Stos TCP/IP Warstwa transportowa

Sieci a bezpieczeństwo
Sieci komputerowe
Wykład 8
Hakerzy, krakerzy...
• Podobne umiejętności – programowanie w C,
C++, Perl, znajomość TCP/IP
• Podobne działania – wykrywanie luk w systemach
bezpieczeństwa sieciowego
• Diametralnie inne cele:
Hakerzy „Ci Dobrzy”– poprawianie bezpieczeństwa
systemów
Krakerzy „Ci Źli” – niszczenie danych lub uzyskanie
korzyści majątkowych
Polityka bezpieczeństwa
Dokument określający:
2) zasoby firmy, które powinny być chronione
3) metody użyte do ochrony tych zasobów
Można tworzyć na podstawie norm: brytyjskiej BS
7799 i ogólnoeuropejskiej ISO 17799
Podstawowa zasada
Zabronione jest wszystko,
co nie zostało bezpośrednio
dozwolone.
Chronione zasoby
• Sprzęt (serwery, urządzenia sieciowe, fizyczna
sieć komputerowa, połączenia telekomunikacyjne)
• Oprogramowanie – systemy operacyjne i
programy użytkowe
• Dane – bazy danych, logi systemowe, dane
użytkowników, kopie bezpieczeństwa
• Dokumentacja sprzętu i używanego
oprogramowania
• Pozostałe –zasilanie, ochrona fizyczna
pomieszczeń
Koszty związane z
bezpieczeństwem
Poziom
bezpieczeństwa
100%
max
śred
min
Nakłady
min
śred
max
Bezpieczeństwo fizyczne
• Awarie zasilania (UPS, agregat prądotwórczy,
dublowanie zasilania).
• Pożar – (aktywny system przeciwpożarowy, kopie
bezpieczeństwa w ognioodpornych szafach).
• Zalanie – (kopie bezpieczeństwa w innym
budynku).
• Przegrzanie – (systemy klimatyzacyjne).
• Włamanie – (odpowiednie zabezpieczenia
fizyczne).
• Nieupoważniony dostęp – (procedury dostępu do
serwerowni i szafy z kopiami danych).
Pomijane aspekty
bezpieczeństwa
Obieg dokumentów w firmie
Metoda ich niszczenia (np. niszczarki)
Poziom dostępu do dokumentów
Określenie zakresu informacji niejawnych
(szczególnie dot. systemów informatycznych
firmy)
• Odpowiedzialność pracowników za własne hasła
dostępu
• Audyty bezpieczeństwa – firma zewnętrzna
• „Inżynieria społeczna”
•
•
•
•
Firewall
Zapewnienie bezpieczeństwa sieci w
przypadku prób podłączenia się do
zasobów, które nie powinny być
udostępniane.
2 typy:
• filtrujące
• połączeniowe (proxy)
Zapory ogniowe - filtrujące
• Działają na poziomie pakietów IP
• Kontrolują przepływ, bazując na adresie
źródłowym, docelowym, porcie i typie
pakietu.
Bardziej zaawansowane zapory to tzw.
firewalle z inspekcją stanu.
Korzystają z protokołów warstw wyższych,
operują na sesjach.
Filtrująca zapora ogniowa
INTERNET
klient usług
internetowych
firewall
Serwery połączeniowe - proxy
• Wykonują połączenie sieciowe zamiast komputera
z sieci lokalnej – (niebezpośredni dostęp do
Internetu)
• Główne zastosowanie - usługa WWW
• Serwer uruchamia klienta, który wysyła takie
samo zapytanie jakie otrzymał od komputera z
sieci lokalnej
• Dodatkowa zaleta, prócz zwiększenia
bezpieczeństwa, to buforowanie danych WWW
Proxy
klient 1
INTERNET
klient 2
Bufor
Serwer proxy
NAT
• Prosty NAT (ang. Basic Network Address
Translation) – translacja statyczna –
odwzorowanie jednej wewnętrznej klasy
adresowej na klasę o takim samym rozmiarze.
• NAPT (ang. Network Address Port Translation) –
odwzorowanie adresów wszystkich komputerów
sieci lokalnej na jeden adres IP (zwany też PAT).
Prosty NAT
IP 192.168.1.1
IP 197.197.197.1
IP 192.168.1.1
IP 197.197.197.1
IP 192.168.1.2
IP 197.197.197.2
IP 192.168.1.2
IP 197.197.197.2
Router
INTERNET
VPN
• Wirtualna sieć prywatna (ang. Virtual
Private Network).
• Sieć transmitująca prywatne dane przez
publiczną infrastrukturę telekomunikacyjną.
• Wykorzystuje IPSec (IPSecurity)
zapewniający: integralność, poufność,
autoryzację stron.
VPN
Połączenie fizyczne
Lokalizacja A
Lokalizacja B
Połączenie logiczne
Lokalizacja A
Internet
Lokalizacja C
Lokalizacja C
Lokalizacja B
IPSec
Dwa tryby pracy:
• Transportowy – stawiający wymagania dot.
kolejności pakietów docierających do celu, ze
względu na to jest najczęściej stosowany w
sieciach lokalnych.
• Tunelowy – datagram jest szyfrowany w całości
(nie są widoczne adresy IP ani numery portów),
umieszczany w nowym datagramie IP, który jest
skierowany do routera szyfrującego.
Tunelowanie IP w IP
Nad.=X, Odb. =Y
Pierwotne dane
Szyfrowanie
Zaszyfrowany datagram
Kapsułkowanie
Nad.=R1, Odb. =R2
Zaszyfrowany datagram
IDS
•
•
•
System wykrywania włamań do chronionych
zasobów (ang. Intrusion Detection System).
Umożliwia uszczelnienie systemu
bezpieczeństwa.
Dwie podstawowe metody:
1.
2.
Wykrywanie znanych włamań na podstawie sygnatur
(np. program SNORT)
Wykrywanie anomalii z wykorzystaniem metod
sztucznej inteligencji
IDS - rodzaje
• Systemowy (ang. Host IDS) – analizuje pracę
systemu operacyjnego i wykrywa wszelkie
możliwe naruszenia bezpieczeństwa.
• Sieciowy (ang. Network IDS) – analizuje ruch
sieciowy, wykrywając wystąpienia znanych mu
sygnatur ataków.
• Stacji sieciowej (ang. Network Node IDS) –
analizuje ruch związany tylko z tą stacją.
Wirusy- sieć lokalna
• Zcentralizowany system antywirusowy
(serwer z aktualnymi bazami sygnatur,
stacje – lokalne programy antywirusowe)
• System antywirusowy na serwerze
pocztowym
• Ew. program antywirusowy analizujący
ruch sieciowy – drogie rozwiązanie
Schemat sieci lokalnej cz.1
Internet
Router
internetowy
Sieć lokalna
Schemat sieci lokalnej cz.2
Serwery internetowe
DMZ
Firewall
Internet
Kadry i płace
Router
internetowy
Pracownicy
Schemat sieci lokalnej cz.3
Kadry i płace
Serwery internetowe
Internet
Router
wewnętrzny
+
Firewall
Pracownicy
DMZ
Router
internetowy
+
Firewall
Schemat sieci lokalnej cz.4
Kadry i płace
Serwery internetowe
IDS 1
IDS 2
Internet
Router
wewnętrzny
+
Firewall
Pracownicy
DMZ
Router
internetowy
+
Firewall
Powody ataków sieciowych
1) Uzyskanie dostępu do sieci
2) Destabilizacja pracy systemu
komputerowego
Uzyskanie dostępu do sieci
• Zdobywanie nazwy użytkownika i hasła
• Exploit – program wykorzystujący słabości
usług sieciowych
• Spoofing – podszywanie się pod nadawcę
• Oszukiwanie systemów IDS
http://www.securityfocus.com
http://www.cert.org
Destabilizacja pracy
•
•
•
•
•
•
•
Pochłanianie pasma
Pochłanianie zasobów
Zmiana routingu
Ataki na DNS
Unieruchamianie serwerów
Ataki w warstwie aplikacji
DDoS
Zagrożenia wewnętrzne
• 80 % ataków z wewnątrz sieci !
• Inżynieria społeczna – przejmowanie haseł
• Wykrywanie snifferów
http://packetstormsecurity.nl/sniffers/antisniff
/
• Systemy IDS wewnątrz sieci lokalnej
http://www.atstake.com/research/tools/index.
html - narzędzia do testowania w sieci
Bezpieczeństwo w sieciach
bezprzewodowych cz.1
•
•
•
•
Funkcje zabezpieczające (filtrowanie
MAC, ukrywanie SSID, stosowanie WEP)
Ograniczenie mocy nadajnika (do tylu
metrów ile jest wymagane)
Stosowanie anten kierunkowych
IP Sec – do tej pory nie złamano
Bezpieczeństwo w sieciach
bezprzewodowych cz.2
Nowy standard 802.11i
Opracowany częściowo na technologii Cisco,
zawiera mechanizmy uwierzytelniania z rodziny
EAP, oparte na 802.1x, współpracującymi z
serwerami RADIUS do autoryzacji
użytkowników. Wykorzystuje również AES
(Advanced Encryption Standard) (klucz do 256
bitów)
Wada: niezgodność ze standardem 802.11b