Az informatikai biztonság kialakítása

Wireles hálózatokon

Üdvözlöm a jelenlévőket

Likavcsán Ferenc József

Informatikai tanácsadó
ÁNTSZ OTH
 Ismertebb wifi használatok
(netmegosztás, nyomtató vezérlése)
● Legegyszerűbb megoldást kínáló eszközök:
Mi kell hozzá?
● Hálózati kapcsolat, ami rendszerint egy LAN kapcsolat.
● Egy router, ami gyakran több funkciós eszköz
(vezetékes és rádiós kapcsolat, valamint printerszerver is)
● Összetettebb hálózat esetén Access point, gateway. . .
● Kapcsolódó eszközök (laptop, PDA, mobil, printer. . . )

● És egy Hacker, aki ezek felderítésével(?) foglalkozik

A Wireless informatikai hálózat
alapeszköze
In fra s tru k tú ra a la pú h á ló z a t i t o po ló g ia
A d Ho c to po ló g ia
 Hogyan lehet a napi használatban
manuálisan bizalmi információkhoz
jutni nem informatikai eszközökkel?

- Hivatkozás valakire, aki az adott cégnél dolgozik

- Nem megfelelően megsemmisített iratokhoz jutni
- Telefonon keresztül.
- Megjátszani a telephelyen az eltévedés látszatát.
- Jóindulatnak beállítani a segítőszándékot
- Megszerzett nevekkel manipulálni az alkalmazottat.
- Szervizes szakembernek kiadni magunkat.
- Intim területi ajánlat tételével randizni.
 Védekezési lehetőségek
Soha ne engedje át az identitását másnak. Ne adja „kölcsön”
a jogosultságait!
A titkos jelszó, titkos!
Új kollégának segíteni fontos, azonban győződjön meg
akkor, hogy valóban az aki.
Hívjuk vissza a vállalati melléken!
Kérjük a vezetőjének a jóváhagyását.
Ha ez lehetséges kérjük a saját vezetőnk véleményét.
Ahelyett, hogy segítenénk neki az információ kinyerésében,
biztassuk a megfelelő jogosultságok megszerzésére.
 Védekezési lehetőségek
Soha ne adjon ki olyan információt másnak, amivel
jogosultságai lévén önmagának is tisztában kell lennie!
Soha ne adja ki másnak az Ő saját adatait, ha valaki, hát Ő
biztosan tisztában van vele! A közérdekű információ azért
közérdekű, mert mindenki eléri. Ennek ismerete nem számít
tudásnak.
Az, hogy valaki ismeri a zsargont, még nem jelenti azt, hogy
megbízható.
Mindig gondolkozzunk a SAJÁT FEJÜNKKEL, mások
véleménye és magatartása irreleváns ha mi magunk (is)
megtartjuk a szabályokat!
Ismerje meg saját céges folyamatait, a szabályait, de ne
alkalmazza őket vakon!
 Védekezési lehetőségek
Ne adjon át olyan információt senkinek, amelynek a
forrásáról Ön személyesen nem bizonyosodott meg, hogy
eredeti.
Ne továbbítson információt harmadik személyhez az
információ forrásának beleegyezése nélkül. Ha a belegyezés
megszerzése nem lehetséges, továbbítsa az információ
kérőjét az információ forrásához, de az információt magát ne
szolgáltassa ki.
A belső telefonszám: BELSŐ telefonszám, tehát nem
publikus.
Az hogy valaki bajban van, siet, nem lehet ok az ellenőrzés
kihagyására!
 A Wifi és az adattovábbítás biztonsága
A gyári jelszó-beállításának megváltoztatása.
Változtassuk meg az AP gyári IP-címét is.
Kapcsoljuk ki a SSID-broadcastingot.
Semmiképp se engedélyezzük a DHCP használatát.
A tűzfal-funkciókat se hagyjuk ki.
Használjunk WEP-et. Bár feltörhető, mégis jobb, mintha
semmilyen titkosítás nem lenne.
Használjunk inkább WPA-t. (legalább 20 karakteres jelszó,
kerülve az értelmes – főleg angol – szavakat).
Állítsunk be MAC-cím alapján történő szűrést.
Korlátozzuk az erősségét (TX Power).
Az informatikai biztonság hibáinak a
felderítése és megoldások kidolgozása

Felderítési módszerek

➢ Belső szabályzatok, törvények, ajánlások

összehasonlítása (MABISZ, IVSZ, ITB, stb...)
➢ Fizikai felderítés (bejárás, nem lezárt gépek, stb…)
➢ Social Engineering
➢ Penetration Test („Hacker” módszerek kívülről)
➢ Loyality Test („Hacker” módszerek belülről)
Az informatikai biztonság hibáinak a
felderítése és megoldások kidolgozása

Megoldási módszerek

➢ Belső szabályzatok, törvények, ajánlások

naprakészen tartása
➢ Rendszeres dolgozói képzés
➢ Az új technológiák alkalmazása lehetőség alapján
➢ Már az új beruházáskor gondolni kell a biztonságra
➢ Felhasználói programokat csak biztonságos helyről
szerezünk be.
 Az adatállományok biztonsági
fokozatokba sorolása szubjektív elem
nélkül

● Az adatállomány mint érték meghatározása

● Az értéket növelő hatások összefoglalása
● Az értéket csökkentő hatások összefoglalása
● Minősített adatokra vonatkozó előírások összefoglalása
● Az adat mint árú a cégek saját érdekében
● Javasolt képletszerkezet kialakítása
● További felhasználási lehetőségek.
Köszönöm, hogy
meghallgatták
az előadásomat