Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
1
Bezpieczeństwo Systemów Sieciowych
dr inż. Łukasz Sturgulewski, [email protected], http://luk.kis.p.lodz.pl/
dr inż. Andrzej Frączyk, [email protected]
BSS - v2013
Organizacja zajęć
Wykład: 2godz. / tydzień (1 semestr)
Laboratorium: 2godz. / tydzień (1 semestru)
2 BSS - v2013
Rozliczenie zajęć
Wykład:
test wyboru, 24 pytania, ZAL >= 60%
2 punkty za 2 obecności na wykładzie
Laboratorium:
ćwiczenia zgodne z:
MACIEJ SZMIT (RED.), SŁAWOMIR ADAMUS, SEBASTIAN BUGAŁA
ĆWICZENIA LABORATORYJNE Z BEZPIECZEŃSTWA SYSTEMÓW
SIECIOWYCH DLA STUDENTÓW STUDIÓW I STOPNIA KIERUNKU
INFORMATYKA
WYDAWNICTWO POLITECHNIKI ŁÓDZKIEJ 2011
3 BSS - v2013
Plan zajęć laboratoryjnych
Flooding (MAC)
Spoofing (ARP, DNS)
DHCP snooping
Zapory sieciowe – techniki, filozofia
Ataki na SSL (+ kryptografia, przeglądarki WWW)
PKI + certyfikaty
VPN
IDS, IPS
DoS
Ataki na DNS
Testy penetracyjne
SQL Injection, Cross Site Scripting
Watering Hole, Drive-by download
Sandbox, Honeypot
Botnet
Sieć TOR
4 BSS - v2013
Plan wykładu
Zagadnienia: Systemy informatyczne vs Systemy sieciowe
Normy, standardy, raporty techniczne (w tym ISO i OSI)
Zagrożenia bezpieczeństwa
Metody przeciwdziałania zagrożeniom:
Dedykowane urządzenia,
Oprogramowanie,
Protokoły i standardy,
Kryptografia,
Polityka bezpieczeństwa,
Inne (pomysły, koncepcje, rozwiązania kompleksowe).
5 BSS - v2013
Plan wykładu
Omawianie zagadnień: Poziom zagrożenia
Rodzaj / Typ zagrożenia
Warstwa modelu OSI
Od ogólnej filozofii firmy / instytucji, poprzez politykę bezpieczeństwa po szczegółowe rozwiązania pozwalające ją realizować.
6 BSS - v2013
warstwa aplikacji
warstwa prezentacji
warstwa sesji
warstwa transportowa
warstwa sieciowa
warstwa łącza danych
warstwa fizyczna
Normy, standardy, raporty techniczne
Normy, standardy, raporty techniczne: ISO 27001 Wymagania
ISO 17799 (ISO 27002) Wytyczne
ISO TR 13355 Wytyczne IT
BS 7799-3 Ocena ryzyka
BS 25999 Ciągłość działania
PAS 56 Ciągłość działania
ISO/IEC 18028 IT Network Security
BSS - v2013 7
8
Zarządzanie sieciami komputerowymi
Kluczowe obszary zastosowania systemów zarządzania sieciami określone przez OSI:
Zarządzanie wydajnością
Zarządzanie uszkodzeniami,
nieprawidłowościami
Zarządzanie kosztami
Zarządzanie konfiguracją i oznaczeniami
Zarządzanie bezpieczeństwem
BSS - v2013
BSS - v2013
Internet w statystykach
http://www.internetworldstats.com/stats.htm
9
BSS - v2013
Internet w statystykach
http://www.internetworldstats.com/stats.htm
10
BSS - v2013
Czy jest potrzeba edukacji w zakresie BSS?
Podstawowe zagadnienia związane z bezpieczeństwem sieci
komputerowych są ważne nie tylko dla osób pracujących w tej
specjalności.
Pracownik musi być świadomy zagrożeń.
http://www.bezpiecznypracownik.pl/
Systemy sieciowe (informatyczne) są powszechne stąd dla
pracownika działu IT konieczność zrozumienia:
zasad działania,
zagrożeń,
metod przeciwdziałania zagrożeniom.
11
BSS - v2013 12
Zagrożenia danych
Przechwycenie
Internet
BSS - v2013 13
Zagrożenia danych
Przerwanie
Internet
BSS - v2013 14
Zagrożenia danych
Fabrykacja
Internet
BSS - v2013 15
Zagrożenia danych
Usunięcie, zniszczenie
Internet
BSS - v2013 16
Zagrożenia danych
Modyfikacja
Internet
Typy sieci
BSS - v2013 17
Zamknięte
Otwarte
Zróżnicowanie zagrożeń
BSS - v2013 18
Advanced Persistent Threat
Modele bezpieczeństwa sieci
BSS - v2013 19
Otwarty Restrykcyjny Zamknięty
BSS - v2013 20
Najistotniejsze cechy bezpiecznej transmisji danych
Poufność.
Uwierzytelnianie (i autoryzacja).
Autentyczność wiadomości.
Integralność wiadomości.
Czy ataki są popularne? (wymagana wiedza intruza)
BSS - v2013 21
„Cyber attacks have become common occurrences. The companies in our study experienced
41 successful attacks per week or 1.1 successful attacks per organisation per week.”
2012 Cost of Cyber Crime Study, Sponsored by HP Enterprise Security Independently conducted by Ponemon Institute LLC, Publication Date: October 2012
Cisco CCNA Security
Czy ataki są groźne / kosztowne?
BSS - v2013 22
2012 Cost of Cyber Crime Study, Sponsored by HP Enterprise Security Independently conducted by Ponemon Institute LLC, Publication Date: October 2012
(more than 1,000 enterprise seats)
Czy ataki są groźne / kosztowne?
BSS - v2013 23
2012 Cost of Cyber Crime Study, Sponsored by HP Enterprise Security Independently conducted by Ponemon Institute LLC, Publication Date: October 2012
(more than 1,000 enterprise seats)
Kto i kogo atakuje?
BSS - v2013 24
Kto może być zagrożony?
Kto stoi za atakami?
Przykłady (10-najbardziej-kosztownych-atakow-hakerskich)
2011 Citigroup Inc. traci numery rachunków ponad 360 tys. Amerykanów. Niepełne dane kart kredytowych. Straty oszacowano na 2,7 mln dolarów.
2005 Titan Rain atakuje amerykańskie wojsko. Informacje dotyczące budowy samolotów, oprogramowanie do planowania tras przelotu.
2008 Heartland Payment Systems - 100 mln kart kredytowych zagrożonych przez cyberprzestępców. 175 tys. sklepów i restauracji w Stanach Zjednoczonych. Straty oceniono na 140 mln dolarów.
2007 Sieć supermarketów Hannaford Brothers straciła ponad 250 mln USD. Straciła numery ok. 4,2 mln kart kredytowych i debetowych należących do klientów sklepów.
2007 TJX - właściciel TJ Maxx i Marshalls na łasce hakerów przez półroku Przychwytywanie przepływających przez sieć danych (numery i hasła kart kredytowych). Wykradziono dane prawie 45 milionów osób. Straty wg firmy to 256 milionów dolarów. Łączne straty mogły wynieść nawet 4.5 miliarda dolarów.
BSS - v2013 25
Przykłady (10-najbardziej-kosztownych-atakow-hakerskich)
Sven Jaschan - nastoletni Niemiec komputerowym sabotażystą
2004, 17-letni Niemiec Sven tworzy wirusa Sasser. Oprogramowanie wykorzystało dziurę w usłudze Local Security Authority Subsystem Service systemu Windows. Straty oceniono na 0,5 mld dolarów.
Michael Calce - Mafiaboy atakuje wielkie koncerny
2000, Amazon, eBay, Yahoo, Dell, E-trade oraz CNN atak DoS, Michael Calce, nastolatek o pseudonimie Mafiaboy z okolic Montrealu. Straty - 1,2 mld dolarów.
PlayStation Network traci nawet 2 mld USD
2012, Dane kart kredytowych, informacje personalne i kontaktowe blisko 77 mln użytkowników, loginy i hasła, atak na sieć PlayStation Network. Straty mogły sięgnąć od 1 do 2 mld dolarów.
Atak na Epsilon - utrata danych klientów ponad 50 firm
2011, Epsilon kampanie reklamowe, Epsilon, utrata danych klientów ponad 50 firm: sklepy Target i Best Buy, hotele Mariot i Hilton oraz telewizja kablowa TiVo. Straty od 225 mln do 4 mld USD.
BSS - v2013 26
Przykłady (10-najbardziej-kosztownych-atakow-hakerskich)
Wysadzenie przez CIA syberyjskiego gazociągu w 1982 roku.
CIA jest odpowiedzialna za potężną eksplozję gazociągu na Syberii w 1982 roku. Swego czasu "The Washington Post" informował, że amerykańska agencja, wykorzystując dążenia ZSRR do pozyskania zachodniej technologii, wysłała do Moskwy uszkodzone oprogramowanie komputerowe, które w efekcie doprowadziło do eksplozji. W wyniku wybuchu nikt nie zginął, jednak zachwiał on radziecką gospodarką. Plan CIA został zatwierdzony przez ówczesnego prezydenta Ronalda Raegana i był częścią "gospodarczej zimnej wojny". Amerykanie stworzyli komputerowy program, który miał kierować pracą pomp i turbin, by w efekcie doprowadzić do wzrostu ciśnienia i uszkodzić cały gazociąg.
BSS - v2013 27
http://www.biznes.banzaj.pl/10-najbardziej-kosztownych-atakow-hakerskich-34040.html
Kategorie ataków
BSS - v2013 28
Rekonesans (rozpoznanie)
BSS - v2013 29
• Informacje o firmie,
korporacji:
nslookup, whois
• Detekcja działających
jednostek.
• Skanowanie portów.
• Detekcja systemu i usług.
• Przechwycenie pakietów.
Dostęp
Atak typu „dostęp” wykorzystuje wykryte podatności do przejęcia kontroli nad wybranym zasobem, usługą, systemem:
Hasła.
Wykorzystanie zaufania (poprzez zaufane, słabiej chronione jednostki do zasobów silniej chronionych).
Man-in-the-middle.
Inżynieria społeczna, w tym:
Phishing
BSS - v2013 30
Dostęp - Wykorzystanie zaufania
BSS - v2013 31
subinterfaces, trunk
OUTSIDE
212.191.89.128 / 25
172.18.0.0 / 16
79.96.21.160 / 28
outside
security-level 0
dmz
security-level 50
10.10.0.0 / 16
VLAN Dyrekcja
sec.lev.8510.20.0.0 / 16
VLAN Pracownicy
sec.lev.80
10.2.0.0 / 16
VLAN Admin
sec.lev.95
DoS
Zablokowanie usług poprzez:
Łącza transmisyjne (przerwanie, przeciążenie)
Urządzenia sieciowe (konfiguracja, przeciążenie)
Systemy operacyjne (przepełnienie buforów)
Serwery (przeciążenie)
Usługi (przeciążenie, przepełnienie buforów)
BSS - v2013 32
DDoS (Distributed Denial of Service)
BSS - v2013 33
Atak DDoS = DoS z wielu punktów sieci.
Szkodniki (Malware)
Robaki
Wirusy
Konie trojańskie
BSS - v2013 34
Szkodniki (Malware)
viruse
worm
trojan horse
ransomware
rootkit
exploit
keylogger
dialer
spyware
adware
malicious BHOs
backdoor
rogue security software
BSS - v2013 35
Typy ataków
BSS - v2013 36
(more than 1,000 enterprise seats)
2012 Cost of Cyber Crime Study, Sponsored by HP Enterprise Security Independently conducted by Ponemon Institute LLC, Publication Date: October 2012
2012 Cost of Cyber Crime Study, Sponsored by HP Enterprise Security Independently conducted by Ponemon Institute LLC, Publication Date: October 2012
Typy ataków / koszty
BSS - v2013 37
(more than 1,000 enterprise seats)
Konsekwencje ataków
BSS - v2013 38
• Zakłócenie działalności
• Spadek wydajności
• Utrata prywatności
• Kradzież informacji
• Odpowiedzialność karna
• Utrata reputacji i zaufania klientów
Dziedziny bezpieczeństwa systemów informatycznych
BSS - v2013 39
• Określenie istotnych aktywów / zasobów
• Ocena ryzyka
• Polityka bezpieczeństwa
• Organizacja bezpieczeństwa informacji
• Zarządzanie kapitałem
• Bezpieczeństwo zasobów ludzkich
• Bezpieczeństwo fizyczne i środowiskowe
• Bezpieczeństwo komunikacji i operacji
• Kontrola dostępu
• Bezpieczeństwo systemów informatycznych (tworzenie i utrzymanie)
• Zarządzanie incydentami
• Zarządzanie ciągłością działania
• Weryfikacja zgodności z PB, standardami i prawem
Kto zaangażowany w ochronę?
BSS - v2013 40
Zagrożone obszary IT
Sprzęt
Oprogramowanie
Sieć komputerowa
System operacyjny
Bazy danych
Serwery i hosty
BSS - v2013 41
http://www.brandonline.pl/2010/04/
Polityka Bezpieczeństwa
Aby przygotować PB należy:
Określić cele bezpieczeństwa korporacji / organizacji (co jest ważne, cenne, kluczowe dla korporacji / organizacji).
Udokumentować zasoby, które mają być chronione (identyfikacja aktywów).
Określić infrastrukturę sieciowa z obecnymi mapami i wyposażeniem (identyfikacja aktywów).
Określić krytyczne zasoby, które mają być chronione (np. badania i rozwój, finanse, zasoby ludzkie) i przed czym - ocena / analiza ryzyka (analiza podatności, zagrożeń, stopień ryzyka).
BSS - v2013 42
Polityka bezpieczeństwa
Co chronić,
przed czym chronić,
(szacowanie ryzyka)
BSS - v2013 43
BSS – proces ciągły!
BSS - v2013 44
Security policy
Security Wheel
BSS – proces ciągły!
Po opracowaniu PB można na niej oprzeć
(ustawiając ją w centrum) czteroetapowe koło
bezpieczeństwa:
Zabezpiecz
Monitoruj
Testuj
Popraw / usprawnij
BSS - v2013 45
Zabezpiecz
Zabezpiecz system używając przede wszystkich poniższych rozwiązań:
Obrona przed zagrożeniami: Stateful Inspection i packet filtering
Intrusion Detection Systems
Intrusion Prevention Systems
Vulnerability patching (łatanie podatności)
Ochrona połączeń: Virtual Private Networks (VPNs)
Zaufanie i uwierzytelnianie: Authentication (uwierzytelnianie)
Policy enforcement (egzekwowanie PB)
BSS - v2013 46
IDS vs IPS
BSS - v2013 47
Monitoruj
Monitoruj bezpieczeństwo za pomocą: metod aktywnych (np. analiza log’ów),
pasywnych (IDS)
Sprawdzasz czy wdrożony system działa prawidłowo!
BSS - v2013 48
Testuj
Szukaj, testuj podatności, słabych punktów
Prowadzać audyt bezpieczeństwa
BSS - v2013 49
Popraw / usprawnij
Analiza danych z fazy Monitoruj i Testuj.
Opracuj udoskonalenia, które trafia do PB oraz fazy Zabezpiecz.
Opracuj nowe rozwiązania, które trafia do PB oraz fazy Zabezpiecz.
Proce ciągły! Codziennie nowe zagrożenia.
BSS - v2013 50
51
KONIEC
BSS
BSS - v2013