1 / 57

Ochrona dogłębna sieci w nowoczesnej organizacji

Ochrona dogłębna sieci w nowoczesnej organizacji. Maciej Miłostan , Gerard Frankowski, Marcin Jerzak Zespół Bezpieczeństwa PCSS. Agenda. Sfery i wymiary bezpieczeństwa Przykładowe zagrożenia i ataki Strategia dogłębnej ochrony – Defense-In-Depth Wybrane środki obrony. PCSS.

nuwa
Download Presentation

Ochrona dogłębna sieci w nowoczesnej organizacji

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Ochrona dogłębna sieci w nowoczesnej organizacji Maciej Miłostan, Gerard Frankowski, Marcin Jerzak Zespół Bezpieczeństwa PCSS

  2. Agenda • Sfery i wymiary bezpieczeństwa • Przykładowe zagrożenia i ataki • Strategia dogłębnej ochrony – Defense-In-Depth • Wybrane środki obrony

  3. PCSS • Operator sieci PIONIER oraz POZMAN • Uczestnik europejskich i krajowych projektów naukowo-badawczych • Realizacja prac B&R z nauką, administracją oraz biznesem • Główne obszary zainteresowań • Sieci nowej generacji (NGN) • Nowe architektury przetwarzania danych • Zaawansowane aplikacje • Usługi Internetu Przyszłości • Bezpieczeństwo sieci i systemów

  4. Bezpieczeństwo IT w PCSS • Zespół Bezpieczeństwa PCSS utworzony w 1996 r. w strukturze Działu Komputerów Dużej Mocy PCSS • Podstawowe zadania • Zabezpieczanie infrastruktury PCSS, sieci PIONIER i POZMAN • Zadania bezpieczeństwa w projektach R&D • Zabezpieczanie usług i infrastruktury • Tworzenie oraz wdrażanie systemów bezpieczeństwa • Konferencje, szkolenia i transfer wiedzy • Własne badania bezpieczeństwa • Współpraca zewnętrzna w zakresie bezpieczeństwa IT • Więcej: http://security.psnc.pl

  5. Współpracowaliśmy między innymi z:

  6. Wiele wymiarów bezpieczeństwa • Warstwy, obszary, różnorodne czynniki

  7. Sfery i wymiary bezpieczeństwa Wiele warstw ochrony • Zasoby mogą być chronione na wielu poziomach. Poziomy mogą być definiowane z wielu różnych perspektyw Chroniony zasób • Dane, serwery, aplikacje, usługi, budynki, ludzie Wymiary/Obszary bezpieczeństwa • Bezpieczeństwo danych, • Bezpieczeństwo fizyczne, • Bezpieczeństwo techniczne, • Logistyka i procedury bezpieczeństwa,

  8. Obszary bezpieczeństwa Bezpieczeństwo fizyczne Logistyka i procedury bezpieczeństwa Bezpieczeństwo danych Bezpieczeństwo techniczne

  9. Zagrożenia dla ciągłości biznesu a obszary bezpieczeństwa

  10. BYOD, chmury itp. • Nowe trendy, nowe problemy, nowa odsłona starych zagrożeń • Prywatne urządzenia w sieci firmowej – za, a nawet przeciw • Przechowywanie danych firmowych w chmurach (przy użyciu służbowych i prywatnych urządzeń)

  11. Co chcemy chronić? Zasoby, usługi… • Każda firma świadczy jakieś usługi lub wytwarza produkty • Wiele firm wykorzystuje usługi IT do tego, by świadczyć swoje usługi lub sprzedawać produkty, • E-mail, telefon, faks… • Własne aplikacje / oprogramowaniefirm trzecich (BOK, sklep internetowy) • Aplikacje działają na serwerach własnych lub u dostarczyciela usługi (outsourcing) • Czy aplikacjom coś grozi? • Jakie zagrożenia występują w „warstwie aplikacji”?

  12. Ataki na aplikacje / usługi • Odmowa usługi (ang. DoS/DDoS) • Cross SiteScripting(ang. XSS) • Przepełnienie bufora (ang. BufferOverflow) • Wstrzyknięcie kodu SQL (ang. SQL Injection) • Dołączenie zdalnych (z innego serwera) plików (ang. RemoteFile Inclusion)

  13. (R)Ewolucja zagrożeń w sektorze IT • Nowe technologie – nowe zagrożenia • Bezpieczeństwo też jest procesem, a nie stanem! % Źródło: www.internet-security-days.com Źródło: cve.mitre.org

  14. Czynnik ludzki • Cel ataku: coraz szersze grono użytkowników o różnych stopniach technicznego zaawansowania • Dziś każda większa firma musi działać online • Wymieniać informacje • Istnieć w Internecie • Kto korzysta z rozwiązań IT? • Administrator? • Programista? • Kadrowy? • Obsługa Klienta? • Przedstawiciel handlowy? • Asystent? • … ? W 48 z 50 przypadków osoby, które znalazły podrzuconego smartfona, uruchamiały zainstalowane tam aplikacje Paweł Wojciechowski, Symantec – maj 2012

  15. Wiele miejsc,gdzie może wystąpić problem • Oprogramowanie – podatności i konfiguracja • Używane aplikacje klienckie • Serwery (WWW, bazy danych) • System operacyjny • Brak albo niewłaściwe systemy bezpieczeństwa • Konfiguracja sieci, urządzeń • Procedury i polityki • Działania użytkownika • Także inżynieria społeczna! Co roku odkrywa się kilka tysięcy podatności bezpieczeństwa oprogramowania (w 2011 roku zgłoszono ich 4989) Symantec Internet Threat Report – kwiecień 2012

  16. Ataki z zewnątrz i od wewnątrz • Sieć często jest odpowiednio chroniona od strony Internetu • Sieć wewnętrzną chroni się nie tak dobrze, bo traktowana jest jako środowisko zaufane

  17. Ewolucja zagrożeń IT

  18. Ataki AdvancedPersistentThreats • Ataki APT są wykonywane przy pomocy zaawansowanych, ukierunkowanych scenariuszy w celu uzyskania i utrzymaniadostępu (dla stałej korzyści) • Np. kradzież tajemnic firmy • Ofiarą padły m.in. Google i Adobe • Ataki APT wykorzystują: • Wyjątkowo wyrafinowane złośliwe oprogramowanie • Nieznane podatności, tzw. 0-day • Inżynierię społeczną If anyone attempts to sell your organization on a hardwareor software solution for APT, theyeither don’t understand APT, don’t really understand how computers work, or are lying – or possiblyall three Gavin Reid, Cisco CSIRT – marzec 2011

  19. Przykład • Specjalnie spreparowany e-mail z załącznikiem doc/pdf/jpg etc. • Z zaproszeniem na bankiet w Ratuszu albo pod Sejmem / zapytaniem ofertowym / zdjęciem kochanki(-a) • W pliku osadzony dla przykładu obiekt flash (wykryto dużo podatności w ubiegłym roku) • Po otwarciu skrypt Flash uruchamiany jest np. przez MS Word za pomocą Internet Explorera • FlashPlayer wykonuje złośliwy kod z poziomu przeglądarki • Kod łączy się z Internetem i pobiera kolejną porcję malware-u. • Modyfikowane są atrybuty złośliwych plików, aby utrudnić identyfikację • Komputer został zainfekowany i może być inwigilowany

  20. Ataki D(r)DoS • Distributed (reflected) Denial of Services Źródło : http://cloudflare.com

  21. Rodzaje ataków (Q1 2013) - Prolexic Źródło : http://www.prolexic.com

  22. Atak na Spamhaus • Marzec 2013 • Największy odnotowany w historii • 300 Gbps w szczytowym momencie • Trzy fazy: • Spamhaus • Cloudflare • Usługodawcy Cloudflare Źródło : http://www.enisa.europa.eu

  23. Kluczowi gracze – historia w tle

  24. Metody ataku na SpamHaus • Niezbyt wyrafinowane, ale skuteczne • Amplifikacja przy użyciu otwartych „resolwerów” DNS (OpenDNSresolvers) – co ciekawe, niektóre domowe routery uruchamiają tego typu usługi domyślnie • Spoofing (fałszowanie)adresów źródłowych • Ataki na protokół BGP • Ogłaszanie fałszywych prefix-ów w węzłach międzyoperatorskich (IX), m.in. w NL-IX router# show ipbgp 204.16.254.40 BGP routingtableentry for 204.16.254.40/32 Paths: (1 available, best #1, tableDefault-IP-Routing-Table) Advertised to non peer-grouppeers: xxx.xxx.xxx.xxx34109 51787 1198 193.239.116.204 from 193.239.116.204 (84.22.127.134) Origin IGP, metric 10, localpref 140, valid, external, bestLastupdate: Tue Jan 5 11:57:27 1971 Spamhaus CyberBunker

  25. Metody ataku na Allegro • Allegro miało prawdopodobnie do czynienia z dwoma rodzajami ataków: • SYN flood-y, • GET flood-y, • Obrona przed atakami przebiegała w sposób dynamiczny, tj. dobierano narzędzia i rozwiązania do obserwowany wzorców i celów ataków • Wypracowano kilka własnych rozwiązań, które umożliwiają obronę przed kilkoma rodzajami zidentyfikowanych ataków • W trakcie odpierania ataku wykorzystywano wiedzę o wewnętrznej budowie systemu • Nieoficjalnie wiadomo, że sposoby ataku zmieniały się w odpowiedzi na podjęte działania obronne • W uzupełnieniu do własnych mechanizmów zdecydowalno się również na podjęcie współpracy z firmą Prolexic

  26. Przerwanie Przechwycenie Ataki na bezpieczeństwo danych (w tranzycie) Modyfikacja Podszywanie się/Fałszerstwo

  27. Usługi i mechanizmy wykorzystywane do ochrony danych • Klasyfikacja usług • Poufność (confidentiality) • Uwierzytelnienie (authentication) • Nienaruszalność (integrity) • Niezaprzeczalność (non-repudiation) • Kontrola dostępu (accesscontrol) • Dostępność danych/usług (availability) • Mechanizmy • Element wspólny = techniki kryptograficzne Warszawa, 17.09.2013 Ja Monika Kowalski, chora na umyśle i zdrowa na ciele oświadczam, co następuje.... Ja Jan Kowalski ...

  28. Jak się chronić? • Czy jest to w ogóle możliwe?

  29. Realia i ekonomia bezpieczeństwa • Nie są dostępne systemy w 100% bezpieczne • Ale koszt ataku musi być tylko wyższy niż oczekiwany zysk • Nie jest potrzebne całkowite bezpieczeństwo! • Trzeba mnożyć trudności napastnikowi • Koszt zabezpieczeń musi być dostosowany do wartości aktywów Koszt czasowy oraz finansowy certyfikacji systemu do poziomu EAL4: do 2 lat i 350 000 USD (formalna poprawność to poziom EAL7!) US GovernmentAccountability Office - 2006

  30. Kompleksowa ochrona • Bezpieczeństwo nie może być cechą dodaną po zakończeniu projektu (to za drogo kosztuje) Przykład: błędy oprogramowania. Naprawianie ich po wydaniu aplikacji może być kilkaset razy droższe niż na etapie pisania kodu! Marco M. Morana - 2006 Źródło:BuildingSecurity Into The Software Life Cycle, Marco M. Morana, 2006

  31. Strategia Defense-in-Depth • Ochrona dogłębna – na wielu różnych warstwach • Napastnik znajdzie błąd np. w aplikacji WWW, ale nie wykorzysta go, gdy: • Serwer WWW jest dobrze skonfigurowany. Nie można wykonać w zaatakowanym systemie dowolnego kodu. • System IDS wykryje niepożądane działania i powiadomi administratora. • Strategia podwyższa koszt udanego ataku, czyniąc go potencjalnie nieopłacalnym dla napastnika

  32. Omówienie wybranychwarstw zabezpieczeń

  33. Ochrona serwera (1) • Konfiguracja systemu operacyjnego • Poprawna instalacja • Wybór ról serwera • Konfiguracja systemu firewall • Szablony zabezpieczeń • Konfiguracja sieci • Aktualizacje • Ochrona antywirusowa • Użytkownicy • Konfiguracja inspekcji, dzienników zdarzeń

  34. Ochrona serwera (2) • Konfiguracja usług • Minimalizacja uprawnień użytkownika (NTFS, rejestr)‏ • Ustawienie quoty • Logowanie działania usługi • Przydziały zasobów pamięciowych i procesora • Zasady specyficzne dla usługi • Narzędzia producenta (dla serwerów Windows) • Microsoft Security Compliance Manager • Microsoft Web ConfigurationAnalyzer • Microsoft Baseline Security Analyzer

  35. 22 123 80 80 666 http://somewhere.pl?param=<script>alert(document.cookie)</script> 80 http://somewhere.pl?param=<script>alert(document.cookie)</script> Ochrona aplikacji (1) • Dlaczego potrzebujemy ochrony na poziomie aplikacji? • Trudności w odseparowaniu ruchu złośliwego

  36. Ochrona aplikacji – przykład błędu

  37. Ochrona aplikacji (2) • Kluczowe obszary • Kompletność projektu pod kątem zabezpieczeń • Filtrowanie danych wejściowych • Jakość tworzonego kodu • Konfigurowalność i łatwość użytkowania • Zabezpieczenia • Ocena koncepcji/projektu • Statyczna lub dynamiczna analiza kodu • Testy automatyczne oraz manualne • Testy penetracyjne

  38. Omówienie wybranychwarstw zabezpieczeń – ochrona sieci

  39. Ochrona sieci • Ograniczony dostęp do sieci komputerowej • Uwierzytelnianie użytkowników/urządzeń przy podłączaniu do sieci (IEEE 802.1x) • Filtrowanie i profilowanie ruchu • Wdrożenie proaktywnych i reaktywnych mechanizmów ochrony przed atakami (np. przed DDoS) • Proaktywne – usuwanie podatności, ale także podnoszenie świadomości użytkowników i pracowników • Reaktywne – detekcja anomalii i szybka reakcja, (IDS, fail2ban, OSSEC itp.)

  40. IEEE 802.1X • Protokół uwierzytelniania w sieciach LAN: • bezprzewodowych • przewodowych Sys. op. wspierający ten standard ftp://ftp.dlink.it/FAQs/802.1x.pdf

  41. IEEE 802.1x (1) • Standard ten definiuje kontrolę dostępu opartą na modelu klient-serwer wraz z protokołami uwierzytelniania uniemożliwiającymi dostęp do sieci nieautoryzowanym urządzeniom za pośrednictwem publicznie dostępnych portów. Serwer uwierzytelniania przeprowadza uwierzytelnianie każdego klient, który podłącza się do sieci, zanim zaoferuje mu jakąkolwiek usługę.

  42. IEEE 802.1X (2) • Bazujące na portach • Port na przełączniku aktywowany dopiero po uwierzytelnieniu • Bazujące na adresach fizycznych • Wielu użytkowników może używać tego samego portu jednocześnie i istnieje możliwość ograniczenia liczby adresów MAC, które się komunikują przy jego użyciu

  43. Zapora nowej generacji i kompleksowe zarządzanie bezpieczeństwem • NextGeneration Firewall • Filtracja w warstwie aplikacji • Coś więcej niż tylko blokowanie per port/ip/protokół • UTM (ang. unified threat management) • „Kompleksowe zarządzanie”

  44. Strategie obrony przed DDoS • Po atakach na SpamHaus ENISA wydała w swoim dokumencie rekomendacje: • Agencja ENISA (UE): „Internet Service Providers fail to apply filtersagainst big cyber attacks” • Wskazano trzy obszary, w których należy wdrożyć najlepsze bieżące praktyki (BCP, bestcurrentpractice) : • implementacja BCP38 – ograniczenie fałszowania adresów źródłowych • implementacja BCP 140 – zabezpieczenie DNS • zabezpieczenie się przed atakami BGP

  45. BCP 38 • Network IngressFiltering: DefeatingDenial of Service Attackswhichemploy IP SourceAddressSpoofing • Rekomendacja opublikowana w maju 2000 (13 lat temu!) • Celem jest zapobieganie fałszowaniu źródłowych adresów IP • Filtrowanie ruchu źródłowego (IngreessFiltering) • uRPF (UnicastReversePathForwarding) RFC3704działa w 3 trybach, pakiet jest przekazywany, gdypojawia się na interfejsie będącym: • Strictmode (najlepszą ścieżką do nadawcy) • Feasiblemode (jedną ze ścieżek do nadawcy) • Loosemode (istnieje ścieżka do nadawcy) • Wdrożenie zalecenia pozwala na łatwe zlokalizowanie źródła ataku Źródła: http://tools.ietf.org/html/bcp38 http://tools.ietf.org/html/rfc3704

  46. BCP 140 (1) • PreventingUse of RecursiveNameserversinReflectorAttacks • Rekomendacja opublikowana w październiku 2008 • Zbiór dobrych praktyk dotyczących konfiguracji rekursywnych serwerów DNS • Wprowadzenie rozszerzeń EDNS0 (RFC2671) wymaganych przez DNSSEC zwiększyło potencjał serwerów DNS do wykorzystania ich jako amplifikatorów ataków sieciowych (query/packetsize = 80)

  47. BCP 140 (2) Rekomendacje: • By default, nameserversSHOULD NOTofferrecursive service to external networks • Ograniczenie dostępu do rekursywnych serwerów DNS wyłącznie do własnych sieci i interfejsów • Ewentualne wdrożenie mechanizmu podpisywania zapytań TSIG w celu autoryzacji klientów • Użytkownicy mobilni powinni korzystać z lokalnych buforujących resolverów uruchomionych na urządzeniach mobilnych, bądź korzystać serwerów DNS za pośrednictwem VPN Źródła: • http://tools.ietf.org/html/bcp140 • http://tools.ietf.org/html/rfc2671

  48. Omówienie wybranychwarstw zabezpieczeń – ochrona danych w trakcie komunikacji

More Related