Ime strani: Varnost v omrežju

Varnost v omrežju

CMI upravlja z vec mehanizmi varovanja racunalniskega omrezja IJS:

Požarni zid

...nadzoruje IP pakete pri vstopu in izstopu iz omrezja IJS v javno omrezje. Pravila sproti prilagajamo znanim nevarnostim in zeljam uporabnikov IJS in so nujno le dober kompromis med varnostjo in uporabnostjo omrezja.

Dostop do notranjih streznikov (npr http, ftp, ...) je odprt le za tiste racunalnike, katerih administratorji to izrecno zelijo in ki sproti skrbijo za posodabljanje programske opreme na teh streznikih zlasti z vidika znanih pomanjkljivosti/napak v programski opremi in pogostih nacinov napadov na programsko opremo.

Za vecino notranjih racunalnikov velja, da od zunaj niso dostopni, hkrati pa je z njih dostop do vecine zunanjih storitev dovoljen, razen za nekaj izrecno prepovedanih rizicnih storitev.

Notranji racunalniki, za katere opazimo, da so ranljivi za kaksen trenutno popularen nacin vdiranja, so blokirani na pozarnem zidu v celoti in v obe smeri. Se vedno je s takih racunalnikov mozno branje in odposiljanje elektronske poste, dostop do zunanjih WWW streznikov (http, ftp) prek web proxyja: www-proxy.ijs.si, port 8080, ter dostop do vseh notranjih institutskih racunalnikov.

Pozarni zid lahko brani le pred paketi, ki prihajajo skozi njega. To pomeni, da so notranji racunalniki na IJS med seboj prosto dostopni in med seboj se vedno ranljivi, ce ni sproti poskrbljeno za posodabljanje programske opreme in sprotno odpravljanje varnosnih pomanjkljivosti. Ucinkovito dopolnilo osrednjemu pozarnemu zidu je osebni pozarni zid (programska oprema), ki tece na vsakem posameznem racunalniku. Popularen program za ta namen za Microsoftove operacijske sisteme je npr Zone Alarm - glej npr strani uprave IJS. Unix sistemi so manj problematicni, novejsi pa tudi vsebujejo moznost nastavitve lokalnih pravil dostopa.

Varnost elektronske poste

Postni streznik IJS skrbi za odkrivanje virusov in sorodnih zlonamernih vsebin v elektronskih sporocilih. Sporocila s tako vsebino so zavrnjena in posiljatelj je o zavrnitvi obvescen, kar pomeni, da niso izgubljena.

Izjema so le sporocila, ki vsebujejo take znane viruse, ki ponarejajo naslov posiljatelja in se razposiljajo masovno in avtomatsko - taka sporocila so le shranjena v karanteno, posiljatelj pa o zavrnitvi ni obvescen, ker ni znan.

Ce namerno zelimo poslati sporocilo s problematicno vsebino, ki bi jo lahko nas ali prejemnikov postni filter prestregel, si lahko pomagamo tako, da jo zavijemo v sifrirano ovojnico (npr. PGP, GPG, ...) ali pa v arhiv zasciten z geslom (npr zip, rar). Ce vsebina ni skrivnost, lahko geslo prilozimo v istem sporocilu. Namen tega je, da se potencialno problematicna vsebina (npr izvrsljivi programi, virusi) ne more aktivirati samodejno na prejemnikovem racunalniku, ampak se mora prejemnik zavestno odlociti za to in jo odkodirati ali odsifrirati z izrecno akcijo.

Posiljatelj sporocila, ki sicer ne vsebuje enega od trenutno znanih virusov, vendar vsebuje varnostno rizicno vsebino (npr nezakodiran izvrsljivi program), dobi od nasega streznika zavrnitveno sporocilo s priblizno tako vsebino: http://www.ijs.si/mail-policy.html

Pregledovanje elektronske poste na postnem strezniku nas brani pred vecino tovrstne nadlege. Je ucinkovito dopolnilo protivirusnim programom na vsakem osebnem racunalniku, ni pa njihov nadomestek, saj lahko virus ali trojanski konj pride do notranjega racunalnika tudi po drugih poteh, npr pri pobiranju poste (POP3, WWW) z zunanjih postnih predalov, prek WWW bralnika, s prenasanjem datotek, prek diskete oz. CDja, ali prek kaksne druge ranljivosti operacijskega sistema ali aplikacije.

Zasebnost elektronske poste

Osnovni Internetni standardi, ki dolocajo mehanizme za prenasanje elektronskih postnih sporocil, ne zagotavljajo tajnosti ali avtenticnosti vsebine elektronskega sporocila. Kjerkoli na celotni poti od posiljatelja do naslovnika je potencialno mozen vpogled v sporocilo in celo spreminjanje vsebine sporocila. Osnovni postni standardi tudi ne zagotavljajo, da je navedeni posiljatelj tudi resnicni posiljatelj. Ponarejanje posiljateljevega naslova je preprosto in posluzuje se ga vecina nezazelenih masovnih postnih sporocil in vecina novejsih virusov.

Edini nacin za zagotavljanje tajnosti vsebine elektronskega sporocila je uporaba kriptografskih metod (sifriranje). Edini nacin za ugotavljanje istovetnosti posiljatelja (avtentikacija) je uporaba kriptografskih metod (elektronski podpis, certifikati). Oba mehanizma sta neodvisna, tako lahko npr odpoljemo podpisano a prosto citljivo sporocilo (avtentikacija), ali pa npr skrito (sifrirano) a nepodpisano sporocilo, ki preprecuje vpogled nepovabljenim, a ne preprecuje ponarejanja oz. zamenjave sporocila.

Mnogi novejsi bralniki e-poste so ze prilagojeni navezi s kriptografskim programom ali pa te mehanizme ze vsebujejo sami. Tudi ce postni program tega sam ne podpira, je vedno mozno postopke opraviti loceno: pripraviti besedilo, ga zasifrirati in/ali podpisati na datoteki, in to potem poslati kot e-posto. Najpopularnejse kriptografske metode so GPG, PGP, OpenPGP, S/MIME.

Obramba pred nezazeleno elektronsko posto (spam)

Priblizno 70 % vseh elektronskih sporocil, ki so namenjena postnemu strezniku IJS, predstavlja nezazeleno komercialno posto (UBE - unsolicited bulk e-mail, po domace spam). Sprotno posodabljanje UBE filtrov na nasem postnem strezniku nam zagotavlja, da le majhen del UBE sporocil doseze naslovnike na IJS.

Postna sporocila, ki jih UBE filter prepozna kot spam, niso izgubljena. Vedno je posiljatelj o razlogu zavrnitve obvescen (ce je znan oz. ce ni posiljateljev naslov ponarejen). Poleg tega vsa taka sporocila zacasno shranimo v karanteno, tako da je mozno kasnejse poizvedovanje o usodi kaksnega elektronskega sporocila.

Agresivnost proti-UBE filtra je mogoce do neke mere prilagoditi zeljam uporabnika na IJS, ceprav to vecinoma ni potrebno in to uporabljamo le izjemoma.

Pravila dopustne uporabe

Ker je institutsko racunalnisko omrezje vkljuceno v slovensko akademsko omrezje ARNES, veljajo tudi za nas pravila uporabe omrezja ARNES. Glej locen dokument: Pravila dopustne uporabe