Laboratorium nr 3 - powtórka, zaliczenie
Transkrypt
Laboratorium nr 3 - powtórka, zaliczenie
Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych) SYSTEM OPERACYJNY I JEGO OTOCZENIE • System operacyjny/wersja, uaktualnienia, klucz produktu • Stan jego aktualizacji (harmonogram) • Stan sieci przewodowych/bezprzewodowych • Grupa robocza, Domena • Listę aktywnych usług/procesów • Nazwa komputera w sieci oraz nazwa w DNS-ie SPECYFIKACJA SPRZĘTOWA • Producent systemu BIOS • Producent płyty głównej • Model płyty głównej • Kontroler dysku • Karta sieciowa / Adres fizyczny/ MAC • Kontrolery USB • Model procesora i jego prędkość taktowania • Dysk twardy – wielkość oraz producent OPROGRAMOWANIE NARZĘDZIOWE • Wersje takich narzędzi jak: przeglądarka internetowa, klient poczty, pakiet biurowy • Wersja Windows media player • Inne niezbędne narzędzia Informacje te są niezbędne do odtworzenia stanu komputera po awarii, czy włamaniu Audyt bezpieczeństwa systemu oraz systemy dbające o bezpieczeństwo systemu AUDYT BEZPIECZEŃSTWA SYSTEMU SYSTEM DBAJĄCE O BEZPIECZEŃSTWO Jak sprawdzać, weryfikować stan bezpieczeństwa systemu? Systemy wykrywania i usuwania wrogiego oprogramowania (wirusy, robaki, programy szpiegujące itp.) Za pomocą pakietu MBSA Microsoft Baseline Security Analyzer (MBSA) • umożliwia ocenę stanu wybranych aplikacji pod względem błędów konfiguracyjnych wpływających na bezpieczeństwo całego systemu. • Program pozwala na ocenę stanu aktualizacji oprogramowania (aktualizacje (tzw. „łaty”) systemu operacyjnego, zainstalowanych aplikacji np. MSOffice). Możliwa jest np. ocena bezpieczeństwa aplikacji Microsoft SQL Server czy Microsoft Internet Information Services (IIS). • MBSA 2.1 jest zintegrowany z usługą Windows Server Update Services umożliwiającą porównanie stanu systemu z najbardziej aktualnymi danymi katalogu aktualizacji. • Wynik działania programu może być zapisany w formie raportu w celu dalszej analizy stanu zabezpieczeń systemu. Analiza wpisów w dziennikach systemu Windows (ustalanie zdarzeń oraz podgląd tych zdarzeń, działanie usług) Linux (katalog /var/log, logwatch – narzędzie podsumowujące wpisy w dziennikach systemowych, działanie usług) Microsoft Security Essentials (MSE) • • • • służy do zabezpieczania systemu Windows przed działaniem wrogiego oprogramowania takiego, jak wirusy, rootkity, trojany, spyware itd.. Program oferuje przyjazny i prosty w użyciu interfejs graficzny, Trzy tryby skanowania (pełne, skrócone i użytkownika, w którym możemy wybrać dyski, a nawet poszczególne foldery), harmonogram skanowania, aktualizacje baz sygnatur (automatyczne lub definiowane przez użytkownika) Inne • • • • • • Symantec Kaspersky ESET NOD32 AVAST ARCAVIR MKS-VIR Przeprowadzanie audytów pozwala na ustalenie/weryfikację stanu bezpieczeństwa teleinformatycznego w organizacji Zabezpieczanie systemu Windows ZASADY ZABEZPIECZEŃ LOKALNYCH INSPEKCJA Zasady lokalne /zasady inspekcji • • • • • • • • Zasady konta (zasady haseł, zasady blokady konta) . Zapora systemu Windows (zaawansowana) Zasady menedżera listy sieci Zasady kluczy publicznych Zasady ograniczeń oprogramowania Zasady sterowania aplikacjami Zasady zabezpieczeń IP Konfiguracja zaawansowanych zasad inspekcji • • Czy moje hasło jest bezpieczne? Czy można moje hasło złamać? Sprawdzanie siły hasła hasła jednorazowe, hasła generowane za pomocą generatorów Wprowadzenie polityki zasad bezpieczeństwa (lokalnych lub w domenie) pozwala na uniknięcie wielu zagrożeń Przeprowadzanie inspekcji pozwala ustalić, czy wprowadzone zasady działają i czy występują naruszenia tych zasad Bezpieczne korzystania z sieci internet/intranet Z punktu widzenia klienta Z punktu widzenia sieci Opcje internetowe •Zakładka Zabezpieczenia (strefy: Internet, Lokalny intranet, Zaufane witryny) •Prywatność (włącz blokowanie wyskakujących okienek, zawansowane) •Zawartość (kontrola rodzicielska, klasyfikator treści, Certyfikaty SSL) •Używanie klientów poczty, baz danych z odpowiednimi bezpiecznymi połączeniami • Minimalizacja domen kolizyjnych / stosowanie przełączników • Separacja ruchu poprzez vlan (wirtualne sieci) • Stosowanie szyfrowanych transmisji np. IpSeC • Zabezpieczanie urządzeń sieciowych -> kto ma dostęp fizyczny, kto ma dostęp administracyjny do urządzeń Podejrzany komputer Objawy: Karta sieciowa wykazuje duży ruch Co robić!!! monitorowanie połączeń za pomocą netstat Blokowanie takich połączeń na poziomie zapory systemowej lub zapory sieciowej Odłączenie komputera od sieci Sprawdzanie systemu różnymi narzędziami antywirusowymi etc. Wiarygodność plików, dokumentów Skąd wiemy, że plik/dokument który pobraliśmy/otrzymaliśmy nie uległ zmianie? • Podmiana w zasobach udostępnianych – Stosowanie md5sum oraz innych narzędzi do kontroli wersji dokumentów/plików Stosowanie skrótów cyfrowych zabezpiecza nas przed prostą podmianą pliku/dokumentu Szyfrowanie plików systemów plików • Szyfrowanie dysków funkcją BitLocker • Szyfrowanie folderów/plików za pomocą EFS – wbudowany mechanizm • TrueCrypt dla Windows – tworzenie zaszyfrowanych woluminów Szyfrowanie plików, systemów plików zapobiega nieautoryzowanym dostępom do pliku/folderu Bezpieczna poczta • • • • Reguły filtrów Dobry filtr antyspamowy!!! Dobry antywirus!!! Prawidłowe posługiwanie się klientem poczty z punktu widzenia różnych zagrożeń: podejrzane załączniki, odnośniki oraz treść Skanowanie sieci lub wybranego komputera/usługi • Użycie narzędzia zenmap (interfejs GUI (frontend) dla nmap • Celem tego narzędzia może być rozwiązywanie własnych problemów sieciowych (problemy usług) • Innym celem może być przygotowanie informacji o sieci/komputerze/usłudze na którą przygotowujemy atak System detekcji intruzów oraz prewencji • Snort /analiza pakietów sieciowych/ • Fail2ban /analiza logów systemowych/ • Zasady zabezpieczeń lokalnych/domenowych • Inne rozwiązania sprzętowe –zamykające porty intruzom w wewnętrznej sieci Podsłuch w sieci – narzędzie wireshark • Możliwości podsłuchu zależne są od zabezpieczeń sieci oraz rodzaju urządzeń znajdujących się wewnątrz sieci • Administrator -> zawsze może wykonać analizę ruchu sieciowego • Unikanie autoryzacji przeprowadzanej za pomocą otwartego tekstu w warunkach słabo zabezpieczonej sieci