DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP

AGENDA 01 Kort præsentation 02 Behov i forbindelse med de 4 dimensioner 03 Koncept for sikker forbindelser 04 Netværkssikkerhed Eksternt 05 Netværkssikkerhed Internt 06 IT sikkerhedsstrategier 07 Opsummering 2

BEHOV I FORBINDELSE MED DE 4 DIMENSIONER Fejldiagnose Service R&D Drift Tilgang til underliggende systemer Håndtering af stor datamængde Opdateringshastighed Opdateringshastighed Stabilitet Viden om strukturen Data integritet Tilgængelighed 4

Teknikken er styrende, men kulturen er afgørende Connection Lost 6

KONCEPT FOR SIKKER FORBINDELSER NETVÆRKER LAN (Local Area Network) WAN (Wide Area Network) Normalt i én bygning. Forbindelse af enheder og ressourcer. Forbindelse mellem to geografisk adskilte netværk. Er som regel Ethernet. Netværk som teleoperatører tilbyder, ISDN, xdsl, MPSL, Fiber Er som regel Ethernet. 7

KONCEPT FOR SIKKER FORBINDELSER KRAV TIL FORBINDELSER WAN forbindelse Sikkerhed - kryptering Stabilitet Hastighed - båndbredde Beskyttelse mod Vira 8

KONCEPT FOR SIKKER FORBINDELSER DEDIKERET FIBERFORBINDELSER Fiberforbindelser lejes af udbyder, som driver og vedligeholder disse. Sikkerhed Lys som transport middel ingen mulighed for sikkerhedsbrist Stabilitet Stor stabilitet ved korrekt valg af udbyder baseret på fysik netværk Hastighed Som hastighed Op til Gigabit afhænger af fiber og aktiv udstyr Andet Mulighed for at benytte det samme udstyr på hele netværket Begrænset udbredelse 10

KONCEPT FOR SIKKER FORBINDELSER MPSL Multiprotocol Label Switching (MPLS) er designet til at overføre ukendte datatyper mellem to forbindelsespunkter Sikkerhed Stor sikkerhed som leveres af udbyderen Stabilitet Høj stabilitet, idet kommunikationsvejene er kendte og overvåget Hastighed ADSL 20/1 Mb/s, VDSL 50/5 Mb/s, fiber 1 Gb/s Andet Kan være problematisk at etablere udenfor Danmarks grænser 11

KONCEPT FOR SIKKER FORBINDELSER XDSL / VPN Virtuel Private Network (VPN) er designet til at etablere en lukket krypteret forbindelse mellem to netværker. Sikkerhed Stabilitet Høj sikkerhed kræver kompetencer på området. Virksomheden er selv administrator Kommunikationsvejen er ikke kendt og hellere ikke overvåget Hastighed ADSL 20/1 Mb/s, VDSL 50/5 Mb/s, fiber 1 Gb/s Andet Kan etableres alle steder i verden, hvis der er xdsl til rådighed 12

KONCEPT FOR SIKKER FORBINDELSER MOBILFORBINDELSER / VPN ELLER MOBILSECURE General Radio Package Service (GPRS) er designet til at overføre ethernet data via mobilnettet. Sikkerhed Stor sikkerhed. Egen administration ved VPN konceptet Stabilitet Mulighed for at benytte flere udbyder og modems med redundans for at opnå optimal stabilitet Hastighed Lave hastigheder Andet Betaling for mængden af trafik 13

KONCEPT FOR SIKKER FORBINDELSER 3 PART PRODUKTER (HTTPS) Baseret på 3 part produkter Meget usikkert skal overvejes Sikkerhed Afhængig af leverandør Stabilitet Afhængig af leverandør Hastighed Afhængig af forbindelse og leverandør Andet Kan etableres adhoc Sikkerheden kendes ikke eksakt 14

KONCEPT FOR SIKKER FORBINDELSER OPSUMMERING - KOMBINATION 15

NETVÆRKSSIKKERHED EKSTERNT EKSEMPLER PÅ UDSTYR Windows, Mac & Unix 18

NETVÆRKSSIKKERHED EKSTERNT WAN forbindelse Klient software: Installeret software og certifikat på Pc derudover bruger navn og kode Klient hentes ved første forbindelse Hjemmeside 19

NETVÆRKSSIKKERHED EKSTERNT ADGANGSKONTROL Metoder for adgangskontrol: Brugernavn og password Token (RSA, Aladin) SMS password (tidsbegrænset) Cetifikat inkl. brugernavn og password 20

NETVÆRKSSIKKERHED EKSTERNT Active Directory: Kontrol af bruger og password Policy for adgange Netværksområder Enheder Databaser / server (læse / skrive) Den simple model (Firewall): Kontrol af bruger og password Netværksområde (evt. Vlan) Logning 21

NETVÆRKSSIKKERHED EKSTERNT IRON PORT Iron Port WAN forbindelse Vægt Mail håndtering port 25: Kontrol af indhold Viruskontrol Frasortering af Skype, netradio osv. Web håndtering port 80 http og 443 https: Kontrol af indhold Viruskontrol Frasortering af Skype, netradio osv. 22

NETVÆRKSSIKKERHED EKSTERNT INTRUSION PREVENTION SYSTEM (IPS) IPS enhed IPS dataserver Funktionalitet: Løbende opdateret med beskyttelse mod Vira Day zero Attack Unormal adfærd vil blive forhindret Deler information med IPS dataserver i hele verden 23

NETVÆRKSSIKKERHED INTERNT TILKOBLING AF UDSTYR INTERNT Kriterier for tilkobling for Vlan10: IEEE 802.1X på portene på switchene Vlan 10 = 10.10.x.x Valid Vlan 20 = 192.168.x.x Security Vlan 30 = 172.x.x.x Gæst Korrekt bruger og adgangskode Korrekt version af operativ system Korrekt version og opdateret virusbeskyttelse 25

INFORMATIONSNIVEAUER I EN PRODUKTIONS VIRKSOMHED Konsolideret ledelses data Executive Portal based on BPM, ERP and Datawarehouse Konsolideret proces ledelses information BPM planning, execution, monitoring and optimisation Produktion proces information Supervisory Control and Data Acquisition (SCADA) Produktion information Generering af Information Vægt Detailed production data generation 27

INFORMATIONSNIVEAUER I EN PRODUKTIONS VIRKSOMHED Konsolideret proces ledelses information Konsolideret ledelses data Fokus på segmentering og risiko vurdering Fokus på: Administrative og finansiel styring og optimering IT systemer med en 3-8 livscyklus Forbundet til Internettet Produktion proces information Fokus på: Produktion proces styring, optimering og tilgængelighed Produktion information Generering af Information Vægt IT systemer med en 12-18 livscyklus Ikke forbundet til Internet 28

KRITISK CONTROL SYSTEM - EKSEMPEL Forskellige operativ systemer. PCPM, DOS, OS2, WIN NT osv. Software som ikke er afprøvet med Virusbeskyttelse Hurtig netværk med lille information i hver pakke Software som ikke er afprøvet med servicepacks Ikke standard software 29

START MED EN IT-STRATEGI BASERET PÅ DE FIRE FORRETNINGSOMRÅDER IT- STRATEGI 31

TAK FOR OPMÆRKSOMHEDEN John Ammentorp jona@ramboll.dk Tlf. +45 51616380 32