Υπηρεσία Ασφάλειας Νησίδας

Για την προστασία από εξωτερικές απειλές του "ΣΥΖΕΥΞΙΣ", έχουν εγκατασταθεί Firewalls σε κάθε εξωτερική σύνδεση της νησίδας (π.χ. σύνδεση με το Διαδίκτυο) όπως παρουσιάζεται στο παρακάτω σχήμα.


Αρχιτεκτονική υπηρεσίας ασφάλειας νησίδας

 

Η ασφάλεια και η ορθή λειτουργία του "ΣΥΖΕΥΞΙΣ" εξαρτάται από την προστασία της υποδομής και των σχετικών υπηρεσιών σε όλα τα επίπεδα. Μεγάλο μέρος της προσπάθειας διαχείρισης εστιάζεται στην ασφάλιση των πόρων του δικτύου και των τηλεματικών υπηρεσιών από εξωτερικούς και εσωτερικούς κινδύνους. Οι βασικοί κανόνες που πρέπει να ακολουθηθούν είναι οι εξής:
· Ορισμός ενιαίας πολιτικής ασφαλείας, σύμφωνα με όλες τις ιδιαιτερότητες της χρήσης του συγκεκριμένου δικτύου και τήρηση της σε όλη την έκταση του δικτύου. Ενημέρωση και συνεργασία με όλους τους Φορείς ώστε να επιβάλλεται η πολιτική και στο εσωτερικό δίκτυο των Φορέων.
· Συνεχής ενημέρωση για τις νέες εκδόσεις λογισμικού τόσο για τις δικτυακές όσο και τις τηλεματικές υπηρεσίες - ανανέωση εκδόσεων και εφαρμογή patches/security fixes, κλπ.
· Εφαρμογή τεχνικών φυσικής ασφάλειας για τους χώρους του δικτύου και τον εξοπλισμό, όπου είναι αυτός εγκατεστημένος.
· Ενημέρωση των τελικών χρηστών μέσω των ηλεκτρονικών newsletters, έντυπου και ηλεκτρονικού εκπαιδευτικού υλικού, κ.λ.π. για τρέχοντα θέματα ασφαλείς, καλές πρακτικές κ.λ.π.

Άλλες προδιαγραφές ασφαλείας του δικτύου παρουσιάζονται παρακάτω:

1.                  Πρόσβαση στο Διαδίκτυο:

Ιδιαίτερη μέριμνα δίδεται στην ασφαλή πρόσβαση στο διαδίκτυο όπου γίνεται με τέτοιο τρόπο ώστε το όλο σύστημα να είναι όσο το δυνατό λιγότερο εκτεθειμένο. Το όλο σύστημα παρέχει όσο το δυνατό λιγότερες πληροφορίες για την τοπολογία του, το λογισμικό που χρησιμοποιείται, τον δικτυακό εξοπλισμό, κ.λ.π. Επίσης επιτρέπει επιλεκτικά την πρόσβαση από εξωτερικά δίκτυα σε συγκεκριμένες μόνον υπηρεσίες όπως e-mail και web και μόνο μέσω ενός σημείου εισόδου (μέσω των firewall). Οι υπηρεσίες στις οποίες θα επιτρέπεται η πρόσβαση θα ορίζονται στην πολιτική ασφαλείας στην οποία θα προβλέπεται επίσης η διαδικασία με την οποία θα αποφασίζονται αλλαγές στην πρόσβαση από τους διαχειριστές του δικτύου. Πιο συγκεκριμένα, οι αλλαγές αυτές μπορεί να είναι σε δύο περιπτώσεις: (α) όταν υπάρχει μία επίθεση σε εξέλιξη και οι διαχειριστές αποκόπτουν προσωρινά την πρόσβαση στη συγκεκριμένη υπηρεσία που πλήττεται και (β) όταν υπάρχουν τεκμηριωμένες ανάγκες για χρήση νέων υπηρεσιών στο δίκτυο, οπότε αυτές εξετάζονται, ελέγχονται ως προς την επίδραση που θα έχουν στην ασφάλεια και αναλόγως εγκρίνονται ή όχι. Σε περίπτωση που για λόγους διαχείρισης χρειαστεί η ύπαρξη dial-in modems θα πρέπει να υπάρχουν μηχανισμοί πιστοποίησης ταυτότητας για τον έλεγχο πρόσβασης. Επίσης η χρήση τους θα πρέπει να είναι αυστηρά ελεγχόμενη ως προς τα άτομα που θα έχουν πρόσβαση σε αυτά και να θεωρούνται ότι αποτελούν εξωτερικά, "ανασφαλή" σημεία του δικτύου. Ιδανικά θα πρέπει να τοποθετηθούν σε σημεία της αρχιτεκτονικής όπου θα είναι δυνατόν η κίνηση που περνά από αυτά να ελέγχεται από τους υπόλοιπους μηχανισμούς ασφαλείας του δικτύου.

2.                  Πρόσβαση στις ενεργές συσκευές του δικτύου:

Η πρόσβαση στις συσκευές δικτύου θα πρέπει να επιτρέπεται μόνο στο αρμόδιο για αυτή τη δουλειά προσωπικό. Οι συσκευές αυτές θα πρέπει να παρουσιάζουν σε τρίτους όσο το δυνατό λιγότερες πληροφορίες όσον αφορά την τοπολογία, τη διαμόρφωση τους, το hardware τους, το λογισμικό τους κ.λ.π. Επίσης αυτές οι συσκευές θα πρέπει να είναι ικανές να αντεπεξέλθουν σε διαφόρων μορφών επιθέσεων απάρνησης υπηρεσίας (Denial of Service - DOS) attacks όπως για παράδειγμα syn flooding.

3.                  Ασφάλεια μετάδοσης δεδομένων:

Στην περίπτωση που κάποιος αποκτήσει πρόσβαση στις δικτυακές συσκευές δε θα πρέπει να υπάρχει η δυνατότητα καταγραφής και υποκλοπής των δεδομένων του δικτύου. Τα δεδομένα λοιπόν θα πρέπει να διακινούνται με τρόπο ασφαλή (κρυπτογράφηση) ώστε να μην είναι δυνατή η υποκλοπή τους για παράδειγμα με sniffers .

4.                  Ασφάλεια των εξυπηρετητών που θα παρέχουν διάφορες υπηρεσίες

Οι διάφορες υπηρεσίες που θα είναι προσβάσιμες από εξωτερικά δίκτυα αποτελούν το πιο πιθανό σημείο "αδυναμίας" και θα αποτελέσουν τον πιο πιθανό στόχο. Έτσι θα πρέπει να εξασφαλιστεί ότι το λογισμικό τους δεν θα έχει προβλήματα ασφαλείας που να οδηγούν σε οποιαδήποτε μορφής πρόσβαση στους εξυπηρετητές πέρα από την προβλεπόμενη, για παράδειγμα ένας web server δεν θα πρέπει να επιτρέπει σε κάποιον να βλέπει αρχεία έξω από το χώρο προσβάσιμων αρχείων του web root. Επίσης θα πρέπει να περιγραφούν οι ενέργειες και οι πολιτικές ασφαλείας που εξασφαλίζουν ότι το λειτουργικό που θα φιλοξενεί τις υπηρεσίες δεν θα έχει σοβαρά προβλήματα ασφαλείας και όσα ανακαλύπτονται (από διεθνείς ομάδες ασφαλείας κ.λπ.) θα διορθώνονται το συντομότερο δυνατόν.

5.                  Επιβεβαίωση της ταυτότητας (Authentication) των χρηστών

θα πρέπει να διασφαλίζεται ότι οι διάφοροι χρήστες του όλου συστήματος πιστοποιούνται με τα κατάλληλα μέσα ώστε να μειώνεται η πιθανότητα εμφάνισης περιπτώσεων πλαστοπροσωπίας.