Upload
lamar
View
58
Download
0
Embed Size (px)
DESCRIPTION
d r inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska. Bezpieczeństwo sieci i odtwarzanie po awarii. Bezpieczeństwo sieci. Czyli jak chronić sieć przed nieautoryzowanym dostępem. Internet a intranet. Internet = źódło informacji - PowerPoint PPT Presentation
Citation preview
dr inż. Maciej MiłostanInstytut Informatyki,
Politechnika Poznańska
Czyli jak chronić sieć przed nieautoryzowanym dostępem
Internet = źódło informacji Internet = źródło zagrożeń dla
użytkowników intranetu Udostępnianie zasobów i swoboda
komunikacji Ochrona sieci przed agresorami i
intruzami
Połączenie ze światem zewnętrznym, czyli Internetem
Potrzeby użytkowników, bezpieczeństwo danych a struktura sieci
Podział sieci wewnętrznej na segmenty
Minimalizacja zagrożenia z zewnątrz Personalizacja (na poziomie komputera)
zasad dostępu Ochrona przed niektórymi wirusami Brak ochrony przed zagrożeniami z
wnętrza Intranetu
Podatne na awarie (dotyczy rozwiązań programowych)
Inte
rnet
DMZ
Użytkownik – w zasadzie grupy użytkowników (Problem: użytkownik może statycznie ustawić cudzy adres)
Adres IP DHCP i adres fizyczny
Personalizacja ustawień zapory ogniowej Możliwość zlokalizowania użytkownika Możliwość wyłączenia portu, do którego
wpięty jest komputer użytkownikaMary
Bob
Protokół uwierzytelniania w sieciach LAN:◦ bezprzewodowych◦ przewodowych
ftp://ftp.dlink.it/FAQs/802.1x.pdf
Sys. op. wspierający ten standard
Standard ten definiuje kontrolę dostępu opartą na modelu klient-serwer wraz z protokołami uwierzytelniania uniemożliwiającymi dostęp do sieci nieautoryzowanym urządzeniom za pośrednictwem publicznie dostępnych portów. Serwer uwierzytelniania przeprowadza uwierzytelnianie każdego klient, który podłącza się do sieci zanim zaoferuje mu jakąkolwiek usługę.
Bazujące na portach◦ Port na przełączniku aktywowany dopiero po
uwierzytelnieniu Bazujące na adresach fizycznych
◦ Wielu użytkowników może używać tego samego portu jednocześnie i istnieje możliwość ograniczenia liczby adresów MAC, które się komunikują przy jego użyciu
Adres multikastowy dla protokołu EAPOL (Extensible Authentication Protocol over LAN), czyli tzw. Port Access Entity (PAE)
Umożliwia przełącznikom rozpoznawanie właściwych pakietów
Analiza logów Monitorowanie sieci Aktualizacja reguł firewalla Aktualizacja krytycznych systemów
Klienta Uwierzytelniającego (przełącznik) Serwera
OTP = hasło jednorazowe
Detekcja zagrożeń Alarmy - “Hej, coś jest nie tak!” Monitorowanie - sondy Mechanizmy reakcji na zdarzenia Systemy detekcji intruzów = prosta idea
Co jest włamaniem lub jego proba, a co nie? Jakie są metody włamań? Jakie luki występują w systemach? Czy wiedza systemu IDS jest aktualna? Czy system może działać w pełni
automatycznie? Sekwencja działań może być rozciągnięta w
czasie Sekwencja działań może być rozbita
pomiędzy różne sesje Poprawnie działający system może być
wykorzystany do ataku na inny system (np. DRDoS)
DoS – atak typu odmowa usługi (np. SYN flood)
Distributed DoS – rozproszony atak typu DoS (wiele źródeł ataku, zwykle jeden cel)
Distributed Reflected DoS – fałszowanie pakietów SYN, tak by pakiet SYN/ACK był wysyłany do atakowanego komputera SYN (sq.#2)/ACK (sq.
#1)
SYN (sq.#1)
ACK(sq. #2)
Zobacz plik drdos.pdf
Uzyskanie dostępu do danych W celu przejęcia kontroli nad systemem W celu zniszczenia systemu
Problem 1.: Jakie metody można użyć? Problem 2.: Jaka powinna być struktura
systemów wykrywania włamań? Problem 3.: Co to jest włamanie? Problem 4.: Jak zidentyfikować tożsamość
intruza? Problem 5.: Jak korelować informacje? Problem 6.: Jak złapać intruza w pułapkę? Problem 7.: Jak reagować na incydenty?
Przetwarzanie raportu audytu Przetwarzanie na bieżąco Profile normalnego zachowania Sygnatury nienormalnego zachowania Zgodność przetwarzania ze wzorcem
Najczęściej stosowana Dostępne w logach SO, firewallów,
routerów, przełącznikówSystem
chroniony
System wykrywania
włamańSondaaudytu Przetwarzanie
audytu
Nie powinno zakłócać pracy sieci Analiza w czasie rzecywistym lub
zbliżonym do rzeczywistego Wyszukiwanie wzorców (“brzydkich słów”)
np. “/etc/passwd” Nie zbędny dostęp do ruchu w sieci –
łatwe do zapewnienia w przypadku podłączenia do Internetu poprzez bramę dławiącą
Normalnego zachowania – przewidywanie zachowań użytkowników i sprzętu, wykrywanie włamań = wykrywanie anomalii wzgl. profili
Sygnatury nienormalnego zachowania – umożliwiają identyfikację tylko znanych typów ataków, ale nie wymagają tak złożonego przetwarzania jak profile normalnego zachowani
Hmm, ten użytkownik generuje bardzo dużo pakietów!!!
CDIF – Common Intrusion Detection Framework:◦ Sensor – event box◦ System zarządzania – oparty o SNMP, MIB i
RMON◦ Algorytmy – analysis box◦ Bazy wiedzy – data box, jednostka danych◦ Alarmy – w formacie GIDO (Generalized
Intrusion Detection Object)
Def.:Włamanie jest ciągiem współzależnych działań złośliwego intruza, które powodują wystąpienie zagrożeń naruszenia bezpieczeństwa zasobów przez dostęp nieautoryzowany do danej domeny komputerowej lub sieciowej
Techniki wewnętrzne względem sieci Techniki zewnętrzne względem sieci
Rodzaje korelacji:◦ Korelacja pakietów w jednej i wielu sesjach◦ Korelacja informacji w czasie rzeczywistym lub
po fakcie◦ Korelacja informacji dostępnych całościowo lub
wewnętrznie
Podejrzany użytkownik System rzeczywisty System wykrywania włamań System pułapka Aspekty prawne
Podjęcie działań i decyzji zmniejszających ryzyko dalszego naruszenia bezpieczeństwa
Ocena wpływu incydentu na działanie systemu i firmy
Ewentualne zawiadomienie organów ściagania o popełnienu przestępstwa
http://www-rnks.informatik.tu-cottbus.de//en/security/ids.html
F
Intranet
DMZ
F
IDS IDS
Streamery Macierze dyskowe – RAID Biblioteki taśmowe Dyski magnetoptyczne Zdalny mirroring Płyty CD/DVD Mikrofilmy
RAID a błędy użytkownika Koszty technologii Miejsce składowania danych Systemy krytyczne i zapasowe centra
danych Sieci SAN
DHCPRADIUS
WWW MAILFile server
DMZ
Intranet
FRouter brzegowy
SAN
Bilioteka taśmowa
Bilioteka taśmowa
Bilioteka taśmowa
Identyfikacja krytycznych procesów i danych Określenie okna backup'u Określenie dopuszczalnego czasu
niedostępności po awarii Określenie czasu przez, który chcemy
przechowywać kopie archiwalne Określenie czasu, który jest potrzebny na
odtworzenie danych przy wykorzystaniu danej technologii
Określenie czasu potrzebnego na odtworzenie procesów
Disaster recovery – plan gwarantujący dostępność danych i aplikacji w określonym czasie po zdarzeniu o charakterze katastrofalnym
Klasyfikacja planów odtwarzania po awarii:◦ Tier 0 – Do nothing, no off-site data ◦ Tier 1 – Offsite vaulting◦ Tier 2 – Offsite vaulting with a hot site◦ Tier 3 – Electronic vaulting◦ Tier 4 – Electronic vaulting to hot site (active
secondary site)◦ Tier 5 – Two site two phase commit◦ Tier 6 – Zero data loss
Lokalne Logiczne Katastrofy
Straty bezpośrednie i pośrednie Straty bezpośrednie:
◦ Zmniejszenie przychodów◦ Spadek wydajności pracy◦ Kary za opóźnienia
Straty pośrednie:◦ Utrata klientów◦ Utrata wiarygodności◦ Korzyści utracone◦ Koszty przestoju
Koszty przestoju różnych rodzajów aplikacji [$/min] (USA, 1998)◦ Call location: $27 000 /min◦ e-commerce: $10 000 / min◦ Customer service center: $3 700 / min◦ Point of sale: $3 500 / min
RTO – czas potrzebny na odtworzenie danych
RPO – czas pracy systemu jaki tracimy na skutek awarii
BWO - “Okno backupowe”, czas potrzebny na wykonanie kopii
Okres przechowywania na nośnikach
Pieniądze
Czas
Koszt technologiiStraty wynikające z przestoju systemu
Systemy macierzowe◦ Zabezpieczają przed skutkami awarii dysku,
kontrolera◦ Pełna nadmiarowość◦ Równoległa struktura połączeń
Systemy klastrowe◦ Szerszy zakres ochrony◦ Eliminacja “single point of failure”◦ Ułatwienie zarządzania
Czas przesłania 1TB danych w [min]:◦ 10Mbps – 13653,33◦ 100Mbps – 1365,333◦ SAN FCP (scsi-3) 2Gbps – 68,27◦ OC -255 ATM 13,21 Gbps – 10,34◦ SAN + DWDM 200 Gbps – 0,68
BWORPORTO
Start projektu
Analiza procesów
Analiza ryzyka
Opisy procesów, tworzenie procedur
Plany odtwarzania
Sposób ochronydanych
TESTYZarządzaniezmianami
Zapora ogniowa System IDS Fizyczna ochrona danych i archiwizacja Plany awaryjne