Sieci lokalne – metody zwiększania bezpieczeństwa Bezpieczeństwo informacji w systemach komputerowych - PJWSTK Rafał Więckowski paździenik 2005
Polityka bezpieczeństwa ogólnie Działania mające na celu zabezpieczenie systemu przed: ryzykiem utraty poufności (zdarzenie mogące doprowadzić do ujawnienia informacji przetwarzanej przez system informatyczny nieautoryzowanemu użytkownikowi)
Polityka bezpieczeństwa ogólnie Działania mające na celu zabezpieczenie systemu przed: ryzykiem utraty dostępności (zdarzenie mogące doprowadzić do braku dostępu w określonym czasie do systemu informatycznego, programu lub informacji dla autoryzowanych użytkowników)
Polityka bezpieczeństwa ogólnie Działania mające na celu zabezpieczenie systemu przed: ryzykiem utraty integralności (zdarzenie mogące doprowadzić do nieautoryzowanej modyfikacji lub zniszczenia danych przetwarzanych przez system informatyczny)
Polityka bezpieczeństwa ochrona fizyczna wrażliwych elementów Ochrona fizyczna wrażliwych elementów systemu komputerowego takich jak np. pomieszczenie, w którym pracuje serwer, czy stacja robocza administratora sieci. Nawet ogromne pieniądze wydane na zabezpieczenia nie przyniosą rezultatów jeżeli nieuprawniony personel będzie miał dostęp do urządzeń typu konsola operatora.
Polityka bezpieczeństwa bezpieczeństwo systemu operacyjnego Powstały pojęcia poziomów bezpieczeństwa systemów operacyjnych oraz sposoby certyfikacji tych systemów. Na przykład systemy takie jak UNIX czy Microsoft Windows NT uzyskały certyfikat klasy C2. Oznacza to, że systemy te wyposażono w mechanizmy kontroli dostępu, gwarantowania zezwoleń na czytanie i zapis kartotek oraz plików przez określonych użytkowników oraz notowanie (auditing) dostępów i autoryzacji.
Polityka bezpieczeństwa podstawowe działania Blokowanie wejść na stacjach roboczych Instalacja oprogramowania antywirusowego FireWall Budowa LAN w oparciu o Switche Aktualizacja oprogramowania
Polityka bezpieczeństwa Każde zabezpieczenie można obejść. Istotne jest, żeby wiedzieć o tym, że ktoś nieautoryzowany uzyskał dostęp do naszej sieci.
System wykrywający próby włamań. Systemy IDS co to jest? IDS – Intrusion Detection System System wykrywający próby włamań. Jeżeli posłużymy się analogią, to firewalle pełnią rolę zamków a IDS jest systemem alarmowym wykrywającym włamanie do systemu informatycznego.
Systemy IDS jak to działa? IDS działa na zasadzie ciągłego monitorowania zdarzeń. Potrafi w przetwarzanych danych wykryć cechy charakterystyczne dla próby nieautoryzowanego dostępu do systemu.
Systemy IDS jak to działa? IDSy zbierają informacje z różnych źródeł. Najczęściej spotykane, to: podsłuch ruchu sieciowego dane spływające do logów systemowych dane o działaniach podejmowanych przez użytkowników
Systemy IDS rodzaje IDSów Ze względu na rodzaj informacji wejściowych dzielimy IDSy na: Systemowe – HIDS (Host IDS) Sieciowe – NIDS (Network IDS) Stacji Sieciowej – NNIDS (Network Node IDS)
NIDS – Network IDS zasada działania Agent NIDS ustawia interfejs sieciowy w tryb podsłuchu i analizuje cały ruch, jaki się na nim pojawia. (uwaga: właściwe umiejscowienie IDSa w strukturze sieci) Agent NIDS działa w czasie zbliżonym do rzeczywistego. (uwaga: wydajność platformy sprzętowo systemowej)
NIDS – Network IDS zasada działania Ruch sieciowy jest analizowany w celu wykrycia fragmentów charakterystycznych dla: różnych typów ataków (np. ping of death) pewnych działań, które same w sobie nie są atakiem, lecz stanowią przygotowanie do ataku (np. skanowanie portów)
NIDS – Network IDS techniki wykrywania włamań Pattern matching Każdy podsłuchany pakiet jest porównywany bajt po bajcie z bazą, zawierającą fragmenty ruchu sieciowego charakterystyczne dla określonych sposobów atakowania systemów (tzw. sygnatury ataków). (uwaga: wymaga sporej wydajności systemu. Zależność pomiędzy liczbą przetwarzanych danych lub liczbą wykrywanych ataków a zapotrzebowaniem na moc obliczeniową jest wykładnicza.)
NIDS – Network IDS techniki wykrywania włamań Analiza protokołów Agent NIDS monitorujący ruch zna protokoły sieciowe, w związku z czym może wykryć pewne typy ataków przez wykrywanie pakietów o dziwnej strukturze. Np. dla ataku ping of death, który polega na wysłaniu bardzo długiego pakietu ICMP-echo (ping), agent zauważy nietypowy (bardzo długi) pakiet ICMP-echo.
NIDS – Network IDS techniki wykrywania włamań Analiza protokołów c.d. Agenci NIDS posiadają mechanizmy, które umożliwiają: analizę zależności pomiędzy kolejnymi pakietami (wykrywają m.in. flooding, skanowanie w poszukiwaniu otwartych portów) defragmentację pakietów (wykrywają atak ukryty w wielu sfragmentowanych pakietach – technika stosowana przy oszukiwaniu prostych firewalli)
NIDS – Network IDS techniki wykrywania włamań Analiza sesji Agent wykrywa anomalie charakterystyczne dla całej sesji sieciowej (rekonstruuje strumień danych zaszyty w pakietach). Dzięki tej technice można wykryć anomalie charakterystyczne dla całej sesji sieciowej, a nie tylko dla pojedynczych pakietów. W ten sposób można np. wychwycić próby manipulowania numerami sekwencyjnymi, czy też próby obejścia firewalli stateful-in-spection
NIDS – Network IDS techniki wykrywania włamań Analiza protokołów wysokopoziomowych Wykrywanie ataków np. na serwer www opartych na wysyłaniu określonych komend do znanego skryptu CGI (np. test.cgi lub showcode.asp).
NIDS – Network IDS działania aktywne Systemy NIDS nie tylko potrafią wykrywać atak, lecz także aktywnie mu zapobiegać. Zwykle stosuje się przerwanie sesji sieciowej. Zaawansowane IDSy potrafią współpracować z firewallami (np. Cisco NetRanger i routery Cisco) i blokować ruch ze źródła, z którego nadszedł atak. (uwaga: podatność na DoS)
NIDS – Network IDS wiedza NIDSa NIDSy opierają się na bazie sygnatur ataków. Kluczową sprawą w zarządzaniu NIDSem jest możliwe częste aktualizowanie bazy ataków. Pamiętajmy o tym, że jeżeli IDS nie będzie nauczony danego sposobu atakowania systemów, to nie będzie również w stanie go wykryć.
NIDS – Network IDS rozmieszczenie NIDSa w systemie informatycznym NIDS działa prawidłowo tylko w domenie kolizyjnej (tylko wtedy ma możliwość monitorować wszystkie pakiety krążące w danym segmencie LAN). Stacja przeznaczona na instalację NIDSa powinna być jak najmniej widoczna (musi być maksymalnie utrudnione wykrycie jej przez potencjalnego intruza)
NIDS – Network IDS rozmieszczenie NIDSa w systemie informatycznym Nieprawidłowe podłączenie IDSa w sieci
NIDS – Network IDS rozmieszczenie NIDSa w systemie informatycznym Prawidłowe podłączenie IDSa w sieci
NIDS – Network IDS rozmieszczenie NIDSa w systemie informatycznym IDS sprzężony z Firewall’em
NIDS – Network IDS problem Głównym kłopotem przy eksploatacji oprogramowania IDS jest kwestia false-positives, czyli fałszywych alarmów. Sygnatury ataków są przeważnie regułami o małym stopniu szczegółowości i skomplikowania. W związku z tym może się zdarzyć, że normalny, dozwolony ruch sieciowy wyzwoli alarm systemu IDS. Jeżeli administrator, który jest odpowiedzialny za reagowanie na alarmy IDS, jest przyzwyczajony do tego, że system generuje dużą liczbę fałszywych alarmów, bardzo często może zignorować komunikat informujący o realnym zagrożeniu.
Bezpieczeństwo segmentów bezprzewodowych sieci LAN Podstawowe zasady bezpieczeństwa: ograniczanie zasięgu sieci do bezpiecznego minimum nadanie SSID nazwy będącej trudnej do odgadnięcia wyłączony broadcast SSID blokowanie dostępu do sieci urządzeniom sieciowym, których adres MAC nie widnieje na liście uprawnionych
Bezpieczeństwo segmentów bezprzewodowych sieci LAN Podstawowe zasady bezpieczeństwa (c.d.): regularne uaktualnianie firmware’u punktu dostępowego i kart sieciowych zastosowanie kodowania WEP z możliwie najdłuższym kluczem szyfrującym jeżeli to możliwe stosowanie kodowania WPA jeżeli to możliwe, do autoryzacji połączeń stosowanie serwera RADIUS
Bezpieczeństwo segmentów bezprzewodowych sieci LAN Podstawowe zasady bezpieczeństwa (c.d.): regularne uaktualnianie firmware’u punktu dostępowego i kart sieciowych zastosowanie kodowania WEP z możliwie najdłuższym kluczem szyfrującym jeżeli to możliwe stosowanie kodowania WPA jeżeli to możliwe, do autoryzacji połączeń stosowanie serwera RADIUS
Bezpieczeństwo segmentów bezprzewodowych sieci LAN WEP (Wired Equivalent Privacy) zabezpieczenia zalety wady szyfrowanie RC4, statyczne klucze, opcjonalne (tylko) uwierzytelnienie 802.1x duża popularność, standard akceptowany przez większość urządzeń 802.11 a/b/g proste do złamania statyczne klucze szyfrujące, brak mechanizmów integralności ramek (intruz może dokładać własne pakiety), dla zapewnienia bezpieczeństwa niezbędne są dodatkowe środki np.: VPN
Bezpieczeństwo segmentów bezprzewodowych sieci LAN WPA (WiFi Protected Access) zabezpieczenia zalety wady szyfrowanie RC4, dynamiczna wymiana kluczy szyfrujących (protokół TKIP), obowiązkowe uwierzytelnianie 802.1x (EAP, RADIUS) lub współużytkowany klucz (mechanizm WPA-PSK) bezpieczniejszy niż WEP, możliwość łatwej integracji z istniejącymi sieciami bezprzewodowymi jest to tylko tymczasowe rozwiązanie problemów bezpieczeństwa, wprowadzone jako łata dla systemu WEP, starsze urządzenia wireless mogą nie obsługiwać WPA
Dziękuję za uwagę! Rafał Więckowski
Bezpieczeństwo segmentów bezprzewodowych sieci LAN WEP idea działania bazuje na algorytmie szyfrującym RC4 w połączeniu z wektorem IV daje siłę szyfrowania 64, 128 lub 256 bit nadawca i odbiorca dzielą tajny klucz
Bezpieczeństwo segmentów bezprzewodowych sieci LAN WEP idea działania (c.d.) wiadomość - M wektor inicjalizujący - IV przekształcenie RC4(IV,k) suma kontrolna c realizowana za pomocą CRC-32
Bezpieczeństwo segmentów bezprzewodowych sieci LAN WPA idea działania TKIP powiększa rozmiar klucza z 40 do 120 bitów i podmienia pojedynczy klucz statyczny WEP kluczami generowanymi dynamicznie i rozprowadzanymi przez serwer identyfikacyjny. TKIP stosuje metodologię hierarchii i zarządzania kluczami, pozbawiającą intruzów możliwości przewidywania, który klucz WEP nadaje się do wykorzystania.
Bezpieczeństwo segmentów bezprzewodowych sieci LAN WPA idea działania (c.d.) W tym celu TKIP działa w obrębie struktury 802.1X/EAP. Serwer identyfikacyjny, po zaakceptowaniu uwierzytelnienia użytkownika, wykorzystuje 802.1X do utworzenia unikalnego klucza grupowego lub pary kluczy dla określonej sesji. TKIP przesyła ten klucz do klienta i punktu dostępowego oraz konfiguruje system hierarchii i zarządzania kluczami, wykorzystując parę kluczy do dynamicznej generacji unikalnych kluczy szyfrujących dane. One szyfrują każdy z pakietów danych przesyłanych bezprzewodowo w trakcie sesji użytkownika. Hierarchia kluczy TKIP pozwala na wymianę pojedynczego klucza WEP na około 500 miliardów możliwych kluczy dających się użyć do danego pakietu danych.
Bezpieczeństwo segmentów bezprzewodowych sieci LAN WPA idea działania (c.d.) Kontrola integralności komunikatów (ang. Message Integrity Check - MIC) ma na celu uniemożliwienie napastnikowi przechwycenie pakietów z danymi. W tym celu modyfikuje się je i ponownie wysyła. MIC dostarcza ściśle określoną funkcję matematyczną, przy pomocy której zarówno odbiornik jak i nadajnik liczą, a następnie porównują wartości MIC. Przy braku zgodności przyjmuje się, że miała miejsce próba przejęcia danych i pakiet taki zostaje odrzucony.