Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Podstawowe zagrożenia i metody ochrony systemów komputerowych

Podobne prezentacje


Prezentacja na temat: "Podstawowe zagrożenia i metody ochrony systemów komputerowych"— Zapis prezentacji:

1 Podstawowe zagrożenia i metody ochrony systemów komputerowych

2 Rodzaje zagrożeń Utrata funkcjonalności (Denial of Service) Utrata kontroli nad systemem Utrata (zniszczenie) danych Modyfikacja danych Wyciek danych

3 Źródła zagrożeń Klęski żywiołowe, kradzież, sabotaż Awarie sprzętu Błędy oprogramowania Błędy personelu Infekcje wirusami itd. Włamywacze komputerowi Inne - niesklasyfikowane

4 Koszty ochrony danych Analiza ryzyka/kosztów Koszt ochrony nie może przekraczać wartości danych Koszty jednorazowe vs. koszty stałe Zmniejszenie produktywności jest ukrytym kosztem

5 Polityka bezpieczeństwa

6 Nie ma zabezpieczeń skutecznych w 100% Asymetria:
Kompleksowość Nie ma zabezpieczeń skutecznych w 100% Asymetria: atakującemu wystarczy jedna podatność zabezpieczający musi usunąć wszystkie Zasada spójności pionowej i poziomej Komplementarność zabezpieczeń: Redundancja chroni przed utratą, ale nie przed wyciekiem danych Szyfrowanie chroni przed wyciekiem, ale nie przed utratą danych

7 Redundancja na poziomie danych
Replikacja baz danych Systemy kontroli wersji Kopie zapasowe Redundancja na poziomie infrastruktury Urządzenia zapasowe (standby) Fault-Tolerant Systems Macierze RAID Urządzenia z redundantnymi komponentami Klastry HA (High Availability) Redundancja na poziomie organizacyjnym „Nie ma ludzi niezastąpionych” Kompletna dokumentacja

8 Kopie zapasowe (backup)
„Ludzie dzielą się na tych, którzy robią backupy i tych, którzy będą robić backupy” 2/3 użytkowników Internetu utraciło kiedyś istotne dane Co kopiujemy? nośniki instalacyjne obrazy dysków dane (pliki) systemowe dane (pliki) użytkownika bazy danych inne

9 Kopie zapasowe (backup)
Jak kopiujemy? kopie pełne (full backup) kopie różnicowe (differential) kopie przyrostowe (incremental) wielopoziomowe (multilevel incremental) obrazy systemu plików (snapshot) Kiedy i jak często? virgin image kopie dzienne / tygodniowe / itd. backup window Jak ograniczamy rozmiar? deduplikacja kompresja

10 Kopie zapasowe (backup)
Na jaki nośnik? taśmy magnetyczne dyski magnetyczne nośniki optyczne inne nośniki pośrednie (staging) Czas dostępu vs. pojemność Automatyzacja procesu Wiarygodność kopii odtwarzalność kompletność autentyczność

11 Rozmiary i pojemność popularnych nośników
Gęstość informacji Rozmiary i pojemność popularnych nośników Nośnik Pojemność (GB) Rozmiary (mm) Objętość (mm³) Gęstość (MB/mm³) CD 0,7 120 x 1,2 13571,7 0,05 DVD SL 4,7 0,35 DVD DL 8,54 0,63 LTO Ultrium 800 102 x 105,4 x 21,5 231142,2 3,46 3,5" HD 2000 101,6 x 146 x 25,4 376773,44 5,31 SDHC 68,7 32 x 24 x 2,1 1612,8 42,60 microSDHC 34,35 15 x 11 x 1 165 208,18

12 Kopie zapasowe (backup)
Jak chronimy? redundancja kopii off-site backup sposób transferu szyfrowanie Jak długo przechowujemy? częstotliwość vs. czas przechowywania rotacja nośników trwałość nośników kopia awaryjna vs. kopia archiwalna

13 Redundant Array of Inexpensive/Independent Disks
RAID Redundant Array of Inexpensive/Independent Disks RAID nie zastępuje backupu! Typowe warianty RAID: RAID-0 RAID-1 RAID-1+0 (RAID-10) RAID-5 RAID-6

14 RAID-0 (striping – nie zapewnia redundancji!) RAID-1 (n-way mirroring)
całkowita pojemność X wydajność wyższa niż pojedynczego dysku RAID-1 (n-way mirroring) odporny na awarię n-1 dysków (zwykle n=2) całkowita pojemność X/n

15 RAID Implementacje: software'owe hardware'owe firmware'owe (FakeRAID)
Linux MD (metadevice): 0, 1, 10, 5, 6 MacOS: 0, 1, 10 MS Windows Server, XP Pro: 0, 1, 5 hardware'owe kontroler w serwerze kontroler w macierzy firmware'owe (FakeRAID)

16 Szyfrowanie danych przechowywanych
Programy archiwizujące (pakujące) z szyfrowaniem: PKZIP (DES, 3DES) WinZip (AES-128, AES-256) WinRAR (AES-128) Dedykowane programy do szyfrowania plików: bcrypt (Blowfish), ccrypt (Rijndael) mcrypt (AES, Blowfish, Twofish, 3DES i in.) OpenSSL enc (Blowfish, 3DES, IDEA i in.) PalCrypt (AES, Blowfish, IDEA) PGP / GPG

17 Szyfrowanie danych przechowywanych
Szyfrowane filesystemy na dysku/partycji lub napędzie wirtualnym (w pliku): TrueCrypt (AES, Twofish, Serpent i ich kombinacje) – freeware, Windows, Linux, MacOS BestCrypt (AES, Blowfish, Twofish, CAST) – komercyjny, Windows dm-crypt (AES, Blowfish, Twofish, Serpent, 3DES) – freeware, Linux FileVault (AES-128) – wbudowany, MacOS Sprzętowe szyfratory (AES-256) wbudowane w: kontrolery: Addonics CipherChain dyski twarde: Seagate, Samsung, Toshiba dyski flash USB (pendrive): Kingston DataTraveller, SanDisk Cruzer Professional/Enterprise, Ironkey i in.

18 Szyfrowanie danych przesyłanych
Na poziomie sprzętowym (łącza) Na poziomie protokołu sieciowego Na poziomie protokołu aplikacyjnego W W W (HTTPS) Komunikatora (Skype itd.) Poczty elektronicznej Inne

19 Szyfrowanie danych przesyłanych
Szyfrowanie w sieciach WiFi WEP (Wired Equivalent Privacy) ~1997 (RC4) WPA (Wi-Fi Protected Access) ~2002 WPA2 (standard i) 2004 (AES-128), od obligatoryjny dla nowych urządzeń WiFi Wirtualne sieci prywatne (Virtual Private Networks, VPN) SSL (Secure Socket Layer) – Netscape ~1995 SSL v TLS (Transport Layer Security) – 1999 (RFC 2246) TLS v. 1.2 – 2008 (RFC 5246), dodano m.in. AES Służy m.in. do szyfrowania HTTPS

20 Pretty Good Privacy – 1991, Philip Zimmermann
Poczta elektroniczna S/MIME (Secure Multipurpose Internet Mail Extensions, RFC 3851) – standard przesyłania zaszyfrowanych i Bazuje na mechanizmie Certificate Authority – certyfikaty użytkowników są wystawiane przez publiczne lub prywatne (np. wewnątrzfirmowe) CA Wbudowany w wiele programów pocztowych (Outlook, Outlook Express, Thunderbird) Pretty Good Privacy – 1991, Philip Zimmermann Wykorzystuje „web of trust” (sieć zaufania) Standard OpenPGP – (RFC 4880) Implementacje: PGP Desktop 10.x – PGP Corporation GNU Privacy Guard (GnuPG, GPG) – , Free Software Foundation

21 Cyberprzestępczość i cyberterroryzm
Ataki typu DoS (Denial of Service) Malware (złośliwe oprogramowanie) Włamania do systemów Social engineering

22 Ataki DoS (Denial of Service)
Polegają na zablokowaniu zasobów ofiary – mocy procesora, pamięci, przepustowości łącza ping of death – błąd w obsłudze dużych (64kB) pakietów ICMP (m.in. w Windows) LAND (Local Area Network Denial) – odpowiadanie na pakiety z fałszywym adresem nadawcy równym adresowi odbiorcy/ofiary (stare Unixy, Windows XP, 2003)

23 Ataki DDoS (Distributed DoS)
smurf – obsługa broadcast ICMP Z użyciem botnetu (komputerów-zombie zarażonych trojanem, np. Stacheldraht, Trinoo, TFN2K, Conficker) sterowane zdalnie, np. przez IRC największe botnety po >1 mln zombie (głównie Windows, ale też MacOS, Linux, Symbian) DDoS przypadkowy (Slashdot effect)

24 Ataki na usługi sieciowe
Błędy oprogramowania serwerów Zbyt szerokie uprawnienia Przepełnienie bufora (buffer overflow) Odgadywanie haseł do usług (SSH, FTP, POP3 itd.) atak słownikowy Podsłuch transmisji (sniffing) W sieciach bezprzewodowych

25 Malware (malicious software)
Wirus („self-replicating program”, Fred Cohen )„dokleja” się do programów i jest przenoszony z systemu do systemu przez użytkowników Robak (worm, John Brunner 1975) samodzielnie propaguje się przez sieć (przypadek graniczny: robak rozsyłający się em) Trojan (koń trojański, Trojan horse) nie replikuje się samodzielnie, jest instalowany przez użytkownika w 2009 stanowiły >80% malware Backdoor (Ken Thompson „Reflections on Trusting Trust”, 1984) Back Orifice, Netbus, SubSeven Rootkit Sony „Extended Copy Protection” – na audio CD (2005)

26 Malware (malicious software)
Spyware – malware, którego celem jest gromadzenie i przesyłanie informacji o użytkowniku (haseł etc.); często zawiera keylogger Adware – oprogramowanie wyświetlające reklamy, często zawiera elementy spyware (reklama kontekstowa) Exploit – program, którego jedyną funkcją jest wykorzystanie luki lub przełamanie zabezpieczenia systemu (lokalnego lub zdalnego)

27 Malware (malicious software)
Przełomowe wirusy Creeper (1981, PDP-10) Brain/Lahore (1986, MS-DOS) nVir (1987, MacOS) Michelangelo (1992) – spowodował histerię mediów Concept (1995, makrowirus infekujący .doc) Staog (1996, Linux) Commwarrior-A (2005, Symbian) – rozsyła się w MMS Najbardziej znane robaki „The Internet Worm” Roberta T. Morrisa, Code Red (2001), Nimda (2001), Klez (2001), Blaster (2003), SQL Slammer (2003), Sobig (2003), Sasser (2004), Conficker (2008)

28 Popularne programy antywirusowe
Zwalczanie malware Popularne programy antywirusowe Kaspersky Anti-virus ESET NOD32 BitDefender Antivirus AVG McAfee VirusScan Linux: McAfee LinuxShield, ClamAV Popularne wykrywacze spyware Spybot – Search & Destroy Superantispyware Lavasoft Ad-Aware Microsoft Windows Defender Trend Micro HijackThis Sunbelt Counterspy

29 Rankingi antywirusów i firewalli:
Zwalczanie malware Popularne firewalle programowe (często zintegrowane z programem antywirusowym) Zone Alarm Internet Security Suite Kaspersky Internet Security Comodo Internet Security Outpost Firewall Pro Norman Personal Firewall Norton Internet Security Linux: Netfilter/iptables, Shorewall Rankingi antywirusów i firewalli:

30 Social engineering Social engineering – ogół metod polegających na wykorzystaniu naiwności użytkownika (np. wyłudzeniu hasła, skłonieniu do instalacji malware itd.); Kevin Mitnick „The Art of Deception” Phishing – wykorzystanie a lub strony WWW do podszycia się pod zaufaną instytucję w celu wyłudzenia danych Wyłudzanie haseł, numerów kart kredytowych itd. Przekręt nigeryjski (nigerian scam)

31 Reagowanie na incydenty
CERT (Computer Emergency Response Team) – instytucje zajmujące się koordynacją zapobiegania i zwalczania naruszeń bezpieczeństwa komputerowego Pierwszy CERT – Carnegie Mellon University, (po sparaliżowaniu Internetu przez Morrisa) United States Computer Emergency Readiness Team (US-CERT) w ramach Dept. of Homeland Security CERT NASK (1996) → CERT PL <http://www.cert.pl> TF-CSIRT (Task Force – Collaboration Security Incident Response Teams) – organizacja utrzymująca FIRST (Forum of Incident Response and Security Teams) zrzeszające ponad 100 CERT-ów w Europie ENISA (European Network and Information Security Agency) – agencja UE

32 Literatura Janusz Stokłosa, Tomasz Bliski, Tadeusz Pankowski „Bezpieczeństwo danych w systemach informatycznych” (PWN 2001) Matthew Strebe „Bezpieczeństwo sieci” (MIKOM 2005) Simon Garfinkel, Gene Spafford „Bezpieczeństwo w Unixie i Internecie” (RM 1997) Daniel J. Barrett, Richard E. Silverman, Robert G. Byrnes „Linux. Bezpieczeństwo. Receptury” (Helion 2003) Cyrus Peikari, Anton Chuvakin „Strażnik bezpieczeństwa danych” (Helion 2004) Marcin Karbowski „Podstawy kryptografii” (Helion 2005) Clifford Stoll „Kukułcze jajo” (Rebis 1998) Michal Zalewski „Cisza w sieci” (Helion 2005)


Pobierz ppt "Podstawowe zagrożenia i metody ochrony systemów komputerowych"

Podobne prezentacje


Reklamy Google