Stos TCP/IP Warstwa transportowa
Transkrypt
Stos TCP/IP Warstwa transportowa
Sieci a bezpieczeństwo Sieci komputerowe Wykład 8 Hakerzy, krakerzy... • Podobne umiejętności – programowanie w C, C++, Perl, znajomość TCP/IP • Podobne działania – wykrywanie luk w systemach bezpieczeństwa sieciowego • Diametralnie inne cele: Hakerzy „Ci Dobrzy”– poprawianie bezpieczeństwa systemów Krakerzy „Ci Źli” – niszczenie danych lub uzyskanie korzyści majątkowych Polityka bezpieczeństwa Dokument określający: 2) zasoby firmy, które powinny być chronione 3) metody użyte do ochrony tych zasobów Można tworzyć na podstawie norm: brytyjskiej BS 7799 i ogólnoeuropejskiej ISO 17799 Podstawowa zasada Zabronione jest wszystko, co nie zostało bezpośrednio dozwolone. Chronione zasoby • Sprzęt (serwery, urządzenia sieciowe, fizyczna sieć komputerowa, połączenia telekomunikacyjne) • Oprogramowanie – systemy operacyjne i programy użytkowe • Dane – bazy danych, logi systemowe, dane użytkowników, kopie bezpieczeństwa • Dokumentacja sprzętu i używanego oprogramowania • Pozostałe –zasilanie, ochrona fizyczna pomieszczeń Koszty związane z bezpieczeństwem Poziom bezpieczeństwa 100% max śred min Nakłady min śred max Bezpieczeństwo fizyczne • Awarie zasilania (UPS, agregat prądotwórczy, dublowanie zasilania). • Pożar – (aktywny system przeciwpożarowy, kopie bezpieczeństwa w ognioodpornych szafach). • Zalanie – (kopie bezpieczeństwa w innym budynku). • Przegrzanie – (systemy klimatyzacyjne). • Włamanie – (odpowiednie zabezpieczenia fizyczne). • Nieupoważniony dostęp – (procedury dostępu do serwerowni i szafy z kopiami danych). Pomijane aspekty bezpieczeństwa Obieg dokumentów w firmie Metoda ich niszczenia (np. niszczarki) Poziom dostępu do dokumentów Określenie zakresu informacji niejawnych (szczególnie dot. systemów informatycznych firmy) • Odpowiedzialność pracowników za własne hasła dostępu • Audyty bezpieczeństwa – firma zewnętrzna • „Inżynieria społeczna” • • • • Firewall Zapewnienie bezpieczeństwa sieci w przypadku prób podłączenia się do zasobów, które nie powinny być udostępniane. 2 typy: • filtrujące • połączeniowe (proxy) Zapory ogniowe - filtrujące • Działają na poziomie pakietów IP • Kontrolują przepływ, bazując na adresie źródłowym, docelowym, porcie i typie pakietu. Bardziej zaawansowane zapory to tzw. firewalle z inspekcją stanu. Korzystają z protokołów warstw wyższych, operują na sesjach. Filtrująca zapora ogniowa INTERNET klient usług internetowych firewall Serwery połączeniowe - proxy • Wykonują połączenie sieciowe zamiast komputera z sieci lokalnej – (niebezpośredni dostęp do Internetu) • Główne zastosowanie - usługa WWW • Serwer uruchamia klienta, który wysyła takie samo zapytanie jakie otrzymał od komputera z sieci lokalnej • Dodatkowa zaleta, prócz zwiększenia bezpieczeństwa, to buforowanie danych WWW Proxy klient 1 INTERNET klient 2 Bufor Serwer proxy NAT • Prosty NAT (ang. Basic Network Address Translation) – translacja statyczna – odwzorowanie jednej wewnętrznej klasy adresowej na klasę o takim samym rozmiarze. • NAPT (ang. Network Address Port Translation) – odwzorowanie adresów wszystkich komputerów sieci lokalnej na jeden adres IP (zwany też PAT). Prosty NAT IP 192.168.1.1 IP 197.197.197.1 IP 192.168.1.1 IP 197.197.197.1 IP 192.168.1.2 IP 197.197.197.2 IP 192.168.1.2 IP 197.197.197.2 Router INTERNET VPN • Wirtualna sieć prywatna (ang. Virtual Private Network). • Sieć transmitująca prywatne dane przez publiczną infrastrukturę telekomunikacyjną. • Wykorzystuje IPSec (IPSecurity) zapewniający: integralność, poufność, autoryzację stron. VPN Połączenie fizyczne Lokalizacja A Lokalizacja B Połączenie logiczne Lokalizacja A Internet Lokalizacja C Lokalizacja C Lokalizacja B IPSec Dwa tryby pracy: • Transportowy – stawiający wymagania dot. kolejności pakietów docierających do celu, ze względu na to jest najczęściej stosowany w sieciach lokalnych. • Tunelowy – datagram jest szyfrowany w całości (nie są widoczne adresy IP ani numery portów), umieszczany w nowym datagramie IP, który jest skierowany do routera szyfrującego. Tunelowanie IP w IP Nad.=X, Odb. =Y Pierwotne dane Szyfrowanie Zaszyfrowany datagram Kapsułkowanie Nad.=R1, Odb. =R2 Zaszyfrowany datagram IDS • • • System wykrywania włamań do chronionych zasobów (ang. Intrusion Detection System). Umożliwia uszczelnienie systemu bezpieczeństwa. Dwie podstawowe metody: 1. 2. Wykrywanie znanych włamań na podstawie sygnatur (np. program SNORT) Wykrywanie anomalii z wykorzystaniem metod sztucznej inteligencji IDS - rodzaje • Systemowy (ang. Host IDS) – analizuje pracę systemu operacyjnego i wykrywa wszelkie możliwe naruszenia bezpieczeństwa. • Sieciowy (ang. Network IDS) – analizuje ruch sieciowy, wykrywając wystąpienia znanych mu sygnatur ataków. • Stacji sieciowej (ang. Network Node IDS) – analizuje ruch związany tylko z tą stacją. Wirusy- sieć lokalna • Zcentralizowany system antywirusowy (serwer z aktualnymi bazami sygnatur, stacje – lokalne programy antywirusowe) • System antywirusowy na serwerze pocztowym • Ew. program antywirusowy analizujący ruch sieciowy – drogie rozwiązanie Schemat sieci lokalnej cz.1 Internet Router internetowy Sieć lokalna Schemat sieci lokalnej cz.2 Serwery internetowe DMZ Firewall Internet Kadry i płace Router internetowy Pracownicy Schemat sieci lokalnej cz.3 Kadry i płace Serwery internetowe Internet Router wewnętrzny + Firewall Pracownicy DMZ Router internetowy + Firewall Schemat sieci lokalnej cz.4 Kadry i płace Serwery internetowe IDS 1 IDS 2 Internet Router wewnętrzny + Firewall Pracownicy DMZ Router internetowy + Firewall Powody ataków sieciowych 1) Uzyskanie dostępu do sieci 2) Destabilizacja pracy systemu komputerowego Uzyskanie dostępu do sieci • Zdobywanie nazwy użytkownika i hasła • Exploit – program wykorzystujący słabości usług sieciowych • Spoofing – podszywanie się pod nadawcę • Oszukiwanie systemów IDS http://www.securityfocus.com http://www.cert.org Destabilizacja pracy • • • • • • • Pochłanianie pasma Pochłanianie zasobów Zmiana routingu Ataki na DNS Unieruchamianie serwerów Ataki w warstwie aplikacji DDoS Zagrożenia wewnętrzne • 80 % ataków z wewnątrz sieci ! • Inżynieria społeczna – przejmowanie haseł • Wykrywanie snifferów http://packetstormsecurity.nl/sniffers/antisniff / • Systemy IDS wewnątrz sieci lokalnej http://www.atstake.com/research/tools/index. html - narzędzia do testowania w sieci Bezpieczeństwo w sieciach bezprzewodowych cz.1 • • • • Funkcje zabezpieczające (filtrowanie MAC, ukrywanie SSID, stosowanie WEP) Ograniczenie mocy nadajnika (do tylu metrów ile jest wymagane) Stosowanie anten kierunkowych IP Sec – do tej pory nie złamano Bezpieczeństwo w sieciach bezprzewodowych cz.2 Nowy standard 802.11i Opracowany częściowo na technologii Cisco, zawiera mechanizmy uwierzytelniania z rodziny EAP, oparte na 802.1x, współpracującymi z serwerami RADIUS do autoryzacji użytkowników. Wykorzystuje również AES (Advanced Encryption Standard) (klucz do 256 bitów) Wada: niezgodność ze standardem 802.11b