Zatita raunarskog sistema Obim raunarske mree
Topologija raunarske mree prikazana je na Slici 1. ASDL Ruter
omoguava pristup raunarskog sistema Internetu. Ruter Mikrotik
omoguava dodatna bezbedonosna reenja za raunarsku mree, VPN pristup
i dodatne kontrole korisnika nad pristupom Internetu. Raunarski
sistem ne poseduje Domen ve je formiran na principu Workgroup-a.
Osim Linux Servera svi ostali raunari su pod Windows operativnim
sistemima (Windows XP Home i Windows 7 Home). Na svim Windows
klijentima je mapiran disk na Linux fajl sistem. Na taj nain svi
imaju pristup zajednikom serveru.
Slika 1. Topologija raunarske mree
Bezbedonosni rizici i zatita raunarske mreeOvakva raunarska mrea
je podlona riziku koji moe ugroziti sistem i poslovanje preduzea.
Glavni bezbednosni cilj je da se uspostavi i odrava kontrola
pristupa informacijama i drugim informacionim resursima preduzea. U
tu svrhu potrebno je sprovesti odgovarajue mere zatite raunarskog
sistema.
SlabostPretnjaRizikZnaaj
Pristup raunarima nije zatien
lozinkamaNeovlaeni prostup Integritet informacija i zatita
od
neovlaenog pristupa i namernog ili
sluajnog odavanja informacijaVisok
Mere zatite:
Lozinke su prva linija odbrane od neovlaenog pristupa raunaru.
Od presudne je vanosti da bude izabrana jaka lozinka i da se
redovno auriraju. Poeljno je koristiti dugake lozinke koje se
sastoje od brojeva, slova i simbola. Obzirom da su svi korisniki
raunari iz Windows Home edicije i da ne postoji Domen formirani su
korisniki nalozi sa Standard User ovlaenjima. Privilegije
Administrator ima samo Administaror mree i po porebi dodeljuje
korisnicima.
SlabostPretnjaRizikZnaaj
Otkljuan je BIOS na raunarimaKorisnik neposredno moe preuzeti
administratorska prava nad raunarom, odnosno manipulisati podacima,
podizanjem sistema sa CD-a/flea, ime zaobilazi autentifikaciju i
autorizaciju osnovnog sistemaBrisanje sistema, vanih informacija,
preuzimanje administratorskih ovlaenja, instalacija proizvoljnih
programaVisok
Mere zatite:
Takoe je i ovde zatita lozinkom vana odbrana od neovlaenog
pristupa raunaru. Postaviti jaku lozinku i redovno je aurirati.
Poeljno je koristiti dugake lozinke koje se sastoje od brojeva,
slova i simbola.
SlabostPretnjaRizikZnaaj
Dozvoljeno je dodavati USB flash memorijske ureaje preko USB
porta raunaraKorisnik moe inficirati raunar i raunarsku mreu
malicioznim softverom koji se moe nalaziti na USB Flash
memorijiNaruena bezbednost raunara i celokupnog raunarskog
sistemaSrednji
Mere zatite:
Na raunarima na kojima Administartor mree proceni da postoji
ovakva pretnja potrebno je u BIOS-u iskljuiti USB portove. Takoe,
ukoliko to nije mogue uraditi potrebno je obezbediti antivirus
zatitu u realnom vremenu.
SlabostPretnjaRizikZnaaj
Raunari nisu zatieni od maliciznog kodaKompjuterski virus moe da
oteti ili obrie podatake na raunaru ili u okviru raunarskog
sistema, da uspori rad raunara, da krade podatke, naloge i
ifre.Naruavanje sigurnostiVisok
Mere zatite:
U cilju strogog voenja rauna o malicioznim kodovima i
neodgovarajuim materijalima prilikom preuzimanja informacija i
fajlova sa Interneta potrebno je instalirati i redovno aurirati
antivirusne programe i baze antivirusnih definicija na svim
raunarima. Ka korisnikim raunarima instalirani su Avast ili Sophos
antivirus. Sophos tehnologija analizira ponaanje koda u dve
faze:
Pre-izvoenja: Ponaanje koda se analizira pre nego to se pokrene
i spreava se pokretanje, ako se smatra sumnjivim ili
zlonamernom
Runtime : Tokom izvravanja detektuje pretnje presretnutih
procesa ili programa koji se ne mogu otkriti pre izvrenja.
On-access skeniranje je glavni metod zatite od virusa i drugih
pretnji. Kad god kopirate, premetate, ili otvorite datoteku, Sophos
Anti-virus skenira fajl i daje pristup samo ukoliko ne predstavlja
pretnju za raunar. Pored on-access skeniranja, Sophos Anti-virus
omoguava vie vrsta on-demand skeniranja da bi se obezbedila dodatna
zatita. On-demand skeniranje je skeniranje koje korisnik inicira.
Mogue je skenirati bilo ta, jednu datoteku ili ceo raunar. Osnovni
prikaz Sophos Anti-virus programa dat je na sledeoj slici 2.
Slika 2. Sophos AntivirusKonfigurisanje on-access skeniranja se
obavlja na sledei nain:Da bi otvorili podeavanja on-access
skeniranja u dialog box-u potrebno je kliknuti na Home >
Anti-virus and HIPS > Configure anti-virus and HIPS >
Configure > On-access scanning.
Slika 3. ConfigureBy default, Sophos Anti-Virus scans files when
they are copied, moved, or opened.Po podrazumevanoj vrednosti,
Sophos Anti-virus skenira datoteke kada su kopirane, premetene ili
otvorena. Sophos Administrators may additionally specify that files
must be scanned when they are saved, created, or renamed.Sophos
administratori mogu naknadno odrediti da datoteke moraju biti
skenirane kada su sauvane, kreirane, ili preimenovana. 1. Click
Home > Anti-virus and HIPS > Configure anti-virus and HIPS
> Configure > On-access scanning.Potrebno je kliknuti na Home
> Anti-virus and HIPS > Configure anti-virus and HIPS >
Configure > On-access scanning. Click the Scanning tab, and then
set the options as described below.2. Potrebno je kliknuti na
Scanning tab, a zatim podesite opcije kao to je opisano u nastavku.
When to scan files Option
Copy, move, or open On read
Save or create On write
Rename On rename
Slika 4. On-access scanning Mogue je skenirati fajlove, foldere
i diskove iz programa Windows Exlorer klikom desnim tasterom mia.
Mogue je izabrati vie datoteka i fascikli. Konfigurisanje
skeniranja desnim tasterom mia se obalja u delu: Home >
Anti-virus and HIPS > Configure anti-virus and HIPS >
Configure > Right-click scanning.Scan inside archive filesRun a
right-click scan
Slika 5. Right-click scanningMogue je isplanirati Prilagoeno
skeniranje, ili videti i izmeniti zakazana skeniranja koja su ve
napravljena.
Slika 6. Shedule scanZakazano skeniranje radi sa pravima
pristupa tog korisnika.
SlabostPretnjaRizikZnaaj
Na Linux serveru su dozvoljena sva prava na root-uPrimeeno je da
se na root-u serversa pod Linuksom samoumnoavaju fajlovi sa
ekstenzijom bat i exe koji predstavljaju viruse za raunare pod
Windows operativnim sistemom.Brzo prenoenje malicioznog softvera na
sve raunare u mrei.Visok
Mere zatite:
Potrebno je zabraniti pravo upisa na root-u svima osim
Administoru raunarske mree.
SlabostPretnjaRizikZnaaj
Ne postoji ogranienje koje sajtove se mogu posetitiPreko
Browser-a je mogue infiltrirati maliciozni softver u raunarsku
mreu.Kraa lozinki i podataka vanih za preduzee.Visok
Mere zatite:
Firewall podeavanja u Mikrotik ruteru treba konfigurisati da
zabrane, odnosno dozvole pristup odreenim segmentima Interneta.
Odravanje konfiguracije firewall-a je u nadlenosti administratora
mree.
Takoe raunari koji su pod zatitom Sophos Anti-virus-a imaju
poboljanu zatitu protiv pretnji od strane web-a tako to spreava
pristup lokacijama za koje se zna da hostuju malware. Sophos
Anti-virus blokira pristupa tim lokacijama tako to u realnom
vremenu pregledava online Sophos-ovu bazu podataka zlonamernih
sajtova.
Click Home > Anti-virus and HIPS > Configure anti-virus
and HIPS > Configure > Web protection. U Web protection
dijalogu, je potvren izbor Block access to malicious websites polje
za potvrdu. Po podrazumevanom podeavanju pristup zlonamernom sajtu
je blokiran.
About Quarantine manager Slika 7. Web protectionNa MikoTik
Ruteru je podeena zabrana pristupa Facebook i Twitter
stranicama.
Primer podeavanja za Facebook:
Firewall Filter
Chain: Forward
Content: facebook.com
Action: Drop
U svakom zahtevu korisnika, MikroTik proverava poklapanje sa
facebook.com stringom, i ukoliko postoji blokira
ih.SlabostPretnjaRizikZnaaj
Mogunost prijema neeljene pote i Attachment-a kao malicioznog
fajlaPreko elektronske pote je mogue ubaciti maliciozni softver u
raunarsku mrezu.Kritini gubici ili oteenje podatakaSrednji
Mere zatite:
Provajder elektronske pote je duan da kontrolie Attachment-e
elektronske pote.SlabostPretnjaRizikZnaaj
Wi-Fi je ukljen na ADSL Ruteru.Konektovanjem na Wi-Fi ADSL
Rutera mogue je koristiti Internet bez prolaska kroz MikoTik Ruter
i njegovih filtriranja.Pristup Internetu bez ikakve kontrole i
zatite momoe dovesti do naruavanja bezbednosti raunara i celokupnog
raunarskog sistemaVisoki
Mere zatite:
Administrator mree moe zabraniti korienje Wireless-a. Ukoliko
ipak postoji potreba za korienjem Wireless-a mogu se podesiti
odreene zatite i ogranienja. U naem sluaju (Slika 8.) zatite koje
su primenjene su:
Maksimalan broj konekcija je podeen na 4 jer je Administrator
odobrio toliko ureaja koji se mogu konektovati na Wi-Fi SSID je
sakriven, tako da se moe konektovati samo ureaj kome je poznat
SSID. Wireless je zatien WPA-PSK enkripcijom.
Slika 8. Podeavanja Wireless-a na ADSL RuteruPolitika
preduzeaRegistrovanje korisnikih naloga zahteva se za sve stalno
zaposlene koji na svom radnom mestu koriste raunar. Kod davanja
prava pristupa primenjivati princip davanja minimalnih privilegija.
Administrator sistema postavlja inicijalnu lozinku prilikom
otvaranja naloga, a krajnji korisnik je duan da lozinku promeni
nakon prve uspene autentifikacije sistemu. Svaki zaposleni je duan
da korisniku lozinku menja posle isteka perioda od 3 meseca. Na
svakom raunaru postoji i jedan korisnik sa administratorskim
privilegijama i lozinkom koja je poznata samo administratorima
sistema. Svaki korisnik raunara prilikom napustanja radnog mesta je
u obavezi da iskljuci racunar ili da se izloguje sa korisnikog
naloga.
Uloge i odgovornostiDirektor je odgovoran za uspostavljanje
standarda za kontrolu pristupa informacionim podacima preduzea,
kontrolu pristupa korisnika Internetu, kao i da obezbede da su
korisnici svesni pretnji i obueni za samozatitu i smnanjenje rizika
od kompjuterskih incidenata.
Administrator mree je odgovoran za implementaciju prava pristupa
kroz formiranje grupa korisnika i obuku krajnjih korisnika. Nemaju
svi korisnici raunara pristup Internetu. Filtriranje pristupa po IP
adresi implementira adminstrator mree.
Krajnji korisnici odgovorni su za uvanje lozinki za pristup
sistemu i softveru.
0
