1 Bezpieczeństwo sieci i odtwarzanie po awariidr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska
2 Czyli jak chronić sieć przed nieautoryzowanym dostępemBezpieczeństwo sieci Czyli jak chronić sieć przed nieautoryzowanym dostępem
3 Internet a intranet Internet = źódło informacjiInternet = źródło zagrożeń dla użytkowników intranetu Udostępnianie zasobów i swoboda komunikacji Ochrona sieci przed agresorami i intruzami
4 Struktura sieci Połączenie ze światem zewnętrznym, czyli InternetemPotrzeby użytkowników, bezpieczeństwo danych a struktura sieci Podział sieci wewnętrznej na segmenty
5 Zapora ogniowa (firewall)Minimalizacja zagrożenia z zewnątrz Personalizacja (na poziomie komputera) zasad dostępu Ochrona przed niektórymi wirusami Brak ochrony przed zagrożeniami z wnętrza Intranetu Podatne na awarie (dotyczy rozwiązań programowych)
6 Przed i po awarii Statystyki ruchu
7 Jedna zapora czy dwie DMZ Internet
8 Personalizacja dostępuUżytkownik – w zasadzie grupy użytkowników (Problem: użytkownik może statycznie ustawić cudzy adres) Adres IP DHCP i adres fizyczny
9 IP + MAC Personalizacja ustawień zapory ogniowejMożliwość zlokalizowania użytkownika Możliwość wyłączenia portu, do którego wpięty jest komputer użytkownika Mary Bob
10 IEEE 802.1X Protokół uwierzytelniania w sieciach LAN: bezprzewodowychSys. op. wspierający ten standard ftp://ftp.dlink.it/FAQs/802.1x.pdf
11 802.1x Standard ten definiuje kontrolę dostępu opartą na modelu klient-serwer wraz z protokołami uwierzytelniania uniemożliwiającymi dostęp do sieci nieautoryzowanym urządzeniom za pośrednictwem publicznie dostępnych portów. Serwer uwierzytelniania przeprowadza uwierzytelnianie każdego klient, który podłącza się do sieci zanim zaoferuje mu jakąkolwiek usługę.
12 IEEE 802.1X Bazujące na portach Bazujące na adresach fizycznychPort na przełączniku aktywowany dopiero po uwierzytelnieniu Bazujące na adresach fizycznych Wielu użytkowników może używać tego samego portu jednocześnie i istnieje możliwość ograniczenia liczby adresów MAC, które się komunikują przy jego użyciu
13 802.1x - definicje Adres multikastowy dla protokołu EAPOL (Extensible Authentication Protocol over LAN), czyli tzw. Port Access Entity (PAE) Umożliwia przełącznikom rozpoznawanie właściwych pakietów
14 Czy sieć jest bezpieczna?Analiza logów Monitorowanie sieci Aktualizacja reguł firewalla Aktualizacja krytycznych systemów
15 802.11x - role Klienta Uwierzytelniającego (przełącznik) Serwera
16 OTP = hasło jednorazowe
17 IDS Detekcja zagrożeń Alarmy - “Hej, coś jest nie tak!”Monitorowanie - sondy Mechanizmy reakcji na zdarzenia Systemy detekcji intruzów = prosta idea
18 Idea a praktyka Co jest włamaniem lub jego proba, a co nie?Jakie są metody włamań? Jakie luki występują w systemach? Czy wiedza systemu IDS jest aktualna? Czy system może działać w pełni automatycznie? Sekwencja działań może być rozciągnięta w czasie Sekwencja działań może być rozbita pomiędzy różne sesje Poprawnie działający system może być wykorzystany do ataku na inny system (np. DRDoS)
19 Ataki DoS DoS – atak typu odmowa usługi (np. SYN flood)Distributed DoS – rozproszony atak typu DoS (wiele źródeł ataku, zwykle jeden cel) Distributed Reflected DoS – fałszowanie pakietów SYN, tak by pakiet SYN/ACK był wysyłany do atakowanego komputera SYN (sq.#1) SYN (sq.#2)/ACK (sq. #1) ACK(sq. #2)
20 DRDoS – Studium przypadkuZobacz plik drdos.pdf
21 Cele ataków Uzyskanie dostępu do danychW celu przejęcia kontroli nad systemem W celu zniszczenia systemu
22 Problemy w IDS Problem 1.: Jakie metody można użyć?Problem 2.: Jaka powinna być struktura systemów wykrywania włamań? Problem 3.: Co to jest włamanie? Problem 4.: Jak zidentyfikować tożsamość intruza? Problem 5.: Jak korelować informacje? Problem 6.: Jak złapać intruza w pułapkę? Problem 7.: Jak reagować na incydenty?
23 Metody Przetwarzanie raportu audytu Przetwarzanie na bieżącoProfile normalnego zachowania Sygnatury nienormalnego zachowania Zgodność przetwarzania ze wzorcem
24 Przetwarzanie raportu audytuNajczęściej stosowana Dostępne w logach SO, firewallów, routerów, przełączników System wykrywania włamań System chroniony Sonda audytu Przetwarzanie audytu
25 Przetwrzanie na bieżącoNie powinno zakłócać pracy sieci Analiza w czasie rzecywistym lub zbliżonym do rzeczywistego Wyszukiwanie wzorców (“brzydkich słów”) np. “/etc/passwd” Nie zbędny dostęp do ruchu w sieci – łatwe do zapewnienia w przypadku podłączenia do Internetu poprzez bramę dławiącą
26 Profile Normalnego zachowania – przewidywanie zachowań użytkowników i sprzętu, wykrywanie włamań = wykrywanie anomalii wzgl. profili Sygnatury nienormalnego zachowania – umożliwiają identyfikację tylko znanych typów ataków, ale nie wymagają tak złożonego przetwarzania jak profile normalnego zachowani
27 Zgodność parametrów ze wzorcemHmm, ten użytkownik generuje bardzo dużo pakietów!!!
28 Struktua systemu wykrywania włamańCDIF – Common Intrusion Detection Framework: Sensor – event box System zarządzania – oparty o SNMP, MIB i RMON Algorytmy – analysis box Bazy wiedzy – data box, jednostka danych Alarmy – w formacie GIDO (Generalized Intrusion Detection Object)
29 Co to jest włamanie? Def.: Włamanie jest ciągiem współzależnych działań złośliwego intruza, które powodują wystąpienie zagrożeń naruszenia bezpieczeństwa zasobów przez dostęp nieautoryzowany do danej domeny komputerowej lub sieciowej
30 Ukrywanie tożsamości Techniki wewnętrzne względem sieciTechniki zewnętrzne względem sieci
31 Korelacja danych Rodzaje korelacji:Korelacja pakietów w jednej i wielu sesjach Korelacja informacji w czasie rzeczywistym lub po fakcie Korelacja informacji dostępnych całościowo lub wewnętrznie
32 Pułapki internetowe Podejrzany użytkownik System rzeczywistySystem wykrywania włamań System pułapka Aspekty prawne
33 Reagowanie na incydentyPodjęcie działań i decyzji zmniejszających ryzyko dalszego naruszenia bezpieczeństwa Ocena wpływu incydentu na działanie systemu i firmy Ewentualne zawiadomienie organów ściagania o popełnienu przestępstwa
34 Przegląd systemów IDS cottbus.de/ /en/security/ids.html
35 Architektura systemu z IDSDMZ F F Intranet
36 Archiwizacja danych Streamery Macierze dyskowe – RAIDBiblioteki taśmowe Dyski magnetoptyczne Zdalny mirroring Płyty CD/DVD Mikrofilmy
37 Wybór technologii RAID a błędy użytkownika Koszty technologiiMiejsce składowania danych Systemy krytyczne i zapasowe centra danych Sieci SAN
38 Przykładowa architektura sieciIntranet Router brzegowy F DMZ DHCP RADIUS WWW MAIL File server SAN Bilioteka taśmowa Bilioteka taśmowa Bilioteka taśmowa
39 Wybór technologii (cd.)Identyfikacja krytycznych procesów i danych Określenie okna backup'u Określenie dopuszczalnego czasu niedostępności po awarii Określenie czasu przez, który chcemy przechowywać kopie archiwalne Określenie czasu, który jest potrzebny na odtworzenie danych przy wykorzystaniu danej technologii Określenie czasu potrzebnego na odtworzenie procesów
40 Disaster recovery planDisaster recovery – plan gwarantujący dostępność danych i aplikacji w określonym czasie po zdarzeniu o charakterze katastrofalnym Klasyfikacja planów odtwarzania po awarii: Tier 0 – Do nothing, no off-site data Tier 1 – Offsite vaulting Tier 2 – Offsite vaulting with a hot site Tier 3 – Electronic vaulting Tier 4 – Electronic vaulting to hot site (active secondary site) Tier 5 – Two site two phase commit Tier 6 – Zero data loss
41 Rodzaje zagrożeń Lokalne Logiczne Katastrofy
42 Rodzaje strat Straty bezpośrednie i pośrednie Straty bezpośrednie:Zmniejszenie przychodów Spadek wydajności pracy Kary za opóźnienia Straty pośrednie: Utrata klientów Utrata wiarygodności Korzyści utracone Koszty przestoju
43 Koszty przestoju Koszty przestoju różnych rodzajów aplikacji [$/min] (USA, 1998) Call location: $ /min e-commerce: $ / min Customer service center: $3 700 / min Point of sale: $3 500 / min
44 Parametry profilów DR RTO – czas potrzebny na odtworzenie danychRPO – czas pracy systemu jaki tracimy na skutek awarii BWO - “Okno backupowe”, czas potrzebny na wykonanie kopii Okres przechowywania na nośnikach
45 Koszty przestoju i koszt technologiiPieniądze Koszt technologii Straty wynikające z przestoju systemu Czas
46 Systemy macierzowe i klastroweZabezpieczają przed skutkami awarii dysku, kontrolera Pełna nadmiarowość Równoległa struktura połączeń Systemy klastrowe Szerszy zakres ochrony Eliminacja “single point of failure” Ułatwienie zarządzania
47 Prędkości transmisji Czas przesłania 1TB danych w [min]:10Mbps – 13653,33 100Mbps – 1365,333 SAN FCP (scsi-3) 2Gbps – 68,27 OC -255 ATM 13,21 Gbps – 10,34 SAN + DWDM 200 Gbps – 0,68
48 Tworzenie planów Start Analiza Analiza projektu procesów ryzykaOpisy procesów, tworzenie procedur BWO RPO RTO Sposób ochrony danych Plany odtwarzania Zarządzanie zmianami TESTY
49 Podsumowanie Zapora ogniowa System IDSFizyczna ochrona danych i archiwizacja Plany awaryjne