Verkon tietoturva HARJOITUSTYÖ 2003 versio 2.0

Transkriptio

1 Verkon tietoturva HARJOITUSTYÖ 2003 versio 2.0 TTY Tietoliikennetekniikka Verkon tietoturva Ryhmä 2 Tulostettu: Janne Huhtakallio Tero Kovanen Antti Sulosaari Dokumentin tila: palautettu Muokattu:

2 SISÄLLYS: 1. JOHDANTO YRITYS HENKILÖT DOKUMENTIN SUHDE TODELLISEEN TILANTEESEEN YRITYKSEN TIETOTURVASTRATEGIA (JULKINEN) TARKOITUS YMPÄRISTÖN KUVAUS TIETOTURVAN TAVOITTEET ORGANISOINTI YRITYKSEN TIETOJÄRJESTELMÄN TIETOTURVAPOLITIIKKA (LUOTTAMUKSELLINEN) TARKOITUS YMPÄRISTÖN KUVAUS Laitteisto ja käyttöjärjestelmät Yrityksen sisäiset palvelut Yrityksen ulkopuolelle tarjottavat palvelut Etäkäyttö Verkon toimintaa tukevat palvelimet VERKON RAKENNE HALLINNOINTI Haavoittuvuuksien seuranta Varmuuskopiointi Käyttöoikeudet Lokit Valvonta Auditointi Poikkeustilanteet Tiedon salaus TIETOLIIKENNEYHTEYDET Tietoliikenteen pääsynvalvonta Etäkäyttö FYYSINEN TURVALLISUUS HENKILÖSTÖ MÄÄRÄYKSET JA OHJEET (SALAINEN) TARKOITUS VERKON KUVAUS (MÄÄRÄYS) TIETOTURVAKONFIGURAATIOT Palomuuri (Määräys) VPN (Ohje) Loki (Määräys) Reititin (Määräys) Kytkin (Määräys) Extranetpalvelin (Ohje) Tietokantapalvelin (Ohje) Lokipalvelin (Määräys) Sähköpostipalvelin (Ohje) Intranettyöasemat (Ohje) /30

3 Varmenteet (Määräys) KOKONAISUUDEN ARVIOINTI MUUTOKSET ALKUPERÄISIIN SUUNNITELMIIN PUUTTEITA VERKON TURVAAMISESSA KOMMENTTEJA JA KEHITYSEHDOTUKSIA...25 LIITE 1: TYÖKALUOHJELMAT TIEDON TURVAAMISEEN JOHDANTO VALITUT TYÖKALUOHJELMAT PERUSTYÖKALUT SNORT - IDS TCPDUMP/ WINDUMP - VERKKO TRIPWIRE TIEDOSTOJEN EHEYS/ VALVONTA NESSUS HEIKKOUKSIEN LÖYTÄMISEEN MUUTA LINKIT:...27 LIITE 2: VARMENNEPOLITIIKKA JOHDANTO VARMENNETOIMITTAJA WWW-PALVELUN VARMENNE POLITIIKKA...28 LIITE 3: AAKKOSELLINEN HAKEMISTO /30

4 1. JOHDANTO 1.1 Yritys Tämä dokumentti kuvaa Verkon tietoturva kurssin ryhmän 2 harjoitustyönä määriteltyä ja osin rakennettua tietoverkkoa. Ryhmän kuvitteellisena kohteena on suomalainen konsultointiyritys Team Teatteri, joka tarjoaa asiakkaalleen konsultointipalveluja ja jakaa/ vastaanottaa tietoa mm. Extranet palvelimen (www ja ftp) kautta. Yrityksellä on kaksi eri toimipistettä Tampere ja Espoo. Kaikki intranetin palvelut (sähköposti ja levypalvelin) ovat Tampereella ja kaikki yrityksen ulkoiset yhteydet kulkevat Tampereella sijaitsevan palomuurin kautta. Tampereen ja Espoon välillä on LAN-to-LAN VPN-tunneli (IPSec). Asiakkaille suunnattu Extranet-palvelin on Tampereella. Työntekijöillä tarjotaan mahdollisuus etäkäyttöön IPSec-pohjaisen VPN-tunnelin kautta. 1.2 Henkilöt Työryhmän jäsenet ovat: Janne Huhtakallio, Tero Kovanen ja Antti Sulosaari Työnjako: Tero ja Antti ovat osallistuneet aktiivisesti ryhmän tehtäviin sekä harjoituksissa, kotitehtävissä, että harjoitustyössä. Janne on ryhmän etäjäsen ja täten pääasiassa osallistunut kotitehtäviin ja harjoitustyön dokumentointiin. Projektipalaverissa sovittiin kunkin osallistujan panosprosentit seuraaviksi: Antti 40%, Tero 40% ja Janne 20%. 1.3 Dokumentin suhde todelliseen tilanteeseen Tässä dokumentissa kuvataan yrityksen verkko, josta osa on toteutettua laboratoriossa harjoituksissa. Luonnollista on, että harjoituksissa toteutetut osiot kuvataan selvästi tarkemmalla tasolla kuin kuvitteelliset verkon määritykset. Harjoituksissa toteutetuista kohdista otetaan mukaan konfiguraatiotiedostojakin. Kuvitteellisista osista ei tällaiseen tarkkuuteen päästä. 2. YRITYKSEN TIETOTURVASTRATEGIA (JULKINEN) 2.1 Tarkoitus Meidän tarkoitus on taata asiakkaille tietoturvallista palvelua niin kustannustehokkaasti kuin mahdollista, lakien ja toimintaympäristön asettamissa rajoissa. Tässä luvussa kuvataan yrityksemme tietoturvastrategia. Tietoturvastrategia laaditaan yhdessä yrityksen ylimmän johdon kanssa ja ylin johto sitoutetaan tällä tavalla johtamaan tietoturvastrategian toteutusta. Tietoturvastrategia pitää sisällään yrityksen tietoturvatavoitteet ja käytettävät resurssit. Se toimii velvoitteena koko henkilöstölle ja aivan erityisesti johtajille, päälliköille sekä erikseen nimetyille tietoturvasta vastaaville, joiden tehtävänä on valvoa ja mahdollistaa yrityksen tietoturvallinen liiketoiminta. Tietoturvastrategiamme tavoitteena on luoda arvojen tasoisia toimintalinjoja, joille ei pitäisi muodostua aikakriittisiä muutostarpeita. Aikakriittiset tarpeet otetaan huomioon tietoturvapolitiikan osissa ja niiden linjaamissa ohjeissa ja määräyksissä. Strategia tarkastetaan vuosittain liittyen yrityksemme liiketoimintastrategian tarkastamiseen. 4/30

5 2.2 Ympäristön kuvaus Verkon on palveltava asiakkaitamme 24/ 7/ 365, muulloin kuin suunniteltuina huoltokatkospäivinä (4/ vuosi), jotka on ilmoitettu asiakkaille palvelusopimuksessa. Yrityksemme turvaa asiakkaidemme tiedot kaikissa tapauksissa niin, että ne eivät päädy asiattomille tahoille. Yrityksemme noudattaa kaikessa toiminnassaan Suomen lainsäädäntöä. Lainsäädäntöä tukee yrityksen oma sisäinen normisto, kuten yrityksen liiketoimintastrategia. Verkon yleinen rakenne on esitetty alla olevassa kuvassa. Verkon tarkempi rakenne on esitetty luvussa kolme. Loki-palvelin Tietokanta-palvelin Internet Reititin ja palomuuri WWW-palvelin Intranet Kuva 1: Verkon looginen rakenne 2.3 Tietoturvan tavoitteet Yrityksemme tietoturvan tavoitteena on taata asiakkaidemme tietojen luottamuksellisuus ja käytettävyys kaikissa olosuhteissa (pl. force majeur) tehtyjen palvelusopimusten mukaisesti. Asiakkaat vastaavat itse tietojensa eheydestä, ajantasaisuudesta ja oikeellisuudesta. Yrityksemme vastaa aggregaattitietojen eheydestä, ajantasaisuudesta ja oikeellisuudesta. 2.4 Organisointi Jokainen työntekijä vastaa yrityksessämme omasta tietoturvallisesta toiminnasta ja on velvollinen ilmoittamaan heti tietoturvaorganisaatiolle, jos havaitsee puutteita. Esimiehet vastaavat prosessiensa ja organisaatioidensa tietoturvallisesta toiminnasta. Heidän tukenaan ja tietoturvan teknisenä toteuttajana on erikseen nimetty tietoturvaorganisaatio. Yrityksen tietoturvan toteutusta valvoo ylimpänä toimitusjohtajan johtama tietoturvan johtoryhmä, joka kokoontuu 4 kertaa vuodessa ja lisäksi tarpeen mukaan. Johtoryhmään kuuluu TJ:n lisäksi liiketoimintajohtajat, sekä turvallisuusjohto. 5/30

6 3. YRITYKSEN TIETOJÄRJESTELMÄN TIETOTURVAPOLITIIKKA (LUOTTAMUKSELLINEN) 3.1 Tarkoitus Dokumentissa Yrityksen tietojärjestelmän tietoturvapolitiikka on tarkoitus kuvata strategiasta johtaen ne periaatteet, joiden perusteella kukin asia tietoturvasta ratkaistaan. Politiikan tässä osassa ei vielä kuvata tarkalleen yksittäistä teknistä ratkaisua, vaan rajataan vaihtoehdot. Tekniset ratkaisut annetaan määräykset ja ohjeet-osassa (luku 4) sekä tarvittaessa järjestelmäkohtaisissa erillisissä ohjeissa ja määräyksissä, jotka pidetään ajan tasalla aina järjestelmien muutoksien myötä. Tietoturvapolitiikka toimii järjestelmistä ja tietoturvasta vastaaville (esim. tietojärjestelmäpäällikölle ja tietoturvapäällikölle) ohjenuorana ja valtuutuksena konfiguraatioiden ja niihin liittyvien tarkempien ohjeiden ja määräysten laatimiseen ja toteuttamiseen. Tietoturvapolitiikan tämä osa tarkistetaan kerran puolessa vuodessa tai tarpeen mukaan olosuhteiden muuttuessa tai sellaisten muutosten yhteydessä, jolloin joudutaan tekemään muutoksia verkon rakenteeseen. 3.2 Ympäristön kuvaus Laitteisto ja käyttöjärjestelmät Sallitut käyttöjärjestelmät: Palvelinkoneet: Debian- ja RedHat Linux Työasemat: Debian- ja RedHat Linux ja Windows XP Palvelinlaitteiden ja käyttöjärjestelmien kokoonpano tarkistetaan tapauskohtaisesti vaatimusten mukaisesti. Työasemat ovat laptop-mallisia IBM-työasemia tarpeellisin oheislaittein (DVD-asema, verkkoliitäntä, toimikortinlukija). Työasemissa on käytössä tietojärjestelmäosaston laatimat perusasennukset kovennuksineen. Peruspaketissa on mukana tarvittavat työkalut toimintoja varten (työkaluja ei listata tässä harjoitustyödokumentissa, koska tarkkaa kuvaa yrityksen toiminnasta ei ole ). Lisäksi työasemiin on asennettu tietoturvallisuutta varten VPN-client, toimikortinlukijan ajurit, virusskanneri, personal firewall ja kovalevyn salausohjelmisto. Käyttäjille ei anneta administraattorin oikeuksia omalle koneelleen Yrityksen sisäiset palvelut Yrityksen infrastruktuuri tarjoaa työntekijöilleen tietoliikennepalveluina sähköpostipalvelun johon kuuluu keskitetty spam-suodatus ja virusskannaus, Intranet WWW-palvelun sisäistä tiedon jakamista ja tiedottamista varten ja palomuurillisen Internet-yhteyden tiedon hakemista varten. Tiedon varastointiin liitetyn tarjotaan levypalvelin tiedostojen tallentamista ja varmuuskopiointia varten. Sisäverkon SSO-toiminnallisuutta varten tarjotaan Windows domain-palvelimen palveluja. 6/30

7 3.2.3 Yrityksen ulkopuolelle tarjottavat palvelut Extranet-palvelimella tarjotaan tietoa yrityksen asiakkaille ja yhteistyökumppaneille. Palvelimella tarjotaan yrityksen yleistä tietoa julkisesti ja rajoittamatta. Tietoa voidaan jakaa myös rajoitetusti, mutta silloin vaaditaan käyttäjän autentikointi (SSL). Palvelimelle sallitaan yrityksen verkosta ulospäin SSL ja tarvittaessa myös http-yhteydet Etäkäyttö Yrityksellä on Tampereella käytössä VPN-Gateway palvelin etäkäyttöratkaisun toteuttamista varten Verkon toimintaa tukevat palvelimet Yrityksen eri toimistot yhdistetään toisiinsa kummankin toimiston verkkoon sijoitettavalla VPN- Gatewayllä. Näillä muodostettavalla VPN-tunnelilla myös Espoon toimistossa on käytössä samat verkkopalvelut kuin Tampereella. Sekä Extranet, että Intranet WWW-palvelimet käyttävät sisällön varastoinnissa tietokantaa ja kyseisiä palvelimia varten verkossa on asennettuna kummallekin oma tietokantapalvelin. Kaikkien palvelimien tuottama loki kerätään raportointia, analysointia ja mahdollista muuta myöhempää käyttöä varten keskitetylle lokipalvelimelle. 3.3 Verkon rakenne Verkon looginen rakenne esitetään kahtena eri kuvana. Allaolevassa kuvassa kuvataan sisäverkon ja sisäisten VLAN:ien looginen rakenne osoiteavaruuksineen. Kuvassa kolme kuvataan ulkoisten yhteyksien määritykset. Allaoleva kuva on harjoitustyössä kuvatun verkon looginen rakenne ja kuva kolme on kuvitteellinen verkko, jollainen yrityksessämme voisi olla / Loki-palvelin VLAN5.144/ VLAN4.160/ Tietokanta-palvelin Internet Reititin.129 VLAN2 128/28.1 VLAN3.1/ WWW-palvelin.1/25 Intranet Kuva 2: Sisäverkon toteutettu looginen rakenne 7/30

8 Ei -VPN liikenne Espoon konttori Intra VPN liikenne DMZ (Jokainen palvelin kuitenkin omassa VLAN:ssa) VLAN2, VLAN4, VLAN5 VPN-purnukka (linux) + iptables palomuuri Internet reititin palomuuri kytkin WWW-käyttäjä esim. asiakas Etäkäyttäjä VPN-Client VPN-purnukka Tampereen konttorin Intra (VLAN3) Kuva 3: Yrityksen ulkoisten yhteyksien määritelty looginen rakenne 3.4 Hallinnointi Verkon hallinnoinnista vastaavat määritellyt henkilöt ja vain heille luovutetaan järjestelmien ja palvelimien ylläpitäjän oikeudet. Ylläpitäjän oikeuksia saa käyttää vain tehtävissä, jotka vaativat kyseiset oikeudet. Kaikille palvelimille sallitaan SSH-yhteydet. SSH-yhteydet sallitaan kuitenkin vain sisäverkosta eli yrityksen palomuuri ei päästä SSH-yhteyksiä Internetistä sisään. Jos ylläpitäjä haluaa hallita jotain palvelinta etänä, niin hänen pitää ensin muodostaa VPN-yhteys yrityksen verkkoon. Yrityksellä on oikeus monitoroida ja seurata verkon liikennettä mukaan lukien sähköpostit tietoturvan niin vaatiessa. Tilastointia tehdään kuitenkin ainoastaan liikenteen määrästä ja laadusta. Verkon tilaa ja toimintaa valvotaan säännöllisesti käyttäen liitteessä 1 (työkaluohjelmat - verkon turvaamiseen dokumentti) kuvattuja työkaluja ja periaatteita. Ylläpito voi myöntää käyttöoikeuksia järjestelmiin ja kaikista käyttöoikeuksista pidetään kirjaa Käyttöoikeus-tietokannassa. Käyttöoikeuksien poistosta on olemassa erillinen prosessi. Käyttöoikeuksien poisto on erityisen tärkeää käyttäjän poistuessa yrityksen palkkalistoilta tai siirtyessä sellaisiin tehtäviin, joissa hän ei enää tarvitse kyseisiä oikeuksia. Uusien palvelimien, järjestelmien tai ohjelmistojen käyttöönotto suoritetaan Käyttöönottoprosessin mukaisesti. Erityisesti huomioitavaa on ennen käyttöönottoa tehtävä 8/30

9 järjestelmätestaus (käyttöönottoprojektin toimesta) ja hyväksyntätestaus (järjestelmän omistajan toimesta). Liiketoimintajohto antaa tuotantokäyttöönottoluvan jokaiselle käyttöön otettavalle järjestelmälle. Käytettävien käyttöjärjestelmien asennukset ja kovennukset on kuvattu dokumentissa: Käyttöjärjestelmät Haavoittuvuuksien seuranta Haavoittuvuuksien seuranta tapahtuu arkipäivittäin. Haavoittuvuuksien seurannassa käytetään CERT.fi:n tietoturvavaroituksia. ( Syy minkä vuoksi luotamme vain yhteen lähteeseen on se, että Viestintävirasto seuraa ja kerää tietonsa useista lähteistä. Tietoturva-asiantuntija Jani Arnell kertoi, että he saavat ennakkovaroituksia jo ennen kuin tiedot päätyvät mihinkään muillekaan sivuille, joten lähdettä voidaan pitää niin reaaliaikaisena kuin verkkosivuja yleensä ottaen voidaan pitää. Tietoturvatiedotteet ja niiden vaikutus meidän järjestelmiimme julkaistaan myös intranetissä tietohallinnon sivuilla Varmuuskopiointi Varmistukset tehdään robotilla, jossa kaikki olennainen (kanta + www-palvelin + lokit + työntekijöiden verkkolevyt) varmistetaan seuraavan nauhakierron mukaan: - ma-pe päivävarmistus - la viikkovarmistus - parillisten viikkojen la 2.-viikkoisvarmistus - joka 4. viikko la kuukausi varmistus - joka kuudes kuukausi la kuukausivarmistuksesta tehdään puolivuotisvarmistus - joka toinen puolivuotisvarmistus laitetaan 5-vuotissäilöön tai säilötään pysyvästi, mikäli asiakas niin tahtoo tai laki edellyttää sen häneltä. Ma-pe nauhat ovat ns. inkrementaalivarmistuksia eli niissä on vain edellispäivästä tapahtuneet muutokset. Kaikki la varmistukset ovat täysvarmistuksia eli niistä voidaan palauttaa kaikki tiedot sellaisenaan. Nauhakierrossa on kaikilla tasoilla 10 nauhasettiä, jotka ajetaan siis päälle 11:sta kierroksella kullakin varmistus tasolla. Joten päivittäiset muutokset voidaan palauttaa toissa viikolle samaan päivään, viikoittaiset 19 viikon päähän, parilliset viikot 42 viikon päähän jne. Kaikki varmistukset tehdään kaksinkertaisina ja kummatkin säilytetään eri tiloissa. Kahden viikon varmennuksista ja sitä pidemmistä otetaan kolmas kappale, joka lähetään Huoltovarmuuskeskuksen tiloihin Jyväskylään. Lisäksi varmistetaan asennusmedioiden olemassaolo käyttöjärjestelmäversioineen mahdollista palautusta varten ohjelmista, joilla varmistukset tehdään mukaan lukien asennusten asetukset. Tämä sen vuoksi, että palautukset onnistuvat esim. 4 vuoden takaa. Myös näistä lähetetään viimeisimmät versiot Jyväskylään. Varakoneilla voidaan tarpeen mukaan luoda toimiva testiympäristö, jossa voidaan kokeilla uusia palveluita, jolloin riski palvelukatkoksista uusien asennuksien yhteydessä pienenee. Tällöin voidaan tehdä myös varmistusten palautuksia testausmielessä ilman palvelutuotannon keskeytyksiä. 9/30

10 3.4.3 Käyttöoikeudet Käyttäjille annetaan käyttöoikeudet minimiperiaatteen mukaan eli myönnetään vain oikeudet niihin toimintoihin, joita käyttäjä tarvitsee. Omalle työasemalleen ei kenellekään peruskäyttäjälle anneta administraattorin oikeuksia. Ennen käyttöoikeuksien myöntämistä Intranettiin kullekin käyttäjälle annetaan ohjeet intranetin käytöstä, joiden ymmärtäminen pitää erikseen kuitata. Ohjeissa korostetaan tietoturvan merkitystä yrityksen liiketoiminnalle ja mm. sitä, että salasanojaan ei missään yhteydessä saa luovuttaa kenellekään toiselle ei edes verkon ylläpitäjälle. Yrityksessä on käytössä Windows-domain, jossa toimii kertakirjaus. Muuten ei kertakirjaus ole käytössä Lokit Lokit kerätään eri järjestelmistä keskitetylle lokipalvelimelle. Kaikista käyttäjien kirjautumisista ja kirjautumisyrityksistä eri järjestelmiin kerätään lokia, mukaan lukien istuntojen kestoaika. Oman sisäverkon, www-palvelimen ja tietokannan kuormituksesta kerätään palvelimista lokeja sekä reitittimeltä flow-dataa. Tämä tehdään kuormituksen optimoimiseksi ja oikea-aikaisien laitehankintojen aikaansaamiseksi. Lisäksi voidaan saada kiinni väärin toimivia laitteita sekä estettyä laitteiden väärä käyttö, koska ne aiheuttavat yleensä lisä- tai tavallisuudesta poikkeavaa kuormitusta. Tietoliikennemielessä mielenkiintoista on datan määrä kuhunkin VLAN:iin ja tietoturvamielessä käytetyt portit. Lokia kerätään palveluiden käytöstä (www-palvelin) ja erityisesti siitä kuinka paljon ja mitä imuroidaan ulos. Hälytys pitäisi syntyä, jos tietty raja-arvo ylitetään, vastaanottaja ja/ tai vastaanottajan osoiteavaruus on meille tuntematon ja tietty alempi raja-arvo ylitetään, jolloin voidaan varmistaa onko kyseessä laillinen palvelun käyttö. Tämä palvelee turvallisuuden lisäksi myös kaupallista näkökulmaa, koska voimme muokata käytettävyyttä käyttäjien tarpeiden mukaan. Palomuurin lokista etsitään ennalta tunnettuja käyttäytymismalleja erilaisista kokeiluista yrityksenä tutkia meidän palveluidemme tietoturvaa. Lokia lokipalveluiden käytöstä, erityisesti kuka on tehnyt muutoksia ja milloin. Tämä loki kerätään erilliselle lokipalvelimelle, jolle ei ole pääsyä muualta kuin konsolilta. Palvelimilta (loki-, tietokanta- ja www-palvelin) seurataan levytilan täyttöastetta ja prosessien kuormitustilannetta (top x prosessia). Näyte otetaan kerran tunnissa. Lokitiedostot kopioidaan automaattisesti kerran vuorokaudessa (kello 3:00) uudelle nimelle (nimi+ aikaleima esim. lokitiedoston_nimi_ddmmyyy.log). Kuluneen viikon lokitiedostot pakataan kerran viikossa automaattisesti. Pakatun tiedoston nimi muodostuu viikon numerosta ja vuodesta (esim. logs_w39_2003.tar). Tapahtumien tutkimista varten meillä on verkkokello, joka pitää 1/ 1000 sekunnin tarkkuudella eri koneet ja laitteet samassa ajassa. Sen seurauksena niiden lokit pysyvät ajassa, jolloin tapahtumat saadaan jäljitettyä oikea-aikaisesti. Jos toimittaisiin laitteiden omilla kelloilla, jotka käyvät jokainen omaa aikaansa, omaan tahtiinsa, niin jo pieni määrä verkossa olevia laitteita tekisi tapahtumien oikea-aikaisen seuraamisen lokeista mahdottomaksi. Kenelläkään ei saa olla mahdollisuutta muokata lokia. Kenelläkään ei saa olla oikeutta hävittää lokeja yksinään. Hävittämisen pitää tapahtua sovitun menettelyn mukaan, joka myös kirjataan ja jossa on mukana vähintään kaksi henkilöä. Lokien lukemisesta pitää myös jäädä loki, jotta niitä 10/30

11 ei käytetä väärin. Tämä voidaan toteuttaa vaikka tietokantatriggereillä, jos lokit kerätään omaan/ omiin kantoihinsa tilastotietojen käsittelyn helpottamista varten Valvonta Yrityksessä on kaikissa Windows-laitteissa käytettävä virustorjuntaa (Norton Antivirus Corporate Edition) ja viruskuvauspäivitykset ladataan automaattisesti valmistajan tarjoamasta palvelusta. Linux-laitteissa virustorjunta ei ole vielä pakollinen, mutta tilanteen kehittymistä seurataan aktiivisesti. Sähköpostipalvelimella kaikki sähköpostit skannataan viruksien torjumiseksi ja sähköpostipalvelimella on käytössä keskitetty spam-suodatin. Yrityksen palvelimissa on käytössä tunkeutumisen havainnointiohjelmisto (Snort), jolla voidaan generoida hälytyksiä mahdollisten hyökkäyksien tapahtuessa. Lisäksi palvelinten hakemistot ja tiedostot lasketaan (automaattiprosessilla) kerran kahdessa tunnissa niiden palvelinten tai hakemistopuiden osalta, joissa ei kyseisissä lukumäärissä pitäisi tapahtua muutoksia. Valvonnasta on lisää liitteessä Auditointi Ulkopuolinen auditoija käy auditoimassa yrityksemme joka toinen vuosi Poikkeustilanteet Kaikista poikkeustilanteista on aina raportoitava viipymättä tietoturvapäällikölle tai tietojärjestelmäpäällikölle. Kaikista palvelimista ja tiedoista on oltava ajan tasalla olevat varmuuskopiot, jotka tulee voida palauttaa tämän ja edellisen viikon tiedoista yhden tunnin kuluessa arkipäivisin klo 7-18 välisenä aikana vikatilanteesta poislukien pyhät ja klo 19-7 väliset tapahtumat, jotka palautetaan klo 8 mennessä arkipäivisin. Kuluvaa viikkoa edeltävää viikkoa vanhemmista tapahtumista palautusaika on 4 tuntia arkipäivisin klo 7-18 välisenä aikana. Varmuuskopion palauttamiseen tarvitaan tietojärjestelmästä vastaavan henkilön hyväksyntä Tiedon salaus Jokaisella käyttäjällä on kovalevynsalausohjelmisto, jolla kaikkien työasemien tiedot on salattu. Palvelimissa ei pääasiallisesti salata mitään. Tarvittaessa palvelimissa oleva tieto salataan tiedosto kerrallaan. Salaus suoritetaan käyttäen PGP:tä. Lisäksi kaikki luottamukselliseksi tai salaiseksi määritellyt dokumentit on myös verkkolevylle tallennettaessa ja siirrettäessä oltava salattuna. Käytössä olevan luokittelun mukaan dokumentti on julkinen, luottamuksellinen tai salainen. Dokumentin luokituksen määrittää dokumentin omistaja. Julkista dataa saa käsitellä kuka tahansa missä tahansa. Luottamuksellista dataa saavat käsitellä vain henkilöt, joilla on oikeus kyseiseen dokumenttiin. Oikeudet dokumentin käsittelyyn määrittää dokumentin omistaja. Salainen dokumentti on muuten vastaava kuin luottamuksellinen, mutta sitä EI saa siirtää sähköisesti sisäverkon ulkopuolelle edes salattuna. 11/30

12 3.5 Tietoliikenneyhteydet Tietoliikenteen pääsynvalvonta Verkon rakenne on esitetty luvussa 3.3. Yrityksellä on käytössä palomuuri erottamassa Internettiä ja sisäverkkoa. Palomuurin hallinnoinnista vastaa tietoturvaosasto. Varsinaisen työasemaverkon lisäksi palomuurissa on oma ns. demilitarisoitu alue Internettiin näkyviä palvelimia varten. Tällaisia palvelimia ovat Tampereen VPN-palvelin ja WWW-extranet-palvelin. Lisäksi kaikki palvelimet on sijoitettu omaan VLAN:iin, joihin liikennöintiä rajoitetaan myös palomuurin/ reitittimen toimesta. Koko verkkoa palveleva NTP-palvelin (aikapalvelin) sijaitsee Intranetissä eli VLAN3:lla. Sallitut liikenteet segmentistä toiseen on kuvattu seuraavassa taulukossa (lähde on vaakarivi ja pystysarake on kohde). Taulukossa kuvataan sallittu liikenteen avaus paluupaketteja ei mainita, mutta luonnollisesti nekin sallitaan. 12/30

13 WWWpalvelin (VLAN2) Intranet (VLAN3) Tietokantapalvelin (VLAN4) Lokipalvelin VPN-DMZ (VLAN5) Internet WWWpalvelin (VLAN2) - sql (tcp 1434) syslog (udp 514) - - Intranet (VLAN3) ssh (tcp 22), http (tcp 80), ssl(tcp 443), ntp (tcp 123) sql (tcp1434), ssh (tcp 22), ntp (tcp 123) ssh (tcp 22), syslog (udp 514), ntp (tcp 123) ssh (tcp 22), ntp (tcp 123) Kaikki Tietokantapalvelin (VLAN4) - - syslog (udp 514) - - Lokipalvelin (VLAN5) VPN-DMZ ssh (tcp 22), http (tcp 80), ssl (tcp 443) Kaikki (VPN hoitaa profiloinnin) ssh (tcp 22) ssh (tcp 22), syslog (udp 514) - Internet http (tcp 80), ssl (tcp 443) Taulukko1: Sallittu verkkoliikenne ESP (IP pro 50) ja IKE + NAT-T (UDP portista x porttiin 500) Yrityksessä ei sallita langatonta liikennöintiä. Poikkeuksena GSM- ja GPRS etäyhteydet. Sisäverkosta ei sallita yrityksen palomuuria ohittavia yhteyksiä Internettiin eli sisäverkon laitteissa modeemit, ISDN ja ADSL ovat kiellettyjä Etäkäyttö Yritys tarjoaa työntekijöille etäkäyttömahdollisuuden. Työntekijöille tarjotaan Elisan yritys ADSLliittymää, jossa Elisa tarjoaa palveluna erillistä palomuuritoiminnallisuutta. Etäkäyttö sallitaan vain työntekijän omalta työkoneeltaan. Etäkäytössä käytetään Secgo Crypto IP ratkaisua. Ratkaisussa Tampereella (VPN-DMZ) on VPN-Gateway Linux (RedHat 7.3). Käyttäjäprofilointia varten VPN-Gatewayn kanssa samaan palvelimeen on asennettu myös LDAP (IBM 13/30

14 DirectoryServer) ja Secgo RemoteProfiler. Käyttäjien pääsyoikeudet tarkistetaan LDAP:sta ja käyttöoikeudet voidaan rajoittaa esim. IP-osoite-, IP-avaruus-, IP-portti-kohtaisesti. Etäkäyttöratkaisussa käyttäjät autentikoidaan varmenteilla. Varmennepolitiikka on määritelty liitteessä Fyysinen turvallisuus Rakennuksissa ei ole muita yrityksiä. Rakennusten sisäjärjestys on suunniteltu siten, että reikä missä tahansa rakennuksen ulkovaipassa ei aiheuta tietoturvariskiä. Rakennusten pihat on aidattu ja parkkipaikalle pääsee vain kulunvalvontakortilla. Vieraiden parkkipaikat ovat aidan ulkopuolella. Parkkipaikan puolella ei ole ikkunoita. Kulku rakennukseen tapahtuu parkkipaikan vastakkaiselta puolelta. Vieraat pääsevät vain rakennusten sisäänkäynnin yhteydessä oleviin vierailutiloihin. Rakennukset valvotaan teknisesti 24/ 7/ 365 vartiointiliikkeen kanssa tekemämme erillisen sopimuksen mukaisesti. Kukin henkilö pääsee kulkukortillaan vain julkisiin/ yhteisiin tiloihin sekä omaan työtilaansa. Konesaleihin ja turva-/ suojatiloihin pääsevät vain erikseen nimetyt henkilöt. Mahdolliset varakoneet sijoitetaan aina eri tilaan kuin varsinaiset tuotantokoneet. Varmuuskopiot ovat kolmannessa erillisessä paikassa mistä tiedot mukana olevien järjestelmien viimeisimpien asennusmedioiden avulla voidaan palauttaa kaikissa olosuhteissa. Konesalit ovat rakennuksen keskellä ikkunattomassa tilassa pohjakerroksessa. Ne ovat suojattuja sekä palo- että vesivaurioiden varalta. 3.7 Henkilöstö Luvussa 2.4 mainitun tietoturvan johtoryhmän lisäksi tietoturvan organisointiin kuuluvat: tietoturvankehitysryhmä, vasteryhmä ja jäljitysryhmä. Kehitysryhmään kuuluvat tietojärjestelmäpäällikkö, tietohallintopäällikkö ja tietoturvapäällikkö. Ryhmä kokoontuu joka toinen kuukausi ja kokoukseen kutsutaan mukaan muita asiantuntijoita yrityksestä käsiteltäviin aiheisiin liittyen. Kehitysryhmän toimenkuvana on vastata yrityksen tietoturvan kehittäminen, hankkeiden esittäminen johtoryhmälle ja tietoturvan tason seuranta. Vasteryhmään kuuluvat tietoturvapäällikkö ja kolme nimettyä tietoturva-asiantuntijaa. Vasteryhmän tehtävänä on seurata tietoturvatiedotteita ja toimia niiden mukaisesti. Lisäksi vasteryhmä valvoo verkon tilaa aktiivisesti ja tarvittaessa tekee puolustustoimenpiteitä. Poikkeustilanteissa vasteryhmä vastaa toiminnasta tietoturvapäällikön johdolla. Vasteryhmä päivystää 24/ 7/ 365. Tietoturvapäällikön ollessa estynyt vetämään vasteryhmää (esim. lomat tai työmatkat), toimii tietohallinto- tai tietojärjestelmäpäällikkö hänen sijaisenaan. Jäljitysryhmään kuuluvat tietoturvapäällikkö, yhtiön lakimies ja nimetty tietoturva-asiantuntija. Jäljitysryhmän tehtävänä on selvittää mahdollisen tietoturvaloukkauksen tekijä ja koostaa todisteet mahdollisia jatkotoimenpiteitä koskien. Jäljitysryhmä päivystää virka-aikana. Tietoturvapäällikön ollessa estynyt vetämään jäljitysryhmää (esim. lomat tai työmatkat), toimii tietohallinto- tai tietojärjestelmäpäällikkö hänen sijaisenaan. 14/30

15 4. MÄÄRÄYKSET JA OHJEET (SALAINEN) 4.1 Tarkoitus Dokumentissa Määräykset ja ohjeet on tarkoitus kuvata laitteiden asetukset ja kytkennät niin tarkasti, että niiden perusteella ylläpitäjä voi pystyttää verkon. Määräys on ainoa sallittu tapa toteuttaa konfiguraatio yrityksen verkossa. Ohje on kuvaus siitä, miten konfiguraatio on toteutettu tällä hetkellä juuri tässä verkossa. Määräysten muuttaminen on myös vaikeampi ja monimutkaisempi prosessi, kuin ohjeiden muuttaminen (=vaatii useamman ihmisen hyväksynnän ja tarkastamisen). Molempien muutosprosessit on kuvattu erillisessä tietoturvan prosessikuvaukset asiakirjassa (luottamuksellinen). Tämä osa toimii järjestelmistä vastaaville ylläpitäjille ohjenuorana ja valtuutuksena konfiguraatioiden toteuttamiseen. Tämä osa tarkistetaan ja päivitetään aina konfiguraatiomuutoksien yhteydessä. 4.2 Verkon kuvaus (Määräys) VLAN5 Loki-palvelin Reititin f0/5 f0/ Q: f0/1 VLANit 2-5 Kytkin f0/2 f0/4 f0/3 VLAN4 Tietokanta-palvelin VLAN2 WWW-palvelin VLAN3 Intranet Kuva 4: Verkon fyysinen rakenne Sisäverkon toteutettu looginen rakenne löytyy kuvasta 2 muutoin paitsi, että kuvassa 4 olevalla kytkimellä on.147-päätteinen IP-osoite, eli se kuuluu VLAN 5:een. Harjoitusverkko koostuu 802.1Q:ta osaavasta kytkimestä, Cisco 2621 reitittimestä (802.1Q FastEth liitännöissä) ja 4 kpl linux PC:stä. Verkon ominaisuuksia ovat: /24 IP-avaruus - verkossa julkinen www-palvelin, tietokantapalvelin, lokipalvelin ja työasema - www-palvelimelta pääsy tietokantapalvelimeen - palvelimet ja työasema suojattu tietoturvapolitiikan mukaisesti 15/30

16 - lokitiedot palvelimilta ohjattu lokipalvelimelle Lisätietoja verkon määrittelystä löytyy Tietoturvakonfiguraatiot Palomuuri (Määräys) Yrityksellä on käytössä keskitetty palomuuri erottamassa Internet sisäverkosta, minkä lisäksi jokaisessa palvelinkoneessa (Linux) on käytössä Iptables-palomuuri. Ohjeita palomuurin konfigurointiin esimerkki palomuuriskripti: (ei todellinen, koska ei toteutettu laboratoriossa) #/bin/sh iptables --append INPUT --in-interface lo --jump ACCEPT iptables --append INPUT --match state --state ESTABLISEHED, RELAITED --jump ACCEPT iptables --append INPUT --proto tcp --destination-port 22 --jump ACCEPT iptables --append INPUT --proto tcp --destination-port 80 --jump ACCEPT iptables --append INPUT --proto tcp --destination-port jump ACCEPT iptables --append INPUT -p icmp --icmp-type echo-reply --jump ACCEPT iptables --append INPUT proto ip protocol 50 --jump ACCEPT iptables --append INPUT proto ip protocol 51 --jump ACCEPT iptables --append INPUT proto udp destination-port jump ACCEPT iptables --append INPUT --jump DROP iptables --numeric --list Tiedostolle annettava suoritusoikeudet rootille ja lukuoikeudet muille. (sudo chmod 744 fw.sh) Suoritetaan: sudo./fw.sh VPN (Ohje) VPN-konfiguraatiot kuvattu sanallisesti, koska laboratoriossa ei toteutettu VPN-yhteyksiä. VPN:ssä on käytössä seuraavat säännöt: - salli IKE-neuvottelu - IPSec-tunnel-mode Helsingin ja Tampereen LAN:ien välillä - IPSec-tunnel-mode Internetin ja sisäverkon ( /24) välillä - kiellä kaikki muu Varmennepohjainen autentikointi: - Tampereen GW:llä VPN-GW1.cert - Espoon GW:llä VPN-GW2.cert - + käyttäjävarmenteet Pre-shared secret autentikointi ei ole sallittu. Tampereen VPN-GW:ssä määritelty käytettäväksi RemoteProfileria. RemoteProfiler lukee käyttäjien pääsyoikeudet LDAP:sta. LDAP:ssa määritellään: - käytettävät palvelut (aliverkko, yksittäinen IP-osoite ja/ tai edellisiin lisättynä portti tai protokollatieto) - käyttäjäryhmät, joissa kerrotaan mitä palveluja kyseinen käyttäjäryhmä saa käyttää - käyttäjät, jotka liitetään tarvittaviin käyttäjäryhmiin sen mukaan mitä kyseinen käyttäjäryhmä saa käyttää 16/30

17 VPN-IPSec:n tarvitsemat portit palomuurissa: - Jos ei NAT-T:tä: UDP portista 500 porttiin 500 (ISAKMP), IP protokolla 50 (ESP) ja IP protokolla 51 (AH) - Jos NAT-T: UDP portista x porttiin 500 (ISAKMP ja NAT-T), ESP ja AH (kuten edellä) Loki (Määräys) Muista ifdown ehth0 ennen kuin editoit allaolevaa interfaces-tiedostoa. Ohjeita lokin konfigurointiin /etc/network/interfaces: # /etc/network/interfaces -- configuration file for ifup(8), ifdown(8) # The loopback interface # automatically added when upgrading auto lo iface lo inet loopback # The first network card - this entry was created during the Debian installation # (network, broadcast and gateway are optional) # automatically added when upgrading auto eth0 iface eth0 inet static address netmask broadcast gateway /etc/hosts: localhost logger.tt.fi logger # The following lines are desirable for IPv6 capable hosts # (added automatically by netbase upgrade) ::1 ip6-localhost ip6-loopback fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters ff02::3 ip6-allhosts Reititin (Määräys) Muista no shutdown reitittimen interfaceille, koska se ei ole mukana konfiguraatiossa. Ohjeita reitittimen konfigurointiin ja Reitittimen konfiguraatio: Current configuration : 2432 bytes version /30

18 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname Router enable secret 5 $1$M62F$ZPtWwE.7xHl9ieAcbU40P. memory-size iomem 15 ip subnet-zero voice call carrier capacity active mta receive maximum-recipients 0 interface FastEthernet0/0 no ip address duplex auto speed auto interface FastEthernet0/0.2 encapsulation dot1q 2 ip address no ip proxy-arp interface FastEthernet0/0.3 encapsulation dot1q 3 ip address no ip proxy-arp interface FastEthernet0/0.4 encapsulation dot1q 4 ip address no ip proxy-arp interface FastEthernet0/0.5 encapsulation dot1q 5 ip address no ip proxy-arp interface Serial0/0 no ip address shutdown interface FastEthernet0/1 ip address ip access-group labra-in in ip access-group labra-out out duplex auto speed auto interface Serial0/1 no ip address shutdown router ospf 1234 network area 0 network area 0 ip classless ip http server 18/30

19 ip access-list extended labra-in permit ospf any any permit tcp any any established remark sallitaan ssh permit tcp any eq 22 remark www permit tcp any any eq www permit tcp any any eq 443 deny ip any any log ip access-list extended labra-out permit ospf any any remark ssh paluupaketit 10.0-verkkoon permit tcp any eq established remark sallitaan ssh ulos permit tcp any any eq 22 remark www permit tcp any eq 80 any permit tcp any eq 443 any deny ip any any log logging facility local2 logging call rsvp-sync mgcp profile default dial-peer cor custom line con 0 escape-character 3 line aux 0 line vty 0 4 password labra login end Kytkin (Määräys) Ohjeita kytkimen konfigurointiin Kytkimen konfiguraatio: Current configuration : 2014 bytes version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption hostname Switch enable secret 5 $1$.LiE$S45E28t/krErIUtZFchTS. ip subnet-zero 19/30

20 spanning-tree mode pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id interface FastEthernet0/1 switchport trunk allowed vlan 2-5 switchport mode trunk switchport trunk allowed vlan 2-5 switchport mode trunk no ip address interface FastEthernet0/2 switchport access vlan 2 switchport mode access no ip address interface FastEthernet0/3 switchport access vlan 3 switchport mode access no ip address interface FastEthernet0/4 switchport access vlan 4 switchport mode access no ip address interface FastEthernet0/5 switchport access vlan 5 switchport mode access no ip address interface FastEthernet0/6 no ip address Interface FastEthernet 0/7-0/24 puuttuvat, koska ne menevät samaan tapaan kuin 0/6. interface GigabitEthernet0/1 no ip address interface GigabitEthernet0/2 no ip address interface Vlan1 no ip address no ip route-cache shutdown interface Vlan5 ip address interface Vlan1 no ip address no ip route-cache shutdown interface Vlan5 ip address no ip route-cache ip default-gateway ip http server 20/30