320 likes | 475 Views
Sieci lokalne – metody zwiększania bezpieczeństwa. Bezpieczeństwo informacji w systemach komputerowych - PJWSTK. Rafał Więckowski paździenik 2005. Polityka bezpieczeństwa ogólnie.
E N D
Sieci lokalne – metody zwiększania bezpieczeństwa Bezpieczeństwo informacji w systemach komputerowych - PJWSTK Rafał Więckowski paździenik 2005
Polityka bezpieczeństwaogólnie • Działania mające na celu zabezpieczenie systemu przed: • ryzykiem utraty poufności (zdarzenie mogące doprowadzić do ujawnienia informacji przetwarzanej przez system informatyczny nieautoryzowanemu użytkownikowi)
Polityka bezpieczeństwaogólnie • Działania mające na celu zabezpieczenie systemu przed: • ryzykiem utraty dostępności (zdarzenie mogące doprowadzić do braku dostępu w określonym czasie do systemu informatycznego, programu lub informacji dla autoryzowanych użytkowników)
Polityka bezpieczeństwaogólnie • Działania mające na celu zabezpieczenie systemu przed: • ryzykiem utraty integralności (zdarzenie mogące doprowadzić do nieautoryzowanej modyfikacji lub zniszczenia danych przetwarzanych przez system informatyczny)
Polityka bezpieczeństwaochrona fizyczna wrażliwych elementów • Ochrona fizyczna wrażliwych elementów systemu komputerowego takich jak np. pomieszczenie, w którym pracuje serwer, czy stacja robocza administratora sieci. • Nawet ogromne pieniądze wydane na zabezpieczenia nie przyniosą rezultatów jeżeli nieuprawniony personel będzie miał dostęp do urządzeń typu konsola operatora.
Polityka bezpieczeństwabezpieczeństwo systemu operacyjnego • Powstały pojęcia poziomów bezpieczeństwa systemów operacyjnych oraz sposoby certyfikacji tych systemów. Na przykład systemy takie jak UNIX czy Microsoft Windows NT uzyskały certyfikat klasy C2. Oznacza to, że systemy te wyposażono w mechanizmy kontroli dostępu, gwarantowania zezwoleń na czytanie i zapis kartotek oraz plików przez określonych użytkowników oraz notowanie (auditing) dostępów i autoryzacji.
Polityka bezpieczeństwapodstawowe działania • Blokowanie wejść na stacjach roboczych • Instalacja oprogramowania antywirusowego • FireWall • Budowa LAN w oparciu o Switche • Aktualizacja oprogramowania
Polityka bezpieczeństwa • Każde zabezpieczenie można obejść. • Istotne jest, żeby wiedzieć o tym, że ktoś nieautoryzowany uzyskał dostęp do naszej sieci.
Systemy IDSco to jest? IDS – Intrusion Detection System System wykrywający próby włamań. Jeżeli posłużymy się analogią, to firewalle pełnią rolę zamków a IDS jest systemem alarmowym wykrywającym włamanie do systemu informatycznego.
Systemy IDSjak to działa? IDS działa na zasadzie ciągłego monitorowania zdarzeń. Potrafi w przetwarzanych danych wykryć cechy charakterystyczne dla próby nieautoryzowanego dostępu do systemu.
Systemy IDSjak to działa? IDSy zbierają informacje z różnych źródeł. Najczęściej spotykane, to: • podsłuch ruchu sieciowego • dane spływające do logów systemowych • dane o działaniach podejmowanych przez użytkowników
Systemy IDSrodzaje IDSów Ze względu na rodzaj informacji wejściowych dzielimy IDSy na: • Systemowe – HIDS (Host IDS) • Sieciowe – NIDS (Network IDS) • Stacji Sieciowej – NNIDS (Network Node IDS)
NIDS – Network IDSzasada działania Agent NIDS ustawia interfejs sieciowy w tryb podsłuchu i analizuje cały ruch, jaki się na nim pojawia. (uwaga: właściwe umiejscowienie IDSa w strukturze sieci) Agent NIDS działa w czasie zbliżonym do rzeczywistego. (uwaga: wydajność platformy sprzętowo systemowej)
NIDS – Network IDSzasada działania Ruch sieciowy jest analizowany w celu wykrycia fragmentów charakterystycznych dla: • różnych typów ataków (np. ping of death) • pewnych działań, które same w sobie nie są atakiem, lecz stanowią przygotowanie do ataku (np. skanowanie portów)
NIDS – Network IDStechniki wykrywania włamań Pattern matching Każdy podsłuchany pakiet jest porównywany bajt po bajcie z bazą, zawierającą fragmenty ruchu sieciowego charakterystyczne dla określonych sposobów atakowania systemów (tzw. sygnatury ataków). (uwaga: wymaga sporej wydajności systemu. Zależność pomiędzy liczbą przetwarzanych danych lub liczbą wykrywanych ataków a zapotrzebowaniem na moc obliczeniową jest wykładnicza.)
NIDS – Network IDStechniki wykrywania włamań Analiza protokołów Agent NIDS monitorujący ruch zna protokoły sieciowe, w związku z czym może wykryć pewne typy ataków przez wykrywanie pakietów o dziwnej strukturze. Np. dla ataku ping of death, który polega na wysłaniu bardzo długiego pakietu ICMP-echo (ping), agent zauważy nietypowy (bardzo długi) pakiet ICMP-echo.
NIDS – Network IDStechniki wykrywania włamań Analiza protokołów c.d. Agenci NIDS posiadają mechanizmy, które umożliwiają: • analizę zależności pomiędzy kolejnymi pakietami (wykrywają m.in. flooding, skanowanie w poszukiwaniu otwartych portów) • defragmentację pakietów (wykrywają atak ukryty w wielu sfragmentowanych pakietach – technika stosowana przy oszukiwaniu prostych firewalli)
NIDS – Network IDStechniki wykrywania włamań Analiza sesji Agent wykrywa anomalie charakterystyczne dla całej sesji sieciowej (rekonstruuje strumień danych zaszyty w pakietach). Dzięki tej technice można wykryć anomalie charakterystyczne dla całej sesji sieciowej, a nie tylko dla pojedynczych pakietów. W ten sposób można np. wychwycić próby manipulowania numerami sekwencyjnymi, czy też próby obejścia firewalli stateful-in-spection
NIDS – Network IDStechniki wykrywania włamań Analiza protokołów wysokopoziomowych Wykrywanie ataków np. na serwer www opartych na wysyłaniu określonych komend do znanego skryptu CGI (np. test.cgi lub showcode.asp).
NIDS – Network IDSdziałania aktywne Systemy NIDS nie tylko potrafią wykrywać atak, lecz także aktywnie mu zapobiegać. Zwykle stosuje się przerwanie sesji sieciowej. Zaawansowane IDSy potrafią współpracować z firewallami (np. Cisco NetRanger i routery Cisco) i blokować ruch ze źródła, z którego nadszedł atak. (uwaga: podatność na DoS)
NIDS – Network IDSwiedza NIDSa NIDSy opierają się na bazie sygnatur ataków. Kluczową sprawą w zarządzaniu NIDSem jest możliwe częste aktualizowanie bazy ataków. Pamiętajmy o tym, że jeżeli IDS nie będzie nauczony danego sposobu atakowania systemów, to nie będzie również w stanie go wykryć.
NIDS – Network IDSrozmieszczenie NIDSa w systemie informatycznym • NIDS działa prawidłowo tylko w domenie kolizyjnej (tylko wtedy ma możliwość monitorować wszystkie pakiety krążące w danym segmencie LAN). • Stacja przeznaczona na instalację NIDSa powinna być jak najmniej widoczna (musi być maksymalnie utrudnione wykrycie jej przez potencjalnego intruza)
NIDS – Network IDSrozmieszczenie NIDSa w systemie informatycznym Nieprawidłowe podłączenie IDSa w sieci
NIDS – Network IDSrozmieszczenie NIDSa w systemie informatycznym Prawidłowe podłączenie IDSa w sieci
NIDS – Network IDSrozmieszczenie NIDSa w systemie informatycznym IDS sprzężony z Firewall’em
NIDS – Network IDSproblem Głównym kłopotem przy eksploatacji oprogramowania IDS jest kwestia false-positives, czyli fałszywych alarmów. Sygnatury ataków są przeważnie regułami o małym stopniu szczegółowości i skomplikowania. W związku z tym może się zdarzyć, że normalny, dozwolony ruch sieciowy wyzwoli alarm systemu IDS. Jeżeli administrator, który jest odpowiedzialny za reagowanie na alarmy IDS, jest przyzwyczajony do tego, że system generuje dużą liczbę fałszywych alarmów, bardzo często może zignorować komunikat informujący o realnym zagrożeniu.
Bezpieczeństwo segmentów bezprzewodowych sieci LAN Podstawowe zasady bezpieczeństwa: • ograniczanie zasięgu sieci do bezpiecznego minimum • nadanie SSID nazwy będącej trudnej do odgadnięcia • wyłączony broadcast SSID • blokowanie dostępu do sieci urządzeniom sieciowym, których adres MAC nie widnieje na liście uprawnionych
Bezpieczeństwo segmentów bezprzewodowych sieci LAN Podstawowe zasady bezpieczeństwa (c.d.): • regularne uaktualnianie firmware’u punktu dostępowego i kart sieciowych • zastosowanie kodowania WEP z możliwie najdłuższym kluczem szyfrującym • jeżeli to możliwe stosowanie kodowania WPA • jeżeli to możliwe, do autoryzacji połączeń stosowanie serwera RADIUS
Bezpieczeństwo segmentów bezprzewodowych sieci LAN Podstawowe zasady bezpieczeństwa (c.d.): • regularne uaktualnianie firmware’u punktu dostępowego i kart sieciowych • zastosowanie kodowania WEP z możliwie najdłuższym kluczem szyfrującym • jeżeli to możliwe stosowanie kodowania WPA • jeżeli to możliwe, do autoryzacji połączeń stosowanie serwera RADIUS
Bezpieczeństwo segmentów bezprzewodowych sieci LAN WEP (Wired Equivalent Privacy)
Bezpieczeństwo segmentów bezprzewodowych sieci LAN WPA (WiFi Protected Access)
Dziękuję za uwagę! Rafał Więckowski