Bezpieczeństwo w sieci i odtwarzanie po awarii Mgr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska.

Slides:



Advertisements
Podobne prezentacje
Sieci VLAN.
Advertisements

INTRUSION DETECTION SYSTEMS
ZAPORY SIECIOWE Firewall – ściana fizycznie oddzielająca silnik od pasażerów w samochodzie Sposób zabezpieczenia komputera/sieci przed osobami niepowołanymi.
Bramka zabezpieczająca VPN
SIECI KOMPUTEROWE WYKŁAD 10. RÓWNOWAŻENIE OBCIĄŻEŃ
Narzędzia do zarządzania i monitorowania sieci
Bezpieczeństwo informatyczne Informatyka śledcza
Usługa powszechnej archiwizacji PLATON-U4
BEZPIECZEŃSTWO DANYCH W KOMPUTERZE
Wprowadzenie do usługi Warsztaty dla użytkowników Usługi Powszechnej Archiwizacji Maciej Brzeźniak, Gracjan Jankowski, PCSS.
Budowanie polityk bezpieczeństwa w urządzeniach typu firewall
Norton AntiVirus.
Systemy operacyjne.
Honorata Prokop, Izabela Ubowska
Piotr Doskocz Aleksandra Lechki Krzysztof Lewicki
Sieci komputerowe: Firewall
PLANET ADW-4302 v2 Modem ADSL 2/2+, Router, Firewall, bezprzewodowy g.
PLANET ADE-3410, ADE-3400v2, ADE-4400v2 Modem Router A DSL 2/2+
Bramka internetowa z menadżerem pasma
PLANET WLS-1280 Bezprzewodowy przełącznik sieci LAN
Czym jest ISA 2004 Microsoft Internet Security and Acceleration Server 2004 jest zaawansowaną zapora filtrującą ruch w warstwie aplikacji. Razem z zaporą.
Instytut Informatyki Teoretycznej i Stosowanej Polskiej Akademii Nauk Gliwice, ul. Bałtycka 5, Protokół TCP – kształtowanie.
Administracja zintegrowanych systemów zarządzania
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Artur Szmigiel Paweł Zarębski Kl. III i
Wprowadzenie do usługi Warsztaty promocyjne dla użytkowników Usługi Powszechnej Archiwizacji Norbert Meyer, Maciej Brzeźniak, Michał Jankowski PCSS.
Rynek tłumaczeń i lokalizacji w Polsce, Wrocław marca 2009r. Bezpieczeństwo danych - dyskusja Prowadzący: Wojciech Olejniczak Moravia IT
Autor: Maciej Piwowarczyk
prototypy metod i ingerencji w system czynna i bierna ingerencja
Wirusy komputerowe.
Aktualne koncepcje zabezpieczania danych – backup
… iSCSI … Windows Server 2012 Łukasz Dylewski.
Budowa sieci mgr inż. Łukasz Dylewski
Modelowanie bezpieczeństwa infrastruktury IT na bazie doświadczeń z włamań i wykrytych podatności Prowadzący: Specjalista do sp. Informatyki Śledczej Maciej.
BEZPIECZEŃSTWO SIECI ZARZĄDZANIE © CLICO Sp. z o.o. Mechanizmy audytu i kontroli sieci w urządzeniach NGF Check Point. Piotr Motłoch CCSA, CCSE,
Temat 1: Podstawowe pojęcia dotyczące lokalnej sieci komputerowej
Bezpieczeństwo sieci i odtwarzanie po awarii
Distributed Denial of Service w sieciach WAN
Solphy Polska Prezentacja Produktu Solphy Home Storage.
Temat 4: Rodzaje, budowa i funkcje urządzeń sieciowych.
Sieci komputerowe.
Rozdział 1: Wprowadzenie do systemu Windows 2000 i podstaw sieci
Sieciowe Systemy Operacyjne
Projekt kompetencyjny: Budowa sieci komputerowej
Złośliwe oprogramowanie
7-8 listopada 2007 Central European Outsourcing Forum
Ochrona danych i kryptografia
„Wzmacniak , bridge, brama sieciowa: różnice i zastosowanie”
Bezpieczeństwo sieci i odtwarzanie po awarii
Podstawy teleinformatyki
Prezentacja Rozwiązań Serwisowych Internetowy Serwis Aptek ISAKS.
Sieci komputerowe.
Czym jest Internet Security for Android? To program oparty na nowoczesnych technologiach, zabezpieczających dowolne urządzenie z systemem Android™ przed.
dr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska
Backup, archiwizacja, tolerowanie awarii, odtwarzanie
Uprawnienia w Windows Server
Czy twoje dane są bezpieczne ? czyli jako konstruować system żeby zapewnić ciągłość przetwarzania i zabezpieczyć się przed utrata danych Grzegorz Pluciński.
niezawodności Z problemem jakości systemów informacyjnych wiąże się problem zapewnienia odpowiedniej niezawodności ich działania.
SIEĆ KLIENT-SERWER Pojęcie sieci typu klient – serwer.
Podział sieci komputerowych
ZAPORY SIECIOWE - FIREWALL
Model OSI. Aplikacji Prezentacji Sesji Transportowa Sieciowa Łącza Danych Fizyczna WARSTWY: Aplikacji Prezentacji Sesji Transportowa Sieciowa Łącza Danych.
Bezpieczeństwo cloud computing FAKTY I MITY Beata Marek, cyberlaw.pl Beata Marek, cyberlaw.pl Kancelaria w chmurze, Kancelaria w chmurze, 19.X X.2012.
Przełączniki zarządzalne w Sieciech teleinformatycznych
Informatyka Zakres rozszerzony Zebrał i opracował : Maciej Belcarz OPROGRAMOWANIE„ZŁOSLIWE”
Bezpieczeństwo informacji Jak chronić nasze zasoby w komputerze? Jak zarchiwizować i skompresować pliki?
Warszawa 27 Luty 2014 Analiza implementacyjna usługi VoIP dla zastosowań korporacyjnych Wykonał: Michał Boczek Promotor: dr inż. Dariusz Chaładyniak.
Protokoły używane w sieciach LAN Funkcje sieciowego systemu komputerowego Wykład 5.
Podstawy sieci komputerowych
Zapis prezentacji:

Bezpieczeństwo w sieci i odtwarzanie po awarii Mgr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska

Internet a intranet Internet = źódło informacji Internet = źródło zagrożeń dla użytkowników intranetu Udostępnianie zasobów i swoboda komunikacji Ochrona sieci przed agresorami i intruzami

Struktura sieci Połączenie ze światem zewnętrznym, czyli Internetem Potrzeby użytkowników, bezpieczeństwo danych a struktura sieci Podział sieci wewnętrznej na segmenty

Zapora ogniowa (firewall) Minimalizacja zagrożenia z zewnątrz Personalizacja (na poziomie komputera) zasad dostępu Ochrona przed niektórymi wirusami Brak ochrony przed zagrożeniami z wnętrza Intranetu Podatne na awarie (dotyczy rozwiązań programowych)

Przed i po awarii Rysunek ze statystyk MRTG

Jedna zapora czy dwie InternetIntranet FF DMZ

Personalizacja dostępu Użytkownik – w zasadzie grupy użytkowników (Problem: użytkownik może statycznie ustawić cudzy adres) Adres IP DHCP i adres fizyczny

IP + MAC Personalizacja ustawień zapory ogniowej Możliwość zlokalizowania użytkownika Możliwość wyłączenia portu, do którego wpięty jest komputer użytkownika Mary Bob

Czy sieć jest bezpieczna? Analiza logów Monitorowanie sieci Aktualizacja reguł firewalla Aktualizacja krytycznych systemów

IDS Detekcja zagrożeń Alarmy - Hej, coś jest nie tak! Monitorowanie - sondy Mechanizmy reakcji na zdarzenia Systemy detekcji intruzów = prosta idea

Idea a praktyka Co jest włamaniem lub jego proba, a co nie? Jakie są metody włamań? Jakie luki występują w systemach? Czy wiedza systemu IDS jest aktualna? Czy system może działać w pełni automatycznie? Sekwencja działań może być rozciągnięta w czasie Sekwencja działań może być rozbita pomiędzy różne sesje Poprawnie działający system może być wykorzystany do ataku na inny system (np. DRDoS)

Ataki DoS DoS – atak typu odmowa usługi (np. SYN flood) Distributed DoS – rozproszony atak typu DoS (wiele źródeł ataku, zwykle jeden cel) Distributed Reflected DoS – fałszowanie pakietów SYN, tak by pakiet SYN/ACK był wysyłany do atakowanego komputera SYN (sq.#2)/ACK (sq. #1) SYN (sq.#1) ACK(sq. #2)

DRDoS – Studium przypadku Zobacz plik drdos.pdf

Cele ataków Uzyskanie dostępu do danych W celu przejęcia kontroli nad systemem W celu zniszczenia systemu

Problemy w IDS Problem 1.: Jakie metody można użyć? Problem 2.: Jaka powinna być struktura systemów wykrywania włamań? Problem 3.: Co to jest włamanie? Problem 4.: Jak zidentyfikować tożsamość intruza? Problem 5.: Jak korelować informacje? Problem 6.: Jak złapać intruza w pułapkę? Problem 7.: Jak reagować na incydenty?

Metody Przetwarzanie raportu audytu Przetwarzanie na bieżąco Profile normalnego zachowania Sygnatury nienormalnego zachowania Zgodność przetwarzania ze wzorcem

Przetwarzanie raportu audytu Najczęściej stosowana Dostępne w logach SO, firewallów, routerów, przełączników System chroniony System wykrywania włamań Sonda audytu Przetwarzanie audytu

Przetwrzanie na bieżąco Nie powinno zakłócać pracy sieci Analiza w czasie rzecywistym lub zbliżonym do rzeczywistego Wyszukiwanie wzorców (brzydkich słów) np. /etc/passwd Nie zbędny dostęp do ruchu w sieci – łatwe do zapewnienia w przypadku podłączenia do Internetu poprzez bramę dławiącą

Profile Normalnego zachowania – przewidywanie zachowań użytkowników i sprzętu, wykrywanie włamań = wykrywanie anomalii wzgl. profili Sygnatury nienormalnego zachowania – umożliwiają identyfikację tylko znanych typów ataków, ale nie wymagają tak złożonego przetwarzania jak profile normalnego zachowani

Zgodność parametrów ze wzorcem Hmm, ten użytkownik generuje bardzo dużo pakietów!!!

Struktua systemu wykrywania włamań CDIF – Common Intrusion Detection Framework: Sensor – event box System zarządzania – oparty o SNMP, MIB i RMON Algorytmy – analysis box Bazy wiedzy – data box, jednostka danych Alarmy – w formacie GIDO (Generalized Intrusion Detection Object)

Co to jest włamanie? Def.: Włamanie jest ciągiem współzależnych działań złośliwego intruza, które powodują wystąpienie zagrożeń naruszenia bezpieczeństwa zasobów przez dostęp nieautoryzowany do danej domeny komputerowej lub sieciowej

Ukrywanie tożsamości Techniki wewnętrzne względem sieci Techniki zewnętrzne względem sieci

Korelacja danych Rodzaje korelacji: Korelacja pakietów w jednej i wielu sesjach Korelacja informacji w czasie rzeczywistym lub po fakcie Korelacja informacji dostępnych całościowo lub wewnętrznie

Pułapki internetowe Podejrzany użytkownik System rzeczywisty System wykrywania włamań System pułapka Aspekty prawne

Reagowanie na incydenty Podjęcie działań i decyzji zmniejszających ryzyko dalszego naruszenia bezpieczeństwa Ocena wpływu incydentu na działanie systemu i firmy Ewentualne zawiadomienie organów ściagania o popełnienu przestępstwa

Przegląd systemów IDS /en/security/ids.html

Architektura systemu z IDS F Intranet DMZ F IDS

Archiwizacja danych Streamery Macierze dyskowe – RAID Biblioteki taśmowe Dyski magnetoptyczne Zdalny mirroring Płyty CD/DVD Mikrofilmy

Wybór technologii RAID a błędy użytkownika Koszty technologii Miejsce składowania danych Systemy krytyczne i zapasowe centra danych Sieci SAN

Przykładowa architektura sieci DHCP RADIUS WWWMAIL File server DMZ Intranet F Router brzegowy SAN Bilioteka taśmowa Bilioteka taśmowa Bilioteka taśmowa

Wybór technologii (cd.) Identyfikacja krytycznych procesów i danych Określenie okna backup'u Określenie dopuszczalnego czasu niedostępności po awarii Określenie czasu przez, który chcemy przechowywać kopie archiwalne Określenie czasu, który jest potrzebny na odtworzenie danych przy wykorzystaniu danej technologii Określenie czasu potrzebnego na odtworzenie procesów

Disaster recovery plan Disaster recovery – plan gwarantujący dostępność danych i aplikacji w określonym czasie po zdarzeniu o charakterze katastrofalnym Klasyfikacja planów odtwarzania po awarii: Tier 0 – Do nothing, no off-site data Tier 1 – Offsite vaulting Tier 2 – Offsite vaulting with a hot site Tier 3 – Electronic vaulting Tier 4 – Electronic vaulting to hot site (active secondary site) Tier 5 – Two site two phase commit Tier 6 – Zero data loss

Rodzaje zagrożeń Lokalne Logiczne Katastrofy

Rodzaje strat Straty bezpośrednie i pośrednie Straty bezpośrednie: Zmniejszenie przychodów Spadek wydajności pracy Kary za opóźnienia Straty pośrednie: Utrata klientów Utrata wiarygodności Korzyści utracone Koszty przestoju

Koszty przestoju różnych rodzajów aplikacji [$/min] (USA, 1998) Call location: $ /min e-commerce: $ / min Customer service center: $3 700 / min Point of sale: $3 500 / min

Parametry profilów DR RTO – czas potrzebny na odtworzenie danych RPO – czas pracy systemu jaki tracimy na skutek awarii BWO - Okno backupowe, czas potrzebny na wykonanie kopii Okres przechowywania na nośnikach

Koszty przestoju i koszt technologii Pieniądze Czas Koszt technologii Straty wynikające z przestoju systemu

Systemy macierzowe i klastrowe Systemy macierzowe Zabezpieczają przed skutkami awarii dysku, kontrolera Pełna nadmiarowość Równoległa struktura połączeń Systemy klastrowe Szerszy zakres ochrony Eliminacja single point of failure Ułatwienie zarządzania

Prędkości transmisji Czas przesłania 1TB danych w [min]: 10Mbps – 13653,33 100Mbps – 1365,333 SAN FCP (scsi-3) 2Gbps – 68,27 OC -255 ATM 13,21 Gbps – 10,34 SAN + DWDM 200 Gbps – 0,68

Tworzenie planów BWO RPO RTO Start projektu Analiza procesów Analiza ryzyka Opisy procesów, tworzenie procedur Plany odtwarzania Sposób ochrony danych TESTY Zarządzanie zmianami

Podsumowanie Zapora ogniowa System IDS Fizyczna ochrona danych i archiwizacja Plany awaryjne