BlackHole. Bezpieczne Repozytorium Ważnych Zasobów.

Podobne dokumenty
Wykaz zmian w programie SysLoger

Wykaz zmian w programie SysLoger

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Instalacja i konfiguracja serwera SSH.

Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Marcin Pilarski

Usługi sieciowe systemu Linux

Instrukcja obsługi archiwów zabezpieczonych hasłem. ( na przykładzie oprogramowania 7-Zip )

Win Admin Replikator Instrukcja Obsługi

PuTTY. Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Inne interesujące programy pakietu PuTTY. Kryptografia symetryczna

Sieciowa instalacja Sekafi 3 SQL

DESlock+ szybki start

Instrukcja dla użytkowników Windows Vista Certyfikat Certum Basic ID

Certyfikat Certum Basic ID. Instrukcja dla użytkowników Windows Vista. wersja 1.3 UNIZETO TECHNOLOGIES SA

7. zainstalowane oprogramowanie zarządzane stacje robocze

Instrukcja konfiguracji programu Fakt z modułem lanfakt

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Serwer pocztowy. QmaiLux. Dokumentacja techniczna mechanizmu książek adresowych (qbook)

Program Opakowania zwrotne dla InsERT GT.

Instrukcja konfiguracji programu Fakt z modułem lanfakt

Opis komunikacji na potrzeby integracji z systemem klienta (12 kwiecień, 2007)

MikroTik Serwer OpenVPN

Dokumentacja SMS przez FTP

Bezpieczeństwo systemów informatycznych

Sieci komputerowe i bazy danych

INSTALACJA LICENCJI SIECIOWEJ NET HASP Wersja 8.32

Problemy techniczne. Jak udostępnić dane na potrzeby wykonania usługi serwisowej lub wdrożeniowej? Zabezpieczanie plików hasłem

SYSTEM ARCHIWIZACJI DANYCH

ekopia w Chmurze bezpieczny, zdalny backup danych Instrukcja użytkownika dla klientów systemu mmedica

JPK Jednolity Plik Kontrolny

Poradnik zetula.pl. Jak założyć konto na zetula.pl. i zabezpieczyć dane na swoim komputerze?

Windows Serwer 2008 R2. Moduł 8. Mechanizmy kopii zapasowych

Instrukcja instalacji usługi Sygnity SmsService

Wykaz zmian w programie SysLoger

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Silent setup SAS Enterprise Guide (v 3.x)

4. Podstawowa konfiguracja

Instrukcja Szyfrowania / Deszyfracji plików programem 7-zip. v. 1.2

Win Admin Replikator Instrukcja Obsługi

Instrukcja logowania i realizacji podstawowych transakcji w systemie bankowości internetowej dla klientów biznesowych BusinessPro.

Uniwersytet Mikołaja Kopernika w Toruniu Wydział Matematyki i Informatyki Wydział Fizyki, Astronomii i Informatyki Stosowanej Instytut Fizyki

Win Admin Replikator Instrukcja Obsługi

Wdrożenie modułu płatności eservice. dla systemu oscommerce 2.3.x

Protokoły zdalnego logowania Telnet i SSH

Graficzny terminal sieciowy ABA-X3. część druga. Podstawowa konfiguracja terminala

Przed przystąpieniem do instalacji certyfikatów należy zweryfikować czy są spełnione poniższe wymagania systemowe.

JPK Jednolity Plik Kontrolny

PODRĘCZNIK UŻYTKOWNIKA PROGRAMU LBD <-> TBD

PŁATNOŚCI. w Magento 2.x. Wersja: 1.1

Odpowiedzi na pytania do postępowania na zakupu oprogramowania antywirusowego (NR BFI 1S/01/10/05/2019) z dnia

PODRĘCZNIK OBSŁUGI BUSINESSNET

ZiMSK. Konsola, TELNET, SSH 1

Instrukcja instalacji nos niko w USB w bankowos ci Alior Banku

ABA-X3 PXES v Podręczna instrukcja administratora. FUNKCJE SIECIOWE Licencja FDL (bez prawa wprowadzania zmian)

Currenda EPO Instrukcja Konfiguracji. Wersja dokumentu: 1.3

WYPOŻYCZALNIA BY CTI INSTRUKCJA

Instrukcja instalacji nośników USB w systemie internetowym Alior Banku

Instalacja programu Warsztat 3 w sieci

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

I. WERSJA KANCELARIS PLUS

Dokumentacja wstępna TIN. Rozproszone repozytorium oparte o WebDAV

SZYBKI START. Tworzenie nowego połączenia w celu zaszyfrowania/odszyfrowania danych lub tekstu 2. Szyfrowanie/odszyfrowanie danych 4

CEPiK 2 dostęp VPN v.1.7

Instrukcja EQU Kantech

Wykaz zmian w programie Win Admin Replikator

Rozdział 6 - Z kim się kontaktować Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o Kopiowanie bez zezwolenia zabronione.

Archiwum DG 2016 PL-SOFT

Portal SRG BFG. Instrukcja korzystania z Portalu SRG BFG

SERWERY WIRTUALNE Stabilność, szybkość i bezpieczeństwo danych...

ekopia w Chmurze bezpieczny, zdalny backup danych

Problemy z bezpieczeństwem w sieci lokalnej

UMOWY CYWILNOPRAWNE Instalacja, rejestracja i konfiguracja programu

Praca w programie dodawanie pisma.

Symantec Cloud. Wsparcie w Twoim biznesie

Program kadrowo płacowy - wersja wielodostępna z bazą danych Oracle SQL Server 8 lub 9

I. WSTĘP... 2 II. WYMAGANIA SYSTEMOWE... 2 III. DOSTĘP DO REPOZYTORIUM TRANSAKCJI... 2

System archiwizacji i konserwacji baz danych MS SQL

OCHRONA PRZED RANSOMWARE

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń: - zna rodzaje sieci - zna topologie sieciowe sieci

Lab3 - Zastosowania protokołów przesyłania plików

Dostęp bezprzewodowy do Uczelnianej Sieci Komputerowej Politechniki Poznańskiej Instrukcja dla studentów Politechniki Poznańskiej

Narzędzia klienta usługi archiwizacji

Instrukcja podłączenia bramki IP 1R+L oraz IP 2R+L w trybie serwisowym za pomocą usługi telnet.

Autoryzacja zleceń z użyciem aplikacji Java Web Start "Pocztowy24Podpis"

Rozwi zania Client Management Solutions i Mobile Printing Solutions. Numer katalogowy dokumentu:

Poniżej znajduje się instrukcja konfiguracji najpopularniejszych programów do obsługi poczty.

Kancelaria Prawna.WEB - POMOC

T: Zabezpieczenie dostępu do komputera.

Instalacja rozwiązania Uruchomienie rozwiązania w systemie Sage Konfiguracja dodatku Ustawienia dodatkowe rozwiązania...

Problemy techniczne. Jak udostępnić dane na potrzeby wykonania usługi wdrożeniowej? Zabezpieczanie plików hasłem

Aktywacja licencji oprogramowania Wonderware 2017

Wdrożenie modułu płatności eservice. dla systemu Zen Cart

Instrukcjaaktualizacji

Znak sprawy: KZp

Archiwizacja baz MSSQL /BKP_SQL/ opis oprogramowania

Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP

Płace Optivum. Jakie czynności musi wykonać pracownik, aby otrzymywać drogą elektroniczną paski z list płac?

Portal SRG BFG Instrukcja korzystania z Portalu SRG BFG

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5

VinCent Administrator

Sieci komputerowe i bazy danych

Transkrypt:

BlackHole. Bezpieczne Repozytorium Ważnych Zasobów.

OPIS OGÓLNY Rozwiązanie jest odpowiedzią na rosnące zagrożenie ze strony wyrafinowanych wirusów, które wykorzystując sieć komputerową szyfrują dostępne pliki. Jedynym rozsądnym zabezpieczeniem przed skutkami takiego zdarzenia jest posiadanie kopii offline (tzn. odłączonej od sieci) ważnych zasobów. Jednocześnie wykonywanie takiej kopi jest trudne do zautomatyzowania, a zaniechanie np. okresowej wymiany nośników powoduje znaczne zmniejszenie skuteczności takiej ochrony. System BlackHole jest zautomatyzowanym rozwiązaniem w ramach którego funkcjonują dwa magazyny na dane. Magazyn 'kwarantanna' który jest dostępny przez ściśle wskazany mechanizm sieciowy, oraz magazyn 'bezpieczny' który nie jest wogóle dostępny poprzez sieć. Funkcjonujące mechanizmy przenoszą zdefiniowane zasoby archiwalne pomiędzy 'kwarantanną' a magazynem 'bezpiecznym'. Odzyskanie zasobów z magazynu 'bezpiecznego' wymaga fizycznego dostępu do urządzenia oraz posiadania odpowiednich uprawnień w jego systemie. Przesyłanie danych do 'kwarantanny' odbywa się z wykorzystaniem protokołu sftp. Autoryzacja użytkownika odbywa się w oparciu o klucz SSH, którego część publiczną należy umieścić w odpowiednim miejscu systemu. Pliki przesłane do 'kwarantanny' po przeniesienu do magazynu 'bezpiecznego' są z kwarantanny usuwane. Próba przesłania pliku bez jego uprzedniej definicji powoduje jego usunięcie bez zachowywania. System nie dopuści do nadpisania w magazynie 'bezpiecznym' już istniejącego pliku. Dodatkowe zabezpieczenie w postaci wyodrębnionego segmentu sieci z zaporą sieciową regulującą ruch podnosi odporność rozwiązania. System BlackHole wyposażono także w mechanizm kontroli plików-wabików. Pliki takie w swej oryginalnej postaci są zdeponowane w katalogu wzorców. Po wgraniu do określonego zasobu wersji takiego pliku pochodzącej z systemu potencjalnie wystawionego na ryzyko następuje kontrola zgodności. Jeżeli system wykryje niezgodność pomiędzy wzorcem a przesłanym plikiem zatrzymuje proces "wchłaniana" plików tym samym minimalizuje możliwość utraty poprawnych archiwów. System zaprojektowano do współpracy z BackON II oraz innymi tego typu systemami pozwalającymi na automatyzację monitoringu plików (co do ich obecności). Powiadomienie o sytuacji alarmowej następuje kanałami dostępnymi w takim systemie (w przypadku BackON II może to być e-mail oraz sms do wskazanych pracowników firmy)

Obsługa rozwiązania: Zadania administracyjne systemu BlackHole wykonuje użytkownik 'manager' (hasło przekazane przy wdrożeniu). 1. Definiowanie zabezpieczanych plików i ich retencji Definiowanie zabezpieczanych plików polega na określeniu STAŁEGO fragmentu nazwy przesyłanego pliku oraz określenia ilości zachowywanych jego kolejnych kopii. Dla przykładu: serwer codzienie wysyła do BlackHole archiwum dokumentów o nazwie DokumentyXXYYZZZZHHMM.7z gdzie XXYYZZZZHHMM to zakodowana data i godzina powstania archiwum. Z uwagi na jego objętość podjęto decyzję utrzymywania 5 ostatnich kopii. Odpowiedni wpis w pliku /home/manager/skrypty/wykaz_pliki będzie miał postać: Dokumenty:5 (uwaga! Wielkość liter ma znaczenie) Bez poprawnej definicji pliku system będzie przesłane pliki USUWAŁ! 2. Konfiguracja klienta sieciowego. Do poprawnego współdziałania z BlackHole klient wymaga wygenerowanego certyfikatu SSH. Generowanie certyfikatu przeprowadza się przy pomocy narzędzia puttygen.

Należy zwrócić uwagę na generowanie klucza w wersji SSH-2 RSA oraz jego długość : 4096. Pole: Key commnet można wypełnić dowolnym ciągiem zawierającym nazwę np. Serwera dla którego klucz jest wygenerowany. Zawartość okienka "Public key for pasting into OpenSSH authorized_keys file" należy zapisać w pliku tekstowym (zaznaczyć wszystko i skopiować). Wygenrowane klucze: publiczny i prywatny należy zapisać w znanej lokalizacji. Zawartość okienka zapisaną w pliku tekstowym należy przenieść na serwer BlackHole i dopisać na końcu pliku /home/kwarantanna/kopia/.ssh/authorized_keys. Po tej operacji możliwe będzie skorzystanie z narzędzia psftp.exe z pakietu PuTTY (dla systemów z rodziny Windows). 3. Zbieranie i przesyłanie danych W momencie wdrożenia przygotowany zostaje wzorcowy skrypt który umożliwia przesłanie archiwum do serwera BlackHole. Skrypt ten następnie uruchamiany jest z poziomu harmonogramu systemowego. Dla systemu Windows wykorzystane zostaje oprogramowanie Putty oraz 7-Zip wraz ze skryptami sterującymi przesyłem danych. Wdrażając kolejne źródło danych (serwer źródłowy) należy pamiętać o przygotowaniu odrębnego klucza SSH i adekwatnej modyfikacji wzorcowych skryptów. 4. Kontrola pracy systemu Zaleca się okresową kontrolę pracy systemu, szczególnie kontrolę wykorzystania miejsca na dysku przez zasób /home/kopie_bezpieczne. Jeśli ulega on przepełnieniu należy ponownie przeanalizować zasady retencji danych i zmodyfikować ustawienia opisane w pkt.1 Z uwagi na zasadę minimalizacji dostępu sieciowego wszelkie operacje administracyjno-kontrolne należy wykonywać przy pomocy konsoli urządzenia. 5. Mechanizm wykrywania niechcianej ingerencji. Na wyznaczonych zasobach w sieci umieszcza się potencjalnie atrakcyjne dla wirusa pliki (typu doc,xls), które cyklicznie (odrębnym harmonogramem) wysyła się do BlackHole. Oryginalne wersje tych plików wgrywa się do katalogu /home/manager/skrypty/wzorce. System BlackHole dokonuje okresowego sprawdzenia zgodności wgranych wabików z ich wzorcami w przypadku wykrycia zmian wystawia plik alarm możliwy do zwrotnego pobrania przez system zewnętrzny. Po wystawieniu pliku alarm system BlackHole ignoruje kolejne przesyłane pliki w ten sposób dotychczasowo przesłane do /home/kopie_bezpieczne pliki pozostają

nienaruszone. Usunięcie stanu alarmu polega na ręcznym usunięciu z /home/manager/skrypty oraz /home/kwarantanna/pliki pliku o nazwie alarm. Dowolny system zewnętrzny będący w stanie monitorować obecność pliku można użyć do powiadamiania właściwych osób o sytuacji alarmowej (w przypadku systemu BackONII można wykorzystać zarówno e-mail jak i sms).

Formularz wdrożeniowy systemu BlackHole Adres IP serwera BlackHole............... Hasło użytkownika root Hasło użytkownika manager Zastosowano firewall Zastosowano monitoring stanu Osoby powiadamiane o stanie [ ] tak [ ] nie [ ] tak, host:............... [ ] nie [ ] brak 1.... 2.... 3.... 4.... Wykaz skonfigurowanych zasobów do zabezpieczania wraz ze wskazaniem harmonogramu: (w postaci: nazwa_serwera / zasób / harmonogram )

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres