(do wykladu 4) - plik do notowania

Transkrypt

Internetowe BD 2007
Politechnika Wrocławska
Wrocław 2006(07)
INTERNETOWE
BAZY DANYCH
materiały pomocnicze - wykład IV
Paweł Skrobanek
C-3, pok. 323
e-mail: [email protected]
PLAN NA „DZIŚ”:
1. Wprowadzenie - bezpieczeństwo
2. Umiejscowienie bazy danych
w architekturze sieci firmowej
3. Podstawowe typy ataków
4. Składowanie, archiwizacja i ochrona
danych
5. Konfiguracja firewall’a - iptables
2/26
Wprowadzenie
Aspekty związane
z bezpieczeństwem IBD
KLIENT
• fałszowanie
cookie,
• pola zakryte,
• dostęp do
zasobów (pliki,
katalogi, usługi)
P.Skrobanek
SERWER „web”
• manipulowanie
na danych
wejściowych,
• błędy w
projektach
skryptów
SERWER
aplikacji i BD
• luki w ochronie
i błędy w konfiguracji,
• tylne wejścia,
• przepełnienie bufora
3/26
1
Internetowe BD 2007
Wprowadzenie
Przykłady zagroŜeń:
• SQL Slammer (robak - atak na Microsoft SQL, azja styczeń 2003, straty ok. 1,2 mld $),
• drugi biuletyn Microsoft ( MS06_012 z marca 2006)
naprawia błąd umoŜliwiający lokalne podniesienie swoich
przywilejów do poziomu z którego korzystają usługi na nim
uruchamiane. Błąd dotyczy tylko XP SP1 oraz Windows
Server 2003 (źródło: http://hacking.pl/5848)
4/26
Statystyka przestępstw komputerowych
Oszustwo
komp. art.
287 par.1-2
Uzyskanie
inform.
267 par. 13
Zniszcz. lub
zmiana istotnej
inform. art.
268 par. 1-3
i 268a
217
323
279
368
168
390
568
444
113
240
175
215
232
248
260
370
49
48
118
167
138
89
98
136
1999
2000
2001
2002
2003
2004
2005
2006
Zniszcz. lub
SabotaŜ
zmiana
komputero
informacji art.
wy art.
269 par. 1-2
269a
1
5
5
12
2
0
3
4
Źródło: http://www.policja.pl/index.php?dzial=4&id=321
1
19
5/26
2. Umiejscowienie bazy danych
w architekturze sieci firmowej
6/26
P.Skrobanek
2
Internetowe BD 2007
Umiejscowienie BD – przykład 1
7/26
Umiejscowienie BD – przykład 2
8/26
Umiejscowienie BD – sieci wirtualne
Tunelowanie:
1. z wykorzystaniem IPSec,
2. z wykorzystaniem SSL (przezroczyste dla
zapory)
VPN (Virtual
(Virtual Private Network)
Network) – wirtualna sieć prywatna
korzysta z publicznej infrastruktury telekomunikacyjnej,
protokołów tunelowania i procedur bezpieczeństwa danych
(UWAGA: wykorzystywane równieŜ w ramach LAN do
odseparowania fragmentu sieci)
9/26
P.Skrobanek
3
Internetowe BD 2007
Umiejscowienie BD – sieci wirtualne
Zachęcam do przejrzenia źródła: http://pl.wikipedia.org/wiki/IPsec
lub http://en.wikipedia.org/wiki/IPsec
10/26
3. PODSTAWOWE TYPY ATAKÓW
11/26
3. TYPY ATAKÓW
Buffer overflow
zapisanie łańcuchów danych przekraczających
rozmiar bufora, przy niedopracowanych
aplikacjach moŜe spowodować uzyskanie
uprawnień do wykonywania swoich programów
zapobieganie: instalacja łatek,
przykład: błędy ODBC w serwerze webowym
Microsoft (Windows NT)
12/26
P.Skrobanek
4
Internetowe BD 2007
3. TYPY ATAKÓW
Wirusy robaki i konie trojańskie
znane z Ŝycia codziennego ☺
zapobieganie: aktualne oprogramowanie
antywirusowe, wyłączanie zbędnych usług.
13/26
3. TYPY ATAKÓW
Spoofing
podrabianie wiarygodnej toŜsamości,
- fałszowanie adresu IP (zaufanie serwera lub
udawanie kogoś innego),
- podrabianie zaufanej witryny (moŜe klient się
„zaloguje”),
- i inne
zapobieganie: zabezpieczenia firewall’a, podpisy
cyfrowe, urządzenia separujące sieci (jeśli
moŜliwe)
14/26
3. TYPY ATAKÓW
DoS
DoS (Denial of Service) przy uŜyciu
standardowych protokołów lub procesów blokuje
usługi, np. „ping śmierci”, otwierająca się
ogromna liczba okienek,
zapobieganie: właściwa konfiguracja firewall’a
oraz zabezpieczenia po stronie komputera
klienta, a takŜe np. moniorowanie sieci.
15/26
P.Skrobanek
5
Internetowe BD 2007
3. TYPY ATAKÓW
Session Hijacking
przejęcie istniejącego połączenia i odgrywanie
roli jednej ze stron,
zapobieganie: instalacja łatek, właściwe
projektowanie i implementacja oprogramowania
16/26
3. TYPY ATAKÓW
Normy i zalecenia w dziedzinie zarządzania
bezpieczeństwem – patrz ksero.
17/26
4. Składowanie, archiwizacja
i ochrona danych
18/26
P.Skrobanek
6
Internetowe BD 2007
4. OCHRONA DANYCH
ZagroŜenia miejsca (budynku, statku itp.),
huragan, trzęsienie ziemi, powódź, itp.
utrata zasilania, wojna, terroryzm.
Awarie sprzętu
uszkodzenia pamięci masowej (np. dysku),
błąd procesora,
Niedziałająca infrastruktura sieciowa.
awaria logiczna
błędy oprogramowania,
wirusy, robaki, itp.
przypadkowe usunięcia danych.
19/26
4. OCHRONA DANYCH
ZagroŜenia miejsca – wybrane techniki
zapobiegania utratom danych:
redundancja sprzętu – replika bazy danych wraz
ze sprzętem na serwerze zapasowym (np. 30 km
dalej),
zasilacze UPS, własne generatory,
monitorowanie i zabezpieczenie obiektów,
systemy alarmowe itp.
20/26
4. OCHRONA DANYCH
Awarie sprzętu – wybrane techniki zapobiegania
utratom danych:
redundancja sprzętu,
Macierze RAID 1 (mirroring), RAID 5,
backup i archiwizacja
21/26
P.Skrobanek
7
Internetowe BD 2007
4. OCHRONA DANYCH
Błędy w oprogramowaniu – wybrane techniki
zapobiegania utratom danych:
takie, jak poprzednio,
ochrona antywirusowa, aktualizacja
oprogramowania, zapory sieciowe, itp.
projetkowanie, implementacja, testowanie i
walidacja oprogramowanie metodami formalnymi
22/26
4. OCHRONA DANYCH
Rodzaje backupów:
full backup,
incremental backup,
differential backup
lokalny
sieciowy
23/26
4. OCHRONA DANYCH
Przykłady urządzeń wykorzystywanych do
archiwizacji:
macierze dyskowe RAID,
urządzenia taśmowe
- DAT, np. DDS-6 80GB, 5MB/s,
- DLT (Digital Linear Tape), np.
SDLT600 300GB, 32MB/s,
- przyszłość: ? O-Mass-5 10 TB, 1GB/s
(rok 2011),
nośniki optyczne i magnetooptyczne
24/26
P.Skrobanek
8
Internetowe BD 2007
5. Konfiguracja firewall’a
- iptables
25/26
Bibliografia
http://www.voicexml.org
– VoiceXML, opis
standardu, tutoriale
http://ipsec.pl/leksykon/ipsec.php - opis protokołów
związanych z tunelowaniem
IP
http://62.181.186.233/Mir/ - konfiguracja IP tables
(wybieramy z menu: linux)
26/26
P.Skrobanek
9

(do wykladu 4) - plik do notowania

Transkrypt

Podobne dokumenty

II Sympozjum Naukowe pt. „Innowacyjność w biznesie – organizacja

program vii konferencji

T.Sikorski PWr - Nowoczesne uczelnie

Dekret z 24 sierpnia 1945 r. - Strona główna BIP

Politechnika Wrocławska

Karta czasu pracy realizacji projektu nr UDA-POKL