(do wykladu 4) - plik do notowania
Transkrypt
(do wykladu 4) - plik do notowania
Internetowe BD 2007 Politechnika Wrocławska Wrocław 2006(07) INTERNETOWE BAZY DANYCH materiały pomocnicze - wykład IV Paweł Skrobanek C-3, pok. 323 e-mail: [email protected] Politechnika Wrocławska PLAN NA „DZIŚ”: 1. Wprowadzenie - bezpieczeństwo 2. Umiejscowienie bazy danych w architekturze sieci firmowej 3. Podstawowe typy ataków 4. Składowanie, archiwizacja i ochrona danych 5. Konfiguracja firewall’a - iptables 2/26 Politechnika Wrocławska Wprowadzenie Aspekty związane z bezpieczeństwem IBD KLIENT • fałszowanie cookie, • pola zakryte, • dostęp do zasobów (pliki, katalogi, usługi) P.Skrobanek SERWER „web” • manipulowanie na danych wejściowych, • błędy w projektach skryptów SERWER aplikacji i BD • luki w ochronie i błędy w konfiguracji, • tylne wejścia, • przepełnienie bufora 3/26 1 Internetowe BD 2007 Politechnika Wrocławska Wprowadzenie Przykłady zagroŜeń: • SQL Slammer (robak - atak na Microsoft SQL, azja styczeń 2003, straty ok. 1,2 mld $), • drugi biuletyn Microsoft ( MS06_012 z marca 2006) naprawia błąd umoŜliwiający lokalne podniesienie swoich przywilejów do poziomu z którego korzystają usługi na nim uruchamiane. Błąd dotyczy tylko XP SP1 oraz Windows Server 2003 (źródło: http://hacking.pl/5848) 4/26 Politechnika Wrocławska Statystyka przestępstw komputerowych Oszustwo komp. art. 287 par.1-2 Uzyskanie inform. 267 par. 13 Zniszcz. lub zmiana istotnej inform. art. 268 par. 1-3 i 268a 217 323 279 368 168 390 568 444 113 240 175 215 232 248 260 370 49 48 118 167 138 89 98 136 1999 2000 2001 2002 2003 2004 2005 2006 Zniszcz. lub SabotaŜ zmiana komputero informacji art. wy art. 269 par. 1-2 269a 1 5 5 12 2 0 3 4 Źródło: http://www.policja.pl/index.php?dzial=4&id=321 1 19 5/26 Politechnika Wrocławska 2. Umiejscowienie bazy danych w architekturze sieci firmowej 6/26 P.Skrobanek 2 Internetowe BD 2007 Politechnika Wrocławska Umiejscowienie BD – przykład 1 7/26 Politechnika Wrocławska Umiejscowienie BD – przykład 2 8/26 Politechnika Wrocławska Umiejscowienie BD – sieci wirtualne Tunelowanie: 1. z wykorzystaniem IPSec, 2. z wykorzystaniem SSL (przezroczyste dla zapory) VPN (Virtual (Virtual Private Network) Network) – wirtualna sieć prywatna korzysta z publicznej infrastruktury telekomunikacyjnej, protokołów tunelowania i procedur bezpieczeństwa danych (UWAGA: wykorzystywane równieŜ w ramach LAN do odseparowania fragmentu sieci) 9/26 P.Skrobanek 3 Internetowe BD 2007 Politechnika Wrocławska Umiejscowienie BD – sieci wirtualne Zachęcam do przejrzenia źródła: http://pl.wikipedia.org/wiki/IPsec lub http://en.wikipedia.org/wiki/IPsec 10/26 Politechnika Wrocławska 3. PODSTAWOWE TYPY ATAKÓW 11/26 Politechnika Wrocławska 3. TYPY ATAKÓW Buffer overflow zapisanie łańcuchów danych przekraczających rozmiar bufora, przy niedopracowanych aplikacjach moŜe spowodować uzyskanie uprawnień do wykonywania swoich programów zapobieganie: instalacja łatek, przykład: błędy ODBC w serwerze webowym Microsoft (Windows NT) 12/26 P.Skrobanek 4 Internetowe BD 2007 Politechnika Wrocławska 3. TYPY ATAKÓW Wirusy robaki i konie trojańskie znane z Ŝycia codziennego ☺ zapobieganie: aktualne oprogramowanie antywirusowe, wyłączanie zbędnych usług. 13/26 Politechnika Wrocławska 3. TYPY ATAKÓW Spoofing podrabianie wiarygodnej toŜsamości, - fałszowanie adresu IP (zaufanie serwera lub udawanie kogoś innego), - podrabianie zaufanej witryny (moŜe klient się „zaloguje”), - i inne zapobieganie: zabezpieczenia firewall’a, podpisy cyfrowe, urządzenia separujące sieci (jeśli moŜliwe) 14/26 Politechnika Wrocławska 3. TYPY ATAKÓW DoS DoS (Denial of Service) przy uŜyciu standardowych protokołów lub procesów blokuje usługi, np. „ping śmierci”, otwierająca się ogromna liczba okienek, zapobieganie: właściwa konfiguracja firewall’a oraz zabezpieczenia po stronie komputera klienta, a takŜe np. moniorowanie sieci. 15/26 P.Skrobanek 5 Internetowe BD 2007 Politechnika Wrocławska 3. TYPY ATAKÓW Session Hijacking przejęcie istniejącego połączenia i odgrywanie roli jednej ze stron, zapobieganie: instalacja łatek, właściwe projektowanie i implementacja oprogramowania 16/26 Politechnika Wrocławska 3. TYPY ATAKÓW Normy i zalecenia w dziedzinie zarządzania bezpieczeństwem – patrz ksero. 17/26 Politechnika Wrocławska 4. Składowanie, archiwizacja i ochrona danych 18/26 P.Skrobanek 6 Internetowe BD 2007 Politechnika Wrocławska 4. OCHRONA DANYCH ZagroŜenia miejsca (budynku, statku itp.), huragan, trzęsienie ziemi, powódź, itp. utrata zasilania, wojna, terroryzm. Awarie sprzętu uszkodzenia pamięci masowej (np. dysku), błąd procesora, Niedziałająca infrastruktura sieciowa. awaria logiczna błędy oprogramowania, wirusy, robaki, itp. przypadkowe usunięcia danych. 19/26 Politechnika Wrocławska 4. OCHRONA DANYCH ZagroŜenia miejsca – wybrane techniki zapobiegania utratom danych: redundancja sprzętu – replika bazy danych wraz ze sprzętem na serwerze zapasowym (np. 30 km dalej), zasilacze UPS, własne generatory, monitorowanie i zabezpieczenie obiektów, systemy alarmowe itp. 20/26 Politechnika Wrocławska 4. OCHRONA DANYCH Awarie sprzętu – wybrane techniki zapobiegania utratom danych: redundancja sprzętu, Macierze RAID 1 (mirroring), RAID 5, backup i archiwizacja 21/26 P.Skrobanek 7 Internetowe BD 2007 Politechnika Wrocławska 4. OCHRONA DANYCH Błędy w oprogramowaniu – wybrane techniki zapobiegania utratom danych: takie, jak poprzednio, ochrona antywirusowa, aktualizacja oprogramowania, zapory sieciowe, itp. projetkowanie, implementacja, testowanie i walidacja oprogramowanie metodami formalnymi 22/26 Politechnika Wrocławska 4. OCHRONA DANYCH Rodzaje backupów: full backup, incremental backup, differential backup lokalny sieciowy 23/26 Politechnika Wrocławska 4. OCHRONA DANYCH Przykłady urządzeń wykorzystywanych do archiwizacji: macierze dyskowe RAID, urządzenia taśmowe - DAT, np. DDS-6 80GB, 5MB/s, - DLT (Digital Linear Tape), np. SDLT600 300GB, 32MB/s, - przyszłość: ? O-Mass-5 10 TB, 1GB/s (rok 2011), nośniki optyczne i magnetooptyczne 24/26 P.Skrobanek 8 Internetowe BD 2007 Politechnika Wrocławska 5. Konfiguracja firewall’a - iptables 25/26 Politechnika Wrocławska Bibliografia http://www.voicexml.org – VoiceXML, opis standardu, tutoriale http://ipsec.pl/leksykon/ipsec.php - opis protokołów związanych z tunelowaniem IP http://62.181.186.233/Mir/ - konfiguracja IP tables (wybieramy z menu: linux) 26/26 P.Skrobanek 9