Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Bezpieczeństwo sieci i odtwarzanie po awarii

Podobne prezentacje


Prezentacja na temat: "Bezpieczeństwo sieci i odtwarzanie po awarii"— Zapis prezentacji:

1 Bezpieczeństwo sieci i odtwarzanie po awarii
dr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska

2 Czyli jak chronić sieć przed nieautoryzowanym dostępem
Bezpieczeństwo sieci

3 Internet a intranet Internet = źódło informacji
Internet = źródło zagrożeń dla użytkowników intranetu Udostępnianie zasobów i swoboda komunikacji Ochrona sieci przed agresorami i intruzami

4 Struktura sieci Połączenie ze światem zewnętrznym, czyli Internetem
Potrzeby użytkowników, bezpieczeństwo danych a struktura sieci Podział sieci wewnętrznej na segmenty

5 Zapora ogniowa (firewall)
Minimalizacja zagrożenia z zewnątrz Personalizacja (na poziomie komputera) zasad dostępu Ochrona przed niektórymi wirusami Brak ochrony przed zagrożeniami z wnętrza Intranetu Podatne na awarie (dotyczy rozwiązań programowych)

6 Reguły na zaporach sieciowych (firewall)
Protokół Kierunek komunikacji Stan połączenia Stanowe Bezstanowe Filtracja na poziomie pakietów Filtracja na poziomie sesji Liczba połączeń itp.

7 Przed i po awarii Statystyki ruchu

8 Jedna zapora czy dwie DMZ Internet

9 Personalizacja dostępu
Użytkownik – w zasadzie grupy użytkowników (Problem: użytkownik może statycznie ustawić cudzy adres) Adres IP DHCP i adres fizyczny

10 IP + MAC Personalizacja ustawień zapory ogniowej
Możliwość zlokalizowania użytkownika Możliwość wyłączenia portu, do którego wpięty jest komputer użytkownika Mary Bob

11 IEEE 802.1X Protokół uwierzytelniania w sieciach LAN: bezprzewodowych
Sys. op. wspierający ten standard ftp://ftp.dlink.it/FAQs/802.1x.pdf

12 802.1x Standard ten definiuje kontrolę dostępu opartą na modelu klient-serwer wraz z protokołami uwierzytelniania uniemożliwiającymi dostęp do sieci nieautoryzowanym urządzeniom za pośrednictwem publicznie dostępnych portów. Serwer uwierzytelniania przeprowadza uwierzytelnianie każdego klient, który podłącza się do sieci zanim zaoferuje mu jakąkolwiek usługę.

13 IEEE 802.1X Bazujące na portach Bazujące na adresach fizycznych
Port na przełączniku aktywowany dopiero po uwierzytelnieniu Bazujące na adresach fizycznych Wielu użytkowników może używać tego samego portu jednocześnie i istnieje możliwość ograniczenia liczby adresów MAC, które się komunikują przy jego użyciu

14 802.1x - definicje Adres multikastowy dla protokołu EAPOL (Extensible Authentication Protocol over LAN), czyli tzw. Port Access Entity (PAE) Umożliwia przełącznikom rozpoznawanie właściwych pakietów

15 802.11x - role Klienta Uwierzytelniającego (przełącznik) Serwera

16 OTP = hasło jednorazowe

17 802.11x scenariusze

18

19 Sieci VLAN Sieć VLAN (Virtual Local Area Network) to logiczne zgrupowanie urządzeń sieciowych lub użytkowników. Użytkownicy sieci oraz urządzenia pogrupowane według pełnionych funkcji, działu firmy itp., niezależnie od ich fizycznego położenia w sieci

20 Ramka Ethernetu

21 Ethernet II

22 802.3 vs Ethernet II

23 VLAN

24 Dynamiczne VLAN-y Porty automatycznie przypisują się do odpowiedniego VLANu Skąd wiedzą do jakiego VLANu się przypisać: W trakcie uwierzytelniania przełącznik otrzymuje od serwera radius VLAN ID klienta

25 MoniTORING i systemy detekcji
Czy sieć jest bezpieczna i działa prawidłowo?

26 Czy sieć jest bezpieczna?
Analiza logów Monitorowanie sieci (NETFLOW, CFLOW, SFLOW, IPFIX, SNMP, PORT STATS, MRTG) Aktualizacja reguł firewalla Aktualizacja krytycznych systemów

27 Cele ataków Uzyskanie dostępu do danych
W celu przejęcia kontroli nad systemem W celu zniszczenia systemu

28 IDS Detekcja zagrożeń Alarmy - “Hej, coś jest nie tak!”
Monitorowanie - sondy Mechanizmy reakcji na zdarzenia Systemy detekcji intruzów = prosta idea

29 Idea a praktyka Co jest włamaniem lub jego proba, a co nie?
Jakie są metody włamań? Jakie luki występują w systemach? Czy wiedza systemu IDS jest aktualna? Czy system może działać w pełni automatycznie? Sekwencja działań może być rozciągnięta w czasie Sekwencja działań może być rozbita pomiędzy różne sesje Poprawnie działający system może być wykorzystany do ataku na inny system (np. DRDoS)

30 Ataki DoS DoS – atak typu odmowa usługi (np. SYN flood)
Distributed DoS – rozproszony atak typu DoS (wiele źródeł ataku, zwykle jeden cel) Distributed Reflected DoS – fałszowanie pakietów SYN, tak by pakiet SYN/ACK był wysyłany do atakowanego komputera SYN (sq.#1) ACK(sq. #2)

31 Problemy w IDS Problem 1.: Jakie metody można użyć?
Problem 2.: Jaka powinna być struktura systemów wykrywania włamań? Problem 3.: Co to jest włamanie? Problem 4.: Jak zidentyfikować tożsamość intruza? Problem 5.: Jak korelować informacje? Problem 6.: Jak złapać intruza w pułapkę? Problem 7.: Jak reagować na incydenty?

32 Pułapki internetowe Podejrzany użytkownik System rzeczywisty
System wykrywania włamań System pułapka Aspekty prawne

33 Reagowanie na incydenty
Podjęcie działań i decyzji zmniejszających ryzyko dalszego naruszenia bezpieczeństwa Ocena wpływu incydentu na działanie systemu i firmy Ewentualne zawiadomienie organów ściagania o popełnienu przestępstwa

34 Archiwizacja danych i plany odtwarzania
Zapewnianie ciągłości procesów biznesowych Archiwizacja danych i plany odtwarzania

35 Po co archiwizować Wymogi prawne Zapewnienie ciągłości biznesu
Groźba utraty danych

36 Na czym archiwizować dane
Streamery Macierze dyskowe – RAID Biblioteki taśmowe Dyski magnetoptyczne Zdalny mirroring Płyty CD/DVD Mikrofilmy Dyski magnetyczne

37 Wybór technologii Awarie a błędy użytkowników (istotne w kontekście RAID) Koszty technologii Miejsce składowania danych Koszty przechowywania Ograniczenia technologii Systemy krytyczne i zapasowe centra danych Sieci SAN

38 Czym jest storage? Jakie są koszty składowania danych? Jakie są przewidywania? Granice możliwości

39 SAS Server Attached Storage. Jest to pamięć masowa przyłączana do zwykłego serwera znajdującego się w sieci w celu składowania danych.

40

41 Sieć NAS Network Attached Storage. Stacje pamięci masowych są przyłączane do sieci jako kolejne maszyny. Cechy: Brak wydzielonej części do wymiany danych Interfejs iSCSI lub protokoły bazujące na przesyłajaniu plików Serwer kontrolujący (niekonieczny)

42 Protokoły używane przez NAS
Common Internet File Services Network File System NetWare Core Protocol

43

44 Stary slajd, ale architektura aktualna (z dokładnością do transferów)

45 Sieć SAN Storage Area Network. Jest to sieć mająca za zadanie wyłącznie gromadzenie danych, złożona ze stacji pamięci masowych. Kontrolę nad nią sprawują specjalne serwery.

46

47 Przykładowa architektura sieci ze storagem i innymi elementami
Intranet Router brzegowy F DMZ DHCP RADIUS WWW MAIL File server SAN Bilioteka taśmowa Bilioteka taśmowa Bilioteka taśmowa

48 Fiber channel Produkty Fibre Channel pracowały z przepływnościami:
początkowo odpowiednio 1 Gb/s oraz 2 Gbit/s. W 2006 standardy dla szybkości 4 Gbit/s i 10 Gbit/s zostały ratyfikowane Standard 8 Gbit/s został także opracowany i od połowy roku 2008 są już dostępne w sprzedaży przełączniki z portami FC o tej szybkości. Produkty oparte o standardy 1, 2, 4 i 8 Gbit/s powinny ze sobą współpracować, jakkolwiek standard 10 Gbit/s wymaga całkowitej zmiany.

49 Warstwy FC FC0 Warstwa fizyczna zawierająca kable, światłowody, złącza, itp. FC1 Warstwa łącza danych która implementuje kodowanie 8b/10b i dekodowanie sygnałów. FC2 Warstwa sieci, zdefiniowana przez standard FC-PH, zawierający rdzeń protokołu FC. FC3 Warstwa implementująca zewnętrzne funkcje które rozciągają się pomiędzy wieloma portami urządzenia FC. FC4 Warstwa aplikacji lub enkapsulacji protokołów wyższych warstw, odpowiedzialna jest za przesyłanie danych innych protokołów po protokole FC.

50

51 Macierze dyskowe, czyli jak nie stracić danych
Technologia raid

52 Zabezpieczenia sprzętowe - RAID
Zabezpieczenia sprzętowe stanowią jeden z podstawowych elementów polityki bezpieczeństwa przedsiębiorstwa. Najważniejszym obiektem zabezpieczeń jest serwer danych. Podstawowym zabezpieczeniem sprzętowym jest zagregowanie dysków w macierz dyskową RAID (Redundant Array of Inexpensive Disks), co umożliwia ochronę pamięci masowej przed awarią dysku, a tym samym stanowi to ochronę przed utratą danych. RAID programowy- architektura RAID sprzętowy- architektura

53 Poziomy architektury RAID
RAID-0 (ang. striping - podział danych, zapis paskowy) jest podstawową, a zarazem i najszybszą wersją RAID‘ a. W architekturze tej dane przynależne do jednego logicznego napędu dzieli się na bloki (klastry), które zapisywane są kolejno na wszystkich zainstalowanych dyskach. Bloki przyporządkowywane są do napędów fizycznych poprzez rotację. Pierwszy blok zapisywany jest na pierwszym dysku, drugi na drugim, itd. Architektura RAID-0

54 Poziomy architektury RAID- c.d.
Standard RAID-1 znany jest przede wszystkim jako zapis lustrzany (ang. mirroring). W architekturze tej dane przynależne do jednego logicznego napędu przechowywane są jednocześnie (w takiej samej postaci) na dwóch dyskach. Ten koncepcyjnie prosty system jest jednak dosyć drogi w eksploatacji. Wadą jest bowiem wykorzystanie tylko połowy sumarycznej pojemności zainstalowanych dysków. Architektura RAID-1

55 Poziomy architektury RAID- c.d.
Architektura, podobnie jak RAID-0, implementuje podział danych (striping). Jedyną różnicą w stosunku do RAID- 0 jest wielkość podziału - w tym przypadku podział danych następuje na poziomie bitów. Dodatkowo, dla większego bezpieczeństwa, dane mogą być przechowywane jednocześnie na kilku nośnikach (mirroring) bądź też może dla nich być wyznaczana informacja kontrolna - parzystość. Ostatni przypadek stanowi podwaliny standardu RAID-3

56 Poziomy architektury RAID- c.d.
Architektura RAID-3 stanowi rozszerzenie architektury RAID-0. Dane, podobnie jak w RAID-0, zapisywane są naprzemiennie na zainstalowanych dyskach (ang. striping), a dodatkowy dysk służy do przechowywania informacji kontrolnej - parzystości. Napędu tego nie uwzględnia się przy określaniu szerokości paska. Parzystość wyznaczana jest oddzielnie dla każdego paska. Pojemność elementarnego klastra (bloku) w standardzie RAID-3 wynosi jeden bajt lub jedno słowo. Architektura RAID-3

57 Poziomy architektury RAID- c.d.
Architektura RAID-4 stanowi odmianę architektury RAID-3. Główną wadą RAID-3 jest zbyt mały rozmiar klastra - jeden bajt lub jedno słowo. Skutkuje to zbytnim obciążeniem wszystkich dysków macierzy, które muszą naprzemiennie obsługiwać praktycznie każde odwołanie do macierzy. W architekturze RAID-4 rozmiar klastra jest znacznie większy - równy fizycznemu rozmiarowi sektora dysku bądź też rozmiarowi sprzętowego bufora wejścia-wyjścia. Zapewnia to znacznie mniejszy stopień obciążenia poszczególnych napędów i daje dobre efekty, zwłaszcza przy długich, sekwencyjnych odczytach danych. Obecnie każdy sprzętowy kontroler RAID-3 pozwala jednocześnie na pracę w standardzie RAID-4.

58 Poziomy architektury RAID- c.d.
Poważną wadą architektur RAID-3, RAID-4 jest zbyt duże obciążenie dysku z informacją o parzystości. Każdy zapis danych wymusza również zapis i na tym dysku, co skutecznie obniża wydajność systemu. Technologia RAID-5 omija to uniedogodnienie. Informacja o parzystości umieszczana jest dla kolejnych pasków w różnych lokacjach. Dla pierwszego paska na ostatnim dysku, dla drugiego - na przedostatnim itd. Architektura RAID-5

59 Najpopularniejsze RAIDy
RAID 0 – zero bezpieczeństwa w przypadku awarii pojedynczego dysku RAID 1 – lustrzana kopia dysku RAID 10 – lustrzana kopia każdego z dysków tworzących raid 0. RAID 5 – pojedyncza parzystość, przetrwa awarie jednego dysku (ale odbudowa macierzy jest kosztowna, uwaga na awarie drugiego dysku) RAID 6 – przetrwa awarie dwóch dysków (podwójna parzystość)

60 Słów kilka o zasilaczach
Zasilanie, to podstawa Słów kilka o zasilaczach

61 Zabezpieczenia sprzętowe- c.d.
Zastosowanie zasilaczy awaryjnych Często zdarza się, że występują wahania napięcia sieciowego lub nawet jego brak. Skutecznym rozwiązaniem chroniącym przed uszkodzeniem sprzętu (płyta główna, dyski) jest zastosowanie zasilacza awaryjnego, który reaguje natychmiastowo sygnalizując wystąpienie awarii i podtrzymując napięcie sieciowe. Stosowanie zasilaczy awaryjnych jest bardzo powszechne i dotyczy nie tylko serwera, ale także stacji roboczych pracujących w sieci lokalnej. Zastosowanie zasilaczy typu hot-swap Nagłe wahania napięcia lub inne nieprawidłowości zasilania mogą spowodować uszkodzenie zasilacza serwera. Dlatego powszechnie stosuje się serwery z dwoma lub trzema zasilaczami typu hot-swap, które mogą być wymienione pod napięciem bez konieczności wyłączania serwera.

62 Kopie zapasowe i plany odtwarzania po awarii
Informatyce dzielą się na tych co robią „backupy” i na tych co jeszcze nie robią Kopie zapasowe i plany odtwarzania po awarii

63 Wybór technologi (cd.) Identyfikacja krytycznych procesów i danych
Określenie okna backup'u Określenie dopuszczalnego czasu niedostępności po awarii Określenie czasu przez, który chcemy przechowywać kopie archiwalne Określenie czasu, który jest potrzebny na odtworzenie danych przy wykorzystaniu danej technologii Określenie czasu potrzebnego na odtworzenie procesów

64 Disaster recovery plan
Disaster recovery – plan gwarantujący dostępność danych i aplikacji w określonym czasie po zdarzeniu o charakterze katastrofalnym Klasyfikacja planów odtwarzania po awarii: Tier 0 – Do nothing, no off-site data Tier 1 – Offsite vaulting Tier 2 – Offsite vaulting with a hot site Tier 3 – Electronic vaulting Tier 4 – Electronic vaulting to hot site (active secondary site) Tier 5 – Two site two phase commit Tier 6 – Zero data loss

65 Rodzaje zagrożeń Lokalne Logiczne Katastrofy

66 Rodzaje strat Straty bezpośrednie i pośrednie Straty bezpośrednie:
Zmniejszenie przychodów Spadek wydajności pracy Kary za opóźnienia Straty pośrednie: Utrata klientów Utrata wiarygodności Korzyści utracone Koszty przestoju

67 Koszty przestoju Koszty przestoju różnych rodzajów aplikacji [$/min] (USA, 1998) Call location: $ /min e-commerce: $ / min Customer service center: $3 700 / min Point of sale: $3 500 / min

68 Parametry profilów DR RTO – czas potrzebny na odtworzenie danych – jak długo biznes może działać bez systemu RPO – okres czasu pracy systemu z jakiego utracimy dane na skutek awarii BWO - “Okno backupowe”, czas potrzebny na wykonanie kopii Retencja - Okres przechowywania na nośnikach

69 Koszty przestoju i koszt technologii
Pieniądze Koszt technologii Straty wynikające z przestoju systemu Czas

70 Systemy macierzowe i klastrowe
Zabezpieczają przed skutkami awarii dysku, kontrolera Pełna nadmiarowość Równoległa struktura połączeń Systemy klastrowe Szerszy zakres ochrony Eliminacja “single point of failure” Ułatwienie zarządzania – w sensie np. wymiany węzłów

71 Prędkości transmisji Czas przesłania 1TB danych w [min]:
10Mbps – 13653,33 100Mbps – 1365,333 SAN FCP (scsi-3) 2Gbps – 68,27 OC -255 ATM 13,21 Gbps – 10,34 SAN + DWDM 200 Gbps – 0,68 Nie zapominajmy o prędkości samych dysków – w przypadku pojedynczego SSD jest to max 500MB/s przy sekwencyjnym odczycie i maks IOPS dla odczytów losowych przy blokach 4K

72 Tworzenie planów Start Analiza Analiza projektu procesów ryzyka
Opisy procesów, tworzenie procedur BWO RPO RTO Sposób ochrony danych Plany odtwarzania Zarządzanie zmianami TESTY

73 Podsumowanie Zapora ogniowa System IDS
Fizyczna ochrona danych i archiwizacja Plany na wypadek awarii


Pobierz ppt "Bezpieczeństwo sieci i odtwarzanie po awarii"

Podobne prezentacje


Reklamy Google