Przewodnik projektowania i wdrażania zabezpieczeń sieciowych

Wielkość: px
Rozpocząć pokaz od strony:

Download "Przewodnik projektowania i wdrażania zabezpieczeń sieciowych"

Transkrypt

1 PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Przewodnik projektowania i wdrażania zabezpieczeń sieciowych Opracował: Mariusz Stawowski Check Point Certified Security Engineer Entrust Certified Consultant CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, Kraków; Tel: ; ; Fax: ;

2 Spis treści 1. PROJEKT SYSTEMU ZABEZPIECZEŃ 3 2. ARCHITEKTURA SYSTEMU ZABEZPIECZEŃ 5 3. IDENTYFIKOWANIE I BLOKOWANIE ATAKÓW DESTRUKCYJNYCH (D)DOS ORAZ WYRAFINOWANYCH PRÓB PENETRACJI I WŁAMAŃ 7 4. SYSTEM KONTROLI ZAWARTOŚCI 9 5. SYSTEM MOCNEGO UWIERZYTELNIANIA UŻYTKOWNIKÓW BEZPIECZNY DOSTĘP DO ZASOBÓW SIECI KORPORACYJNEJ DLA ODLEGŁYCH UŻYTKOWNIKÓW ZINTEGROWANIE ZABEZPIECZEŃ RUTERA INTERNET Z SYSTEMEM ZAPOROWYM FIREWALL ZASTOSOWANIE NARZĘDZI WSPOMAGAJĄCYCH ANALIZĘ I RAPORTOWANIE ZDARZEŃ15 9. ZASTOSOWANIE NARZĘDZI WSPOMAGAJĄCYCH WYKONYWANIE AUDYTÓW BEZPIECZEŃSTWA ZARZĄDZANIE ROZDZIAŁEM PASMA SIECI DLA PROTOKOŁÓW, UŻYTKOWNIKÓW I USŁUG OCHRONA SYSTEMU ZABEZPIECZEŃ FIREWALL PRZED AWARIAMI SPRZĘTOWYMI I PROGRAMOWYMI UWIERZYTELNIANIE TOŻSAMOŚCI UŻYTKOWNIKÓW W TRYBIE JEDNOKROTNEGO LOGOWANIA SINGLE SIGN ON OCHRONA KRYPTOGRAFICZNA I PKI ROZWÓJ KWALIFIKACJI ZAWODOWYCH PERSONELU OBSŁUGI ZABEZPIECZEŃ 22 2

3 1. Projekt systemu zabezpieczeń Podstawą bezpieczeństwa systemu informatycznego jest dobrze opracowany projekt, wdrożony z użyciem właściwie dobranych technologii renomowanych producentów, zarządzany przez wykwalifikowaną kadrę informatyczną. Projektowane zabezpieczenia powinny być oparte w znacznej mierze na wynikach specyfikacji wymagań bezpieczeństwa, a także ogólnej teorii zabezpieczeń (m.in. wymagane jest dokonanie weryfikacji odporności systemu na strategię włamań Island Hopping Attack). Tworzenie zabezpieczeń systemu informatycznego powinno odbywać się w przemyślany, wcześniej szczegółowo zaplanowany sposób zgodnie ze sprawdzoną metodyką. Poniższy diagram przedstawia etapy tworzenia projektu zgodnie z metodyką wypracowaną i stosowaną przez CLICO. Specyfikacja wymagań bezpieczeństwa Opracowanie architektury systemu Wyszczególnienie stref bezpieczeństwa Ustalenie składowych systemu zabezpieczeń Określenie zasad funkcjonowania zabezpieczeń Opracowanie infrastruktury zarządzania systemu Ustalenie wymagań i odpowiedzialności personelu obsługi Analiza bezpieczeństwa systemu 3

4 Poprawny projekt systemu zabezpieczeń charakteryzuje się m.in. następującymi własnościami: opracowany zgodnie z sprawdzoną metodyką, zawiera etapy analizy, projektowania i wdrożenia, brak zbędnych opisów przepisanych z literatury, przejrzysty i zrozumiały model bezpieczeństwa, wyraźnie zaznaczone, opisane strefy bezpieczeństwa, opis infrastruktury technicznej (narzędzia informatyczne, platforma sprzętowa, wymagania lokalizacyjne), opis infrastruktury organizacyjnej (określenie kompetencji i kwalifikacji personelu, opracowanie procedur działań w przypadku obsługi codziennej oraz sytuacji alarmowych), precyzyjna specyfikacja sprzętowo-programowa, plany testów akceptacyjnych. 4

5 2. Architektura systemu zabezpieczeń Spełnienie wszystkich w/w wymagań względem projektu systemu zabezpieczeń wymaga opracowania odpowiedniej architektury. Dla przykładu, architekturą systemu dostępu do Internetu opracowaną i zalecaną do stosowanie przez CLICO jest architektura Centralnego Węzła Dostępu (CWD). CWD posiada wyraźnie zaznaczone strefy bezpieczeństwa, wprowadzone ze zrozumiałych i uzasadnionych powodów. System zabezpieczeń CWD składa się z wielu zintegrowanych warstw ochrony, które uzupełniają i ubezpieczają się wzajemnie. System zabezpieczeń powinien składać się z wielu zintegrowanych modułów ochrony, które uzupełniają i ubezpieczają się wzajemnie. Modułowa budowa systemu zabezpieczeń umożliwia sprawne dokonywanie zmian w środowisku sieciowym, aplikacyjnym i usługowym oraz formach dostępu tak jakościowych (protokoły, łącza) jak i ilościowych (liczba jednoczesnych połączeń). Komponenty systemu zabezpieczeń powinny być administrowane z centralnej stacji zarządzającej, zlokalizowanej w dobrze zabezpieczonym obszarze sieci (w dedykowanej strefie). Z punktu widzenia bezpieczeństwa sieci prywatnej można w systemie CWD wyróżnić następujące warstwy ochrony (patrz rysunek): Serwery RAS Serwery publiczne (DMZ) W1 W2 W3 INTERNET Firewall Ruter Firewall CWD (gateway) SIEĆ PRYWATNA System wykrywania intruzów Systemy zabezpieczeń wspomagających Stacja zarządzająca zabezpieczeń CWD W1 warstwa ochrony dla systemu CWD Firewall przed atakami (szczególnie atakami destrukcyjnymi DoS) i innymi niedozwolonymi działaniami z obszaru Internetu, W2 warstwa ochrony dla systemu CWD Firewall oraz innych elementów sieci prywatnej przed wyrafinowanymi atakami (Exploit, DoS, itp.) z obszaru Internetu, W3 warstwa ochrony dla sieci prywatnej przed atakami i innymi niedozwolonymi działaniami z innych obszarów sieci (CWD Firewall separuje strefy bezpieczeństwa). Warstwy ochrony systemu CWD stanowią wzmocnienie innych środków bezpieczeństwa istniejących w sieci wewnętrznej (zabezpieczeń warstwy systemu operacyjnego, aplikacji użytkowych, baz danych, itp.). Poszczególne warstwy: W1, W2 i W3 ubezpieczają i uzupełniają się wzajemnie, tak aby w razie wystąpienia niepoprawnego działania jednej z warstw (błąd konfiguracji, błąd oprogramowania, wstrzymanie działania zabezpieczeń) pozostałe warstwy nie umożliwiały łatwego zaatakowania sieci prywatnej oraz pozwalały na szybkie zidentyfikowanie nieprawidłowości. 5

6 System zabezpieczeń CWD powinien zostać tak skonfigurowany, aby samoczynnie sygnalizować (alarmować) i podejmować odpowiednie działania w razie wykrycia nieprawidłowości i naruszeń bezpieczeństwa: 1. Firewall Ruter nie powinien przepuszczać żadnych pakietów kierowanych do systemu Firewall CWD za wyjątkiem połączeń jednoznacznie ustalonych jako dozwolone (np. połączeń wymaganych do zestawienia VPN). Wszystkie tego typu odrzucone na Firewall Ruter pakiety powinny być rejestrowane w logu centralnej stacji zarządzającej. 2. Firewall CWD powinien blokować i alarmować wszelkie próby połączeń ze strefy zawierającej serwery publiczne WWW, DNS i (potencjalnie najbardziej narażonej na włamania) do sieci prywatnej za wyjątkiem połączeń jednoznacznie ustalonych jako dozwolone (tzn. połączeń z serwerem poczty w sieci wewnętrznej). 3. System wykrywania intruzów (włamań) powinien identyfikować i alarmować nieprawidłowe działanie, bądź błędną konfigurację zabezpieczeń Firewall Ruter na podstawie analizy ruchu sieciowego (tzn. na skutek zauważenia pakietu skierowanego do niedozwolonego portu Firewall CWD, który normalnie nie powinien przejść przez Firewall Ruter). 4. System wykrywania intruzów powinien identyfikować i alarmować nieprawidłowe działanie, bądź błędną konfigurację zabezpieczeń Firewall CWD na podstawie analizy ruchu sieciowego (tzn. na skutek zauważenia pakietu sesji FTP lub HTTP zainicjowanej przez komputery w sieci prywatnej, który normalnie nie powinien przejść przez Firewall CWD). 5. System wykrywania włamań powinien samoczynnie modyfikować politykę bezpieczeństwa Firewall CWD w zakresie blokowania źródła ataku, jednak tylko wtedy gdy wykryty atak jest rzeczywiście groźny dla sieci wewnętrznej oraz istnieje przypuszczenie, że istniejące zabezpieczenia sieci nie chronią dostatecznie przed tym atakiem. Wybór najbardziej odpowiedniej technologii do wdrożenia zabezpieczeń CWD powinien zostać dokonany na podstawie analizy porównawczej produktów: posiadających możliwości wdrożenia zabezpieczeń i polityki bezpieczeństwa ustalonych w projekcie, posiadających największe referencje na rynku komercyjnym wg badań niezależnych instytucji (np. Data Monitor, International Data Corporation, Gartner Group), posiadających wiarygodne, rządowe certyfikaty bezpieczeństwa 1 (ITSEC 2, TCSEC, Common Criteria), posiadających możliwości współdziałania z innymi systemami używanymi w przedsiębiorstwie, posiadających na terenie Polski odpowiednią infrastrukturę pomocy technicznej i szkoleń. Zagadnienia zawarte w dalszej część opracowania to ogólne koncepcje, które nie powinny być traktowane jako element wypracowanego projektu systemu zabezpieczeń. Przedstawione praktyczne rozwiązania zostały dobrane przy założeniu, że system ochrony sieci jest oparty na Check Point VPN-1/FireWall-1 (wg IDC 41% rynku Firewall, wg Data Monitor 62% rynku VPN, certyfikaty rządowe UK ITSEC i US Common Criteria). CLICO preferuje technologie, dla których świadczy na terenie Polski usługi pomocy technicznej i szkoleń oraz posiada certyfikowanych specjalistów zabezpieczeń (m.in. Check Point, Entrust, ISS, esafe, StoneBeat). 1 Certyfikaty NCSA i ICSA nie są honorowane przez CLICO z uwagi na mało wiarygodną procedurę ich nadawania. 2 Patrz 6

7 3. Identyfikowanie i blokowanie ataków destrukcyjnych (D)DoS oraz wyrafinowanych prób penetracji i włamań Wdrożony w sieci komputerowej przedsiębiorstwa system zabezpieczeń z reguły oparty jest na systemie zaporowym Firewall, który posiada tylko ograniczone możliwości identyfikowania ataków destrukcyjnych (D)DoS oraz wyrafinowanych prób penetracji i włamań. Szczególnie dotyczy to tzw. Exploit poziomu aplikacji, stanowiących obecnie najczęściej wykorzystywaną metodę włamań do systemów chronionych przez Firewall. Zalecanym uzupełnieniem w tym zakresie jest wdrożenie systemu klasy IDS (Intrusion Detection System) i zintegrowanie go z istniejącymi zabezpieczeniami Firewall. Rozwiązanie to jest zgodne z obowiązującym w systemach o podwyższonych wymaganiach bezpieczeństwa adaptacyjnym modelem bezpieczeństwa (patrz rysunek). ISS RealSecure jest obecnie najbardziej renomowanym na rynku systemem zabezpieczeń umożliwiającym identyfikowanie i reagowanie w czasie rzeczywistym na groźne ataki sieciowe oraz inne działania uznane za niedozwolone lub podejrzane (wg IDC 88% rynku programowych IDS). System składa się z trzech podstawowych komponentów: moduł inspekcyjny analizujący ruch sieciowy, wykrywający znane wzorce Network Sensor (dawniej Network Engine) moduł inspekcyjny analizujący ruch sieciowy, wykrywający znane wzorce ataków, działania podejrzane oraz inne zdarzenia zdefiniowane przez administratora, OS Sensor (dawniej System Agent) moduł inspekcyjnych dokonujący analizy zdarzeń rejestrowanych w systemie operacyjnym komputera, wykrywający znane wzorce ataków, działania podejrzane oraz inne zdarzenia zdefiniowane przez administratora, Server Sensor moduł inspekcyjny o funkcjonalności OS Sensor, dodatkowo wykrywający ataki z sieci na serwer, Workgroup Manager konsola umożliwiająca zcentralizowane, graficzne zarządzanie modułów inspekcyjnych Network/OS/Server Sensor. Po wykryciu zdarzenia, które zgodnie z przyjętą polityką bezpieczeństwa jest zabronione, bądź podejrzane RealSecure może podjąć następujące działania: a) wysłać alarm do konsoli zarządzającej, b) zapisać w logu notatkę o wystąpieniu zdarzenia lub całość sesji sieciowej, c) zarejestrować czasowy przebieg sesji sieciowej (umożliwiając późniejsze symulacyjne odtworzenie przebiegu zdarzeń), d) zabić sesję sieciową (wysłać pakiet RESET to klienta i serwera TCP), e) wysłać komunikat do Check Point FireWall-1 w celu modyfikacji jego polityki bezpieczeństwa, f) zamknąć sesję użytkownika w systemie operacyjnym i zablokować jego konto na określony czas, 7

8 g) bezwarunkowo zablokować konto użytkownika w systemie operacyjnym (odblokowania konta może dokonać tylko administrator), h) przekazać informacje o zdarzeniu do administratora pocztą ( , Pager, SMS), i) wysłać komunikat do menedżera SNMP, j) wyświetlić ostrzeżenie dla użytkownika, k) wykonać inne działania zdefiniowane przez administratora. DMZ RealSecure Server Sensor RealSecure OS Sensor Internet Sieć prywatna Check Point FireWall-1 inspekcja (brak TCP/IP) zarządzanie Workgroup Manager RealSecure Network Sensor Mając na względzie bezpieczeństwo instalacji zabezpieczeń RealSecure zalecane jest, aby moduł RealSecure Network Sensor został wdrożony na komputerze z dwoma kartami sieciowymi w konfiguracji "skrytej" (ang. stealth configuration). W takiej konfiguracji jedna karta sieciowa jest podłączona do bezpiecznej sieci prywatnej (gdzie zlokalizowana jest konsola zarządzająca), a druga do sieci w której wykonywana jest analiza ruchu. Inspekcja sieci jest prowadzona na interfejsie pracującym w trybie "promiscuous", który nie posiada adresu IP, ani też skonfigurowanego stosu TCP/IP i dzięki temu system jest praktycznie niewrażliwy na jakiekolwiek ataki. Poniższy rysunek przedstawia koncepcję zalecanego wdrożenia RealSecure. 8

9 4. System kontroli zawartości Kontrola zawartości komunikacji sieciowej w zakresie wykrywania i eliminowania wirusów, koni trojańskich, robaków i innych groźnych aplikacji należy do ważnych zadań systemu zabezpieczeń sieci podłączonej do Internetu. Podstawowe drogi przenikania złośliwych aplikacji z Internetu to poczta elektroniczna SMTP, transfer plików protokołami FTP i HTTP oraz załączniki aplikacyjne do stron HTML (ActiveX, VBS, Java, itp.). Do wdrożenia systemu kontroli zawartości należy wybrać produkt, dla którego oficjalnie wiadomo, że poprawnie współpracuje z istniejącym systemem zaporowym. Jeżeli system zaporowy to Check Point VPN-1/ FireWall-1 należy sprawdzić, czy rozwiązanie znajduje się na liście certyfikowanych produktów Check Point OPSEC, np.: esafe Gateway firmy Aladdin Knowledge Systems, InterScan VirusWall firmy Trend Micro, SuperScout firmy SurfControl, Websense Enterprise firmy Websense, Inc. (kompletna lista certyfikowanych produktów OPSEC jest publikowana na stronach Z punktu widzenia skuteczności zabezpieczeń zalecane jest, aby system kontroli zawartości zintegrowany z Firewall został oparty na innej technologii od zastosowanej do ochrony antywirusowej serwerów i stacji roboczych wewnątrz sieci. Jednymi z najbardziej renomowanych produktów tej klasy stosowanych razem z FireWall-1 są Trend Micro InterScan VirusWall (wg IDC 54% rynku internetowych serwerów antywirusowych) oraz Aladdin esafe Gateway. 9

10 Do istotnych własności InterScan VirusWall i esafe Gateway należą: a) możliwość kontroli antywirusowej przesyłek SMTP oraz ich załączników, a także plików przesyłanych poprzez FTP i HTTP, b) skanowanie ruchu HTTP w zakresie wykrywania i blokowania niebezpiecznych procedur ActiveX, Visual Basic Script, Jscript, Java Script i apletów Java, c) wysyłanie ostrzeżeń oraz wiadomości o wykryciu wirusów do nadawcy, odbiorcy i administratora, d) możliwość automatycznego, periodycznego uaktualniania bazy wirusów poprzez Internet, e) intuicyjny, graficzny interfejs administratora GUI, f) zgodność ze specyfikacją CVP (Content Vectoring Protocol). 10

11 5. System mocnego uwierzytelniania użytkowników Do wdrożenia systemu wiarygodnego uwierzytelniania tożsamości użytkowników należy wybrać renomowane i sprawdzone rozwiązanie. Można do tego celu wykorzystać klasyczny serwer uwierzytelniania oparty na hasłach dynamicznych (np. ActivCard ActivPack) lub rozwiązanie oparte na kryptografii i certyfikatach cyfrowych (np. Entrust/PKI i etoken). Tokeny Aladdin etoken mogą oprócz kluczy i certyfikatów przechowywać statyczne hasła użytkowników VPN-1/FireWall-1. W przypadku stosowania VPN poziom takiego rozwiązania jest relatywnie wysoki, ponieważ hasło nie może być podsłuchane w sieci. Także użytkownik nie może łatwo ujawnić swojego hasła, gdyż go nie zna (tzn. hasło jest wbudowane w etoken). ActivCard ActivPack to klasyczny serwer mocnego uwierzytelniania użytkowników. Jest przeznaczony do wiarygodnego uwierzytelniania tożsamości użytkowników systemów informatycznych, dedykowany do zastosowań korporacyjnych oraz systemów o podwyższonych wymaganiach bezpieczeństwa (m.in. systemy rządowe, wojskowe, bankowe, finansowe, ecommerce). Użytkownicy udowadniają swoja tożsamość w systemie informatycznym za pomocą haseł jednokrotnego użycia, generowanych w specjalnych urządzeniach (m.in.. tokenach typu "kalkulatorek" lub "breloczek", kartach inteligentnych Smart Card, tokenach USB, urządzeniach biometrycznych) lub za pomocą specjalnego oprogramowania desktop-owego (tzw. tokenów programowych). Proces uwierzytelniania użytkownika przebiega w następującej kolejności: 1. Użytkownik w czasie próby dostępu do aplikacji uwierzytelnia swoją tożsamość za pomocą identyfikatora oraz hasła dynamicznego wygenerowanego w tokenie. 2. Urządzenie dostępowe (np. Firewall, ruter, RAS, serwer WWW) przekazuje dane użytkownika do zweryfikowania przez serwer ActivPack. 3. Serwer ActivPack weryfikuje dane identyfikacyjne użytkownika i informuje o tym urządzenie dostępowe. 4. Użytkownik uzyskuje dostęp do zasobów systemu informatycznego po pozytywnym uwierzytelnieniu swojej tożsamości i autoryzacji. 11

12 System uwierzytelnia ActivPack może także używać haseł statycznych oraz w razie potrzeby przekazywać zapytania do innych, istniejących w korporacji systemów uwierzytelnia m.in. logowanie w domenach Windows NT i Windows 2000, bazach LDAP i SQL oraz innych systemach RADIUS i TACACS+. Oprogramowanie ActivPack: ActivPack Authentication Server (moduł serwera i stacji zarządzającej) wraz z graficzną konsolą administratora GUI, tokeny programowe (tzn. program do generowania haseł dynamicznych), moduły wspierające komunikację z serwerami iplanet i Microsoft IIS, oprogramowanie klienckie usprawniające wykorzystanie kart Smart Card dla systemów Check Point VPN-1/FireWall-1 i Microsoft Windows NT RAS (tzn. użytkownik logując się wkłada tylko kartę do czytnika i wprowadza swój kod PIN), oprogramowanie Simple Sign-On umożliwiające całkowite zautomatyzowanie procesu logowania użytkowników do różnych systemów i aplikacji (np. podczas odbioru poczty Simple Sign-On samodzielnie odczytuje hasło z karty Smart Card i wprowadza je do klienta poczty). Sprzętowe elementy ActivPack (podstawowe): ActivCard Token One: tokeny generujące hasła dynamiczne, ActivCard Gold: karty inteligentne Smart Card, generujące hasła dynamiczne, przechowujące hasła statyczne oraz wykonujące operacje PKI (m.in. generowanie kluczy kryptograficznych, tworzenie podpisów cyfrowych, szyfrowanie tajnego klucza sesji), ActivCard ActivKey: tokeny USB o funkcjonalności Smart Card (tzn. generujące hasła dynamiczne, przechowujące hasła statyczne oraz wykonujące operacje PKI). ActivPack to technologia identyfikacji cyfrowej, zaprojektowana pod kątem zaspokojenia potrzeb użytkownika korporacyjnego (m.in. rozproszenie geograficzne, stała dostępność HA) oraz systemów o podwyższonych wymaganiach bezpieczeństwa. System dostarcza wsparcie dla zapewniania stabilnej, niezakłóconej pracy zabezpieczeń (serwery Backup) oraz uwierzytelniania użytkowników często zmieniających miejsce pracy (User Roaming). Produkt jest bardzo atrakcyjny cenowo w porównaniu do tej klasy konkurencyjnych rozwiązań. Cena serwera ActivPack dla 100 użytkowników wynosi Euro. Sprzętowy token ActivCard Token One kosztuje 42 Euro (czas życia 10 lat). W trakcie wyboru systemu uwierzytelniania należy brać pod uwagę produkty znajdujące się na liście Check Point OPSEC (http://www.checkpoint.com/opsec). 12

13 6. Bezpieczny dostęp do zasobów sieci korporacyjnej dla odległych użytkowników Zapewnienie bezpiecznego dostępu do zasobów systemu informatycznego przedsiębiorstwa z obszarów sieci zewnętrznych (Internet, inne oddziały firmy) może zostać w stosunkowo prosty sposób, bez ponoszenia dużych nakładów finansowych uzyskane za pomocą technologii VPN (Virtual Private Network). Skuteczna i efektywna ochrona informacji w sieciach komputerowych nie jest w praktyce możliwa bez zaangażowania odpowiednich narzędzi kryptograficznych. Za pomocą technik szyfrowania oraz tworzenia podpisów cyfrowych dane w sieci VPN zabezpiecza się w zakresie: poufności, autentyczności, integralności oraz niezaprzeczalności nadania. Koncepcja budowy sieci VPN polega na tworzeniu logicznych kanałów transmisji danych w ramach publicznej sieci rozległej, w których przesyłane dane zabezpiecza się zgodnie z przyjętą polityką bezpieczeństwa. Check Point oferuje także bardziej rozbudowaną funkcjonalnie wersję VPN znaną pod nazwą Secure Virtual Network (SVN), która również może być brana pod uwagę w trakcie dalszego rozwoju systemu bezpieczeństwa sieci przedsiębiorstwa. Technicznie, klasyczna sieć VPN realizuje: szyfrowanie danych, tunelowanie pakietów, kontrolę dostępu do węzłów sieci wirtualnej. Wyróżnia się trzy podstawowe architektury sieci VPN: Intranet VPN (wirtualna sieć prywatna pomiędzy lokalnymi i oddalonymi oddziałami korporacji), Remote Access VPN (wirtualna sieć prywatna pomiędzy korporacją i oddalonymi lub mobilnymi pracownikami) oraz Extranet VPN (wirtualna sieć prywatna pomiędzy korporacją i zaufanymi partnerami, klientami i dostawcami). W obecnej sytuacji najbardziej wartościowym zastosowaniem w przedsiębiorstwa wydaje się być architektura Remote Access VPN, zapewniająca bezpieczny dostęp do usług sieci prywatnej dla pracowników przebywających poza terenem instytucji (oraz w razie potrzeby zaufanych klientów i partnerów handlowych). 13

14 7. Zintegrowanie zabezpieczeń rutera Internet z systemem zaporowym FireWall-1 System bezpieczeństwa sieci komputerowej podłączonej do Internetu, bądź innej sieci o niskim poziomie zaufania powinien zawierać wiele warstw ochrony, które uzupełniają i ubezpieczają się wzajemnie. W systemach narażonych na niepożądane, świadome działanie wykwalifikowanych intuzów nie można opierać się tylko na jednaj, nawet najbardziej zaawansowanej warstwie zabezpieczeń. Zawsze może zdarzyć się, bowiem sytuacja, iż zabezpieczenie to zostanie błędnie skonfigurowane, czasowo wyłączone, bądź też ulegnie awarii. Z reguły w systemach o podwyższonych wymaganiach bezpieczeństwa stosowane są kaskadowe konfiguracje Firewall (złożone z dedykowanych maszyn Firewall Gateway lub/i Firewall wbudowanych w urządzenia sieciowe). Jeżeli sieć przedsiębiorstwa zawiera tylko jedną warstwę zabezpieczeń - Check Point FireWall-1 - zalecane jest jej wzmocnienie poprzez wdrożenie odpowiednich list kontroli dostępu ACL (Access Control List) na ruterze Internet. Nie będzie to wymagało dużych nakładów finansowych, ponieważ mechanizmy ACL są dostępne w Cisco i innych popularnych ruterach, a przyczyni się do znacznego wzmocnienia poziomu bezpieczeństwa. Szczególnie ze względów administracyjnych (m.in. możliwości zcentralizowanego zarządzanie i analizy zabezpieczeń sieci) zalecane jest zastosowanie narzędzi wspomagających, dostępnych na konsoli Check Point FireWall-1 (Open Security Extension). Narzędzia te pozwalają na graficzne definiowanie, weryfikowanie i instalowanie list ACL na ruterze. Dodatkowo zdarzenia rejestrowane na ruterze Internet mogą być na bieżąco przesyłane poprzez protokół Syslog do stacji zarządzającej i tam zapisywane w logu FireWall-1. 14

15 8. Zastosowanie narzędzi wspomagających analizę i raportowanie zdarzeń Analiza zdarzeń rejestrowanych w systemie Firewall należy do ważnych zadań personelu obsługi zabezpieczeń. Logi Firewall dostarczają wielu wartościowych informacji dotyczących funkcjonowania systemu dostępu do Internetu zarówno ze względów bezpieczeństwa jak i poprawności komunikacji. Logi Firewall umożliwiają m.in.: monitorowanie i wykrywanie działań niedozwolonych i podejrzanych (np. próby penetracji i włamań, ataki destrukcyjne DoS), analizowanie wykorzystania sieci (np. wyznaczanie usług o największym zapotrzebowaniu na pasmo, użytkowników najbardziej obciążających sieć, oszacowanie kosztów użytkowania sieci), identyfikowanie nieprawidłowo działających elementów sieci (np. niepoprawnie skonfigurowanego serwera DNS, mechanizmu NAT na ruterze, czy agenta SNMP). Polityka bezpieczeństwa z reguły wymaga prowadzenia dokładnej analizy zdarzeń, co dla sieci korporacyjnych, gdzie dzienny rozmiar logu może osiągnąć rozmiar kilku MB nie jest łatwe. W takich przypadkach jedynym rozwiązaniem jest zastosowanie odpowiednich narzędzi wspomagających. Zarządzanie logów obejmuje przedsięwzięcia związane z tworzeniem zasad rejestrowania zdarzeń (np. co powinno być zapisywane i w jakim zakresie) oraz bieżącej ich obsługi. Obsługa zdarzeń realizowana najczęściej przez administratorów Firewall sprowadza się do następujących czynności: analiza zarejestrowanych zdarzeń, tworzenie raportów i statystyk, kontrola dopuszczalnego rozmiaru logu, kontrola poprawności konfiguracji i funkcjonowania mechanizmów zapisu zdarzeń, archiwizowanie starych logów. Administrator FireWall-1 dysponuje w tym zakresie graficzną aplikacją Log Viewer, umożliwiającą sprawne przeglądanie, przeszukiwanie i sortowanie zapisów. Za pomocą Log Viewer można m.in. zidentyfikować próby włamań i penetracji sieci, ustalić najczęściej wykorzystywane serwery i usługi oraz dokonać rozliczenia poszczególnych użytkowników (tj. z jakich serwerów i usług korzystali, w jakim czasie to robili, jak dużo danych przesłali w sieci, jakie pliki kopiowali, itp.). Oprócz możliwości przeglądu zarejestrowanych zdarzeń, Log Viewer umożliwia także obserwowanie aktualnie otwartych połączeń sieciowych przechodzących przez Firewall. Jeżeli administrator zauważy, że określone połączenie nie jest zgodne z przyjętą polityką bezpieczeństwa to może je zabić i na wyznaczony czas zablokować dostęp komputerowi, który to niedozwolone połączenie zainicjował. Logi przeglądane w Log Viewer mogą zostać zapisane do pliku formatu ASCII i dalej przetwarzane za pomocą innych narzędzi (np. arkuszy kalkulacyjnych, aplikacji baz danych) lub przesyłane w czasie rzeczywistym do innych systemów poprzez protokół LEA (Log Export API). Poprzez protokół LEA logi FireWall-1 mogą być na bieżąco odbierane przez aplikacje WebTrends Firewall Suite. Pakiet WebTrends Firewall Suite (znany wcześniej pod nazwą WebTrends for Firewalls & VPNs) jest obecnie najbardziej renomowanym narzędziem w kategorii systemów wspomagania raportowania i analizy logów Firewall. Rozwiązanie to w czasie rzeczywistym obsługuje logi Check Point FireWall-1, tworząc na żądanie różnego rodzaju raporty i statystyki (graficzne, tekstowe, zagadnieniowe, itp.). 15

16 9. Zastosowanie narzędzi wspomagających wykonywanie audytów bezpieczeństwa Przedsięwzięcia polityki bezpieczeństwa związane z utrzymywaniem założonego poziomu ochrony systemu informatycznego wymagają stałego zaangażowania ze strony personelu obsługi zabezpieczeń. Z uwagi na dużą liczbę i czasochłonność związanych z tym zadań oraz ograniczone możliwości personelu (często posiadającego wiele innych zadań) konieczne staje się zautomatyzowanie podstawowych procesów obsługi zabezpieczeń. Jest to możliwe poprzez zastosowanie odpowiednio dobranych i przygotowanych (skonfigurowanych) narzędzi. Jednym z ważnych zadań personelu obsługi zabezpieczeń jest audyt bezpieczeństwa. Testy zabezpieczeń wykonuje się w celu sprawdzenia, czy spełnione są wszystkie wymogi określone w polityce bezpieczeństwa. W audytach bezpieczeństwa badana jest m.in. potencjalna możliwość ominięcia zabezpieczeń poprzez wykorzystanie błędów w założeniach projektowych, konfiguracji lub oprogramowaniu, jak również reakcja systemu w momencie wykrycia prób niepowołanego dostępu. Audyty bezpieczeństwa wykonuje się regularnie (np. 2 razy w miesiącu) oraz w razie zaistnienia takiej potrzeby (zmiana konfiguracji systemu, aktualizacja oprogramowania, podejrzenie o włamanie). Audyty bezpieczeństwa sieci korporacyjnych podłączonych do Internetu są wspomagane za pomocą profesjonalnych skanerów zabezpieczeń. Najbardziej renomowanym na rynku rozwiązaniem tej klasy jest ISS Internet Scanner. Koszt zakupu licencji dla 10 testowanych adresów IP wynosi 1099 Euro (oprogramowanie) oraz 220 Euro (roczna opieka). 16

17 10. Zarządzanie rozdziałem pasma sieci dla protokołów, użytkowników i usług System dostępu do Internetu sieci przedsiębiorstwa może zostać dodatkowo wyposażony w mechanizmy dynamicznego rozdziału pasma sieci, zapewniające prawidłowe działanie biznesowych aplikacji firmy, nawet w momentach dużego obciążenia sieci. Do tego celu najbardziej uzasadnione wydaje się zastosowanie produktu Check Point FloodGate-1, który zainstalowany na jednej maszynie z FireWall-1 będzie współdzielić tą samą, już zdefiniowaną bazę danych (tzn. zbiór zdefiniowanych obiektów sieciowych, itd.). Zarządzanie FireWall-1 i FloodGate-1 odbywa się z jednej, zintegrowanej konsoli zarządzającej GUI za pomocą dedykowanych protokołów (sesje zabezpieczone kryptograficznie). Pewne ograniczenie skutków przeciążenia sieci można także uzyskać poprzez zastosowanie mechanizmów kolejkowania pakietów na ruterze Cisco. Jest to jednak rozwiązanie mało elastyczne i nieefektywne. Rutery nie mogą zapewnić optymalnego wykorzystania przepustowości sieci, ponieważ nie rozumieją ruchu sieciowego (np. nie umieją odróżnić tekstu od grafiki przesyłanej w ramach WWW, itp.) i nie potrafią analizować pakietów danych w kontekście całości komunikacji sieciowej. Rozdział pasma sieci realizowany przez FloodGate-1 odbywa się wewnątrz jądra systemu operacyjnego Windows NT na poziomie warstw łącza danych i sieci (warstwy 2 i 3 modelu OSI), powodując znikome opóźnienia transferu danych (tzn. <2ms w nieobciążonej sieci). Zastosowanie mechanizmu RDED (Retransmission Detection Early Drop) może znacząco poprawić wydajność funkcjonowania systemu dostępu do Internetu w stanach przeciążenia sieci. Mechanizm RDED wykrywa i blokuje nadmiarowe retransmisje strumieni TCP (tzn. odrzuca retransmitowane pakiety, których kopie znajdują się w kolejce). Polityka zarządzania przepływem danych w sieci zdefiniowana za pomocą FloodGate-1 składa się z hierarchicznego zbioru reguł. Każda reguła może obejmować następujące ustalenia:! dane identyfikujące połączenia sieciowe: - rodzaj usługi (protokół, URL, itp.), - klient i serwer usługi (komputery, sieci, domeny), - kierunek przepływu danych,! sposób przydziału pasma sieci dla połączeń: - waga połączenia (szerokość pasma sieci przydzielona dla określonego połączenia zmienia się dynamicznie w zależności od wartości wag wszystkich aktualnie otwartych połączeń), - gwarantowana szerokość pasma sieci, - limit przydziału pasma sieci, - inne ustalenia. Stacja zarządzająca systemu jest wyposażona w mechanizmy szczegółowego monitorowania komunikacji sieciowej, za pomocą których administrator może w czasie rzeczywistym analizować stan komunikacji i obciążenia sieci, a w razie potrzeby na bieżąco modyfikować zasady przydziału pasma pomiędzy protokoły, aplikacje i użytkowników. 17

18 11. Ochrona systemu zabezpieczeń Firewall przed awariami sprzętowymi i programowymi Zapewnienie stałej dostępności usług systemu informatycznego jest ważnym kryterium bezpieczeństwa, mającym w wielu instytucjach duże znacznie, często bardziej istotne od pozostałych kryteriów: poufności, autentyczności, integralności, czy niezaprzeczalności działania. Dostępność usług systemu informatycznego podłączonego do sieci Internet zależy od wielu różnych czynników (np. urządzeń sieciowych, łącz transmisyjnych, systemów zabezpieczeń). Z uwagi na specyfikę środowiska Internet, szczególnie istotnym elementem mającym wpływ na dostępność systemu są środki bezpieczeństwa zastosowane do ochrony serwerów usług przed niepożądanym działaniem złośliwych użytkowników Internetu, potocznie nazywanych hakerami. Podstawowym elementem zabezpieczeń sieciowych odpowiedzialnym za odpieranie tego typu ataków jest system zaporowy Firewall. Ważne jest, więc aby Firewall posiadał środki zabezpieczające go przed awariami sprzętowymi i programowymi. Konfiguracje systemów Firewall zawierające mechanizmy ochrony przed awariami określane są terminem High Availability (HA). W konfiguracji HA system zaporowy składa się z dwóch lub więcej maszyn Firewall, które kontrolują się wzajemnie i w razie wystąpienia awarii przejmują zadania uszkodzonej maszyny bez utraty otwartych połączeń sieciowych. Wchodzące w skład HA maszyny Firewall są odpowiednio ze sobą zsynchronizowane oraz w większości konfiguracji posiadają także mechanizmy wykrywania awarii i automatycznego przejmowania zadań uszkodzonej maszyny. W instytucjach korzystających, bądź planujących wykorzystanie połączeń VPN zalecane jest, aby wersja VPN-1/FireWall została poddana procedurze Upgrade do obecnej wersji Check Point Wersja ta posiada znacznie większe możliwości w zakresie ochrony połączeń VPN oraz jest łatwiejsza w konfiguracji i utrzymaniu. W instytucjach, które oprócz niezawodnego połączenia z Internet (tzn. Firewall odpornego na awarie) wymagają także dużej przepustowości tego połączenia zalecane jest zastosowanie StoneBeat FullCluster for FireWall-1. Oprogramowanie StoneBeat FullCluster posiada możliwości budowania klastrów złożonych z wielu maszyn FireWall-1, które dynamicznie równoważą pomiędzy sobą obciążenie sieci. Klaster FireWall-1 oparty na StoneBeat FullCluster widziany jest w sieci jako jedno urządzenie (jeden IP) i dzięki temu nie ma komplikacji w konfiguracji rutingu. Zbudowanie klastra FireWall-1 z wykorzystaniem tego oprogramowani nie wymaga żadnych dodatkowych urządzeń. W razie potrzeby do klastra FireWall-1 można dołożyć nową maszynę bez konieczności rekonfiguracji pozostałych Firewall. Zaproponowana technologia StoneBeat charakteryzuje się dużą efektywnością i niezawodnością. Zastosowanie modułu StoneBeat nie jest jednak konieczne. Dla przykładu konfiguracja z współdzieleniem obciążenia sieci load sharing może zostać wdrożona tylko za pomocą FireWall-1, który posiada wbudowane mechanizmy synchronizacji. Dla instytucji, które decydują się na wdrożenie konwencjonalnej konfiguracji hot stand-by (jedna maszyna aktywna i jedna zapasowa), Check Point w najnowszej wersji VPN-1/FireWall-1 zaproponował własną, pełnowartościową implementację HA w postaci modułu High Availability. Dużą zaletą tego rozwiązania jest to, iż narzędzia do zarządzania tego modułu są zintegrowana z innymi narzędziami dostępnymi w konsoli zarządzania VPN- 1/FireWall-1 Management Console GUI. Koszt wdrożenia HA w przedsiębiorstwie będzie zależał od przyjętej architektury oraz produktów wybranych do jej wdrożenia. Dla architektury HA w konfiguracji z dynamicznym równoważeniem obciążenia sieci ( load balancing ) należy wziąć pod uwagę koszt zakupu pakietu StoneBeat FullCluster oraz koszt zakupu licencji na drugi moduł VPN-1/FireWall-1 (oraz oczywiście koszt zakupu drugiej maszyny dla Firewall). 18

19 12. Uwierzytelnianie tożsamości użytkowników w trybie jednokrotnego logowania Single Sign On Utrzymywanie w systemie zabezpieczeń Firewall odrębnej bazy danych dla użytkowników poddawanych uwierzytelnianiu w czasie dostępu do usług Internetu jest czasochłonne i często nieuzasadnione, jeżeli baza ta już istnieje na serwerach w sieci prywatnej. W sieci przedsiębiorstwa baza użytkowników systemu informatycznego jest utrzymywana na serwerach Windows NT. Istnieje możliwość zintegrowania systemu Windows NT z Check Point FireWall-1 poprzez zastosowanie pakietu Check Point Meta IP. W takiej konfiguracji użytkownik zalogowany w domenie NT nie musi drugi raz podawać hasła na FireWall-1 w momencie wyjścia do Internet (jeżeli oczywiście zdefiniowana na Firewall polityka bezpieczeństwa mu na to pozwala). Co najważniejsze ww. konfiguracja nie wymaga definiowania bazy użytkowników na FireWall-1, co jest dużym usprawnieniem pracy administratorów systemu. Poniższy rysunek przedstawia koncepcję takiego rozwiązania. System składa się z następujących komponentów: Meta IP Manager centralna stacja zarządzania (zainstalowana na maszynie Windows NT) wyposażona w bazę danych UAM, udzielająca informacji na temat zalogowanych użytkowników sieci dla innych systemów (np. FireWall-1), UAT moduł zainstalowany na kontrolerze domeny NT odpowiedzialny na przekazywanie do Meta IP Manager informacji na temat zalogowanych i wylogowanych użytkowników, Meta IP DHCP serwer DHCP (zainstalowany na maszynie Windows NT) przekazujący do Meta IP Manager informacje na temat przydzielonych i zwolnionych adresów IP. Więcej technicznych szczegółów dotyczących instalacji mechanizmów Single Sign On w FireWall-1 i Windows NT można znaleźć na CD instalacyjnym FireWall

20 13. Ochrona kryptograficzna i PKI W środowisku rozległych sieci komputerowych nie jest możliwe efektywne zarządzanie systemów kryptograficznych bez wdrożenia infrastruktury klucza publicznego Public Key Infrastructure (PKI). Kluczową rolę w PKI pełni Urząd Certyfikacji (ang. certificate authority), odpowiedzialny za wydawanie i unieważnianie certyfikatów cyfrowych. Jedną z najbardziej renomowanych technologii PKI na świecie jest Entrust/PKI. Rozwiązanie to umożliwia budowę zarządzalnej infrastruktury klucza publicznego dla rozwiązań typu secure e- bussiness w ramach intranetu, extranetu i Internetu (zarówno zastosowań klasy B2B i B2C). Infrastruktura Entrust/PKI składa się w wersji podstawowej z: Entrust/Authority - spełniający rolę CA (Certification Authority) umożliwiającego automatyczne zarządzanie kluczami i certyfikatami, generowanie i wydawanie kluczy publicznych zgodnie ze standardem X.509, tworzenia i dokonywanie kopii bezpieczeństwa kluczy szyfrujących użytkowników i wymuszanie polityki bezpieczeństwa organizacji. Entrust/Entelligence - oprogramowanie klienckie pozwalające użytkownikom na pełne wykorzystanie zalet bezpieczeństwa bez potrzeby rozumienia złożoności kryptografii klucza publicznego. Niewidocznie integrując się ze środowiskiem Windows dostarcza usług bezpieczeństwa dla wszystkich aplikacji zgodnych ze specyfikacją Entrust-Ready. Ponadto dostępne są różnorodne opcjonalne rozszerzenia/"łączniki" podnoszące bezpieczeństwo wykorzystywanej infrastruktury. Możliwe jest również wbudowanie" bezpieczeństwa do aplikacji nie potrafiących skorzystać z możliwości pakietu Entrust/Entelligence z użyciem dostępnych bezpłatnie bibliotek programowych. Dostępne łączniki to: Entrust/VPN Connector - służący do dystrybucji certyfikatów do urządzeń VPN takich jak: routery, gatewaye, firewalle i aplikacje wspierające standardy IPSec i IKE (Internet Key Exchange). Entrust/Web Connector - służący do dystrybucji certyfikatów uwierzytelniających komunikację pomiędzy aplikacjami wykorzystującymi przeglądarki WWW a serwerami Webowymi z użyciem protokołów SSL, S/MIME i aplikacji podpisujących" obiekty. Wspierane są aplikacje takich producentów jak Microsoft i Netscape oraz większość serwerów Webowych, zezwalając na zapewnienie bezpieczeństwa bez dodatkowego oprogramowania po stronie klienta. Entrust/ComerceCA - centrum służące do przyznawania i zarządzania certyfikatami SET (Secure Electronic Transaction) zgodnie ze standardem SET 1.0. Produkt umożliwia np. dokonywanie bezpiecznych płatności w Internecie z wykorzystaniem kart kredytowych. Entrust/Enterprise Desktop Suite - zestaw bezpiecznych rozwiązań do zastosowań typu Desktop integrujących się z oferowaną przez Entrust infrastrukturą klucza publicznego. Obejmuje zabezpieczenie poczty elektronicznej, przetwarzania tekstu, przeglądania stron Webowych, arkuszy kalkulacyjnych, prezentacji i zarządzania danymi, itp. Zestaw zawiera Entrust/Express for Microsoft Exchange and Microsoft Outlook, Entrust/Direct, Entrust/Unity, Entrust/ICE oraz Entrust/ TrueDelete. Entrust/Express - bezpieczne rozwiązanie dla poczty elektronicznej umożliwiające przeźroczystą ochronę dla użytkowników Microsoft Exchange, Microsoft Outlook, QUALCOMM Eudora Pro oraz Lotus Notes. Zintegrowane z rodzimym klientem pocztowym Entrust/Express rozwiązanie pozwala na bezpieczną wymianę korespondencji elektronicznej przez jej zabezpieczenie na każdym etapie. Wspiera standard S/MIME oferując wysoki poziom zabezpieczeń wiadomości w odniesieniu do poufności, integralności i autentyfikacji nadawcy. 20

Przewodnik technologii ActivCard

Przewodnik technologii ActivCard PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Przewodnik technologii ActivCard Część I. Instalacja i wstępna konfiguracja serwera ActivPack CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków;

Bardziej szczegółowo

Przewodnik technologii ActivCard

Przewodnik technologii ActivCard PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Przewodnik technologii ActivCard Część VIII. Wykorzystanie kart Smart Card w systemie identyfikacji cyfrowej ActivPack CLICO Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków;

Bardziej szczegółowo

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory Przygotował: Mariusz Stawowski Entrust Certified Consultant CLICO Sp.

Bardziej szczegółowo

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Praktyczne metody ochrony poczty elektronicznej Opracował: Mariusz Stawowski Poczta elektroniczna jest w większości instytucji powszechnie wykorzystywaną usługą Internetu,

Bardziej szczegółowo

Przewodnik technologii ActivCard

Przewodnik technologii ActivCard PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Przewodnik technologii ActivCard Część II. Polityka bezpieczeństwa systemu ActivPack CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12

Bardziej szczegółowo

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Przewodnik instalacji i konfiguracji systemu zabezpieczeń Check Point VPN-1/FireWall-1 SmallOffice NG SmallOffice jest uproszczoną w zakresie zarządzania wersją systemu

Bardziej szczegółowo

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Portale SSL VPN nowe możliwości dla biznesu Mariusz Stawowski, CISSP Efektywne prowadzenie biznesu wymaga swobodnego dostępu do informacji. Firmy starają się sprostać

Bardziej szczegółowo

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania

Bardziej szczegółowo

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1 Spis treści Wstęp... ix 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1 Składniki systemu Windows SBS 2008... 1 Windows Server 2008 Standard... 2 Exchange Server 2007 Standard...

Bardziej szczegółowo

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa dr inż. Mariusz Stawowski mariusz.stawowski@clico.pl Agenda Wprowadzenie Specyficzne

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS

Bardziej szczegółowo

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Przewodnik instalacji i konfiguracji SofaWare S-box SofaWare S-box to niewielkiego rozmiaru, ciche w działaniu, łatwe w instalacji i zarządzaniu urządzenia Firewall

Bardziej szczegółowo

Zdalne logowanie do serwerów

Zdalne logowanie do serwerów Zdalne logowanie Zdalne logowanie do serwerów Zdalne logowanie do serwerów - cd Logowanie do serwera inne podejście Sesje w sieci informatycznej Sesje w sieci informatycznej - cd Sesje w sieci informatycznej

Bardziej szczegółowo

Centralne zarządzanie odległych instalacji zabezpieczeń na przykładzie SofaWare Security Management Portal

Centralne zarządzanie odległych instalacji zabezpieczeń na przykładzie SofaWare Security Management Portal na przykładzie SofaWare Security Management Portal Jak przy pomocy małej wielkości i tanich urządzeń szybko wdrożyć skuteczne instalacje zabezpieczeń u wielu klientów: małych, średnich i korporacyjnych,

Bardziej szczegółowo

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks Systemy informatyczne zmieniają się, a wraz z nimi wymagane jest stosowanie środków bezpieczeństwa odpowiednich

Bardziej szczegółowo

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Podstawowe zasady realizacji testów penetracyjnych systemu informatycznego Opracował: Mariusz Stawowski Utrzymywanie wysokiego poziomu bezpieczeństwa systemu informatycznego

Bardziej szczegółowo

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego ZADANIE V OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego A. ROZMIARY I CHARAKTER ZADANIA 1. W ramach dostawy oprogramowania antywirusowego Szpital

Bardziej szczegółowo

Praca w sieci z serwerem

Praca w sieci z serwerem 11 Praca w sieci z serwerem Systemy Windows zostały zaprojektowane do pracy zarówno w sieci równoprawnej, jak i w sieci z serwerem. Sieć klient-serwer oznacza podłączenie pojedynczego użytkownika z pojedynczej

Bardziej szczegółowo

Produkty. MKS Produkty

Produkty. MKS Produkty Produkty MKS Produkty czerwiec 2006 COPYRIGHT ArkaNET KATOWICE CZERWIEC 2006 KOPIOWANIE I ROZPOWSZECHNIANIE ZABRONIONE MKS Produkty czerwiec 2006 Wersja dokumentu W dokumencie użyto obrazków zaczerpniętych

Bardziej szczegółowo

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV Produkty zabezpieczeń typu UTM (ang. unified threat management) to urządzenia, w których zawarte

Bardziej szczegółowo

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Przewodnik konfiguracji i zarządzania Siemens 4YourSafety Konfiguracja Siemens 4YourSafety w zakresie systemu operacyjnego i supportu urządzenia może odbywać się w

Bardziej szczegółowo

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Konfiguracja VPN typu Site-Site pomiędzy SofaWare S-box i systemem Check Point VPN-1 Gateway NG SofaWare S-box to urządzenia Firewall i VPN dostarczane przez Check

Bardziej szczegółowo

1. Zakres modernizacji Active Directory

1. Zakres modernizacji Active Directory załącznik nr 1 do umowy 1. Zakres modernizacji Active Directory 1.1 Opracowanie szczegółowego projektu wdrożenia. Określenie fizycznych lokalizacji serwerów oraz liczby lokacji Active Directory Określenie

Bardziej szczegółowo

OPIS PRZEDMIOTU ZAMÓWIENIA. Dotyczy postępowania : Zakup licencji na system zabezpieczeń dla Urzędu Miejskiego w Gliwicach.

OPIS PRZEDMIOTU ZAMÓWIENIA. Dotyczy postępowania : Zakup licencji na system zabezpieczeń dla Urzędu Miejskiego w Gliwicach. Załącznik nr 5 SIWZ OPIS PRZEDMIOTU ZAMÓWIENIA Dotyczy postępowania : Zakup licencji na system zabezpieczeń dla Urzędu Miejskiego w Gliwicach. Opis minimalnych wymagań systemu spełniających warunki zamówienia:

Bardziej szczegółowo

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych) Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych) SYSTEM OPERACYJNY I JEGO OTOCZENIE System operacyjny/wersja, uaktualnienia, klucz produktu Stan

Bardziej szczegółowo

Referat pracy dyplomowej

Referat pracy dyplomowej Referat pracy dyplomowej Temat pracy: Wdrożenie intranetowej platformy zapewniającej organizację danych w dużej firmie na bazie oprogramowania Microsoft SharePoint Autor: Bartosz Lipiec Promotor: dr inż.

Bardziej szczegółowo

BEZPIECZEŃSTWO BANKOWOŚCI KORPORACYJNEJ

BEZPIECZEŃSTWO BANKOWOŚCI KORPORACYJNEJ BEZPIECZEŃSTWO BANKOWOŚCI KORPORACYJNEJ Zachowania użytkownika, a ryzyko wykonywania operacji finansowych przez Internet. Bankowość elektroniczna jest wygodną i bezpieczną formą korzystania z usług bankowych,

Bardziej szczegółowo

Instrukcja aktywacji tokena w usłudze BPTP

Instrukcja aktywacji tokena w usłudze BPTP Instrukcja aktywacji tokena w usłudze BPTP Użytkownicy usługi BPTP, którzy otrzymali przesyłki pocztowe zawierające token USB wraz z listem informującym o potrzebie aktywacji urządzenia powinni wykonać

Bardziej szczegółowo

Własności: Wykrywa ataki analizując całość ruchu sieciowego. Nie dopuszcza, żeby intruz dosięgnął chronionych zasobów

Własności: Wykrywa ataki analizując całość ruchu sieciowego. Nie dopuszcza, żeby intruz dosięgnął chronionych zasobów System wykrywania intruzów i aktywnej ochrony Wykrywa ataki analizując całość ruchu sieciowego Nie dopuszcza, żeby intruz dosięgnął chronionych zasobów to system zabezpieczeń sieciowych realizujący zadania

Bardziej szczegółowo

Remote Access Manager

Remote Access Manager Remote Access Manager Wraz z ekspansją rynku urządzeń mobilnych i wzrostem liczby osób pracujących poza siedzibą swojej firmy, coraz większego znaczenia nabiera możliwość zdalnego dostępu do zasobów wewnętrznych

Bardziej szczegółowo

Wszechstronne urządzenie. z wbudowanymi wszystkimi funkcjami. zapory ogniowej i technologiami. zabezpieczeń. Symantec Gateway Security SERIA 5400

Wszechstronne urządzenie. z wbudowanymi wszystkimi funkcjami. zapory ogniowej i technologiami. zabezpieczeń. Symantec Gateway Security SERIA 5400 Wszechstronne urządzenie z wbudowanymi wszystkimi funkcjami zapory ogniowej i technologiami zabezpieczeń Symantec Gateway Security SERIA 5400 W obliczu nowoczesnych, wyrafinowanych zagrożeń bezpieczeństwa

Bardziej szczegółowo

BEZPIECZEŃSTWO BANKOWOŚCI DETALICZNEJ

BEZPIECZEŃSTWO BANKOWOŚCI DETALICZNEJ BEZPIECZEŃSTWO BANKOWOŚCI DETALICZNEJ Zachowania użytkownika, a ryzyko wykonywania operacji finansowych przez Internet. Bankowość elektroniczna jest wygodną i bezpieczną formą korzystania z usług bankowych,

Bardziej szczegółowo

Projektowanie i implementacja infrastruktury serwerów

Projektowanie i implementacja infrastruktury serwerów Steve Suehring Egzamin 70-413 Projektowanie i implementacja infrastruktury serwerów Przekład: Leszek Biolik APN Promise, Warszawa 2013 Spis treści Wstęp....ix 1 Planowanie i instalacja infrastruktury serwera....

Bardziej szczegółowo

7. zainstalowane oprogramowanie. 8. 9. 10. zarządzane stacje robocze

7. zainstalowane oprogramowanie. 8. 9. 10. zarządzane stacje robocze Specyfikacja oprogramowania do Opis zarządzania przedmiotu i monitorowania zamówienia środowiska Załącznik nr informatycznego 1 do specyfikacji Lp. 1. a) 1. Oprogramowanie oprogramowania i do systemów

Bardziej szczegółowo

Sieci VPN SSL czy IPSec?

Sieci VPN SSL czy IPSec? Sieci VPN SSL czy IPSec? Powody zastosowania sieci VPN: Geograficzne rozproszenie oraz duŝa mobilność pracowników i klientów przedsiębiorstw i instytucji, Konieczność przesyłania przez Internet danych

Bardziej szczegółowo

Instrukcja konfiguracji funkcji skanowania

Instrukcja konfiguracji funkcji skanowania Instrukcja konfiguracji funkcji skanowania WorkCentre M123/M128 WorkCentre Pro 123/128 701P42171_PL 2004. Wszystkie prawa zastrzeżone. Rozpowszechnianie bez zezwolenia przedstawionych materiałów i informacji

Bardziej szczegółowo

Zastosowania PKI dla wirtualnych sieci prywatnych

Zastosowania PKI dla wirtualnych sieci prywatnych Zastosowania PKI dla wirtualnych sieci prywatnych Andrzej Chrząszcz NASK Agenda Wstęp Sieci Wirtualne i IPSEC IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy

Bardziej szczegółowo

Podstawy bezpieczeństwa

Podstawy bezpieczeństwa Podstawy bezpieczeństwa sieciowego Dariusz CHAŁADYNIAK 2 Plan prezentacji Złośliwe oprogramowanie Wybrane ataki na sieci teleinformatyczne Wybrane metody bezpieczeństwa sieciowego Systemy wykrywania intruzów

Bardziej szczegółowo

Dysk 20GB przestrzeni Ajax Ajax 1.0 Baza danych MS SQL 2005 lub 2008 Express Java Java 6 run time Microsoft Silverlight 3.

Dysk 20GB przestrzeni Ajax Ajax 1.0 Baza danych MS SQL 2005 lub 2008 Express Java Java 6 run time Microsoft Silverlight 3. Systemy do kompleksowej administracji środowiskiem IT : Symantec Management Platform Solutions - rozwiązanie ułatwiające zarządzanie zasobami informatycznym Głównym zadaniem podlegającym kompetencji działu

Bardziej szczegółowo

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9 ZALECENIA DLA MIGRACJI NS-BSD V8 => V9 Wprowadzenie Wersja 9 NS-BSD wprowadza wiele zmian. Zmieniła się koncepcja działania niektórych modułów NETASQ UTM. Sam proces aktualizacji nie jest więc całkowicie

Bardziej szczegółowo

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik Panda Managed Office Protection. Przewodnik Panda Managed Office Protection Przewodnik Maj 2008 Spis treści 1. Przewodnik po konsoli administracyjnej i monitorującej... 3 1.1. Przegląd konsoli... 3 1.2.

Bardziej szczegółowo

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych) Miejsce prowadzenia szkolenia Program szkolenia KURS SPD i PD Administrator pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych) Pracownie komputerowe znajdujące się w wyznaczonych

Bardziej szczegółowo

Marek Pyka,PhD. Paulina Januszkiewicz

Marek Pyka,PhD. Paulina Januszkiewicz Marek Pyka,PhD Security Engineer Paulina Januszkiewicz Security Engineer Academy of Business in Dąbrowa Górnicza, POLAND prezentują [EN] Remote access mechanics as a source of threats to enterprise network

Bardziej szczegółowo

Funkcjonalność ochrony firewall w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń

Funkcjonalność ochrony firewall w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń Funkcjonalność ochrony firewall w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń Produkty zabezpieczeń typu UTM (ang. unified threat management) to urządzenia, w których zawarte zostało

Bardziej szczegółowo

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny? Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA Dlaczego DNS jest tak ważny? DNS - System Nazw Domenowych to globalnie rozmieszczona usługa Internetowa. Zapewnia tłumaczenie nazw domen

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...

Bardziej szczegółowo

ZBIÓR DOBRYCH PRAKTYK KORZYSTANIA Z BANKOWOŚCI ELEKTRONICZNEJ

ZBIÓR DOBRYCH PRAKTYK KORZYSTANIA Z BANKOWOŚCI ELEKTRONICZNEJ ZBIÓR DOBRYCH PRAKTYK KORZYSTANIA Z BANKOWOŚCI ELEKTRONICZNEJ RZESZÓW, 2015 Bankowość elektroniczna w Centrum Usług Internetowych I. Zasady bezpiecznego korzystania z bankowości elektronicznej 1. Zawsze

Bardziej szczegółowo

Parametr 19: MoŜliwość. podzielenia reguł firewalla na logiczne grupy, pomiędzy którymi występują kaskadowe. połączenia

Parametr 19: MoŜliwość. podzielenia reguł firewalla na logiczne grupy, pomiędzy którymi występują kaskadowe. połączenia Parametr 11: podzielenia reguł firewalla na logiczne grupy, pomiędzy którymi występują kaskadowe połączenia. Parametr 12: definiowania tzw. reguł dynamicznych na firewallu, automatycznie wyłączających

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ Załącznik nr 3 do Zarządzenia nr 1/2013 Rektora Collegium Mazovia Innowacyjnej Szkoły Wyższej z dnia 31 stycznia 2013 r. INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ

Bardziej szczegółowo

BANK SPÓŁDZIELCZY PA-CO-BANK W PABIANICACH. Jak w bezpieczny i wygodny sposób korzystać z bankowości elektronicznej

BANK SPÓŁDZIELCZY PA-CO-BANK W PABIANICACH. Jak w bezpieczny i wygodny sposób korzystać z bankowości elektronicznej BANK SPÓŁDZIELCZY PA-CO-BANK W PABIANICACH Jak w bezpieczny i wygodny sposób korzystać z bankowości elektronicznej Co to jest bankowość elektroniczna i jak jest zbudowana: Zasady bezpiecznego korzystania

Bardziej szczegółowo

PROCEDURA ADMINISTROWANIA ORAZ USUWANIA AWARII I BŁĘDÓW W CSIZS

PROCEDURA ADMINISTROWANIA ORAZ USUWANIA AWARII I BŁĘDÓW W CSIZS Załącznik nr 3 do umowy nr 10/DI/PN/2016 PROCEDURA ADMINISTROWANIA ORAZ USUWANIA AWARII I BŁĘDÓW W Rozdział 1. ADMINISTROWANIE 1. Wykonawca, w celu zapewnienia ciągłości funkcjonowania, zobowiązuje się

Bardziej szczegółowo

ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl

ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl Niniejsze zasady dotyczą wszystkich Użytkowników strony internetowej funkcjonującej w domenie http://www.pawlowskisport.pl,

Bardziej szczegółowo

INSTRUKCJA OBSŁUGI DLA SIECI

INSTRUKCJA OBSŁUGI DLA SIECI INSTRUKCJA OBSŁUGI DLA SIECI Zapisywanie dziennika druku w lokalizacji sieciowej Wersja 0 POL Definicje dotyczące oznaczeń w tekście W tym Podręczniku użytkownika zastosowano następujące ikony: Uwagi informują

Bardziej szczegółowo

ZiMSK. Konsola, TELNET, SSH 1

ZiMSK. Konsola, TELNET, SSH 1 ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Konsola, TELNET, SSH 1 Wykład

Bardziej szczegółowo

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl Poznań, 24.01.2011 Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl Realizując postanowienia ustawy z dnia 29.08.1997r. o ochronie danych osobowych (Dz.

Bardziej szczegółowo

ZAPYTANIE OFERTOWE. Zamawiający. Przedmiot zapytania ofertowego. Wrocław, dnia 23.03.2015 r.

ZAPYTANIE OFERTOWE. Zamawiający. Przedmiot zapytania ofertowego. Wrocław, dnia 23.03.2015 r. ZAPYTANIE OFERTOWE Wrocław, dnia 23.03.2015 r. W związku z realizacją przez Nova Telecom spółka z ograniczoną odpowiedzialnością, projektu pn.: Wdrożenie zintegrowanego systemu klasy B2B, umożliwiającego

Bardziej szczegółowo

WLAN bezpieczne sieci radiowe 01

WLAN bezpieczne sieci radiowe 01 WLAN bezpieczne sieci radiowe 01 ostatnim czasie ogromną popularność zdobywają sieci bezprzewodowe. Zapewniają dużą wygodę w dostępie użytkowników do zasobów W informatycznych. Jednak implementacja sieci

Bardziej szczegółowo

Bezpieczeństwo informacji w systemach komputerowych

Bezpieczeństwo informacji w systemach komputerowych Bezpieczeństwo informacji w systemach komputerowych Andrzej GRZYWAK Rozwój mechanizmów i i systemów bezpieczeństwa Szyfry Kryptoanaliza Autentyfikacja Zapory Sieci Ochrona zasobów Bezpieczeństwo przechowywania

Bardziej szczegółowo

SPECYFIKACJA TECHNICZNA. LP. Parametry wymagane Parametry oferowane (pełny opis

SPECYFIKACJA TECHNICZNA. LP. Parametry wymagane Parametry oferowane (pełny opis Załącznik nr 3A do SIWZ DZP-0431-1620/2008 SPECYFIKACJA TECHNICZNA Właściwości systemu zabezpieczeń sieciowych UTM (Unified Threat Management) 1. 2. 3. 4. 5. 6. 7. LP. Parametry wymagane Parametry oferowane

Bardziej szczegółowo

Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe. Parametry wymagane przez Zamawiającego

Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe. Parametry wymagane przez Zamawiającego Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe Lp. Parametry wymagane przez Zamawiającego (nazwa oferowanego oprogramowania) Parametry oferowane przez Wykonawcę (TAK- parametry zgodne z wymaganymi

Bardziej szczegółowo

Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji

Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji Bezpieczeństwo sieci teleinformatycznych Laboratorium 5 Temat: Polityki bezpieczeństwa FortiGate. Spis treści 2. Cel ćwiczenia...

Bardziej szczegółowo

Produkty. ESET Produkty

Produkty. ESET Produkty Produkty ESET Produkty czerwiec 2006 COPYRIGHT ArkaNET KATOWICE CZERWIEC 2006 KOPIOWANIE I ROZPOWSZECHNIANIE ZABRONIONE ESET Produkty czerwiec 2006 Wersja dokumentu W dokumencie użyto obrazków zaczerpniętych

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 2007 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 2007 r. Projekt z dnia 8 października 2007 r. ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 2007 r. w sprawie dokonywania wpisów danych SIS oraz aktualizowania, usuwania i wyszukiwania danych

Bardziej szczegółowo

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej Obserwowany w ostatnich latach znaczący wzrost zastosowań sieci

Bardziej szczegółowo

Rozdział 6 - Z kim się kontaktować - 199 - Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o. 2012. Kopiowanie bez zezwolenia zabronione.

Rozdział 6 - Z kim się kontaktować - 199 - Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o. 2012. Kopiowanie bez zezwolenia zabronione. Rozdział 6 - Z kim się kontaktować - 199 - Spis treści - 200 - Rozdział 6 - Z kim się kontaktować Spis treści Rozdział 1: Podstawy bezpiecznego użytkowania komputera... - 3 - Dlaczego należy aktualizować

Bardziej szczegółowo

AGENDA. Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej - studium przypadku

AGENDA. Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej - studium przypadku AGENDA Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej - studium przypadku Tomasz Furmańczak UpGreat Systemy Komputerowe Sp. z o.o. Założenia do projektu WLAN sieć WLAN

Bardziej szczegółowo

OPROGRAMOWANIE KEMAS zbudowane jest na platformie KEMAS NET

OPROGRAMOWANIE KEMAS zbudowane jest na platformie KEMAS NET Security Systems Risk Management OPROGRAMOWANIE KEMAS zbudowane jest na platformie KEMAS NET Oprogramowanie firmy KEMAS jest zbudowane na bazie pakietu programowego- KEMAS NET- dedykowanego do zarządzania

Bardziej szczegółowo

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o. Bezpieczeństwo usług ug w sieciach korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o. DGT Sp. z o.o. All rights ul. Młyńska reserved 7, 83-010 2005, DGT Straszyn, Sp. z

Bardziej szczegółowo

Szczegółowy opis przedmiotu zamówienia

Szczegółowy opis przedmiotu zamówienia Załącznik nr 1b do SIWZ Szczegółowy opis przedmiotu zamówienia Cześć II Dostawa niewyłącznych, nieograniczonych czasowo 3 sztuk licencji oprogramowania Microsoft Server 2012 R2 DataCenter x64 w celu rozbudowy

Bardziej szczegółowo

Strategie i techniki ochrony systemów informatycznych

Strategie i techniki ochrony systemów informatycznych Strategie i techniki ochrony systemów informatycznych Systemy informatyczne są niezbędne do prawidłowego funkcjonowania większości firm i instytucji. Często zależy od nich realizacja zadań biznesowych.

Bardziej szczegółowo

Nowe możliwości zapewnienia skutecznej ochrony przed zagrożeniami wewnętrznymi

Nowe możliwości zapewnienia skutecznej ochrony przed zagrożeniami wewnętrznymi Nowe możliwości zapewnienia skutecznej ochrony przed zagrożeniami wewnętrznymi Obecnie znakomita większość firm wykorzystujących technologie teleinformatyczne do prowadzenia biznesu, stosuje w swoich infrastrukturach

Bardziej szczegółowo

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci N, Wykład 6: Bezpieczeństwo w sieci 1 Ochrona danych Ochrona danych w sieci musi zapewniać: Poufność nieupoważnione osoby nie mają dostępu do danych Uwierzytelnianie gwarancja pochodzenia Nienaruszalność

Bardziej szczegółowo

1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1

1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1 Spis treści Wstęp... xi Wymagania sprzętowe (Virtual PC)... xi Wymagania sprzętowe (fizyczne)... xii Wymagania programowe... xiii Instrukcje instalowania ćwiczeń... xiii Faza 1: Tworzenie maszyn wirtualnych...

Bardziej szczegółowo

Check Point VSX - system zabezpieczeń dla Centrów Danych i MSS

Check Point VSX - system zabezpieczeń dla Centrów Danych i MSS PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Check Point VSX - system zabezpieczeń dla Centrów Danych i MSS DEDYKOWANE WARSZTATY ZABEZPIECZEŃ Wykładowca: Mariusz Stawowski CISSP, CCSE+ CLICO Sp. z o.o., Al. 3-go

Bardziej szczegółowo

Metody zabezpieczania transmisji w sieci Ethernet

Metody zabezpieczania transmisji w sieci Ethernet Metody zabezpieczania transmisji w sieci Ethernet na przykładzie protokołu PPTP Paweł Pokrywka Plan prezentacji Założenia Cele Problemy i ich rozwiązania Rozwiązanie ogólne i jego omówienie Założenia Sieć

Bardziej szczegółowo

Profesjonalne Zarządzanie Drukiem

Profesjonalne Zarządzanie Drukiem Profesjonalne Zarządzanie Drukiem XpressProfessional służy do kontroli wydruku, kopiowania i skanowania na urządzeniach wielofunkcyjnych Xerox. Jest to modułowy system, dający możliwości kontroli wykonywanych

Bardziej szczegółowo

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna 1. Wstęp Wprowadzenie do PKI Infrastruktura klucza publicznego (ang. PKI - Public Key Infrastructure) to termin dzisiaj powszechnie spotykany. Pod tym pojęciem kryje się standard X.509 opracowany przez

Bardziej szczegółowo

SYSTEM VILM ZARZĄDZANIE CYKLEM ŻYCIA ŚRODOWISK WIRTUALNYCH. info@prointegra.com.pl tel: +48 (032) 730 00 42

SYSTEM VILM ZARZĄDZANIE CYKLEM ŻYCIA ŚRODOWISK WIRTUALNYCH. info@prointegra.com.pl tel: +48 (032) 730 00 42 SYSTEM VILM ZARZĄDZANIE CYKLEM ŻYCIA ŚRODOWISK WIRTUALNYCH info@prointegra.com.pl tel: +48 (032) 730 00 42 1. WPROWADZENIE... 3 2. KORZYŚCI BIZNESOWE... 4 3. OPIS FUNKCJONALNY VILM... 4 KLUCZOWE FUNKCJE

Bardziej szczegółowo

Bezpieczeństwo danych w sieciach elektroenergetycznych

Bezpieczeństwo danych w sieciach elektroenergetycznych Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych

Bardziej szczegółowo

Pomoc dla http://host.nask.pl/ 31.12.2012 r.

Pomoc dla http://host.nask.pl/ 31.12.2012 r. Pomoc dla http://host.nask.pl/ 31.12.2012 r. Spis treści Kontakt... 2 Logowanie do konta pocztowego przez WWW... 3 Logowanie do panelu administracyjnego... 4 Konfiguracja klienta pocztowego... 7 Umieszczanie

Bardziej szczegółowo

OFFICE 365 + ADFS - POŁĄCZENIE KORZYŚCI ROZWIĄZAŃ CHMUROWYCH I CENTRALNEGO ZARZĄDZANIA

OFFICE 365 + ADFS - POŁĄCZENIE KORZYŚCI ROZWIĄZAŃ CHMUROWYCH I CENTRALNEGO ZARZĄDZANIA Marta Grum, Administrator Systemów Microsoft w Grupie Unity OFFICE 365 + ADFS - POŁĄCZENIE KORZYŚCI ROZWIĄZAŃ CHMUROWYCH I CENTRALNEGO ZARZĄDZANIA Usługa Office365 jest niezbędnym pakietem narzędzi wykorzystywanych

Bardziej szczegółowo

Teoria i praktyka wdrożeniowa zabezpieczeń NAC w oparciu o technologię Juniper UAC. Radosław Wal radosław.wal@clico.pl

Teoria i praktyka wdrożeniowa zabezpieczeń NAC w oparciu o technologię Juniper UAC. Radosław Wal radosław.wal@clico.pl Teoria i praktyka wdrożeniowa zabezpieczeń NAC w oparciu o technologię Juniper UAC Radosław Wal radosław.wal@clico.pl Agenda Quiz pt: Czy potrzebuję rozwiązania klasy NAC, a jeśli tak, to jakiego? Czy

Bardziej szczegółowo

INFORMATYKA Pytania ogólne na egzamin dyplomowy

INFORMATYKA Pytania ogólne na egzamin dyplomowy INFORMATYKA Pytania ogólne na egzamin dyplomowy 1. Wyjaśnić pojęcia problem, algorytm. 2. Podać definicję złożoności czasowej. 3. Podać definicję złożoności pamięciowej. 4. Typy danych w języku C. 5. Instrukcja

Bardziej szczegółowo

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych. 1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych. Integralność systemu musi być zapewniona także w przypadku różnych

Bardziej szczegółowo

Program szkolenia. Jak zorganizować szkolna infrastrukturę informatyczną (sieć informatyczną)

Program szkolenia. Jak zorganizować szkolna infrastrukturę informatyczną (sieć informatyczną) CENTRUM DOSKONALENIA NAUCZYCIELI W PILE Program szkolenia Jak zorganizować szkolna infrastrukturę informatyczną (sieć informatyczną) Opracowali: Roman Frąckowiak Piotr Halama Sławomir Kozłowski Piła, 2014

Bardziej szczegółowo

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń: - zna rodzaje sieci - zna topologie sieciowe sieci

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń: - zna rodzaje sieci - zna topologie sieciowe sieci WYMAGANIA EDUKACYJNE PRZEDMIOT: Administracja sieciowymi systemami operacyjnymi NUMER PROGRAMU NAUCZANIA (ZAKRES): 351203 1. Lp Dział programu Sieci komputerowe Poziomy wymagań Konieczny K Podstawowy-

Bardziej szczegółowo

Instalacja, konfiguracja i zarządzanie Websense Enterprise for FireWall-1

Instalacja, konfiguracja i zarządzanie Websense Enterprise for FireWall-1 PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Instalacja, konfiguracja i zarządzanie Websense Enterprise for FireWall-1 CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12

Bardziej szczegółowo

Zakres wymagań dotyczących Dokumentacji Systemu

Zakres wymagań dotyczących Dokumentacji Systemu Załącznik nr 2 do Umowy nr CUI/.../.../.../2014 z dnia r. Zakres wymagań dotyczących Dokumentacji Systemu 1. Uwagi i wymagania ogólne 1. Dokumentacja musi zostać dostarczona w wersji elektronicznej edytowalnej

Bardziej szczegółowo

Eduroam - swobodny dostęp do Internetu

Eduroam - swobodny dostęp do Internetu Eduroam - swobodny dostęp do Internetu Mariusz Krawczyk Pion Głównego Informatyka PK Mariusz.Krawczyk@pk.edu.pl Seminarium eduroam PK, 24.05.2006 Tomasz Wolniewicz UCI UMK Uczestnicy - świat Seminarium

Bardziej szczegółowo

Technologie sieciowe

Technologie sieciowe Technologie sieciowe ITA-108 Wersja 1.2 Katowice, Lipiec 2009 Spis treści Wprowadzenie i Moduł I Wprowadzenie do sieci komputerowych I-1 Moduł II Omówienie i analiza TCP/IP II-1 Moduł III Zarządzanie adresacją

Bardziej szczegółowo

Z roku na rok wzrasta liczba systemów informatycznych, co skutkuje coraz większym uzależnieniem od nich działalności biznesowej przedsiębiorstw.

Z roku na rok wzrasta liczba systemów informatycznych, co skutkuje coraz większym uzależnieniem od nich działalności biznesowej przedsiębiorstw. Single Sign On Z roku na rok wzrasta liczba systemów informatycznych, co skutkuje coraz większym uzależnieniem od nich działalności biznesowej przedsiębiorstw. Jednocześnie systemy te przechowują coraz

Bardziej szczegółowo

SYSTEM WSMS ZARZĄDZANIE STANDARDEM STACJI ROBOCZYCH. info@prointegra.com.pl tel: +48 (032) 730 00 42

SYSTEM WSMS ZARZĄDZANIE STANDARDEM STACJI ROBOCZYCH. info@prointegra.com.pl tel: +48 (032) 730 00 42 SYSTEM WSMS ZARZĄDZANIE STANDARDEM STACJI ROBOCZYCH info@prointegra.com.pl tel: +48 (032) 730 00 42 1. WPROWADZENIE... 3 2. KORZYŚCI BIZNESOWE... 4 3. OPIS FUNKCJONALNY WSMS... 4 WSMS AUDIT... 6 WSMS SM...

Bardziej szczegółowo

INTERNET - Wrocław 2005. Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid

INTERNET - Wrocław 2005. Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid Bartłomiej Balcerek Wrocławskie Centrum Sieciowo-Superkomputerowe Plan prezentacji Podstawowe pojęcia z dziedziny gridów Definicja

Bardziej szczegółowo

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych Krzysztof Młynarski (krzysztof.mlynarski@teleinformatica.com.pl) Teleinformatica Pomimo występowania bardzo wielu

Bardziej szczegółowo

DOKUMENTACJA ADMINISTRATORA SYSTEMU INFORMATYCZNEGO POLSKI FADN

DOKUMENTACJA ADMINISTRATORA SYSTEMU INFORMATYCZNEGO POLSKI FADN Instytut Ekonomiki Rolnictwa i Gospodarki Żywnościowej - Państwowy Instytut Badawczy ul. Świętokrzyska 20 00 950 Warszawa 1 Skr. pocztowa 984 tel./faks: (48 22) 826 93 22, (48 22) 826 61 58 email: rachrol@fadn.pl

Bardziej szczegółowo

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA. Dotyczy postępowania : Zakup licencji na system zabezpieczeń dla Urzędu Miejskiego w Gliwicach.

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA. Dotyczy postępowania : Zakup licencji na system zabezpieczeń dla Urzędu Miejskiego w Gliwicach. Załącznik nr 6 do SIWZ SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA Dotyczy postępowania : Zakup licencji na system zabezpieczeń dla Urzędu Miejskiego w Gliwicach. Opis minimalnych wymagań systemu spełniających

Bardziej szczegółowo

Konfiguracja urządzeń Connectra (SSL VPN) w zintegrowanym środowisku zarządzania Check Point SmartCenter

Konfiguracja urządzeń Connectra (SSL VPN) w zintegrowanym środowisku zarządzania Check Point SmartCenter Konfiguracja urządzeń Connectra (SSL VPN) w zintegrowanym środowisku zarządzania Check Point SmartCenter Technologia SSL VPN umożliwia pracownikom przebywającym poza siedzibą firmy oraz klientom i partnerom

Bardziej szczegółowo

System Kancelaris. Zdalny dostęp do danych

System Kancelaris. Zdalny dostęp do danych Kancelaris krok po kroku System Kancelaris Zdalny dostęp do danych Data modyfikacji: 2008-07-10 Z czego składaj adają się systemy informatyczne? System Kancelaris składa się z dwóch części: danych oprogramowania,

Bardziej szczegółowo

INSTRUKCJA OBSŁUGI APLIKACJI CENTRALNEGO SYSTEMU TELEINFORMATYCZNEGO SL 2014

INSTRUKCJA OBSŁUGI APLIKACJI CENTRALNEGO SYSTEMU TELEINFORMATYCZNEGO SL 2014 INSTRUKCJA OBSŁUGI APLIKACJI CENTRALNEGO SYSTEMU TELEINFORMATYCZNEGO SL 2014 Ilekroć w Instrukcji jest mowa o: Systemie - należy przez to rozumieć aplikację główną centralnego systemu teleinformatycznego,

Bardziej szczegółowo