Izgraditi i održavati sigurnosnu mrežu

Izvor: SIS Wiki
Skoči na: orijentacija, traži

PCI-DSS Norma, sukladnost sa PCI-DSS normom

Područje izradnje sigurnosne mreže obuhvaća upravljanje lozinkama, firewallom, demilitariziranom zonom i filtiriranjem prometa između interne mreže tvrtke i Interneta. Naravno, kao i u svakom području dokumentacija je ključan element.

Ovo područje obuhvaća 2 zahtjeva, detaljno opisana u nastavku.

Sadržaj

1. zahtjev: Instalirati i održavati firewall da bi se zaštitili podaci vlasnika kartica

Tvrtke, koje koriste kartično poslovanje vrlo često imaju vlastiti intranet, koji se povezuje s Internetom. Tim je smanjena mogućnost da se među računalima u tvrtci šire maliciozni kodovi i tako se povećava sigurnost mreže unutar tvrtke. Da bi se spriječio ulazak malicioznih kodova i prijetnje s Interneta potrebno je instalirati firewall i održavati ga, kako bi se smanjila svaka opasnost i zaštitili podaci vlasnika kartica. Firewall je uređaj ili program, koji štiti intranet nekog poduzeća od nesigurnog Interneta tako što zaustavlja i sprječava ulaz malicioznim kodovima i sumnjivim programima u internu mrežu poduzeća. To je osnovni meganizam zaštite i omogućava da štićenim podacima o karticama imaju pristup samo ovlaštene osobe i vlasnici kartica a ne i netko treći.

PCI – DSS norma ima dosta zahtjeva vezanih uz postavljanje i održavanje firewalla te uz njih i procedure za provjeru da li su ti zahtjevi zadovoljeni. Detaljni opis zahtjeva s procedurama za testiranje je u tablici 1.

Tablica 1. Detaljni opis 1. zahtjeva (prema PCI Security Standards Council LLC, 2010a, str. 20 - 23)

PCI DSS zahtjev

Procedura za testiranje

1.1. konfigurirati firewall i ruter prema sljedećim postavkama:

1.1. koristiti i provjeravati konfiguraciju firewalla i rutera i drugu dokumentaciju, navedenu u nastavku:

1.1.1. formalni proces za održavanje i testiranje svih mrežnih veza i promjena na firewallu i ruteru

1.1.1. potvrditi da postoji formalni proces za testiranje i održavanje svih mrežnih veza i promjena na firewallu i ruteru

1.1.2. trenutni mrežni dijagram sa svim vezama prema vlasnicima kartica, uključujući bežične veze

1.1.2.a potvrditi da postojeći mrežni dijagram postoji i da dokumentira sve veze prema vlasnicima kartica, uključujući bežične veze

1.1.2.b potvrditi da je dijagram ažuran

1.1.3. zahtjevi za firewall na svakoj vezi prema Internetu i između demilitarizirane zone i unutrašnje mrežne zone

1.1.3.a. potvrditi da konfiguracija firewalla uključuje zahtjeve za vezu prema Internetu i između DMZ-a i interne mreže

1.1.3.b. potvrditi da je postojeći mrežni dijagram konzistentan sa standardima konfiguriranja firewalla

1.1.4. opis grupa, uloga i odgovornosti za logičko upravljanje mrežnim komponentama

1.1.4. potvrditi da konfiguracija firewalla i rutera uključuju opis grupa, uloga i odgovornosti za logičko upravljanje mrežnim komponentama

1.1.5. dokumentacija i poslovna pravila za korištenje svih servisa, protokola, dozvoljenih portova, uključujući dokumentaciju sigurnosnih značajki implementiranih za protokole, koji su smatrani nesigurnima

1.1.5.a potvrditi da standardi konfiguriranja firewalla i rutera obuhvaćaju listu servisa, protokola i portova potrebnih za rad npr. HTTP, SSL, SSH, VPN…

1.1.5.b identificirati nezaštićene servise, protokole i portove i potvrditi da su nužni za poslovanje

1.1.6. zahtjev za pregled firewallovih i ruterovih pravila najmanje svakih šest mjeseci

1.1.6.a potvrditi da kofiguracija firewalla i rutera zahtjeva pregleda pravila firewalla i rutera najmanje svakih šest mjeseci

1.1.6.b pregledati i ispitati dokumentaciju da bi se potvrdilo da su pravila pregledana svakih šest mjeseci

1.2. konfigurirati firewall i ruter tako da se ograniči veza između nesigurnih mreža i svih sustavskih komponenti u okolini gdje su podaci vlasnika kartice:

1.2. provjeriti konfiguraciju firewalla i rutera da bi se potvrdilo da su veze između nesigurnih mreža i sustavskih komponenata ograničene prema sljedećim procedurama:

1.2.1. ograničiti dolazni i odlazni promer na samo onaj promet, koji je nužan za rad u okolini s podacima vlasnika kartica

1.2.1.a potvrditi da je dolazni i odlazni promet ograničen samo na ono što je nužno za vlasnika kartice i da su ograničenja dokumentirana

1.2.1.b potvrditi da je sav dolazni i odlazni promet zabranjen, npr. korištenjem forme „zabrani sve“ ili posebna zabrana pojedincu

1.2.2. osigurati i sinkronizirati ruterove konfiguracijske datoteke

1.2.2. potvrditi da su konfiguracijske datoteke rutera sigurne i sinkronizirane (npr. u stanju dok radi u stanju dok se uključuje)

1.2.3. instalirati firewall između svih bežićnih mreža i okoline s podacima o karticama i konfigurirati te firewalle da onemogućavaju ili kontroliraju promet iz takve bežićne okoline u okolinu s podacima o karticama

1.2.3. potvrditi da postoje firewalli instalirani između bežičnih mreža i sustava za pohranu podataka vlasnika kartice i da oni zabranjuju ili kontroliraju promet iz bežične okoline u okolinu s podacima o karticama

1.3. zabraniti izravan javni pristup između Interenta i bilo koje sustavske komponente u okolini gdje su podaci o karticama:

1.3. ispitati konfiguraciju rutera i firewalla uključujući DMZ i sve druge vrste rutera da se odradi postoji li izravan pristup između Interneta i sustavskih komponenti u internoj mreži:

1.3.1. implementirati demilitariziranu zonu za smanjenje dolaznog prometa prema sustavima, koji koriste autorizirane javne servise, protokole ili portove

1.3.1.potvrditi da je implementirana demilitarizirana zona i da ograničava promet sustavskim komponenatama koje koriste autorzirane javno dostupne servise, protokole i portove

1.3.2. ograničiti dolazni Internet promet na IP adrese unutar demitalizirane zone

1.3.2. potvrditi da je dolazni Internet promet ograničen na IP adrese unutar DMZ

1.3.3. ne dospustiti nikakve izravne veze dolaznog i izlaznog prometa između Interneta i okoline s podacima o karticama

1.3.3. potvrditi da nisu dopuštene nikakve izravne veze između Interneta i okoline s podacima o karticama

1.3.4. ne dozvoliti internim adresama da prolaze iz Interneta u demilitariziranu zonu (DMZ)

1.3.4. potvrditi da interne adrese ne mogu proći iz Interneta u DMZ

1.3.5. ne dozvoliti neautorizirani izlazni promet iz okoline u kojoj su podaci o karticama uprema Internetu

1.3.5. potvrditi da je sav promet iz okoline s podacima o karticama prema Internetu autoriziran

1.3.6. implementirati pametnu kontrolu poznatu kao dinamičko filtiriranje paketa

1.3.6. potvrditi da firewal ima pametnu kontrolu (dinamičko filtiranje paketa)

1.3.7. smjestiti sustavske komponente, koje pohranjuju podatke o karticama (kao što je baza podataka) u internu mrežu, odvojeno od DMZ i drugih nepouzdanih mreža

1.3.7. potvrditi da su sustavske komponente, koje pohranjuju podatke o karticama (kao što je baza podataka) u internu mrežu, odvojene od DMZ i drugih nepouzdanih mreža

1.3.8. ne izlagati privatne IP adrese i informacije o rutiranju neautoriziranim strankama

1.3.8.a potvrditi da postoje metode za skrivanje privatnih IP adresa i informacija o rutiranju iz interne mreže prema Internetu

1.3.8.b potvrditi da je skrivanje privatnih IP adresa i informacija o rutiranju prema van autorizirano

1.4. instalirati osobni firewall na svako mobilno ili zaposlenikovo računalo s direktnom vezom na Internet, koje se koristi za pristup organizacijskoj mreži

1.4.a potvrditi da mobilna računala i računala zaposlenika s izravnim pristupm Internetu, koja pristupaju organizacijskoj mreži imaju aktivan i instaliran firewall

1.4.b potvrditi da je zaposlenikov osobni firewall konfiguriran prema standardima zadanim u organizaciji i da je isti kod svih zaposlenika ili mobilnih računala

Najvažnije karakteristike prvog zahtjeva PCI – DSS norme su postavljanje i održavanje firewalla, postavljanje demilitarizirane zone te filtiranje IP paketa i nadzor IP adresa. Osim dokumentacije potrebne za sve ove navedene značajke, važan je dokument dijagram mreže, u kojem su svi uređaji i njihove veze.

2. zahtjev: Ne koristiti zadane sustavske lozinke i druge sigurnosne parametre

Sasvim logičan zahtjev, koji se odnosi na sve sustave a ne samo sustav kartičnog poslovanja je ne korištenje zadanih sustavskih lozinki i sličnih parametara. Osim sustavskih lozinki ne treba koristiti niti lozinke, koje se lako pogađaju, nalaze u rječnicima ili ih zapisivati blizu računala. Detaljno opisan zahtjev s procedurama za testiranje je u tablici 2.

Tablica 2. Detaljni opis 2. zahtjeva (prema PCI Security Standards Council LLC, 2010a, str. 24 - 27)

PCI DSS zahtjev

Procedura za testiranje

2.1. uvijek promijeniti zadane sustavske lozinke prije instaliranja sustava na mrežu:

2.1. odabrati dio sustavskih komponenti i pokušati se prijaviti na uređaje, koje koriste zadane sustavske lozinke i korisničke račune da bi se potvrdilo da su ti zadani parametri promijenjeni

2.1.1. za bežične okoline spojene s podacima o karticama promijeniti sve zadane parametre uključujući ključeve za enkripciju, lozinke i SNMP stringove

2.1.1. potvrditi sljedeće zadane postavke za bežične okoline:

2.1.1.a potvrditi da su promijenjeni zadani kriptografski ključevi od prve instalacije i svaki put kada je netko napustio tvrtku ili promijenio poziciju

2.1.1.b potvrditi da su promijenjeni SNMP stringovi na bežičnom uređajima

2.1.1.c potvrditi  da su promijenjene zadane lozinke na access pointu

2.1.1.d potvrditi da je ugrađeni softver na bežičnim uređajima ažuriran i podržava jaku enkripciju

2.1.1.e potvrditi da su svi drugi zadani sigurnosni parametri izmijenjeni

2.2.razviti konfiguracijske standarde za sve sustavske komponente. Uvjeriti se da ti standardi pokrivaju sve sustavske ranjivosti i da su konzistentni s postojećim industrijskim standardima (ISO i sl.):

2.2.a ispitati organizacijske standarde kofiguriranja za sve vrste sustavskih komponenti i potvrditi da su oni konzistentni s prihavaćenim industrijskim standardima

2.2.b potvrditi da su standardi konfiguriranja sustava ažurirani

2.2.c potvrditi da su standardi konfiguriranja sustava primijenjeni kada je konfiguriran novi sustav

2.2.d potvrditi da svi standardi konfiguriranja obuhvačaju zahtjeve od 2.2.1. do 2.2.4.

2.2.1. implementirati samo jednu primarnu fukciju za svaki server da ne bi na istom serveru bile funkcije koje zahtjevaju različite mjere sigurnosti

2.2.1.a za uzorka sustavskih komponenti potvrditi da je na svakom serveru implementirana samo jedna funkcija

2.2.1.b ako se koristi virtualizacija, potvrditi da je samo jedna primarna funkcija implementirana na komponenti virtualnog sustava

2.2.2. omogućiti korištenje samo potrebnih sigurnih servisa, protokola, portova i sl. koji su potrebni za rad sustava

2.2.2.a za uzorak sustavske komponente ispitati koji su servisi i protokoli omogućeni. Potvrditi da su uključeni samo nužni protokoli i servisi.

2.2.2.b identificirati da li omogućen rad neisigurnim servisima i protokolima. Potvrditi da su oni prilagođeni i da su njihove sigurnosne značajke dokumentirane.

2.2.3. konfigurirati parametre sustava sigurnosti da bi se spriječila zlouporaba

2.2.3.a intervjuirati sistem administratore i security menadžere da bi se potvrdilo da li imaju znanje o sigurnosti sustava

2.2.3.b potvrditi da su česti sigurnosni parametri uključeni u standarde sustava konfiguriranja

2.2.3.c za skup sustavskih komponenti potvrditi da su česti sigurnosni parametri ispravno postavljeni

2.2.4. ukloniti sve nepotrebne funkcionalnosti, kao što su skripte, driveri, značajke, web serveri…

2.2.4.a za dio sustavskih komponenti potvrditi da su uklonjene nepotrebne funkcionalnosti

2.2.4.b potvrditi da su uključene funkcije dokumentirane i da podupiru sigurnu kofiguraciju

2.2.4.c potvrditi da su samo dokumentirane funkcionalnosti prisutne na uzorku sustavskih komponenti koje su testirane

2.3. kriptirati sve aministrativne pristupe koji nisu s konzole, korištenjem jake kriptografije. Za sve ne – konzolne administrativne poslove koristiti tehnologije poput SSH, VPN, SSL

2.3. za dio sustavskih komponenti potvrditi da je administrativni pristup, koji nije s konzole, kriptiran na način:

2.3.a promatrati administratorovu prijavu na sustav da bi se potvrdilo da se koriste jake enkripcijske metode prije nego što se traži upis administratorske lozinke

2.3.b pregledati servise i datoteke s parametrima na sustavu da bi se odredilo da Telnet ili drugi način rada na daljinu nije dostupan za rad unutar sustava

2.3.c potvrditi da je administratorski pristup web baziranim upravljačkim sučeljima kriptiran

2.4.pružatelji usluge hostinga trebaju zaštiti svaki postavljeni host i podatke o vlasnicima kartice (za pružatelje usluge postoje posebni zahtjevi)

2.4. provesti procedure za testiranje iz dokumenta Additional PCI DSS Requirements for Shared Hosting Providers dostupnom na stranicama PCI Security Standards Council-a

Drugi je zahtjev najviše orijentiran na promjenu lozinki i konkretno testiranje nekoliko uređaja i servisa s namjerom da se otkrije jesu li lozinke i korisnički računi promijenjeni.

PCI-DSS Norma, sukladnost sa PCI-DSS normom

obradila Jaskafka 12:42, 29. prosinca 2011. (CET)

Osobni alati
Imenski prostori
Inačice
Radnje
Orijentacija
Traka s alatima