dr inż. Maciej MiłostanInstytut Informatyki,

Politechnika Poznańska

Czyli jak chronić sieć przed nieautoryzowanym dostępem

Internet = źódło informacji Internet = źródło zagrożeń dla

użytkowników intranetu Udostępnianie zasobów i swoboda

komunikacji Ochrona sieci przed agresorami i

intruzami

Połączenie ze światem zewnętrznym, czyli Internetem

Potrzeby użytkowników, bezpieczeństwo danych a struktura sieci

Podział sieci wewnętrznej na segmenty

Minimalizacja zagrożenia z zewnątrz Personalizacja (na poziomie komputera)

zasad dostępu Ochrona przed niektórymi wirusami Brak ochrony przed zagrożeniami z

wnętrza Intranetu

Podatne na awarie (dotyczy rozwiązań programowych)

Inte

rnet

DMZ

Użytkownik – w zasadzie grupy użytkowników (Problem: użytkownik może statycznie ustawić cudzy adres)

Adres IP DHCP i adres fizyczny

Personalizacja ustawień zapory ogniowej Możliwość zlokalizowania użytkownika Możliwość wyłączenia portu, do którego

wpięty jest komputer użytkownikaMary

Bob

Protokół uwierzytelniania w sieciach LAN:◦ bezprzewodowych◦ przewodowych

ftp://ftp.dlink.it/FAQs/802.1x.pdf

Sys. op. wspierający ten standard

Standard ten definiuje kontrolę dostępu opartą na modelu klient-serwer wraz z protokołami uwierzytelniania uniemożliwiającymi dostęp do sieci nieautoryzowanym urządzeniom za pośrednictwem publicznie dostępnych portów. Serwer uwierzytelniania przeprowadza uwierzytelnianie każdego klient, który podłącza się do sieci zanim zaoferuje mu jakąkolwiek usługę.

Bazujące na portach◦ Port na przełączniku aktywowany dopiero po

uwierzytelnieniu Bazujące na adresach fizycznych

◦ Wielu użytkowników może używać tego samego portu jednocześnie i istnieje możliwość ograniczenia liczby adresów MAC, które się komunikują przy jego użyciu

Adres multikastowy dla protokołu EAPOL (Extensible Authentication Protocol over LAN), czyli tzw. Port Access Entity (PAE)

Umożliwia przełącznikom rozpoznawanie właściwych pakietów

Analiza logów Monitorowanie sieci Aktualizacja reguł firewalla Aktualizacja krytycznych systemów

Klienta Uwierzytelniającego (przełącznik) Serwera

OTP = hasło jednorazowe

Detekcja zagrożeń Alarmy - “Hej, coś jest nie tak!” Monitorowanie - sondy Mechanizmy reakcji na zdarzenia Systemy detekcji intruzów = prosta idea

Co jest włamaniem lub jego proba, a co nie? Jakie są metody włamań? Jakie luki występują w systemach? Czy wiedza systemu IDS jest aktualna? Czy system może działać w pełni

automatycznie? Sekwencja działań może być rozciągnięta w

czasie Sekwencja działań może być rozbita

pomiędzy różne sesje Poprawnie działający system może być

wykorzystany do ataku na inny system (np. DRDoS)

DoS – atak typu odmowa usługi (np. SYN flood)

Distributed DoS – rozproszony atak typu DoS (wiele źródeł ataku, zwykle jeden cel)

Distributed Reflected DoS – fałszowanie pakietów SYN, tak by pakiet SYN/ACK był wysyłany do atakowanego komputera SYN (sq.#2)/ACK (sq.

#1)

SYN (sq.#1)

ACK(sq. #2)

Zobacz plik drdos.pdf

Uzyskanie dostępu do danych W celu przejęcia kontroli nad systemem W celu zniszczenia systemu

Problem 1.: Jakie metody można użyć? Problem 2.: Jaka powinna być struktura

systemów wykrywania włamań? Problem 3.: Co to jest włamanie? Problem 4.: Jak zidentyfikować tożsamość

intruza? Problem 5.: Jak korelować informacje? Problem 6.: Jak złapać intruza w pułapkę? Problem 7.: Jak reagować na incydenty?

Przetwarzanie raportu audytu Przetwarzanie na bieżąco Profile normalnego zachowania Sygnatury nienormalnego zachowania Zgodność przetwarzania ze wzorcem

Najczęściej stosowana Dostępne w logach SO, firewallów,

routerów, przełącznikówSystem

chroniony

System wykrywania

włamańSondaaudytu Przetwarzanie

audytu

Nie powinno zakłócać pracy sieci Analiza w czasie rzecywistym lub

zbliżonym do rzeczywistego Wyszukiwanie wzorców (“brzydkich słów”)

np. “/etc/passwd” Nie zbędny dostęp do ruchu w sieci –

łatwe do zapewnienia w przypadku podłączenia do Internetu poprzez bramę dławiącą

Normalnego zachowania – przewidywanie zachowań użytkowników i sprzętu, wykrywanie włamań = wykrywanie anomalii wzgl. profili

Sygnatury nienormalnego zachowania – umożliwiają identyfikację tylko znanych typów ataków, ale nie wymagają tak złożonego przetwarzania jak profile normalnego zachowani

Hmm, ten użytkownik generuje bardzo dużo pakietów!!!

CDIF – Common Intrusion Detection Framework:◦ Sensor – event box◦ System zarządzania – oparty o SNMP, MIB i

RMON◦ Algorytmy – analysis box◦ Bazy wiedzy – data box, jednostka danych◦ Alarmy – w formacie GIDO (Generalized

Intrusion Detection Object)

Def.:Włamanie jest ciągiem współzależnych działań złośliwego intruza, które powodują wystąpienie zagrożeń naruszenia bezpieczeństwa zasobów przez dostęp nieautoryzowany do danej domeny komputerowej lub sieciowej

Techniki wewnętrzne względem sieci Techniki zewnętrzne względem sieci

Rodzaje korelacji:◦ Korelacja pakietów w jednej i wielu sesjach◦ Korelacja informacji w czasie rzeczywistym lub

po fakcie◦ Korelacja informacji dostępnych całościowo lub

wewnętrznie

Podejrzany użytkownik System rzeczywisty System wykrywania włamań System pułapka Aspekty prawne

Podjęcie działań i decyzji zmniejszających ryzyko dalszego naruszenia bezpieczeństwa

Ocena wpływu incydentu na działanie systemu i firmy

Ewentualne zawiadomienie organów ściagania o popełnienu przestępstwa

http://www-rnks.informatik.tu-cottbus.de//en/security/ids.html

F

Intranet

DMZ

F

IDS IDS

Streamery Macierze dyskowe – RAID Biblioteki taśmowe Dyski magnetoptyczne Zdalny mirroring Płyty CD/DVD Mikrofilmy

RAID a błędy użytkownika Koszty technologii Miejsce składowania danych Systemy krytyczne i zapasowe centra

danych Sieci SAN

DHCPRADIUS

WWW MAILFile server

DMZ

Intranet

FRouter brzegowy

SAN

Bilioteka taśmowa

Bilioteka taśmowa

Bilioteka taśmowa

Identyfikacja krytycznych procesów i danych Określenie okna backup'u Określenie dopuszczalnego czasu

niedostępności po awarii Określenie czasu przez, który chcemy

przechowywać kopie archiwalne Określenie czasu, który jest potrzebny na

odtworzenie danych przy wykorzystaniu danej technologii

Określenie czasu potrzebnego na odtworzenie procesów

Disaster recovery – plan gwarantujący dostępność danych i aplikacji w określonym czasie po zdarzeniu o charakterze katastrofalnym

Klasyfikacja planów odtwarzania po awarii:◦ Tier 0 – Do nothing, no off-site data ◦ Tier 1 – Offsite vaulting◦ Tier 2 – Offsite vaulting with a hot site◦ Tier 3 – Electronic vaulting◦ Tier 4 – Electronic vaulting to hot site (active

secondary site)◦ Tier 5 – Two site two phase commit◦ Tier 6 – Zero data loss

Lokalne Logiczne Katastrofy

Straty bezpośrednie i pośrednie Straty bezpośrednie:

◦ Zmniejszenie przychodów◦ Spadek wydajności pracy◦ Kary za opóźnienia

Straty pośrednie:◦ Utrata klientów◦ Utrata wiarygodności◦ Korzyści utracone◦ Koszty przestoju

Koszty przestoju różnych rodzajów aplikacji [$/min] (USA, 1998)◦ Call location: $27 000 /min◦ e-commerce: $10 000 / min◦ Customer service center: $3 700 / min◦ Point of sale: $3 500 / min

RTO – czas potrzebny na odtworzenie danych

RPO – czas pracy systemu jaki tracimy na skutek awarii

BWO - “Okno backupowe”, czas potrzebny na wykonanie kopii

Okres przechowywania na nośnikach

Pieniądze

Czas

Koszt technologiiStraty wynikające z przestoju systemu

Systemy macierzowe◦ Zabezpieczają przed skutkami awarii dysku,

kontrolera◦ Pełna nadmiarowość◦ Równoległa struktura połączeń

Systemy klastrowe◦ Szerszy zakres ochrony◦ Eliminacja “single point of failure”◦ Ułatwienie zarządzania

Czas przesłania 1TB danych w [min]:◦ 10Mbps – 13653,33◦ 100Mbps – 1365,333◦ SAN FCP (scsi-3) 2Gbps – 68,27◦ OC -255 ATM 13,21 Gbps – 10,34◦ SAN + DWDM 200 Gbps – 0,68

BWORPORTO

Start projektu

Analiza procesów

Analiza ryzyka

Opisy procesów, tworzenie procedur

Plany odtwarzania

Sposób ochronydanych

TESTYZarządzaniezmianami

Zapora ogniowa System IDS Fizyczna ochrona danych i archiwizacja Plany awaryjne