Sieci lokalne – metody zwiększania bezpieczeństwa

Slides:



Advertisements
Podobne prezentacje
Procesory sieciowe w realizacji bezpieczeństwa danych
Advertisements

Łamanie zabezpieczeń WEP w sieci Wi-Fi
Sieci VLAN.
Projekt sieci WLAN w standardzie 802
Krótkie i amatorskie wprowadzenie. Coś musiałem napisać..
INTRUSION DETECTION SYSTEMS
ZAPORY SIECIOWE Firewall – ściana fizycznie oddzielająca silnik od pasażerów w samochodzie Sposób zabezpieczenia komputera/sieci przed osobami niepowołanymi.
Bramka zabezpieczająca VPN
Autor : Artur Waśkowiak
WYBRANE ASPEKTY BEZPIECZEŃSTWA DANYCH BANKOWYCH
BEZPIECZEŃSTWO DANYCH W KOMPUTERZE
Przyczyny utraty przez firmy informacji.
Budowanie polityk bezpieczeństwa w urządzeniach typu firewall
Urządzenia sieciowe Topologie sieci Standardy sieci Koniec.
SSL - protokół bezpiecznych transmisji internetowych
Honorata Prokop, Izabela Ubowska
Piotr Doskocz Aleksandra Lechki Krzysztof Lewicki
PING: Program używany do diagnozowania połączeń sieciowych.
Sieci komputerowe: Firewall
PLANET ADW-4302 v2 Modem ADSL 2/2+, Router, Firewall, bezprzewodowy g.
PLANET ADE-3410, ADE-3400v2, ADE-4400v2 Modem Router A DSL 2/2+
SG-500 Bramka zabezpieczająca VPN Copyright © PLANET Technology Corporation. All rights reserved.
PLANET WLS-1280 Bezprzewodowy przełącznik sieci LAN
Komunikaty sterujące zestawu protokołów TCP/IP
Administracja zintegrowanych systemów zarządzania
Artur Szmigiel Paweł Zarębski Kl. III i
1 Podstawy informatyki H. P. Janecki- 2006_ Systemy Operacyjne W6.
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK Formalne aspekty eduroam Tomasz Wolniewicz UCI UMK.
SIECI KOMPUTEROWE PIOTR MAJCHER PODSTAWOWE POJĘCIA.
Inżynieria Oprogramowania
WI-FI.
Protokół Komunikacyjny
Modelowanie bezpieczeństwa infrastruktury IT na bazie doświadczeń z włamań i wykrytych podatności Prowadzący: Specjalista do sp. Informatyki Śledczej Maciej.
RODZAJE TRANSMISJI PRZESYŁANIE INFORMACJI W MODELU WARSTWOWYM
BUDOWA I DZIAŁANIE SIECI KOMPUTEROWYCH
Temat 1: Podstawowe pojęcia dotyczące lokalnej sieci komputerowej
Metody zabezpieczania transmisji w sieci Ethernet
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK Tomasz Wolniewicz UCI UMK Projekt eduroam.
Wiadomości wstępne o sieciach komputerowych
Temat 4: Rodzaje, budowa i funkcje urządzeń sieciowych.
Topologie sieci lokalnych.
Prezentacja i szkolenie
Sieciowe Systemy Operacyjne
Podstawy działania wybranych usług sieciowych
Wybrane zagadnienia relacyjnych baz danych
SYSTEMY OPERACYJNE Adresowanie IP cz3.
Podstawy teleinformatyki
Sieci komputerowe.
Narzędzie wspierające zarządzanie organizacj Parentis Sp. z o. o
Sieci komputerowe E-learning
Konfiguracja VPN Klienta – Windows 7
 Karta sieciowa to urządzenie odpowiedzialne za wysyłanie i odbieranie danych w sieciach LAN. Każdy komputer, który ma korzystać z dobrodziejstw sieci,
dr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska
Systemy operacyjne i sieci komputerowe
Andrzej Majkowski 1 informatyka +. 2 Bezpieczeństwo protokołu HTTP Paweł Perekietka.
Aby do danych nie dostała się postronna osoba ( hacker ) stosuje się różne metody kryptograficzne.
niezawodności Z problemem jakości systemów informacyjnych wiąże się problem zapewnienia odpowiedniej niezawodności ich działania.
Informatyka Zakres rozszerzony Zebrał i opracował : Maciej Belcarz TEMAT : Administracja i bezpieczeństwosieci TEMAT : Administracja i bezpieczeństwosieci.
Temat 1 Pojęcie systemu operacyjnego Opracował: mgr Marek Kwiatkowski.
ZAPORY SIECIOWE - FIREWALL
Model warstwowy ISO-OSI
10. KRYPTOGRAFICZNE PROTOKOŁY KOMUNIKACYJNE
Projekt firmowej sieci Wi-Fi
Bartosz Pawlak Wiktor Paliwoda Bezpieczeństwo Systemów Operacyjnych IMAP vs POP.
Zabezpieczanie komputerów przed zawirusowaniem Metody ataków sieciowych.
Protokoły używane w sieciach LAN Funkcje sieciowego systemu komputerowego Wykład 5.
materiały dla uczestników
Anonimowo ść w sieci. Sposoby zachowania anonimowośc i VPNProxyTOR.
Sponsorzy: Media:. Sponsorzy: Media: MBUM 9/11/2017 Mikrotik Beer User Meeting Integracja uwierzytelniania tunelu L2TP/IPsec z Microsoft Active Directory.
Bezpieczeństwo sieci WLAN
Zapis prezentacji:

Sieci lokalne – metody zwiększania bezpieczeństwa Bezpieczeństwo informacji w systemach komputerowych - PJWSTK Rafał Więckowski paździenik 2005

Polityka bezpieczeństwa ogólnie Działania mające na celu zabezpieczenie systemu przed: ryzykiem utraty poufności (zdarzenie mogące doprowadzić do ujawnienia informacji przetwarzanej przez system informatyczny nieautoryzowanemu użytkownikowi)

Polityka bezpieczeństwa ogólnie Działania mające na celu zabezpieczenie systemu przed: ryzykiem utraty dostępności (zdarzenie mogące doprowadzić do braku dostępu w określonym czasie do systemu informatycznego, programu lub informacji dla autoryzowanych użytkowników)

Polityka bezpieczeństwa ogólnie Działania mające na celu zabezpieczenie systemu przed: ryzykiem utraty integralności (zdarzenie mogące doprowadzić do nieautoryzowanej modyfikacji lub zniszczenia danych przetwarzanych przez system informatyczny)

Polityka bezpieczeństwa ochrona fizyczna wrażliwych elementów Ochrona fizyczna wrażliwych elementów systemu komputerowego takich jak np. pomieszczenie, w którym pracuje serwer, czy stacja robocza administratora sieci. Nawet ogromne pieniądze wydane na zabezpieczenia nie przyniosą rezultatów jeżeli nieuprawniony personel będzie miał dostęp do urządzeń typu konsola operatora.

Polityka bezpieczeństwa bezpieczeństwo systemu operacyjnego Powstały pojęcia poziomów bezpieczeństwa systemów operacyjnych oraz sposoby certyfikacji tych systemów. Na przykład systemy takie jak UNIX czy Microsoft Windows NT uzyskały certyfikat klasy C2. Oznacza to, że systemy te wyposażono w mechanizmy kontroli dostępu, gwarantowania zezwoleń na czytanie i zapis kartotek oraz plików przez określonych użytkowników oraz notowanie (auditing) dostępów i autoryzacji.

Polityka bezpieczeństwa podstawowe działania Blokowanie wejść na stacjach roboczych Instalacja oprogramowania antywirusowego FireWall Budowa LAN w oparciu o Switche Aktualizacja oprogramowania

Polityka bezpieczeństwa Każde zabezpieczenie można obejść. Istotne jest, żeby wiedzieć o tym, że ktoś nieautoryzowany uzyskał dostęp do naszej sieci.

System wykrywający próby włamań. Systemy IDS co to jest? IDS – Intrusion Detection System System wykrywający próby włamań. Jeżeli posłużymy się analogią, to firewalle pełnią rolę zamków a IDS jest systemem alarmowym wykrywającym włamanie do systemu informatycznego.

Systemy IDS jak to działa? IDS działa na zasadzie ciągłego monitorowania zdarzeń. Potrafi w przetwarzanych danych wykryć cechy charakterystyczne dla próby nieautoryzowanego dostępu do systemu.

Systemy IDS jak to działa? IDSy zbierają informacje z różnych źródeł. Najczęściej spotykane, to: podsłuch ruchu sieciowego dane spływające do logów systemowych dane o działaniach podejmowanych przez użytkowników

Systemy IDS rodzaje IDSów Ze względu na rodzaj informacji wejściowych dzielimy IDSy na: Systemowe – HIDS (Host IDS) Sieciowe – NIDS (Network IDS) Stacji Sieciowej – NNIDS (Network Node IDS)

NIDS – Network IDS zasada działania Agent NIDS ustawia interfejs sieciowy w tryb podsłuchu i analizuje cały ruch, jaki się na nim pojawia. (uwaga: właściwe umiejscowienie IDSa w strukturze sieci) Agent NIDS działa w czasie zbliżonym do rzeczywistego. (uwaga: wydajność platformy sprzętowo systemowej)

NIDS – Network IDS zasada działania Ruch sieciowy jest analizowany w celu wykrycia fragmentów charakterystycznych dla: różnych typów ataków (np. ping of death) pewnych działań, które same w sobie nie są atakiem, lecz stanowią przygotowanie do ataku (np. skanowanie portów)

NIDS – Network IDS techniki wykrywania włamań Pattern matching Każdy podsłuchany pakiet jest porównywany bajt po bajcie z bazą, zawierającą fragmenty ruchu sieciowego charakterystyczne dla określonych sposobów atakowania systemów (tzw. sygnatury ataków). (uwaga: wymaga sporej wydajności systemu. Zależność pomiędzy liczbą przetwarzanych danych lub liczbą wykrywanych ataków a zapotrzebowaniem na moc obliczeniową jest wykładnicza.)

NIDS – Network IDS techniki wykrywania włamań Analiza protokołów Agent NIDS monitorujący ruch zna protokoły sieciowe, w związku z czym może wykryć pewne typy ataków przez wykrywanie pakietów o dziwnej strukturze. Np. dla ataku ping of death, który polega na wysłaniu bardzo długiego pakietu ICMP-echo (ping), agent zauważy nietypowy (bardzo długi) pakiet ICMP-echo.

NIDS – Network IDS techniki wykrywania włamań Analiza protokołów c.d. Agenci NIDS posiadają mechanizmy, które umożliwiają: analizę zależności pomiędzy kolejnymi pakietami (wykrywają m.in. flooding, skanowanie w poszukiwaniu otwartych portów) defragmentację pakietów (wykrywają atak ukryty w wielu sfragmentowanych pakietach – technika stosowana przy oszukiwaniu prostych firewalli)

NIDS – Network IDS techniki wykrywania włamań Analiza sesji Agent wykrywa anomalie charakterystyczne dla całej sesji sieciowej (rekonstruuje strumień danych zaszyty w pakietach). Dzięki tej technice można wykryć anomalie charakterystyczne dla całej sesji sieciowej, a nie tylko dla pojedynczych pakietów. W ten sposób można np. wychwycić próby manipulowania numerami sekwencyjnymi, czy też próby obejścia firewalli stateful-in-spection

NIDS – Network IDS techniki wykrywania włamań Analiza protokołów wysokopoziomowych Wykrywanie ataków np. na serwer www opartych na wysyłaniu określonych komend do znanego skryptu CGI (np. test.cgi lub showcode.asp).

NIDS – Network IDS działania aktywne Systemy NIDS nie tylko potrafią wykrywać atak, lecz także aktywnie mu zapobiegać. Zwykle stosuje się przerwanie sesji sieciowej. Zaawansowane IDSy potrafią współpracować z firewallami (np. Cisco NetRanger i routery Cisco) i blokować ruch ze źródła, z którego nadszedł atak. (uwaga: podatność na DoS)

NIDS – Network IDS wiedza NIDSa NIDSy opierają się na bazie sygnatur ataków. Kluczową sprawą w zarządzaniu NIDSem jest możliwe częste aktualizowanie bazy ataków. Pamiętajmy o tym, że jeżeli IDS nie będzie nauczony danego sposobu atakowania systemów, to nie będzie również w stanie go wykryć.

NIDS – Network IDS rozmieszczenie NIDSa w systemie informatycznym NIDS działa prawidłowo tylko w domenie kolizyjnej (tylko wtedy ma możliwość monitorować wszystkie pakiety krążące w danym segmencie LAN). Stacja przeznaczona na instalację NIDSa powinna być jak najmniej widoczna (musi być maksymalnie utrudnione wykrycie jej przez potencjalnego intruza)

NIDS – Network IDS rozmieszczenie NIDSa w systemie informatycznym Nieprawidłowe podłączenie IDSa w sieci

NIDS – Network IDS rozmieszczenie NIDSa w systemie informatycznym Prawidłowe podłączenie IDSa w sieci

NIDS – Network IDS rozmieszczenie NIDSa w systemie informatycznym IDS sprzężony z Firewall’em

NIDS – Network IDS problem Głównym kłopotem przy eksploatacji oprogramowania IDS jest kwestia false-positives, czyli fałszywych alarmów. Sygnatury ataków są przeważnie regułami o małym stopniu szczegółowości i skomplikowania. W związku z tym może się zdarzyć, że normalny, dozwolony ruch sieciowy wyzwoli alarm systemu IDS. Jeżeli administrator, który jest odpowiedzialny za reagowanie na alarmy IDS, jest przyzwyczajony do tego, że system generuje dużą liczbę fałszywych alarmów, bardzo często może zignorować komunikat informujący o realnym zagrożeniu.

Bezpieczeństwo segmentów bezprzewodowych sieci LAN Podstawowe zasady bezpieczeństwa: ograniczanie zasięgu sieci do bezpiecznego minimum nadanie SSID nazwy będącej trudnej do odgadnięcia wyłączony broadcast SSID blokowanie dostępu do sieci urządzeniom sieciowym, których adres MAC nie widnieje na liście uprawnionych

Bezpieczeństwo segmentów bezprzewodowych sieci LAN Podstawowe zasady bezpieczeństwa (c.d.): regularne uaktualnianie firmware’u punktu dostępowego i kart sieciowych zastosowanie kodowania WEP z możliwie najdłuższym kluczem szyfrującym jeżeli to możliwe stosowanie kodowania WPA jeżeli to możliwe, do autoryzacji połączeń stosowanie serwera RADIUS

Bezpieczeństwo segmentów bezprzewodowych sieci LAN Podstawowe zasady bezpieczeństwa (c.d.): regularne uaktualnianie firmware’u punktu dostępowego i kart sieciowych zastosowanie kodowania WEP z możliwie najdłuższym kluczem szyfrującym jeżeli to możliwe stosowanie kodowania WPA jeżeli to możliwe, do autoryzacji połączeń stosowanie serwera RADIUS

Bezpieczeństwo segmentów bezprzewodowych sieci LAN WEP (Wired Equivalent Privacy) zabezpieczenia zalety wady szyfrowanie RC4, statyczne klucze, opcjonalne (tylko) uwierzytelnienie 802.1x duża popularność, standard akceptowany przez większość urządzeń 802.11 a/b/g proste do złamania statyczne klucze szyfrujące, brak mechanizmów integralności ramek (intruz może dokładać własne pakiety), dla zapewnienia bezpieczeństwa niezbędne są dodatkowe środki np.: VPN

Bezpieczeństwo segmentów bezprzewodowych sieci LAN WPA (WiFi Protected Access) zabezpieczenia zalety wady szyfrowanie RC4, dynamiczna wymiana kluczy szyfrujących (protokół TKIP), obowiązkowe uwierzytelnianie 802.1x (EAP, RADIUS) lub współużytkowany klucz (mechanizm WPA-PSK) bezpieczniejszy niż WEP, możliwość łatwej integracji z istniejącymi sieciami bezprzewodowymi jest to tylko tymczasowe rozwiązanie problemów bezpieczeństwa, wprowadzone jako łata dla systemu WEP, starsze urządzenia wireless mogą nie obsługiwać WPA

Dziękuję za uwagę! Rafał Więckowski

Bezpieczeństwo segmentów bezprzewodowych sieci LAN WEP idea działania bazuje na algorytmie szyfrującym RC4 w połączeniu z wektorem IV daje siłę szyfrowania 64, 128 lub 256 bit nadawca i odbiorca dzielą tajny klucz

Bezpieczeństwo segmentów bezprzewodowych sieci LAN WEP idea działania (c.d.) wiadomość - M wektor inicjalizujący - IV przekształcenie RC4(IV,k) suma kontrolna c realizowana za pomocą CRC-32

Bezpieczeństwo segmentów bezprzewodowych sieci LAN WPA idea działania TKIP powiększa rozmiar klucza z 40 do 120 bitów i podmienia pojedynczy klucz statyczny WEP kluczami generowanymi dynamicznie i rozprowadzanymi przez serwer identyfikacyjny. TKIP stosuje metodologię hierarchii i zarządzania kluczami, pozbawiającą intruzów możliwości przewidywania, który klucz WEP nadaje się do wykorzystania.

Bezpieczeństwo segmentów bezprzewodowych sieci LAN WPA idea działania (c.d.) W tym celu TKIP działa w obrębie struktury 802.1X/EAP. Serwer identyfikacyjny, po zaakceptowaniu uwierzytelnienia użytkownika, wykorzystuje 802.1X do utworzenia unikalnego klucza grupowego lub pary kluczy dla określonej sesji. TKIP przesyła ten klucz do klienta i punktu dostępowego oraz konfiguruje system hierarchii i zarządzania kluczami, wykorzystując parę kluczy do dynamicznej generacji unikalnych kluczy szyfrujących dane. One szyfrują każdy z pakietów danych przesyłanych bezprzewodowo w trakcie sesji użytkownika. Hierarchia kluczy TKIP pozwala na wymianę pojedynczego klucza WEP na około 500 miliardów możliwych kluczy dających się użyć do danego pakietu danych.

Bezpieczeństwo segmentów bezprzewodowych sieci LAN WPA idea działania (c.d.) Kontrola integralności komunikatów (ang. Message Integrity Check - MIC) ma na celu uniemożliwienie napastnikowi przechwycenie pakietów z danymi. W tym celu modyfikuje się je i ponownie wysyła. MIC dostarcza ściśle określoną funkcję matematyczną, przy pomocy której zarówno odbiornik jak i nadajnik liczą, a następnie porównują wartości MIC. Przy braku zgodności przyjmuje się, że miała miejsce próba przejęcia danych i pakiet taki zostaje odrzucony.