SUSEC/Kalmar 26 april 061 BOF - Nätsäkerhet -Segmentering av nät/firewall/exponering -Autenticering -Avlyssning/kryptering – kom vi inte att prata mycket.

En presentation över ämnet: "SUSEC/Kalmar 26 april 061 BOF - Nätsäkerhet -Segmentering av nät/firewall/exponering -Autenticering -Avlyssning/kryptering – kom vi inte att prata mycket."— Presentationens avskrift:

1 SUSEC/Kalmar 26 april 061 BOF - Nätsäkerhet -Segmentering av nät/firewall/exponering -Autenticering -Avlyssning/kryptering – kom vi inte att prata mycket om.

2 SUSEC/Kalmar 26 april 062 Innan – Ropen skalla ”Internet till alla” Nu – Nätet stödja verksamheten Segmentering Nätdesign (VLAN) efter datorers uppgift, inte tvunget organisationsstyrt Klienter/webservrar/skrivare – olika behov av nätkoppling, externt åtkommliga etc.

3 SUSEC/Kalmar 26 april 063 Exponering. Ej uppkoppling utifrån mot ”normala” datorer. Många har/håller på att blockera uppkopplingar. -Om uppgiften kräver att datorn är nåbar utifrån – då skall den vara det. - Om uppgiften inte kräver att den är nåbar utifrån då skall den inte vara det. - Klienter – klienter? Behövs detta? - P2P?

4 SUSEC/Kalmar 26 april 064 Exponering / Segmentering/Nätuppdelning Nätuppdelning kräver kunskap och närvaro i verksamheten, kan inte ske allför centralt. Lättare på små lärosäten med färre driftställen och tätare kontakter. Motivering, möjlighet. ”Ordning och reda” Vilka resurser har/erbjuder myndigheten mot omvärlden?

5 SUSEC/Kalmar 26 april 065 Segmentering. Ett VLAN/dator: (nästan) all trafik skall ändå routas, varför skall man switcha i korridoren? Koax-arv, tradition. Stadsnät byggs med VLAN/kund - ger avlyssningssäkrare nät. Muxar i stället för switchar! Ekonomihögskolan i Lund gjorde ett försök, men hade inte switchar som klarade många VLAN.

6 SUSEC/Kalmar 26 april 066 Säkra nät? Räcker inte – ens om dom finns. Patchning, antivirus, säkra installationer (avst tjänster, kryperade inloggningar ….)

7 SUSEC/Kalmar 26 april 067 Det goda exemplet GU (m fl) – erbjuder centrala tjänster ”gratis”. Förhoppningen är att dessa tjänster skall vara så bra att prefekter inte vill betala för att använda en sämre lokal lösning! LUDD i Lund är ett liknande erbjudande. Bromsas av tradition, NIH, personalproblematik, akademisk frihet, tron att man är speciell

8 SUSEC/Kalmar 26 april 068 Autenticering Av datorer 802.1x (dottetteks) WLAN-teknik – funkar kanske dåligt på tråd. Karantännät. GU har ett nät där man enbart får begränsad access innan man laddar ner en klient som kontrollerar säkerheten på datorn (patch/antivirus/…) I homogena nät kan man automatiskt kolla/rensa datorer innan de får access.

9 SUSEC/Kalmar 26 april 069 Autenticering Till speciella resurser (VPN – men inte internet) Halmstad "Low-tek" lösning till en MS-SQL server - Billig dator + linux + iptables mellan Internet och resursen - Web-sida där man authenticerar sig och öppnar - Detta IP-nummer har sedan access en viss tid till denna tjänst. Websida, 30-40 rader perl-script, linux, iptables. Magnus.Moren@cite.hh.se

10 SUSEC/Kalmar 26 april 0610 Policy Skydd mot bus utifrån – ”fysiska skydd”, FW, segmentering, block... Skydd mot bus innifrån – samma saker + Policy! Policy: Sunt förnuft på papper Policy som inte är förankrad och accepterad blir bara att inlägg i debatten.

11 SUSEC/Kalmar 26 april 0611 Policy Inte bara ”skall vara ledande …” Utan också budord: Du skall.. - inte koppla in egen utrustning på nätet - se till att institutionens datorer servas. - se till att institutionens utrustning inte (för)stör för andra inom eller utom universitetet. IT är daglig och väsentlig verksamhet. Den får inte riskeras med slarv, ignorans, okunnighet eller dumhet.