Termékeink

NTSS védelmi rendszer

In­for­ma­ti­kai vé­del­mi rend­szer

NTSS vé­del­mi rend­szer

Tovább
Biztonságos kommunikációs eljárások

Biz­ton­sá­gos kom­mu­ni­ká­ci­ós el­já­rá­sok

Adat- és kom­mu­ni­ká­ci­ó­vé­de­lem

Tovább
Személyre szabott IT védelem

Sze­mély­re sza­bott IT vé­de­lem

In­for­ma­ti­kai biz­ton­ság a nap 24 órá­já­ban

Tovább
Dokumentumkezelés

Do­ku­men­tum­ke­ze­lés

Kor­sze­rű do­ku­men­tum­tá­ro­lás in­for­ma­ti­kai rend­szer­ben

Tovább
Biztonságos archiválás

Biz­ton­sá­gos ar­chi­vá­lás

Ada­tok men­té­se a GDPR ren­de­let­nek meg­fe­le­lő­en

Tovább
Sérülékenység vizsgálat

Sé­rü­lé­keny­ség vizs­gá­lat

Biz­ton­sági ré­sek ja­ví­tá­sa és tá­mo­ga­tás

Tovább

Informatikai védelmi rendszer

NTSS védelmi rendszer

Az NTSS rendszer két fő összetevőből áll

  • Az egyik a központi vezérlő szerver, mely az adatok adatbázisban történő tárolásával, a vezérléssel és az adatelemzéssel foglalkozik.
  • A másik az adatgyűjtő rendszer, melyből annyi példány telepítendő, ahány ponton rögzíteni kell a hálózati forgalmat.

Az NTSS rendszer lényege

Egy adatbázis alapján konfigurációs beállításokat küld a meghatározott routereknek, amik a forgalmat két különböző hálózati csatornára bontják, amelyek a publikus és a megbízható ág.
Passzív módon, a forgalom megfigyelésével és az adatgyűjtés során adatbázist építve, a felhasználói szokásokról és a szokások alapján, a felhasználók TCP/IP forrásait besorolja prioritásos és publikus körbe.
A felhasználók IP címét felhasználva pontozza és sorolja a megbízható vagy publikus ágba.
Terheléses vagy bármilyen publikus hálózat irányából érkező támadás esetén, a rendszer belső automatizmusának vagy a rendszer adminisztrátorának lehetősége van a publikus csatorna lekapcsolására, így a terheléssel próbálkozó támadók szemszögéből a kiszolgáló rendszer(ek) eltűnnek a kapcsolati sorból, míg a mindennapi felhasználók számára a rendszer továbbra is elérhető marad.

A következő, leegyszerűsített ábra szemlélteti, hogy az adott napon egy normálisnak megfelelő forgalomhoz képest egy extrém szituáció miképpen legyen észlelhető a rendszer által.
A vízszintes tengely az adott nap óráit, a függőleges az adott szerver átlagos látogatottságát mutatja.

NTSS védelmi rendszer

A következő, leegyszerűsített ábra szemlélteti, hogy az adott napon egy normálisnak megfelelő forgalomhoz képest egy extrém szituáció miképpen legyen észlelhető a rendszer által.
A vízszintes tengely az adott nap óráit, a függőleges az adott szerver átlagos látogatottságát mutatja.

NTSS védelmi rendszer

Az NTSS rendszer előnye

Nem befolyásolja a védelem alá helyezendő célrendszert, és a hálózat irányából nem elérhető, ezért közvetlenül nem támadható.
A vevő hálózatához, routereihez és egyedi védelmi rendszeréhez igazítható.
Minden hálózati támadás ellen védelmet nyújt mind a jelen, mind a jövő technológiáját illetően, hiszen a rendszer lényege, hogy nem magát a támadást vizsgálja, hanem már előre felkészülve meghatározza azt, hogy kik a fontos felhasználói az adott rendszernek, és támadás esetén csak a fontos felhasználókat engedi hozzáférni.

Ami ellen nem véd az NTSS

Ismert és megbízhatónak ítélt felhasználok támadása ellen.
A belső szabotázs, vagyis a védelmi rendszert ismerő és annak tanulási algoritmusát kijátszó támadás előkészítése ellen.

NTSS az informatikai rendszerben

NTSS védelmi rendszer

A rendszer részei, valamint feladatai 1:

NTSS védelmi rendszer

A rendszer részei, valamint feladatai 2:

NTSS védelmi rendszer

A rendszer részei, valamint feladatai 3:

NTSS védelmi rendszer

Terheléses támadás esetén

Ez a rendszer nem képes a támadásokat magától felismerni, mindössze egy védekezési eszközt nyújt a rendszert üzemeltetők számára. Ezek alapján a támadás esetén a rendszergazdának a szolgáltatótól bejövő két hálózati ág közül a publikusként felcimkézettet kell lekapcsolnia és így megszüntetni a támadást, így a bizalmasnak besorolt falhasználók továbbra is elérik a rendszert.

Az NTSS működése 1:

NTSS védelmi rendszer

Az NTSS működése 2:

NTSS védelmi rendszer

A rendszer felépítése

Az adatrögzítő szerver

Ez a szerver egy scriptek gyűjteménye, mely elvégzi a hálózati rögzítést, szövegessé alakítja a bináris tartalmat, visszafejti a titkosítást, valamint összepárosítja a HTTP protokollból adódó kérés-válaszokat egy sorba.

Adatrögzítő modul

Az adatrögzítést a C nyelven írt GULP szoftverrel végezzük, melynek kimenete folyamatosan növekvő bináris fájlok. A GULP előnye, hogy a merevlemezre inode szinten ír, így gigabites forgalom esetén is veszteségmentes adatrögzítés érhető el.

Előfeldolgozó modul

Ennek segítségével fejtjük vissza a titkosított HTTPS forgalmat, valamint ennek segítségével alakítjuk át a bináris adatot szövegessé.

Párosító modul

Ezt a feladatot AWK nyelven megírt egyedi scriptek végzik.
A script megkeresi az összetartozó kérés-válasz párokat az IP cím, és port párok alapján.

Adatfeldolgozó szerver

Ez a szerver megkapja a rögzítő szerver vagy szerverektől a napi fájlokat, és a konfiguráció alapján elvégzi a forgalom osztályozását, melynek kimenetét egy adatbázisba rögzíti.
A rendszer központi felületét egy webes felület alkotja, ahol a pontozás kiszámításához, az aktuális állapot megtekintéséhez, a router konfiguráció generálásához és a statisztikai felület eléréséhez fér hozzá az adminisztratív felhasználó.

SMTP forgalom adatgyűjtése

Az adatgyűjtés módja egészüljön ki a HTTP, HTTPS típusú forgalmakon kívül a titkosítatlan SMTP forgalommal is. Ebben az esetben a rendszer olyan naplófájlokat készítsen az SMTP forgalomról, mely tartalmazza a bejövő és kimenő levélforgalom IP címeit, így biztosítva a levelezés akadálymentességét.

POP3/IMAP forgalom adatgyűjtése

Az adatgyűjtés módja egészüljön ki a POP3/IMAP forgalommal is, így a teljes standard módon használt levelezési protokoll megoldás értelmezésre kerül. Ebben az esetben elvárás, hogy a rendszer olyan naplófájlokat készítsen a POP3/IMAP forgalomról, mely tartalmazza a bejövő és kimenő levélforgalom IP címeit.

Protokoll szerinti pontozás

Az elemzés során készülő lista a korábbi IP cím – pontszám páros helyett IP cím – protokoll – pontszám hármast adjon, ezzel finomítva azt, hogy az adott baráti (vagy negatív pontszám esetén támadónak tekinthető) IP cím milyen protokollon forgalmazott. A rendszer védelmi mechanizmusának aktiválását követően a baráti IP címről is csak a megadott protokoll kerüljön beengedésre, így ilyen esetben már csak ahhoz a szolgáltatáshoz engedjen hozzáférést a rendszer, amely korábban is használva volt és a korábbi „tapasztalatok” alapján a forgalom baráti volt

Bővített jogosultság kezelés

A jelenlegi rendszerben két jogosultsági szint került kialakításra: az administrator, amellyel minden NTSS szolgáltatás és funkció elérhető, illetve a normal user, amellyel csak olvasási jogot biztosít a beállításokhoz és statisztikákhoz. Elvárás egy új jogkör bevezetése service-manager névvel, amellyel a monitorozandó paraméterek, vizsgálandó minták konfigurálhatók, de a jelenlegi adminisztrátori szintű egyéb funkciók, mint például felhasználók kezelése ezzel a jogkörrel továbbra se legyen hozzáférés.

Webes keretrendszer

A keretrendszer egy web alapú felület, mely az alábbi alapszolgáltatásokat tudja:

  • authentikáció
  • felhasználó kezelés
  • törzsadatkezelés (a paraméterezhetőség beállíthatóságához)
  • licenszelés

Webes adminisztrációs felület és konfiguráció

Az alapfunkciókon túl a következő funkciók érhetők el a webes felületen:
1. Szabályrendszer megadása egy griden:
Reguláris kifejezés meghívott URL-re
Hívás Header-je (reguláris kifejezés)
A hívásra kapott HTTP kód
Hívásra kapott Header (reguláris kifejezés)
Cél IP vagy *
Cél port vagy *
Küldött adatmennyiség minimum
Fogadott adatmennyiség minimum
Pozitív vagy negatív pontszám

2. VIP IP címek megadása egy griden:
Ezek az IP címek mindenképp a privát zónába kerülnek

3. IP cím tartományok definiálása egy griden:
Az ebből a tartományokból érkező kérésekre a pontozás az egész tartományra vonatkoznak, azaz egyként lesznek kezelve.

4. Degradációs pontszám megadása:
Ez az a pontszám, amivel minden IP címet csökkent a rendszer naponta.

5. Router konfigurációs beállítások (több ilyen is megadható):

  • Router IP címe
  • Konfigurálás típusa (pl. Cisco-SNMP, vagy Cisco-SSH)
  • Pozitív zónához adás parancsa
  • Negatív zónához adás parancsa
  • Pozitív zónából levétel parancsa
  • Negatív zónából levétel parancsa
  • Elő parancsok
  • Utó parancsok

6. HTTPS visszafejtő kulcsok

  • Cél IP cím alapján elmentett kulcsfájl

7. Statisztikai felület elérése

Osztályozó modul

A webes adminisztrációs felületen beállítható, hogy milyen események esetén hány pontot kell adni az adott forrás IP címnek. Minden pont -100-tól +100-ig terjedhet, ahol a pozitív pont jelenti azt, hogy az adott IP cím közelítsen a privát zónába való bekerüléshez a negatív pontozás pedig csökkentse az adott cím vagy tartomány jogosultságát.
A pontozáshoz minimálisan megadható események a következők lehetnek:

  • Szimpla URL hívás
  • URL hívás és rá kapott válasz
  • IP/Port megnyitása
  • IP/Port-ról fogadott adatmennyiség
  • IP/Port-ról küldött adatmennyiség
  • HTTP referrer tartalma és rá kapott válasz
  • HTTP letöltött adatmennyiség feletti esemény

Támadás esetén a publikus csatorna manuálisan vagy valamilyen automatikával lekapcsolható, így a rendszeres felhasználók továbbra is zavartalanul használhatják a rendszert.
Olyan szabályrendszert kell mindenképpen kialakítani, mely a háttérendszerben egy nem egyszerűen megismételhető eseményt vált ki. Így lehet kivédeni a felhasználás imitálásával való pontszámnövelést.

Router konfigurációs modul

Ez egy shell-ben megírt scriptek gyűjteménye, melyeket egy PHP-ban megírt program futtat a webes felület adatbázisában történt beállítások alapján. A program a felületen megadott router beállítások alapján és a pontok alapján meghívja a csoport hozzáadó vagy eltávolító scriptet az adott IP címre vagy hálózatra.
A shell scripteket router típus és kapcsolódás típus valamint elvégzett művelet alapján kell besorolni.

Összefoglaló

Nem a támadásokat detektálása a cél, hanem egy védekezési eszköz a rendszert üzemeltetők számára.
Passzív, de hatékony működés.
A fentebbi pontokban meghatározott új funkcionalitások célja, hogy az alaprendszer még nagyobb biztonsági szintet nyújtson azáltal, hogy több adatforrásból gazdálkodva pontosabb képet adjon az aktív felhasználókról, hálózati eseményekről, forgalmakról, valamint gyorsabb beavatkozást, és bizonyos esetekre automatikus és célirányos támadás elhárítást végezzen.