Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Dr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska.

Podobne prezentacje


Prezentacja na temat: "Dr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska."— Zapis prezentacji:

1 dr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska

2 Czyli jak chronić sieć przed nieautoryzowanym dostępem

3 Internet = źódło informacji Internet = źródło zagrożeń dla użytkowników intranetu Udostępnianie zasobów i swoboda komunikacji Ochrona sieci przed agresorami i intruzami

4 Połączenie ze światem zewnętrznym, czyli Internetem Potrzeby użytkowników, bezpieczeństwo danych a struktura sieci Podział sieci wewnętrznej na segmenty

5 Minimalizacja zagrożenia z zewnątrz Personalizacja (na poziomie komputera) zasad dostępu Ochrona przed niektórymi wirusami Brak ochrony przed zagrożeniami z wnętrza Intranetu Podatne na awarie (dotyczy rozwiązań programowych)

6 Statystyki ruchu

7 Internet DMZ

8 Użytkownik – w zasadzie grupy użytkowników (Problem: użytkownik może statycznie ustawić cudzy adres) Adres IP DHCP i adres fizyczny

9 Personalizacja ustawień zapory ogniowej Możliwość zlokalizowania użytkownika Możliwość wyłączenia portu, do którego wpięty jest komputer użytkownika Mary Bob

10 Protokół uwierzytelniania w sieciach LAN: bezprzewodowych przewodowych ftp://ftp.dlink.it/FAQs/802.1x.pdf Sys. op. wspierający ten standard

11 Standard ten definiuje kontrolę dostępu opartą na modelu klient-serwer wraz z protokołami uwierzytelniania uniemożliwiającymi dostęp do sieci nieautoryzowanym urządzeniom za pośrednictwem publicznie dostępnych portów. Serwer uwierzytelniania przeprowadza uwierzytelnianie każdego klient, który podłącza się do sieci zanim zaoferuje mu jakąkolwiek usługę.

12 Bazujące na portach Port na przełączniku aktywowany dopiero po uwierzytelnieniu Bazujące na adresach fizycznych Wielu użytkowników może używać tego samego portu jednocześnie i istnieje możliwość ograniczenia liczby adresów MAC, które się komunikują przy jego użyciu

13 Adres multikastowy dla protokołu EAPOL (Extensible Authentication Protocol over LAN), czyli tzw. Port Access Entity (PAE) Umożliwia przełącznikom rozpoznawanie właściwych pakietów

14 Analiza logów Monitorowanie sieci Aktualizacja reguł firewalla Aktualizacja krytycznych systemów

15 Klienta Uwierzytelniającego (przełącznik) Serwera

16 OTP = hasło jednorazowe

17 Detekcja zagrożeń Alarmy - Hej, coś jest nie tak! Monitorowanie - sondy Mechanizmy reakcji na zdarzenia Systemy detekcji intruzów = prosta idea

18 Co jest włamaniem lub jego proba, a co nie? Jakie są metody włamań? Jakie luki występują w systemach? Czy wiedza systemu IDS jest aktualna? Czy system może działać w pełni automatycznie? Sekwencja działań może być rozciągnięta w czasie Sekwencja działań może być rozbita pomiędzy różne sesje Poprawnie działający system może być wykorzystany do ataku na inny system (np. DRDoS)

19 DoS – atak typu odmowa usługi (np. SYN flood) Distributed DoS – rozproszony atak typu DoS (wiele źródeł ataku, zwykle jeden cel) Distributed Reflected DoS – fałszowanie pakietów SYN, tak by pakiet SYN/ACK był wysyłany do atakowanego komputera SYN (sq.#2)/ACK (sq. #1) SYN (sq.#1) ACK(sq. #2)

20 Zobacz plik drdos.pdf

21 Uzyskanie dostępu do danych W celu przejęcia kontroli nad systemem W celu zniszczenia systemu

22 Problem 1.: Jakie metody można użyć? Problem 2.: Jaka powinna być struktura systemów wykrywania włamań? Problem 3.: Co to jest włamanie? Problem 4.: Jak zidentyfikować tożsamość intruza? Problem 5.: Jak korelować informacje? Problem 6.: Jak złapać intruza w pułapkę? Problem 7.: Jak reagować na incydenty?

23 Przetwarzanie raportu audytu Przetwarzanie na bieżąco Profile normalnego zachowania Sygnatury nienormalnego zachowania Zgodność przetwarzania ze wzorcem

24 Najczęściej stosowana Dostępne w logach SO, firewallów, routerów, przełączników System chroniony System wykrywania włamań Sonda audytu Przetwarzanie audytu

25 Nie powinno zakłócać pracy sieci Analiza w czasie rzecywistym lub zbliżonym do rzeczywistego Wyszukiwanie wzorców (brzydkich słów) np. /etc/passwd Nie zbędny dostęp do ruchu w sieci – łatwe do zapewnienia w przypadku podłączenia do Internetu poprzez bramę dławiącą

26 Normalnego zachowania – przewidywanie zachowań użytkowników i sprzętu, wykrywanie włamań = wykrywanie anomalii wzgl. profili Sygnatury nienormalnego zachowania – umożliwiają identyfikację tylko znanych typów ataków, ale nie wymagają tak złożonego przetwarzania jak profile normalnego zachowani

27 Hmm, ten użytkownik generuje bardzo dużo pakietów!!!

28 CDIF – Common Intrusion Detection Framework: Sensor – event box System zarządzania – oparty o SNMP, MIB i RMON Algorytmy – analysis box Bazy wiedzy – data box, jednostka danych Alarmy – w formacie GIDO (Generalized Intrusion Detection Object)

29 Def.: Włamanie jest ciągiem współzależnych działań złośliwego intruza, które powodują wystąpienie zagrożeń naruszenia bezpieczeństwa zasobów przez dostęp nieautoryzowany do danej domeny komputerowej lub sieciowej

30 Techniki wewnętrzne względem sieci Techniki zewnętrzne względem sieci

31 Rodzaje korelacji: Korelacja pakietów w jednej i wielu sesjach Korelacja informacji w czasie rzeczywistym lub po fakcie Korelacja informacji dostępnych całościowo lub wewnętrznie

32 Podejrzany użytkownik System rzeczywisty System wykrywania włamań System pułapka Aspekty prawne

33 Podjęcie działań i decyzji zmniejszających ryzyko dalszego naruszenia bezpieczeństwa Ocena wpływu incydentu na działanie systemu i firmy Ewentualne zawiadomienie organów ściagania o popełnienu przestępstwa

34 cottbus.de/ /en/security/ids.html

35 F Intranet DMZ F IDS

36 Streamery Macierze dyskowe – RAID Biblioteki taśmowe Dyski magnetoptyczne Zdalny mirroring Płyty CD/DVD Mikrofilmy

37 RAID a błędy użytkownika Koszty technologii Miejsce składowania danych Systemy krytyczne i zapasowe centra danych Sieci SAN

38 DHCP RADIUS WWWMAIL File server DMZ Intranet F Router brzegowy SAN Bilioteka taśmowa Bilioteka taśmowa Bilioteka taśmowa

39 Identyfikacja krytycznych procesów i danych Określenie okna backup'u Określenie dopuszczalnego czasu niedostępności po awarii Określenie czasu przez, który chcemy przechowywać kopie archiwalne Określenie czasu, który jest potrzebny na odtworzenie danych przy wykorzystaniu danej technologii Określenie czasu potrzebnego na odtworzenie procesów

40 Disaster recovery – plan gwarantujący dostępność danych i aplikacji w określonym czasie po zdarzeniu o charakterze katastrofalnym Klasyfikacja planów odtwarzania po awarii: Tier 0 – Do nothing, no off-site data Tier 1 – Offsite vaulting Tier 2 – Offsite vaulting with a hot site Tier 3 – Electronic vaulting Tier 4 – Electronic vaulting to hot site (active secondary site) Tier 5 – Two site two phase commit Tier 6 – Zero data loss

41 Lokalne Logiczne Katastrofy

42 Straty bezpośrednie i pośrednie Straty bezpośrednie: Zmniejszenie przychodów Spadek wydajności pracy Kary za opóźnienia Straty pośrednie: Utrata klientów Utrata wiarygodności Korzyści utracone Koszty przestoju

43 Koszty przestoju różnych rodzajów aplikacji [$/min] (USA, 1998) Call location: $ /min e-commerce: $ / min Customer service center: $3 700 / min Point of sale: $3 500 / min

44 RTO – czas potrzebny na odtworzenie danych RPO – czas pracy systemu jaki tracimy na skutek awarii BWO - Okno backupowe, czas potrzebny na wykonanie kopii Okres przechowywania na nośnikach

45 Pieniądze Czas Koszt technologii Straty wynikające z przestoju systemu

46 Systemy macierzowe Zabezpieczają przed skutkami awarii dysku, kontrolera Pełna nadmiarowość Równoległa struktura połączeń Systemy klastrowe Szerszy zakres ochrony Eliminacja single point of failure Ułatwienie zarządzania

47 Czas przesłania 1TB danych w [min]: 10Mbps – 13653,33 100Mbps – 1365,333 SAN FCP (scsi-3) 2Gbps – 68,27 OC -255 ATM 13,21 Gbps – 10,34 SAN + DWDM 200 Gbps – 0,68

48 BWO RPO RTO Start projektu Analiza procesów Analiza ryzyka Opisy procesów, tworzenie procedur Plany odtwarzania Sposób ochrony danych TESTY Zarządzanie zmianami

49 Zapora ogniowa System IDS Fizyczna ochrona danych i archiwizacja Plany awaryjne


Pobierz ppt "Dr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska."

Podobne prezentacje


Reklamy Google