IT-SÄKERHET LOKALA NÄT

Transkript

1 Sida 1 (16) IT-SÄKERHET LOKALA NÄT ALLMÄNT... 3 Referenser... 4 DEFINITIONER... 4 Ackreditering... 4 RÖS... 5 RÖS vissa definitioner... 5 RÖS-strategi... 5 FRAMTAGNINGSPROCESSEN... 6 Allmänt... 6 Framtagning av tekniska och funktionella krav... 6 Säkerhetsmålsättning... 7 Systemlösning... 7 Dokumentation... 7 Granskning... 8 Central ackreditering... 8 Lokal ackreditering... 8 Driftsättning... 8 Drift och övervakning... 8 ÖVERGRIPANDE FUNKTIONER OCH RISKER... 9 Allmänt... 9 Sammankoppling av LAN... 9 Generella risker Svaghet i produkter Fel i konfiguration/administration Brist i uppföljning av rapporterade svagheter (CERT-Alerts) Brist i övervakning IP source routing Fel i larmfunktion (för mycket eller för lite) Osäkerhet i avsändaradresser Övertagande av sessioner IP spoofing KOMPONENTER Fastighetsnät Användning Säkerhetsmekanismer Risker Hubbar Användning Säkerhetsmekanismer... 13

2 Sida 2 (16) Risker Switch Användning Säkerhetsmekanismer Risker Router Användning Säkerhetsmekanismer Risker Brandvägg Användning Säkerhetsmekanismer Risker Krypto Användning Säkerhetsmekanismer Risker... 16

3 Sida 3 (16) ALLMÄNT Den säkerhet som behandlas i detta kapitel avser skydd av infrastrukturen i ett datanät med avseende på avlyssning av information och/eller uppträdande som annan dator. Dessutom behandlas vissa frågeställningar som måste hanteras vid framtagning av ett system. För övergripande säkerhet hänvisas till H SÄK IT. För olika system gäller olika krav avseende säkerhetsskydd, kraven på dessa redovisas i bifogade dokument Krav på säkerhetsfunktioner. Krav på säkerhetsfunktioner finns redovisade för de olika säkerhetsskyddklasserna Öppet till och med Hemlig/Top Secret. Dock är kraven för nivån Hemlig/Top Secret klassad som Hemlig/Confidential varför dessa inte finns med här. För sammankoppling av system med olika säkerhetsklass används principerna för zoner och funktionerna datatrappa och datadiod i enlighet med bifogade dokument Yttrande angående zoner i FMLS 2010 Säkerhetsarkitektur. Bild 1: Tre zoner sammankopplade med informationstrappa respektive datadiod

4 Sida 4 (16) Referenser Detta kapitel grundar sig på följande utgivna och fastställda dokument. Beteckning Dokument Anm H SÄK IT 2006 M HKV : HKV :69829 Handbok för Försvarsmaktens säkerhetsskyddstjänst informationsteknologi Sekretessbedömning av LANdokumentation Yttrande angående zoner i FMLS 2010 Säkerhetsarkitektur Framtaget av FVL avseende LAN vid flottiljer. Bifogad HKV :78976 Krav på säkerhetsfunktioner Bifogad DEFINITIONER Ackreditering Ackreditering avser det beslut som utgör avslutningen på en granskningsprocess, som i en organisation syftar till att fastställa om ett givet IT-system, kan leva upp till ställda interna och externa krav på säkerhetsskydd. Ackrediteringsbeslutet skall vara baserat på en värdering av de sammantagna säkerhetsåtgärdernas styrka och uthållighet. Ackreditering innebär att ett visst IT-system, i en specifik driftmiljö, godkänns för användande. Ny ackreditering måste göras vid sådana förändringar i IT-systemet eller dess omgivningar som kan påverka säkerheten. Ett kabelnät är analogt med ett IT-system. Förbandschefen (eller motsvarande) skall, i sin roll som lokal produktionsledare, genom ett beslut ackreditera ett IT-system innan det sätts i drift. Ackrediteringen skall grundas på en dokumenterad granskning, som visar att det granskade systemets funktioner överensstämmer med författningar samt att skyddet för informationens riktighet och tillgänglighet är tillfredsställande. För centralt upphandlade IT-system skall systemägare se till att ett centralt ackrediteringsunderlag finns tillgängligt som grund för den lokala ackrediteringen. Förbandets ackrediteringsprocess fokuseras till lokala förhållanden som kan påverka användningen av IT-systemet.

5 Sida 5 (16) Det är alltid lokal produktionsledare som beslutar om nyttjandet av nätet då alla faktorer har behandlats i ackrediteringsprocessen. RÖS Med RÖS avses röjande signaler, dvs. informationsläckage genom kablar för kommunikation, spänningsförsörjning, systemsammankoppling, luft mm. Gällande krav för RÖS-skydd innebär att tillfällig bearbetning av hemlig uppgift inom riket inte kräver RÖS-skydd. RÖS vissa definitioner Oönskade signaler som avges av informationsbehandlande utrustning innehåller oftast spår av den information som behandlas i utrustningen. Traditionellt behandlas dessa signaler ur elmiljösynpunkt som radiostörningar. Ur datasäkerhetssynpunkt behandlas dessa signaler som röjande signaler (RÖS). Definition av begreppet röjande signaler RÖS är följande: "Icke önskvärda elektromagnetiska och/eller akustiska signaler, som alstras i informationsbehandlande utrustningar såsom datorer med kringutrustning, ordbehandlingsmaskiner, dataterminaler, fjärrskrivmaskiner, krypteringsapparater och andra telekommunikationsutrustningar etc och som, om de kan tydas av obehörig, kan bidra till att sekretessbelagd information röjs." All materiel som avses behandla sekretessbelagd information, eller lokal där denna materiel placeras, skall bedömas om RÖS-skydd erfordras. RÖS-skydd av utrustningar kan erhållas på olika sätt beroende på utrustningens RÖS-egenskaper och den miljö där utrustningen skall användas. En utrustnings RÖS-egenskaper beskrivs genom utrustningsklasser U1- U3 enligt följande: U1 har säkerhetsavstånd noll. U2 har ett generellt säkerhetsavstånd, lika för alla U2-utrustningar. U3 är utrustning med okända RÖS-egenskaper eller med individberoende säkerhetsavstånd större än U2. RÖS-strategi Enligt FM RÖS-strategi skall det tekniska skyddet mot avlyssning av röjande signaler, RÖS, prioriteras mot hot från externa angripare dvs från området utanför egen kontroll.

6 Sida 6 (16) För kommunikationssystem gäller RÖS-skydd då hemlig information regelbundet utväxlas i stora mängder från permanent plats inom sektionerat område om avståndet till okontrollerat område understiger 30 m. FRAMTAGNINGSPROCESSEN Allmänt Vid framtagning av ett nytt system är det flera olika steg som måste behandlas. Dessa steg beskrivs nedan: Framtagning av tekniska och funktionella krav Som ett första steg vid framtagning av en systemlösning för kommunikationsnätet behöver tekniska och funktionella krav på detta tas fram. Ett viktigt led i detta arbete är att samla alla applikationsansvariga för att gemensamt gå igenom och sammanställa de tekniska och funktionella krav som de har på kommunikationsnätet. Med detta som underlag kan en teknisk och funktionell kravspecifikation tas fram.

7 Sida 7 (16) Säkerhetsmålsättning En säkerhetsmålsättning beskriver de krav och bedömanden som utgör ett underlag för utvecklingen av ett IT-system. Vid utarbetandet av säkerhetsmålsättningen är det väsentligt att verksamhetsansvariga deltar i arbetet. Uppdragsgivaren ansvarar för att en säkerhetsmålsättning tas fram. Framtagning av en säkerhetsmålsättning sker i följande steg och skall ta hänsyn till alla faktorer som kan påverka säkerhetsskyddet i och kring det färdiga IT-systemet: Verksamhetsbeskrivning Verksamhetens krav Identifierade hot Beslutat säkerhetsskydd Beskrivning av säkerhetsåtgärderna En säkerhetsmålsättning är inte statisk utan kan behöva ändras, särskilt om tiden för framtagning av IT-systemet är lång. Systemlösning När funktionella, tekniska och säkerhetsmässiga krav är framtagna kan en systemlösning tas fram. Denna bör även provas innan systemlösningen fastställs. Dokumentation Parallellt med framtagning av systemlösningen bör dokumentation av systemet göras. Denna dokumentation bör omfatta installations- och konfigurationsanvisningar, designdokumentation samt anläggningsdokumentation. Installations- och konfigurationsdokumentation är en viktig grund för att systemet skall kunna installeras och konfigureras på ett tillförlitligt sätt. Designdokumentationen är till för att någon person vid ett senare tillfälle skall kunna vidareutveckla systemet utan att konstruera det på nytt samt för att man vid en granskning av systemet skall kunna se vad som har tagits hänsyn till vid framtagandet av systemlösningen. Anläggningsdokumentationen är till för att man skall veta vilken utrustning som är placerad var samt hur utrustningarna fysiskt är anslutna till varandra.

8 Sida 8 (16) Granskning Innan ackreditering kan ske skall en dokumenterad granskning av systemet genomföras, som visar att det granskade systemets funktioner överensstämmer med författningar och bestämmelser samt att skyddet för informationens tillgänglighet, sekretess, riktighet och spårbarhet är tillfredsställande. Central ackreditering För centralt upphandlade IT-system skall produktägare se till att underlag finns tillgängligt som grund för den centrala och lokala ackrediteringen. Lokal ackreditering Lokal produktionsledare skall före driftsättning av respektive IT system ackreditera detta. Förutom centralt ackrediteringsunderlag enligt ovan krävs lokalt ackrediteringsunderlag avseende såväl lokala betingelser för IT-systemet (t.ex. tillträdesskydd, brand/vattenskydd, larm, rutiner mm) som det lokala nätet. På samma sätt skall erfordras ackrediteringsunderlag vad avser eventuellt utnyttjande av externa kommunikationsförbindelser. Driftsättning Efter central och lokal ackreditering kan systemet driftsättas. I samband med driftsättningen skall även en driftöverlämning ske. Drift och övervakning När systemet är driftsatt skall gällande driftrutiner följas. Dessa rutiner skall fortlöpande följas upp och uppdateras. I driftrutinerna är det viktigt att även övervakning av nätkomponenter finns med, avseende både funktion och säkerhet.

9 Sida 9 (16) ÖVERGRIPANDE FUNKTIONER OCH RISKER Allmänt LAN-teknikens alla-till-alla-egenskaper gör det enkelt att på ett kraftfullt sätt utbyta data mellan stationer och olika informationssystem. Detta är LAN-teknikens styrka men samtidigt risk ur säkerhetssynpunkt, strävan är därför att inte samla alltför många informationssystem i samma LAN. Detta är särskilt viktigt då hemlig information förekommer, eller då så stora informationsmängder samlas, att dessa tillsammans kan betraktas som hemliga. Den som sänder hemliga uppgifter med hjälp av datakommunikation ansvarar för att uppgifterna ges ett fullgott sekretesskydd. Med fullgott skydd menas att data, som överförs med datakommunikation, inte kan avlyssnas, förändras eller tas bort av obehörig. Dessutom gäller att såväl sändare som mottagare skall kunna identifieras på ett säkert sätt. Sammankoppling av LAN Flera LAN, med var för sig begränsad informationsmängd kan kopplas samman för att samverka. Traditionell LAN-teknik strävar efter sammankoppling med hög åtkomstgrad utan större säkerhetsmässiga hänsyn. Dock har de säkerhetsmässiga behoven fått en större uppmärksamhet på senare år. Sammankoppling kan göras med nätnav, switchar och routrar. Trafikala begränsningar kan framförallt åstadkommas med så kallad brandväggsteknik men viss separation kan även skapas med routers och switchar. Sammankoppling av nätverk via brandväggar kräver ett noggrant analysarbete av nätverk, informationsflöde och filtreringskrav. Detta arbete måste utföras med omsorg och djup teknisk kompetens, samt god kännedom om aktuell installation. Separerade system kan däremot transporteras över skilda fysiska förbindelser (fiberpar/utp-kablar) i samma fastighetsnät.

10 Sida 10 (16) Generella risker Svaghet i produkter Många produkter har en ganska komplicerad programvara i sig. Då det är ovanligt med helt felfria program kan man inte garantera att dessa produkter inte innehåller några programfel som kan påverka säkerheten. Fel i konfiguration/administration Komplexa produkter gör att risken för felaktig konfiguration eller att fel kommando vid administration av produkten kan få säkerhetsmässiga konsekvenser. Brist i uppföljning av rapporterade svagheter (CERT-Alerts) En vanlig brist idag är att uppföljning av rapporterade svagheter s.k. CERT-Alerts inte sker eller att de inte implementeras. Detta medför att allmänt kända brister lätt kan användas för angrepp. Brist i övervakning Brist på övervakning av trafiken genom att intrångsförsök och larm inte upptäcks medför att angrepp kan pågå under lång tid utan upptäckt. IP source routing Source routing är normalt en funktion i IP-protokollet som gör det möjligt för avsändaren att ange vilken väg ett datapaket ska ta. Normalt är det upp till de mellanliggande routrarna att avgöra detta, men med source routing går det att sätta viss säkerhet ur spel, om den är baserad på att routrarna alltid gör vissa förutbestämda vägval. Mekanismen har ingen praktisk användning idag, utan används uteslutande för attacker och bör därför filtreras bort i routrarna. Fel i larmfunktion (för mycket eller för lite) Felaktigt inställda larmnivåer kan innebära att larm inte upptäcks p.g.a. att man vid för känslig inställning dränks av falska larm eller att man vid för okänslig inställning inte får något larm.

11 Sida 11 (16) Osäkerhet i avsändaradresser Annan MAC-adress än den som normalt tillhör nätverkskortet i datorn kan relativt enkelt genereras med programvara vilket medför att man inte helt kan lita på avsändarens MAC-adress. IP-adresser kan enkelt ställas om av användarna vilket medför att inte heller dessa går att lita på. Övertagande av sessioner En angripare kan sända ett ICMP redirect till en annan dator på samma LAN och kunna avlyssna sessionen genom att tala om för denna att angriparens dator är en bättre väg mot målet än den normala routern (default gateway). IP spoofing IP spoofing innebär att en angripare anger en falsk (lokalt existerande) adress som avsändare för att kringgå mottagardatorns säkerhetsmekanismer. För att förhindra IP spoofing måste en router analysera även avsändaradressen innan beslut om vidareförmedling görs, vilket inte är routerns normalförfarande.

12 Sida 12 (16) KOMPONENTER Detta avsnitt behandlar i korthet karakteristika för ett antal systemkomponenter och deras säkerhetsskyddsmekanismer. Fastighetsnät Användning Fastighetsnät används som en komponent i ett system för att koppla samman datorer. Som fastighetsnät definieras det fast förlagda kablaget i en byggnad eller område vilket kan vara gemensamt mellan flera olika system inkl. telefonisystem. Till fastighetsnätet hör även utrymmen för korskoppling och kommunikationsutrustning. Säkerhetsmekanismer Genom att förlägga kablaget inspekterbart kan risken för inkoppling på förlagd kabel utan upptäckas minimeras. Om optofiberkabel används kan möjligheten för avlyssning minskas ytterligare. Denna kabeltyp kan även förses med larm. Korskopplingspunkter och kommunikationsutrustning skall placeras i låsta och om så krävs, larmade utrymmen. Detta gör att risken för inkoppling på systemet vid kopplingspunkterna minimeras. Utrymme kan även vara av skåpstyp. För lämpligt byggsätt se huvudavsnitt 6 FASTIGHETSNÄT. Risker Om larm på optofiberkabel är felinställt kan detta medföra att det vid för hög känslighet genereras så många falsklarm att även larm ignoreras av larmoperatören. Inställning med för låg känslighet kan orsaka att larmsignal inte utlöses. Om det förläggs för mycket kabel i samma kabelkanal/ledningsstråk att enskild kabel inte kan identifieras då den skall vara inspekterbart förlagd. Om många personer har tillgång till kopplingsutrymmen och dokumentation ej uppdateras, kan obehörig utrustning anslutas till nätet utan att det upptäcks.

13 Sida 13 (16) Hubbar Användning Hubbar är en något äldre teknik vilken i stort sett helt har ersatts av switchar. Nyanskaffning av hubbar är ej aktuellt. Dessa nyttjas endast i mån av förekomst i befintliga system. Säkerhetsmekanismer De vanligast förekommande hubbarna har inga säkerhetsfunktioner. Risker Utrustning ansluten till en hub kan lyssna på all annan trafik som kommer till hubben. Switch Användning Switchar används för att koppla samman olika nätsegment eller datorer i ett lokalt nätverk LAN. Switchar används även för att dela upp befintliga nätsegment i flera delar för att minska lasten på respektive segment. Switchen fungerar i dessa fall som en snabb brygga. Switchade nät är en nyare teknik än den något äldre tekniken med hubbar. Säkerhetsmekanismer Switchen lär sig vilka MAC-adresser som finns på vilket nätsegment/port och sänder endast vidare ett datapaket till det nätsegment/port det är avsett till. Om den mottagande MAC-adressen är okänd sänds datapaketet normalt till alla nätsegment. Vissa switchar har en funktion som innebär att den kan lära sig en MACadress på en port och sedan låsa denna adress till denna port. Om någon annan MAC-adress dyker upp på porten låses denna. När en MAC-adress har blivit tilldelad en port kan den inte heller läras av en annan port. Många switchar har möjlighet att definiera att portar kopplas samman till en logisk grupp som bara kan kommunicera sinsemellan, Virtual LAN

14 Sida 14 (16) (VLAN). Detta är ett sätt att åstadkomma logiskt åtskiljda LAN över samma fysiska switchar och anslutningar. Risker För att kunna göra felsökning på ett nätverk med hjälp av en nätanalysator har flera switchar en funktion som medför att all trafik sänds vidare till en specifik port. Om konfiguration av en switch är tillåten över nätverket kan switchen enkelt konfigureras om då det enda skyddet då är ett enkelt lösenord vilket oftast är sätts till samma för flera utrustningar. För vissa switchar kan man dock även begränsa från vilken IP-adress som konfiguration är tillåten via SNMP, men även detta skydd är mycket lätt att ta sig förbi då man enkelt kan byta IP-adress på en dator. Vissa mer avancerade switchar kan även ha inbyggd RMON agent som kan möjliggöra att viss trafik sparas och sedan avlyssnas från annan utrustning. Då programvarorna i switcharna normalt inte är tillgängliga för kodgranskning, är det inte möjligt att garantera att olika nät åtskiljda med VLAN inte kan kommunicera med varandra. De produkter som ingår i Försvarsmaktens produktkatalog för FM LAN är dock kontrollerade och godkända med avseende på läckage. Router Användning Routers används för att koppla samman olika lokala nätverk ofta via fjärrlänkar och WAN (Wide Area Networks). Säkerhetsmekanismer Med hjälp av filter kan man begränsa vilka nätsegment/ip-adresser som får kommunicera med varandra samt införa skydd mot IP-spoofing. De flesta routrarna har möjlighet att inte förmedla trafik som utnyttjar source routing.

15 Sida 15 (16) Risker Filtertabellerna kan lätt bli långa vilket medför att det lätt kan smyga sig in ett fel. Filtertabeller bör därför alltid kontrolleras av en annan person än den som skrivit tabellen. Ett litet fel i ett filter kan lätt få stora konsekvenser t.ex. är ordningsföljden i filtertabellerna av kritisk betydelse. Då programvarorna i routrarna normalt inte är tillgängliga för kodgranskning, är det inte möjligt att garantera att olika nät åtskiljda med filter inte kan kommunicera med varandra. Brandvägg Användning En brandvägg placeras mellan två eller flera nätverk t.ex. mellan ett internt och ett extern nät. Brandväggens huvudsakliga funktion är normalt att fungera som ett skalskydd, d.v.s. styra vilken trafik som tillåts passera mellan näten. Säkerhetsmekanismer Brandväggen implementerar en kontrollerad kommunikationskanal, via vilken man kan kontrollera trafik på olika nivåer, beroende på typ av brandväggssystem och vilka komponenter som ingår. Brandväggar kan implementera skydd på applikationsnivå med s.k. applikationsproxys och på nätverks-/transportnivå med s.k. paketfilter. Många brandväggar innehåller idag en kombination av dessa skydd. Risker Införandet av en brandvägg kan ge en övertro på den säkerhet den tillför. Brandväggen skyddar enbart nätet på en viss nivå och endast mot externa hot. Även datorer och informationssystem som skyddas av brandväggar måste implementera säkerhetsmekanismer för att skydda sig mot indirekta attacker, attacker via någon känd, tillåten tjänst samt mot attacker från interna användare.

16 Sida 16 (16) Krypto Användning Det finns idag flera olika typer av godkända kryptoutrustningar inom försvarsmakten. Det finns dels kryptoutrustningar Länk, VPN, LAN. Regler för användning finns förutom i dokumentationen för respektive kryptoutrustning också i handböcker utgivna av TSA. Säkerhetsmekanismer Användande av för försvarsmakten godkänd kryptoutrustning medför att kommunikation kan ske över nät som i sig inte kan anses som säkra. Risker Öppna testnycklar används i stället för skarpa kryptonycklar. Kryptonycklar röjs.