1 / 30

IT Arkitektur og Sikkerhed

IT Arkitektur og Sikkerhed. Netværks-, Internet- og applikationssikkerhed. Indhold. Authentikering Firewalls Intrusion Detection. 0. Identifikation Jeg er: "Username". asteffen. ********. 3. Accounting. Autentifikation Bevise at jeg er "Username". Autentifikation. Username:.

serena
Download Presentation

IT Arkitektur og Sikkerhed

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IT Arkitektur og Sikkerhed Netværks-, Internet- og applikationssikkerhed

  2. Indhold • Authentikering • Firewalls • Intrusion Detection

  3. 0. Identifikation Jeg er: "Username" asteffen ******** 3. Accounting • Autentifikation • Bevise at jeg er "Username" Autentifikation Username: Password: User 2. Autorisation (Adgang)

  4. asteffen Username: Password: aznHu4Um 01 Z4GH 06 IKDX02 67TS 07 9PL703 UR2A 08 NFLB04 TIQV 09 K91D05 3Z5P 10 HA85 Fingerprint Iris/Retina Scanning Voice Face Typer af Autentificering • Hvad du ved(password, PIN, shared secret) • Hvad du har (Token, Smartcard, Certifikat, Scratch List) • Hvad du er (Biologisk pattern, f.eks. fingeraftryk)

  5. Fysisk sikkerheds perimeter Autentifikations mekanisme Adgangs kontrol mekanisme Direkte autentifikation SysAdmin • Password kan blive sniffet • Mest til små sites? 

  6. Problem??? Hvad med en klient der forbinder sig til mange systemer?

  7. RADIUS Agent Indirekte Autentifikation user: jdoe pw: asdf Access Request Secured Radius Protocol Access-Accept or Access-Reject logon at ... eller access denied Brugeren som gerne have adgang til en server eller ressource RADIUS Server • Bruges ofte med one-time passwords, F.eks. RSA‘s SecureID • Ved hjælp af Extensible Authentication Protocol (EAP) supporterer radius i dag også andre typer (smartcards, biometrical devices, etc.).

  8. Eksempler på indirekte autentifikation • Remote autentificerings protokoller • TACACS+ óg RADIUS • Microsoft Windows • NT LAN Manager (NTLM) • Domain Controllers er autentifikations servere • Kerberos • En nøgle distributions protokol der også kan lave autentifikation • Internet Standard, oprindeligt udviklet på MIT • Bliver brugt i Windows 2000 og fremefter med det formål at erstatte NTLM

  9. Domain: Wonderland Username: Alice Password: 2Uh7& Alice, f68ba0537, 51ff1d83 Alice OK f68ba0537 51ff1d83 NTLM protokollen • Windows NTLAN Manager er en propritær Microsoft standard • Meget typisk eksempel på en Challenge-Response protocol. User Alice: KeyA Server User Alice Domain Controller (DC) H(2Uh7&) = KeyAE(f68ba0537, KeyA) = 51ff1d83 Challenge: f68ba0537 E(f68ba0537, KeyA) = 51ff1d83Comparison with 51ff1d83 – ok? H: Hash functionE(x, k): Encryption of x with key k

  10. Kerberos

  11. Off-line authentication • F.eks. af browser til verifikation af server • Check af credentials off-line • F.eks. public keys til verifikation af digitale signaturer

  12. Biometriske passwords • Sammenligner brugers biometriske data med tidligere pattern • False Acceptance Rate (FAR) måler sandsynligheden for et falsk match. VIGTIGT!

  13. Biometriske passwords

  14. Internet Forskellige typer firewall’s • Packet Filtering • Stateful Inspection • Application-Layer

  15. Sammenhæng med OSI Applikations firewall Typiske netværks firewall

  16. Content scanner • Typisk ikke ”stand-alone” firewall men i sammenhæng med firewall (ICAP) • ”Højere” end application layer • Tjekker for data i f.eks. HTTP eller SMTP strøm. • Kunne være ting som: • Virus scanning • Java/ActiveX • Ord • Downlaod af ulovlige filtyper • Screening for P2P, Messaging etc.

  17. Internet Screened Subnet External Firewall Internal Firewall LAN Firewalls – Ekstra sikkert

  18. Internet Screened Subnet Firewall LAN Firewalls – Normal firewall design

  19. Hvad beskytter en firewall ikke mod? • Trafik, der ikke kommer gennem den  • Malicious trafik, som kommer på en åben port, og som ikke tjekkes på applikationslaget • Malicious krypteret trafik på en lovlig port • Angreb efter at et netværk er kompromiteret • Trafik, der ser legitim ud • Brugere, der kommer til at installere en virus

  20. Gode principper ved valg af firewall • Minimum to lag firewall • Firewall lag bør være af forskellig fabrikat - Cisco, CheckPoint, CyberGuard etc.) • Firewall bør være forskellig type - netværks firewall (stateful inspection), applikations firewall (i.e. ikke circuit-level) • Ingen direkte sessioner. Alle sessioner til og fra internt netværk termineres/proxies i DMZ • Alle udgående sessioner SKAL authentikeres (Kerberos, Certifikat etc.)

  21. Gode principper ved valg af firewall • Udgående WWW sessioner SKAL content checkes (virus, kode, SSL osv.) • Indgående sessioner skal anvende stærk authenikering (certifikat/two-factor) • Indgående og udgående sessioner og pakker må ikke være krypterede MEDMINDRE de bliver content scannede centralt • Indgående sessioner skal gennem application layer filter (check af datastrøm med applikationsforståelse) • Intrusion Detection på DMZ + logging af alt på alle sikkerhedskomponenter til central logkonsoliderings server

  22. Hvad er Intrusion Detection? The art of detecting inappropriate, incorrect, or anomalous activity. ID systems that operate on a host to detect malicious activity on that host are called host-based ID systems, and ID systems that operate on network data flows are called network-based ID systems. http://www.sans.org/newlook/resources/IDFAQ/what_is_ID.htm

  23. HIDS og NIDS • Host Based Intrusion Detection System (HIDS) • Er typisk noget software installeret på et system • Agent-baseret • Monitorerer multiple data sources, f.eks. filsystem, meta-data og logfiler • Wrapper-baseret • Virker som en slags firewall – forbyder eller accepterer forbindelser eller logon baseret på en policy

  24. HIDS og NIDS Network Intrusion Detection System (NIDS) • Monitorerer trafik på netværket • Reporterer om trafik der ikke ser normal ud • Anomaly-baseret • Pakkestørrelse, destination, protokoldistribution etc. • Kan være svært at lave en god base-line for, hvad “normal” trafik er • Signatur-baseret • Anvender signatur fra DB • Fleste produkter i dag bruger signatur-baserede teknologier

  25. Signaturbaserede NIDS • Signaturbaserede • Prøver at matche header fields, portnumre, indhold • Sniffer trafik • Fordele • Ingen indlæringskurve • Virker out-of-the-box for velkendte angreb • Snort har ~1900 signaturer • Dragon har ~1700 signaturer • Ulemper • Nye angreb! • Falske positive • Nemt at overvinde

  26. Signaturer T A A S 10 20 6668 IRC:XDCC /5Bxdcc/5Dslt | | | | | | | | | | | | | | | | | SEARCH STRING | | | | | | | EVENT NAME | | | | | | PORT | | | | | | | | | | | COMPARE BYTES | | | | | | | | | DYNAMIC LOG | | | | | | | BINARY OR STRING | | | | | PROTECTED NETWORKS | | | DIRECTION | PROTOCOL

  27. NIDS – Styring • Korrelation er vigtigt!!! • Brug mange sensorer • Et enkelt data opsamlingssted • Syslog • DBMS • Tekstfiler

  28. NIDS – Hvor??? • Indenfor firewall’en • Mange gange for meget data, men færre falsk positive • Udenfor • Viser også ting som alligevel bliver afvist • NIDS SKAL kunne klare alt data!!!

  29. Intrusion Prevention • Skal være in-line • Hardware • Redundans • Er en slags IDS/Firewall hybrid • Hogwash

  30. Og så… • Til gruppe arbejde

More Related