Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Bezpieczeństwo sieci dr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska dr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska.

Podobne prezentacje


Prezentacja na temat: "Bezpieczeństwo sieci dr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska dr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska."— Zapis prezentacji:

1 Bezpieczeństwo sieci dr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska dr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska

2 BEZPIECZEŃSTWO SIECI Czyli jak chronić sieć przed nieautoryzowanym dostępem

3 Internet a intranet Internet = źódło informacji Internet = źródło zagrożeń dla użytkowników intranetu Udostępnianie zasobów i swoboda komunikacji Ochrona sieci przed agresorami i intruzami Internet = źódło informacji Internet = źródło zagrożeń dla użytkowników intranetu Udostępnianie zasobów i swoboda komunikacji Ochrona sieci przed agresorami i intruzami

4 Struktura sieci Połączenie ze światem zewnętrznym, czyli Internetem Potrzeby użytkowników, bezpieczeństwo danych a struktura sieci Podział sieci wewnętrznej na segmenty Połączenie ze światem zewnętrznym, czyli Internetem Potrzeby użytkowników, bezpieczeństwo danych a struktura sieci Podział sieci wewnętrznej na segmenty

5 Zapora ogniowa (firewall) Minimalizacja zagrożenia z zewnątrz Personalizacja (na poziomie komputera) zasad dostępu Ochrona przed niektórymi wirusami Brak ochrony przed zagrożeniami z wnętrza Intranetu Podatne na awarie (dotyczy rozwiązań programowych) Minimalizacja zagrożenia z zewnątrz Personalizacja (na poziomie komputera) zasad dostępu Ochrona przed niektórymi wirusami Brak ochrony przed zagrożeniami z wnętrza Intranetu Podatne na awarie (dotyczy rozwiązań programowych)

6 Reguły na zaporach sieciowych (firewall) Protokół Kierunek komunikacji Stan połączenia Stanowe Bezstanowe Filtracja na poziomie pakietów Filtracja na poziomie sesji Liczba połączeń itp. Protokół Kierunek komunikacji Stan połączenia Stanowe Bezstanowe Filtracja na poziomie pakietów Filtracja na poziomie sesji Liczba połączeń itp.

7 Przed i po awarii Statystyki ruchu

8 Jedna zapora czy dwie Internet DMZ

9 Personalizacja dostępu Użytkownik – w zasadzie grupy użytkowników (Problem: użytkownik może statycznie ustawić cudzy adres) Adres IP DHCP i adres fizyczny Użytkownik – w zasadzie grupy użytkowników (Problem: użytkownik może statycznie ustawić cudzy adres) Adres IP DHCP i adres fizyczny

10 IP + MAC Personalizacja ustawień zapory ogniowej Możliwość zlokalizowania użytkownika Możliwość wyłączenia portu, do którego wpięty jest komputer użytkownika Personalizacja ustawień zapory ogniowej Możliwość zlokalizowania użytkownika Możliwość wyłączenia portu, do którego wpięty jest komputer użytkownika Mary Bob

11 IEEE 802.1X Protokół uwierzytelniania w sieciach LAN: bezprzewodowych przewodowych Protokół uwierzytelniania w sieciach LAN: bezprzewodowych przewodowych ftp://ftp.dlink.it/FAQs/802.1x.pdf Sys. op. wspierający ten standard

12 802.1x Standard ten definiuje kontrolę dostępu opartą na modelu klient- serwer wraz z protokołami uwierzytelniania uniemożliwiającymi dostęp do sieci nieautoryzowanym urządzeniom za pośrednictwem publicznie dostępnych portów. Serwer uwierzytelniania przeprowadza uwierzytelnianie każdego klient, który podłącza się do sieci zanim zaoferuje mu jakąkolwiek usługę.

13 IEEE 802.1X Bazujące na portach Port na przełączniku aktywowany dopiero po uwierzytelnieniu Bazujące na adresach fizycznych Wielu użytkowników może używać tego samego portu jednocześnie i istnieje możliwość ograniczenia liczby adresów MAC, które się komunikują przy jego użyciu Bazujące na portach Port na przełączniku aktywowany dopiero po uwierzytelnieniu Bazujące na adresach fizycznych Wielu użytkowników może używać tego samego portu jednocześnie i istnieje możliwość ograniczenia liczby adresów MAC, które się komunikują przy jego użyciu

14 802.1x - definicje Adres multikastowy dla protokołu EAPOL (Extensible Authentication Protocol over LAN), czyli tzw. Port Access Entity (PAE) Umożliwia przełącznikom rozpoznawanie właściwych pakietów Adres multikastowy dla protokołu EAPOL (Extensible Authentication Protocol over LAN), czyli tzw. Port Access Entity (PAE) Umożliwia przełącznikom rozpoznawanie właściwych pakietów

15 802.11x - role Klienta Uwierzytelniającego (przełącznik) Serwera Klienta Uwierzytelniającego (przełącznik) Serwera

16 OTP = hasło jednorazowe

17 802.11x scenariusze

18

19 Sieci VLAN Sieć VLAN (Virtual Local Area Network) to logiczne zgrupowanie urządzeń sieciowych lub użytkowników. Użytkownicy sieci oraz urządzenia pogrupowane według pełnionych funkcji, działu firmy itp., niezależnie od ich fizycznego położenia w sieci Sieć VLAN (Virtual Local Area Network) to logiczne zgrupowanie urządzeń sieciowych lub użytkowników. Użytkownicy sieci oraz urządzenia pogrupowane według pełnionych funkcji, działu firmy itp., niezależnie od ich fizycznego położenia w sieci

20 Ramka Ethernetu

21 Ethernet II

22 802.3 vs Ethernet II

23 VLAN

24 Dynamiczne VLAN-y Porty automatycznie przypisują się do odpowiedniego VLANu Skąd wiedzą do jakiego VLANu się przypisać: W trakcie uwierzytelniania przełącznik otrzymuje od serwera radius VLAN ID klienta Porty automatycznie przypisują się do odpowiedniego VLANu Skąd wiedzą do jakiego VLANu się przypisać: W trakcie uwierzytelniania przełącznik otrzymuje od serwera radius VLAN ID klienta

25 MONITORING I SYSTEMY DETEKCJI Czy sieć jest bezpieczna i działa prawidłowo?

26 Czy sieć jest bezpieczna? Analiza logów Monitorowanie sieci (NETFLOW, CFLOW, SFLOW, IPFIX, SNMP, PORT STATS, MRTG) Aktualizacja reguł firewalla Aktualizacja krytycznych systemów Analiza logów Monitorowanie sieci (NETFLOW, CFLOW, SFLOW, IPFIX, SNMP, PORT STATS, MRTG) Aktualizacja reguł firewalla Aktualizacja krytycznych systemów

27 Cele ataków Uzyskanie dostępu do danych W celu przejęcia kontroli nad systemem W celu zniszczenia systemu Uzyskanie dostępu do danych W celu przejęcia kontroli nad systemem W celu zniszczenia systemu

28 IDS Detekcja zagrożeń Alarmy - “Hej, coś jest nie tak!” Monitorowanie - sondy Mechanizmy reakcji na zdarzenia Systemy detekcji intruzów = prosta idea Detekcja zagrożeń Alarmy - “Hej, coś jest nie tak!” Monitorowanie - sondy Mechanizmy reakcji na zdarzenia Systemy detekcji intruzów = prosta idea

29 Idea a praktyka Co jest włamaniem lub jego proba, a co nie? Jakie są metody włamań? Jakie luki występują w systemach? Czy wiedza systemu IDS jest aktualna? Czy system może działać w pełni automatycznie? Sekwencja działań może być rozciągnięta w czasie Sekwencja działań może być rozbita pomiędzy różne sesje Poprawnie działający system może być wykorzystany do ataku na inny system (np. DRDoS) Co jest włamaniem lub jego proba, a co nie? Jakie są metody włamań? Jakie luki występują w systemach? Czy wiedza systemu IDS jest aktualna? Czy system może działać w pełni automatycznie? Sekwencja działań może być rozciągnięta w czasie Sekwencja działań może być rozbita pomiędzy różne sesje Poprawnie działający system może być wykorzystany do ataku na inny system (np. DRDoS)

30 Ataki DoS DoS – atak typu odmowa usługi (np. SYN flood) Distributed DoS – rozproszony atak typu DoS (wiele źródeł ataku, zwykle jeden cel) Distributed Reflected DoS – fałszowanie pakietów SYN, tak by pakiet SYN/ACK był wysyłany do atakowanego komputera DoS – atak typu odmowa usługi (np. SYN flood) Distributed DoS – rozproszony atak typu DoS (wiele źródeł ataku, zwykle jeden cel) Distributed Reflected DoS – fałszowanie pakietów SYN, tak by pakiet SYN/ACK był wysyłany do atakowanego komputera SYN (sq.#1) ACK(sq. #2)

31 Problemy w IDS Problem 1.: Jakie metody można użyć? Problem 2.: Jaka powinna być struktura systemów wykrywania włamań? Problem 3.: Co to jest włamanie? Problem 4.: Jak zidentyfikować tożsamość intruza? Problem 5.: Jak korelować informacje? Problem 6.: Jak złapać intruza w pułapkę? Problem 7.: Jak reagować na incydenty? Problem 1.: Jakie metody można użyć? Problem 2.: Jaka powinna być struktura systemów wykrywania włamań? Problem 3.: Co to jest włamanie? Problem 4.: Jak zidentyfikować tożsamość intruza? Problem 5.: Jak korelować informacje? Problem 6.: Jak złapać intruza w pułapkę? Problem 7.: Jak reagować na incydenty?

32 Pułapki internetowe Podejrzany użytkownik System rzeczywisty System wykrywania włamań System pułapka Aspekty prawne Podejrzany użytkownik System rzeczywisty System wykrywania włamań System pułapka Aspekty prawne

33 Reagowanie na incydenty Podjęcie działań i decyzji zmniejszających ryzyko dalszego naruszenia bezpieczeństwa Ocena wpływu incydentu na działanie systemu i firmy Ewentualne zawiadomienie organów ściagania o popełnienu przestępstwa Podjęcie działań i decyzji zmniejszających ryzyko dalszego naruszenia bezpieczeństwa Ocena wpływu incydentu na działanie systemu i firmy Ewentualne zawiadomienie organów ściagania o popełnienu przestępstwa

34 NGFW Firewall następnej generacji: Film: https://www.paloaltonetworks.com/reso urces/demos/ngfw-demo-polish.html https://www.paloaltonetworks.com/reso urces/demos/ngfw-demo-polish.html NGFW – test i Palo Alto: otowany-test-nss-labs-zapor-ngfw- przez-palo-alto-networks/ Firewall następnej generacji: Film: https://www.paloaltonetworks.com/reso urces/demos/ngfw-demo-polish.html https://www.paloaltonetworks.com/reso urces/demos/ngfw-demo-polish.html NGFW – test i Palo Alto: otowany-test-nss-labs-zapor-ngfw- przez-palo-alto-networks/

35 Podsumowanie Zapory ogniowe System IDS Zapory ogniowe System IDS


Pobierz ppt "Bezpieczeństwo sieci dr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska dr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska."

Podobne prezentacje


Reklamy Google