Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Aspekty bezpieczeństwa Systemu IIP

OpublikowałAdrianna Ignaciuk Został zmieniony 9 lat temu

Podobne prezentacje

Prezentacja na temat: "Aspekty bezpieczeństwa Systemu IIP"— Zapis prezentacji:

1 Aspekty bezpieczeństwa Systemu IIP
Jerzy Konorski (PG) Zbigniew Kotulski, Krzysztof Cabaj (PW) Grzegorz Kołaczek (PWr) Piotr Pacyna (AGH) w pracach uczestniczyli także: P. Szałachowski, L. Kucharzewski (PW) D. Rzepka, W. Rupiński, J. Zimnowoda, W. Romaszkan, J. Kasperek, P. Rajda (AGH) specjalne podziękowania: A. Bęben (PW), Ł. Dolata (PCSS) 1

2 Architektura i zagrożenia Systemu IIP
IPv6 QoS DSS CAN PI – Parallel Internet Zagrożenia w Systemie IIP na poziomie wirtualizacji stwarzane przez intruzów / przypadkowe spoza Systemu IIP / z przejętych węzłów IIP ogólnoinformatyczne / związane z ruchem IIP

3 Architektura i zagrożenia Systemu IIP
węzeł IIP węzeł IIP XEN XEN peth0 EX3200 KRK EX3200 WRO eth1 CAN CAN eth1 eth3 ge-0/0/7 PL-LAB ge-0/0/7 Infrastruktura transmisyjna forging System IIP PI CAN IIP-PDU PI- CAN-PDU PDU reseq/replay/ruffling injection Cel prac: architektura bezpieczeństwa Systemu IIP prewencja wprowadzania obcego ruchu (injection) wykrywanie i raportowanie innych zagrożeń 3

4 Polityka bezpieczeństwa
Podejście oparte na predykcji wektorów ataku i repozytoriach sygnatur ataku - utrudnione współdzielenie infrastruktury transmisyjnej przez różne techniki transmisji …oraz PI o różnych stosach protokołów (przeźroczystych dla poziomu wirtualizacji) Proponowane podejście – polityka bezpieczeństwa rejestr zdarzeń związanych z potencjalnymi zagrożeniami (SRE – security related event) definicja filtrów SRE – anomalii zachowań ruchu / węzłów IIP analiza i dystrybucja wyników filtracji SRE

5 Kryptograficzna ochrona IIP-PDU (HMAC – Hash-Based Message Authentication Code)
Potrzeba funkcji bezpieczeństwa w łączu IIP uwierzytelnianie & integralność IIP-PDU węzeł IIP węzeł IIP XEN XEN HMAC EX3200 KRK EX3200 WRO HMAC mac2 mac0 peth0 eth1 CAN CAN mac0 mac2 eth1 ge-0/0/7 PL-LAB ge-0/0/7 eth3 Infrastruktura transmisyjna PI CAN IIP-PDU PI- CAN-PDU PDU Bezpieczne łącze IIP injection reseq/replay 5

6 Kryptograficzna ochrona IIP-PDU (HMAC – Hash-Based Message Authentication Code)
Sprzętowy szyfrator / weryfikator IIP-PDU implementacja: HMAC/SHA-1 w układzie netFPGA 1G zrealizowana w AGH, demonstrowana jesienią 2012 Mechanizm hop-by-hop, przeźroczysty dla wszystkich PI przewaga nad rozwiązaniami ‘IP only’ (IPSec, TLS, SSL) SRE: nieudana weryfikacja HMAC, powoduje: usunięcie IIP-PDU generację raportu diagnostycznego association number IIP-PDU sygnatura HMAC-SHA-1 6

7 Wykrywanie lokalnych anomalii (LAD – local anomaly detection)
Obsługa raportów diagnostycznych i wykrywanie ataków nieblokowanych przez HMAC SNMP / SSH węzeł IIP LAD węzeł IIP LAD IPv6 LO :: Kod przyczyny 64 B IIP-PDU MIB /NetSNMP - statystyki SRE nf2c3 nf2c3 XEN XEN HMAC EX3200 KRK EX3200 WRO HMAC eth1 mac2 mac0 peth0 CAN CAN mac0 mac2 eth1 ge-0/0/7 PL-LAB ge-0/0/7 eth3 Infrastruktura transmisyjna forging PI CAN ruffling 7

8 Wykrywanie lokalnych anomalii (LAD – local anomaly detection)
Moduł LAD zaimplementowany w kodzie węzła Systemu IIP: Przechowuje rejestr SRE i filtrów SRE definiowanych zgodnie z polityką bezpieczeństwa dynamiczna polityka bezpieczeństwa – dystrybucja via sieć zarządzania Filtracja SRE generuje alerty lokalne po wykryciu anomalii w węźle/sąsiednich węzłach IIP eksploracja danych: analiza zbiorów częstych uczenie maszynowe: analiza szeregów czasowych

9 LAD: Metoda zbiorów częstych
analizuje się krotki atrybutów SRE w logu SRE w zbiorze krotek wyszukuje się zbiory częste podkrotek = powtarzające się wzorce zachowań alerty generowane przez: niepoprawny format IIP-PDU (nieudana weryfikacja HMAC – próby injection, reseq / replay) zbiór częsty  niebezpieczna semantyka IIP-PDU (próby forging, skanowania, przejęcia węzła via SSH, SNMP) miara zagrożenia związanego z wykrytą anomalią

10 LAD: Metoda szeregów czasowych
odczyty z lokalnej MIB & agenta NetSNMP w Xen: intensywności ruchu / rozmiarów IIP-PDU poziomu wykorzystania CPU / RAM naprzemienny proces uczenia zachowań standardowych i wykrywania ich rozbieżności z zachowaniami bieżącymi rozbieżności wskazują na próby ruffling błędy, awarie, próby przejęcia węzła poprzez eskalację uprawnień systemu-gościa miara zagrożenia związanego z wykrytą anomalią 10

11 Wykrywanie globalnych anomalii i zarządzanie reputacją
Dystrybucja wyników analizy LAD i przeciwdziałanie skutkom ataków o szerokim zasięgu węzeł IIP Alert REP Wylicza globalne metryki reputacji LSA w obrębie PI na podstawie metryk lokalnych Wykrywa globalne anomalie na podstawie alertów lokalnych PI-AD MSA master security agent Podsystem zarządzania Systemu IIP (SNMPv3) Akwizycja: Alerty lokalne Lokalne metryki zaufania SRE do analizy globalnej local security agent węzeł IIP LSA LSA LSA alert lokalny i/f w podsytemie zarządzania LAD LAD węzeł IIP LSA LSA LSA LSA LSA Wylicza lokalne metryki zaufania sąsiednich LSA na podstawie częstości i wyceny zagrożenia wykrytych anomalii LAD węzeł IIP LSA LSA LSA LSA LSA LSA LAD LAD LAD LAD SRE 11

12 Wykrywanie globalnych anomalii i zarządzanie reputacją
Scentralizowany system agentowy: LSA w węzłach IIP + MSA wykrywanie ataków o zasięgu PI, niewykrywalnych przez LAD neutralizacja skutków niepoprawnych działań LSA dystrybucja globalnych metryk reputacji – udostępnianie innym węzłom i podsystemom Systemu IIP (zarządzanie, routing) dystrybucja aktualnej polityki bezpieczeństwa

13 Wykrywanie globalnych anomalii i zarządzanie reputacją
metryki zaufania/reputacji prezentowane poprzez podsystem zarządzania PI-AD MSA Dystrybucja: Globalne metryki reputacji Definicje SRE i filtrów SRE Podsystem zarządzania Systemu IIP (SNMPv3) alert lokalny węzeł IIP LSA LSA LSA LSA LSA węzeł IIP Alert LSA LAD LAD SRE 13 13 13

14 Model zaufania i reputacji
Node 3: MSA Node 4 globalne metryki zaufania lokalne metryki zaufania = 1 – miary zagrożeń w cyklu suma ważona ruchoma średnia cykl Node 5 metryki reputacji Podsystem zarządzania Systemu IIP Zaimplementowany w module REP agenta MSA elastyczność ze względu na modyfikacje podsystemu zarządzania, semantykę IIP-PDU, model zaufania i reputacji Przetestowany wiosną 2012 w testbedzie PW 4 wirtualne maszyny Xen (3 x LSA + MSA), połączone siecią IPv6 ataki realizowane z wykorzystaniem narzędzi IPv6 (ping6/nmap)

15 Testy agenta MSA Node 4 atakuje Node 3, następnie także Node 5
Obniżenie reputacji Node 4: atak na Node 3  alert lokalny do MSA atak na Node 3 i Node 5  dwa alerty lokalne do MSA / alert PI-AD 15

16 Testy agenta MSA Z kolei Node 3 atakuje kolejno Node 4 oraz Node 5
reputacja Node 3 zależy od reputacji maszyn zgłaszających alerty Minimalny spadek: alert zgłasza Node 4\ – maszyna o niskiej reputacji Wyraźny spadek: alert zgłasza Node 5 – maszyna o wysokiej reputacji 16 16

17 Architektura bezpieczeństwa IIP: Trzy linie obrony
LSA +MSA: zarządzanie reputacją i wykrywanie globalnych anomalii, neutralizuje skutki działań niewykrywalnych przez LAD LAD: wykrywanie lokalnych anomalii nieblokowanych przez HMAC, wywołanych przez forging, ruffling HMAC: kryptograficzna ochrona IIP-PDU, blokuje injection, [replay/reseq]

18 Zaproszenie na wystawę
Dziękujemy za uwagę. 18

19 Publikacje K. Cabaj, G. Kołaczek, J. Konorski, P. Pacyna, Z. Kotulski, Ł. Kucharzewski, P. Szałachowski, Security architecture of the IIP System on resources virtualization level, Telecommunication Review - Telecommunication News, Vol.84(80), No.8-9, pp , (2011) K. Cabaj, Z. Kotulski, P. Szałachowski, G. Kołaczek, J. Konorski, Implementation and testing of Level 2 security architecture for the IIP System, Telecommunication Review - Telecommunication News, Vol.85(81), No.8-9, pp , (2012) J. Konorski, P. Pacyna, G. Kołaczek, Z. Kotulski, K. Cabaj, P. Szałachowski, "A Virtualization-Level Future Internet Defense-in-Depth Architecture", CCIS, vol.335, Recent Trends in Computer Networks and Distributed Systems Security, Part 1, pp , Springer-Verlag, Berlin Heidelberg New York ISBN (DOI: / _29) J. Konorski, J. Kasperek, P. Pacyna, D. Rzepka, W. Romaszkan, M. Rupiński, J. Zimnowoda, A. Kamisinski, P. Rajda, Implementacja sprzętowa modułu HMAC-SHA-1 do ochrony komunikacji w systemie IIP, Telecommunication Review - Telecommunication News (Przegląd Telekomunikacyjny), Vol.85(81), No.8-9, pp , (2012) J. Konorski, P. Pacyna, G. Kołaczek, Z. Kotulski, K. Cabaj, P. Szałachowski, "Theory and implementation of a virtualisation level Future Internet defence in depth architecture", Int. J. Trust Management in Computing and Communications 2013 (to appear) 19

Pobierz ppt "Aspekty bezpieczeństwa Systemu IIP"

Podobne prezentacje

Procesory sieciowe w realizacji bezpieczeństwa danych

Procesory sieciowe w realizacji bezpieczeństwa danych
Jarosław Kuchta Jakość Oprogramowania

Jarosław Kuchta Jakość Oprogramowania
mgr inż. Katarzyna Kaszuba Katedra Systemów Multimedialnych WETI PG

mgr inż. Katarzyna Kaszuba Katedra Systemów Multimedialnych WETI PG
INTRUSION DETECTION SYSTEMS

INTRUSION DETECTION SYSTEMS
SQL INJECTION Wykorzystanie błędów w językach skryptowych

SQL INJECTION Wykorzystanie błędów w językach skryptowych
Tworzenie portali z wykorzystaniem technologii Sun Java Enterprise Systems Joanna Kosińska kosinska@agh.edu.pl www.cs.agh.edu.pl.

Tworzenie portali z wykorzystaniem technologii Sun Java Enterprise Systems Joanna Kosińska
WYBRANE ASPEKTY BEZPIECZEŃSTWA DANYCH BANKOWYCH

WYBRANE ASPEKTY BEZPIECZEŃSTWA DANYCH BANKOWYCH
Budowanie polityk bezpieczeństwa w urządzeniach typu firewall

Budowanie polityk bezpieczeństwa w urządzeniach typu firewall
Wykrywanie Sytuacji Krytycznych w Komputerowych Systemów Zarządzania

Wykrywanie Sytuacji Krytycznych w Komputerowych Systemów Zarządzania
Tematyka prac magisterskich w Zakładzie Informatyki Stosowanej

Tematyka prac magisterskich w Zakładzie Informatyki Stosowanej
SYSTEMY OPERACYJNE Adresowanie IPv6.

SYSTEMY OPERACYJNE Adresowanie IPv6.
Piotr Doskocz Aleksandra Lechki Krzysztof Lewicki

Piotr Doskocz Aleksandra Lechki Krzysztof Lewicki
Www.planet.pl SG-500 Bramka zabezpieczająca VPN Copyright © PLANET Technology Corporation. All rights reserved.

SG-500 Bramka zabezpieczająca VPN Copyright © PLANET Technology Corporation. All rights reserved.
Czym jest ISA 2004 Microsoft Internet Security and Acceleration Server 2004 jest zaawansowaną zapora filtrującą ruch w warstwie aplikacji. Razem z zaporą.

Czym jest ISA 2004 Microsoft Internet Security and Acceleration Server 2004 jest zaawansowaną zapora filtrującą ruch w warstwie aplikacji. Razem z zaporą.
Życiorys mgr inż. Krystyna Dziubich Katedra Architektury Systemów Komputerowych WETI PG Urodzona: 19.12.1972 r. Wykształcenie: 1996-1997 studia uzupełniające.

Życiorys mgr inż. Krystyna Dziubich Katedra Architektury Systemów Komputerowych WETI PG Urodzona: r. Wykształcenie: studia uzupełniające.
Życiorys mgr inż. Zbigniew Paszkiewicz Katedra Technologii Informacyjnych WIGE UEP Urodzony: 01.06.1983 r. Wykształcenie: 2005-2010 studia na kierunku.

Życiorys mgr inż. Zbigniew Paszkiewicz Katedra Technologii Informacyjnych WIGE UEP Urodzony: r. Wykształcenie: studia na kierunku.
mgr inż. Krzysztof E. Oliński Katedra Systemów Decyzyjnych WETI PG

mgr inż. Krzysztof E. Oliński Katedra Systemów Decyzyjnych WETI PG
mgr inż. Michał Czarkowski Katedra Sieci Teleinformacyjnych WETI PG

mgr inż. Michał Czarkowski Katedra Sieci Teleinformacyjnych WETI PG
Marcin Barylski Katedra Architektury Systemów Komputerowych WETI PG

Marcin Barylski Katedra Architektury Systemów Komputerowych WETI PG
Życiorys mgr inż. Katarzyna Łukasiewicz Katedra Inżynierii Oprogramowania WETI PG Urodzona: 06.06.1986 r. Wykształcenie: 2010 – obecnie studia doktoranckie.

Życiorys mgr inż. Katarzyna Łukasiewicz Katedra Inżynierii Oprogramowania WETI PG Urodzona: r. Wykształcenie: 2010 – obecnie studia doktoranckie.

Podobne prezentacje

Reklamy Google