  • felismerik a támadást
  • blokkolják a támadó szándékát
  • figyelik az alkalmazás által visszaadott adatok, illetve az űrlapokon keresztül megadott adatok helyességét
  • támadás érzékelése esetén blokkolják a forgalmat.

 

A fizikai vagy virtuális WAF eszközök a GDPR megfelelésre is megoldást nyújtanak a honlapon keresztüli adatszivárgások megakadályozásával.

A WAF eszközök használata pénzügyi, banki, államigazgatási, biztosítási területeken, de még a web áruházak esetében is megfontolandó.

 

A web alkalmazások rendelkezésre állását és a megfelelő felhasználói élményt biztosítják a terheléselosztó megoldások úgynevezett Load Balancer (LB) eszközök, melyek:

  • fizikai vagy virtuális célhardverek formájában érhetők el.
  • a megnövekedett forgalom,  túlterheléses vagy elosztott szolgáltatásmegtagadással járó támadás (DDoS vagy DoS) esetén is stabilan szolgáltat. 

 

A WAF és LB eszközöket általában párban szokták bevezetni, de rendszertől és előzetes felméréstől függően választhatók egyes gyártók egy termékbe integrált változatai is, melyek kis- és középvállalatok számára kínálnak költséghatékony védekezi megoldást a webes támadások ellen.

 

Gyártói megoldásaink: F5, Barracuda WAF, Barracuda Loadbalancer, Array Networks, Kemp

Hálózati analitika

A távmunka előtérbe kerülése, radikálisan megváltoztatta a szervezet hálózati forgalmi karakterisztikáját.

A hálózatok távoli elérése és a megnövekedett hálózati forgalom új üzemeltetési és IT biztonsági kihívásokat jelentenek.

 

A korábbi igényekre tervezett VPN szolgáltatásnak több felhasználót és többszörösére nőtt hálózati forgalmat kell kiszolgálnia, üzembiztosan.

Ez utóbbi igaz az online kiszolgálást biztosító áruházakra, ételkiszállító vállalkozásokra is, ahol a biztonság mellett a felhasználói élmény (zökkenőmentes, megszakadásmentes megrendelés és fizetés) biztosítása is a cél.

Hiszen ki akarna egy állandóan megszakadó, hosszú válaszidővel üzemelő szolgáltatást igénybe venni?

 

A flow alapú forgalomelemző eszközök lehetővé teszik az IT szakemberek számára, hogy részletes információkat szerezzenek a hálózatról és ezzel képesek legyenek a hibaelhárítás és üzemeltetés, illetve a felhasználó élmény javítására.

 

A hálózati adatok elemzése során:

  • Fény derülhet a megszokott hálózati forgalomtól eltérő kommunikációra.
  • Lehetőség nyílik a gyanús felhasználói aktivitások, a fejlett támadások (APT, adat rabul ejtés) felderítésére.
  • Az online web alapú szolgáltatásnál biztosítható a megnövekedett forgalom elemzése és a felhasználói élmény szinten tartása.
  • A valós idejű flow monitoring segítségével a hálózat irányítása mindig kézben tartható, átlátható.
  • Biztosítható az üzemeltetési és konfigurációs problémák instant detektálása és a riasztás.
  • Lehetőség nyílik az infrastruktúra biztonsági védettségének növelésére a belső és külső támadásokkal szemben.
  • Megvalósítható a gyorsabb hiba felderítés és megoldás a hálózati és biztonsági üzemeltetés számára.
  • Jelentős költségcsökkentés érhető el a hálózati implementáció, operáció és menedzsment területén.

 

Gyártói megoldásaink: Flowmon, IBM

Eszközhitelesítés

A PKI (Public Key Infrastucture) olyan globálisan elfogadott rendszer, amely nyilvános (ún. aszimetrikus) titkosítást és digitális tanúsítványt alkalmaz a biztonságos elektronikus tranzakciók hitelesítése érdekében.

Ezzel lehetővé válik a kétkulcsú, harmadik személyes hitelesítési és adatbiztosítási eljárások használata. 

A PKI rendszerek által kibocsátott aláíró kulcsok és tanúsítványok az elektronikus aláírás és titkosítás mellett az alábbi feladatokra használhatók:

  • Alkalmazásba ágyazható PKI modulok (tool kit-ek).
  • Számítógépekbe, rendszerekbe való belépés hitelesítése, adatok kódolása.
  • Helyi hálózatok adatbiztosítása.
  • VPN hálózatokon való hitelesítés és adatbiztosítás.
  • WEB hozzáférés hitelesítése.
  • Single-sign on megoldás.
  • 802.1x hitelesítés támogatása.
  • Hálózathoz való csatlakozás hitelesítése.

 

A PKI rendszer egyik legérzékenyebb pontja a CA vagy Root CA kulcs tárolása, illetve annak kompromittálódása.

A támadó a kulcs és a tanúsítvány megszerzésével tanúsítványok adhatók ki, megtévesztve más személyeket, rendszereket.

Ezért javasolt a CA és Root CA kulcsának Hardware Security Modul-ban (HSM) történő tárolása. A célhardver vagy PCI kártya formájában elérhető eszköz védi a kulcsot és a tanúsítványt a jogosulatlan hozzáféréstől, extrém támadásoktól, fizikai behatásoktól.

A hőmérséklet csökkenése, fizikai behatás érzékelése esetén törli a tárolt adatot.

A tanúsítványok számos helyen biztosítják a hiteles és biztonságos kommunikáció alapját (HTTPS kapcsolat kialakítása, tanúsítvány tárolása) vagy a hálózathoz való csatlakozáshoz szükséges autentikációt, eszközhitelesítést. Ezért a kulcsok védelméről gondoskodni kell.

 

A HSM eszközök széles körben – a bankoktól az államigazgatási területig, az ipari és közmű szolgáltatókig – a biztonságos kommunikáció alapját jelentik.

 

Gyártói megoldásaink: Utimaco

Adatdióda

A hatékony munka záloga nagy mennyiségű adat gyűjtése, feldolgozása, tárolása és értékelése, amely az alkalmazott információs rendszerektől jelentős számú és változatos adatkapcsolat megvalósítását követeli meg.

A megszerzett adatok megfelelő védelme, birtoklása és menedzselése is fontos követelmény.

E két jelentős feladat egyidejű, magas színvonalú és kockázatmentes megvalósítása problémát okoz mivel a hagyományos út nem mindig biztonságos.

 

A legtöbb esetben az adatok védelmét szeparáció által kívánják megoldani:

  • Létrehoznak a mindennapi munkamenetet biztosító rendszerek mellett egy, a külvilágtól teljes mértékben izolált, információs rendszert, praktikusan számítógépes hálózatot
  • A két rendszer közötti adatáramoltatás  manuálisan történik valamilyen adathordozó (Pl. CD lemez, USB memória) használatával.

Sajnos ez a típusú megoldás soha nem biztosít valós idejű hozzáférést, ami pedig még fontosabb, számottevő biztonsági kockázattal jár!

 

A biztonságos adatáramlás kulcsa: az Adatdióda

 

A biztonságos tárolás és a lehető legmagasabb védelem kialakításának igénye hozta létre a hazai és nemzetközi piacon egyaránt forradalminak számító megoldást, amely választ ad a különleges elvárásokkal rendelkező Partnereink számára is.

 

Az Adatdióda nem csupán a gyakorlatban bizonyított kiválóan. Hivatalos akkreditációs szervezet által tanúsított, a ma elérhető legmagasabb Common Criteria EAL 7+ minősítéssel rendelkezik, amely szerint maximálisan biztosítja egy védett szegmens és egy publikus, nyílt hálózat közötti biztonságos adatáramlást.

 

Gyártói megoldás: FOX-IT