Embed Size (px)
DESCRIPTION
Sieci lokalne – metody zwiększania bezpieczeństwa. Bezpieczeństwo informacji w systemach komputerowych - PJWSTK. Rafał Więckowski paździenik 2005. Polityka bezpieczeństwa ogólnie. - PowerPoint PPT Presentation
Citation preview
Sieci lokalne – metody zwiększania bezpieczeństwa
Bezpieczeństwo informacji w systemach komputerowych -
PJWSTK
Rafał Więckowski paździenik 2005
2
Polityka bezpieczeństwaogólnie
Działania mające na celu zabezpieczenie systemu przed:
ryzykiem utraty poufności (zdarzenie mogące doprowadzić do ujawnienia informacji przetwarzanej przez system informatyczny nieautoryzowanemu użytkownikowi)
3
Polityka bezpieczeństwaogólnie
Działania mające na celu zabezpieczenie systemu przed:
ryzykiem utraty dostępności (zdarzenie mogące doprowadzić do braku dostępu w określonym czasie do systemu informatycznego, programu lub informacji dla autoryzowanych użytkowników)
4
Polityka bezpieczeństwaogólnie
Działania mające na celu zabezpieczenie systemu przed:
ryzykiem utraty integralności (zdarzenie mogące doprowadzić do nieautoryzowanej modyfikacji lub zniszczenia danych przetwarzanych przez system informatyczny)
5
Polityka bezpieczeństwaochrona fizyczna wrażliwych elementów
Ochrona fizyczna wrażliwych elementów systemu komputerowego takich jak np. pomieszczenie, w którym pracuje serwer, czy stacja robocza administratora sieci.
Nawet ogromne pieniądze wydane na zabezpieczenia nie przyniosą rezultatów jeżeli nieuprawniony personel będzie miał dostęp do urządzeń typu konsola operatora.
6
Polityka bezpieczeństwabezpieczeństwo systemu operacyjnego
Powstały pojęcia poziomów bezpieczeństwa systemów operacyjnych oraz sposoby certyfikacji tych systemów. Na przykład systemy takie jak UNIX czy Microsoft Windows NT uzyskały certyfikat klasy C2. Oznacza to, że systemy te wyposażono w mechanizmy kontroli dostępu, gwarantowania zezwoleń na czytanie i zapis kartotek oraz plików przez określonych użytkowników oraz notowanie (auditing) dostępów i autoryzacji.
7
Polityka bezpieczeństwapodstawowe działania
Blokowanie wejść na stacjach roboczych
Instalacja oprogramowania antywirusowego
FireWallBudowa LAN w oparciu o SwitcheAktualizacja oprogramowania
8
Polityka bezpieczeństwa
Każde zabezpieczenie można obejść.
Istotne jest, żeby wiedzieć o tym, że ktoś nieautoryzowany uzyskał dostęp do naszej sieci.
9
Systemy IDSco to jest?
IDSIDS – – Intrusion Detection Intrusion Detection SystemSystem
System wykrywający próby System wykrywający próby włamańwłamań.
Jeżeli posłużymy się analogią, to firewalle pełnią rolę zamków a IDS jest systemem alarmowym wykrywającym włamanie do systemu informatycznego.
10
Systemy IDSjak to działa?
IDS działa na zasadzie ciągłego monitorowania zdarzeń.Potrafi w przetwarzanych danych wykryć cechy charakterystyczne dla próby nieautoryzowanego dostępu do systemu.
11
Systemy IDSjak to działa?
IDSy zbierają informacje z różnych źródeł. Najczęściej spotykane, to:
podsłuch ruchu sieciowegodane spływające do logów
systemowychdane o działaniach
podejmowanych przez użytkowników
12
Systemy IDSrodzaje IDSów
Ze względu na rodzaj informacji wejściowych dzielimy IDSy na:
Systemowe – HIDS (Host IDS)Sieciowe – NIDS (Network IDS)Stacji Sieciowej – NNIDS
(Network Node IDS)
13
NIDS – Network IDSzasada działania
Agent NIDS ustawia interfejs sieciowy w tryb podsłuchu i analizuje cały ruch, jaki się na nim pojawia.(uwaga: właściwe umiejscowienie IDSa w strukturze sieci)
Agent NIDS działa w czasie zbliżonym do rzeczywistego.(uwaga: wydajność platformy sprzętowo systemowej)
14
NIDS – Network IDSzasada działania
Ruch sieciowy jest analizowany w celu wykrycia fragmentów charakterystycznych dla:
różnych typów ataków (np. ping of death)
pewnych działań, które same w sobie nie są atakiem, lecz stanowią przygotowanie do ataku (np. skanowanie portów)
15
NIDS – Network IDStechniki wykrywania włamań
Pattern matchingKażdy podsłuchany pakiet jest porównywany bajt po bajcie z bazą, zawierającą fragmenty ruchu sieciowego charakterystyczne dla określonych sposobów atakowania systemów (tzw. sygnatury ataków).
(uwaga: wymaga sporej wydajności systemu. Zależność pomiędzy liczbą przetwarzanych danych lub liczbą wykrywanych ataków a zapotrzebowaniem na moc obliczeniową jest wykładnicza.)
16
NIDS – Network IDStechniki wykrywania włamań
Analiza protokołówAgent NIDS monitorujący ruch zna protokoły sieciowe, w związku z czym może wykryć pewne typy ataków przez wykrywanie pakietów o dziwnej strukturze. Np. dla ataku ping of death, który polega na wysłaniu bardzo długiego pakietu ICMP-echo (ping), agent zauważy nietypowy (bardzo długi) pakiet ICMP-echo.
17
NIDS – Network IDStechniki wykrywania włamań
Analiza protokołów c.d.Agenci NIDS posiadają mechanizmy, które umożliwiają:
analizę zależności pomiędzy kolejnymi pakietami (wykrywają m.in. flooding, skanowanie w poszukiwaniu otwartych portów)
defragmentację pakietów (wykrywają atak ukryty w wielu sfragmentowanych pakietach – technika stosowana przy oszukiwaniu prostych firewalli)
18
NIDS – Network IDStechniki wykrywania włamań
Analiza sesjiAgent wykrywa anomalie charakterystyczne dla całej sesji sieciowej (rekonstruuje strumień danych zaszyty w pakietach).Dzięki tej technice można wykryć anomalie charakterystyczne dla całej sesji sieciowej, a nie tylko dla pojedynczych pakietów.W ten sposób można np. wychwycić próby manipulowania numerami sekwencyjnymi, czy też próby obejścia firewalli stateful-in-spection
19
NIDS – Network IDStechniki wykrywania włamań
Analiza protokołów wysokopoziomowych
Wykrywanie ataków np. na serwer www opartych na wysyłaniu określonych komend do znanego skryptu CGI (np. test.cgi lub showcode.asp).
20
NIDS – Network IDSdziałania aktywne
Systemy NIDS nie tylko potrafią wykrywać atak, lecz także aktywnie mu zapobiegać.Zwykle stosuje się przerwanie sesji sieciowej. Zaawansowane IDSy potrafią współpracować z firewallami (np. Cisco NetRanger i routery Cisco) i blokować ruch ze źródła, z którego nadszedł atak.
(uwaga: podatność na DoS)
21
NIDS – Network IDSwiedza NIDSa
NIDSy opierają się na bazie sygnatur ataków.
Kluczową sprawą w zarządzaniu NIDSem jest możliwe częste aktualizowanie bazy ataków. Pamiętajmy o tym, że jeżeli IDS nie będzie nauczony danego sposobu atakowania systemów, to nie będzie również w stanie go wykryć.
22
NIDS – Network IDSrozmieszczenie NIDSa w systemie informatycznym
NIDS działa prawidłowo tylko w domenie kolizyjnej (tylko wtedy ma możliwość monitorować wszystkie pakiety krążące w danym segmencie LAN).
Stacja przeznaczona na instalację NIDSa powinna być jak najmniej widoczna (musi być maksymalnie utrudnione wykrycie jej przez potencjalnego intruza)
23
NIDS – Network IDSrozmieszczenie NIDSa w systemie informatycznym
Nieprawidłowe podłączenie IDSa w sieci
24
NIDS – Network IDSrozmieszczenie NIDSa w systemie informatycznym
Prawidłowe podłączenie IDSa w sieci
25
NIDS – Network IDSrozmieszczenie NIDSa w systemie informatycznym
IDS sprzężony z Firewall’em
26
NIDS – Network IDSproblem
Głównym kłopotem przy eksploatacji oprogramowania IDS jest kwestia false-positives, czyli fałszywych alarmów.Sygnatury ataków są przeważnie regułami o małym stopniu szczegółowości i skomplikowania. W związku z tym może się zdarzyć, że normalny, dozwolony ruch sieciowy wyzwoli alarm systemu IDS.Jeżeli administrator, który jest odpowiedzialny za reagowanie na alarmy IDS, jest przyzwyczajony do tego, że system generuje dużą liczbę fałszywych alarmów, bardzo często może zignorować komunikat informujący o realnym zagrożeniu.
27
Bezpieczeństwo segmentów bezprzewodowych sieci LAN
Podstawowe zasady bezpieczeństwa:
ograniczanie zasięgu sieci do bezpiecznego minimum
nadanie SSID nazwy będącej trudnej do odgadnięcia
wyłączony broadcast SSID blokowanie dostępu do sieci
urządzeniom sieciowym, których adres MAC nie widnieje na liście uprawnionych
28
Bezpieczeństwo segmentów bezprzewodowych sieci LAN
Podstawowe zasady bezpieczeństwa (c.d.):
regularne uaktualnianie firmware’u punktu dostępowego i kart sieciowych
zastosowanie kodowania WEP z możliwie najdłuższym kluczem szyfrującym
jeżeli to możliwe stosowanie kodowania WPA
jeżeli to możliwe, do autoryzacji połączeń stosowanie serwera RADIUS
29
Bezpieczeństwo segmentów bezprzewodowych sieci LAN
Podstawowe zasady bezpieczeństwa (c.d.):
regularne uaktualnianie firmware’u punktu dostępowego i kart sieciowych
zastosowanie kodowania WEP z możliwie najdłuższym kluczem szyfrującym
jeżeli to możliwe stosowanie kodowania WPA
jeżeli to możliwe, do autoryzacji połączeń stosowanie serwera RADIUS
30
Bezpieczeństwo segmentów bezprzewodowych sieci LAN
WEP (Wired Equivalent Privacy)
zabezpieczenia zalety wady
szyfrowanie RC4, statyczne klucze, opcjonalne (tylko) uwierzytelnienie 802.1x
duża popularność, standard akceptowany przez większość urządzeń 802.11 a/b/g
proste do złamania statyczne klucze szyfrujące, brak mechanizmów integralności ramek (intruz może dokładać własne pakiety), dla zapewnienia bezpieczeństwa niezbędne są dodatkowe środki np.: VPN
31
Bezpieczeństwo segmentów bezprzewodowych sieci LAN
WPA (WiFi Protected Access)
zabezpieczenia zalety wady
szyfrowanie RC4, dynamiczna wymiana kluczy szyfrujących (protokół TKIP), obowiązkowe uwierzytelnianie 802.1x (EAP, RADIUS) lub współużytkowany klucz (mechanizm WPA-PSK)
bezpieczniejszy niż WEP, możliwość łatwej integracji z istniejącymi sieciami bezprzewodowymi
jest to tylko tymczasowe rozwiązanie problemów bezpieczeństwa, wprowadzone jako łata dla systemu WEP, starsze urządzenia wireless mogą nie obsługiwać WPA
32
Dziękuję za uwagę!
Rafał Więckowski
