Ochrona sieci komputerowych.pdf

Ochrona sieci komputerowych

przedmioty ochrony:

Topologia i infrastruktura sieci

Zasoby komputerowe

Usługi sieciowe

Serwery nazw (DNS i NIS(+) )

Serwery haseł/kluczy

Serwery PROXY

Poczta elektroniczna

WWW

Transfer plików (FTP, TFTP)

Sieciowy system plików (NFS)

Dane

Atrybuty bezpiecze ń stwa danych.

dost ę pno ść (ang. availability) - wła ś ciwo ść danych, informacji oraz systemów

informatycznych dzi ę ki której s ą one osi ą galne i mog ą by ć u Ŝ ywane w ka Ŝ dym czasie i w

wymagany sposób.

poufno ść (ang. confidentiality) - wła ś ciwo ść danych i informacji polegaj ą ca na ujawnianiu

ich wył ą cznie uprawnionym podmiotom i na potrzeby okre ś lonych procedur, w dozwolonych

przypadkach i w dozwolony sposób.

integralno ść (ang. integrity) - cecha danych i informacji oznaczaj ą c ą ich dokładno ść i

kompletno ść oraz utrzymywanie ich w tym stanie.

1. Atak na dost ę pno ść . Zwany równieŜ atakiem na dyspozycyjność, polega na

przerwaniu transmisji.

ObniŜenie ryzyka i skutków takiego ataku to: kopie zapasowe danych w ró Ŝ nych miejscach,

zapewnienie awaryjnej drogi komunikacji, mirrory, czyli lustra zawarto ś ci serwerów

2. Przechwycenie. Wiadomość zostaje przechwycona przez intruza i nie dociera do nadawcy.

Intruz przy tym rodzaju ataku moŜe:

a) powielić wiadomość,

b) skasować wiadomość,

c) poznać treść wiadomości.

Szyfrowanie danych chroni dane przed skutkami przechwycenia, ale nie chroni przed

samym przechwyceniem.

3. Podsłuch. Podsłuch to odmiana przechwyceniu transmisji. Informacja wprawdzie dociera

do odbiorcy, lecz jej treść jest znana równieŜ osobie trzeciej. Szyfrowanie danych

uniemo Ŝ liwia podsłuchuj ą cemu poznanie ich zawarto ś ci.

4. Modyfikacja. Jest to atak na nienaruszalność danych. Intruz przechwytuje informację, po

czym moŜe:

a) wprowadzić do niej zmiany i wysłać ją do odbiorcy,

b) opóźnić transmisję,

c) opóźnić i zmienić kolejność sekwencyjną danych,

d) skasować fragment informacji.

Zabezpieczenie si ę przed modyfikacj ą to stosowanie podpisów cyfrowych przesyłanych

wiadomo ś ci.

5. Atak na autentyczno ść wiadomo ś ci. Mamy z nim do czynienia, gdy odbiorca otrzymuje

fałszywe dane nie pochodzące od nadawcy stojącego po drugiej stronie kanału

transmisyjnego, lecz od intruza, który podszywa się pod nadawcę.

Uchronienie si ę przed podszywaniem to przede wszystkim stosowanie autoryzacji,

poprzez bezpieczne protokoły transmisji lub certyfikaty.

Metody ochrony

¤ Znacznik integralno ś ci jest tworzony na podstawie tre ś ci danych przy pomocy funkcji

skrótu.

¤ Integralno ść sekwencji wiadomo ś ci –poprzez numer sekwencyjny wiadomo ś ci i

znacznik czasu. W praktyce moŜna spotkać kontrolę integralności w protokole SSL

wyposaŜony w funkcje kontrolujące integralność przesyłanych sekwencji danych.

¤ Uwierzytelnianie nadawcy wiadomo ś ci - znacznik uwierzytelnienia wiadomości jest

tworzony na podstawie wiadomości i tajnego klucza. Przykładem praktycznym

realizowania tej usługi moŜe być program PGP

¤ Poufno ść zawarto ś ci informacji -realizuje si ę j ą przez zaszyfrowanie wiadomo ś ci

odpowiednimi metodami kryptograficznymi.

¤ Niezaprzeczalno ść nadania informacji - realizowana jest przy pomocy podpisu

cyfrowego, który jest funkcją podpisywanej wiadomości i klucza prywatnego

nadawcy.

¤ Niezaprzeczalno ść odbioru informacji –w informacji potwierdzaj ą cej zawiera si ę

podpis cyfrowy odbiorcy, który jest funkcj ą potwierdzanej wiadomo ś ci.

Strategia ochrony sieci

Planowanie strategii bezpieczeństwa systemu zaporowego sprowadza się do okre ś lenia

zasad, norm i procedur ochrony sieci prywatnej przed niepo Ŝą dan ą ingerencj ą z

zewn ą trz . Strategia bezpieczeństwa to nie tylko reguły filtracji pakietów, to takŜe wiele

innych istotnych czynników warunkujących prawidłowy poziom zabezpieczenia:

¤ przeciwdziałanie infekcji wirusem komputerowym z sieci

¤ ukrywanie wewn ę trznej struktury systemu

¤ szyfrowanie i uwierzytelnianie danych przesyłanych w sieci publicznej (tworzenie

wirtualnych sieci prywatnych VPN – Virtual Private Network)

¤ przeciwdziałanie przenikania do systemu "zło ś liwych" apletów Java, ActiveX i

innych zał ą czników do stron WWW

¤ metody bezpiecznego administrowania FIREWALL

¤ ochrona serwera poczty elektronicznej

¤ procedury reagowania na zdarzenia

¤ metody powiadamiania administratora w sytuacjach wyj ą tkowych

¤ okresowe testy systemu zaporowego pod wzgl ę dem szczelno ś ci i efektywno ś ci

¤ procedury analizowania danych archiwalnych

¤ metody uwierzytelniania to Ŝ samo ś ci u Ŝ ytkowników

¤ procedury tworzenia kopii zapasowych BACK-UP

¤ plany awaryjno-ewakuacyjne, itd.

Administracja kontami u Ŝ ytkowników Windows:

W systemie Windows wykorzystywane jest pojęcie uŜytkowników oraz grup do

uwierzytelniania i autoryzacji, gdzie kaŜdy uŜytkownik musi być członkiem co najmniej

jednej grupy.

Konta uŜytkowników dzielą się na trzy grupy:

• lokalne konta u Ŝ ytkowników,

• domenowe konta u Ŝ ytkowników,

• konta wbudowane.

Lokalne konto uŜytkownika jest najczęściej wykorzystywane podczas pracy w grupie

roboczej lub na komputerach autonomicznych, umoŜliwia uŜytkownikowi logowanie do

komputera oraz dostęp do zasobów. PoniewaŜ konto lokalne jest tworzone w lokalnej bazie

kont SAM, umoŜliwia dostęp do zasobów wyłącznie na komputerze, w którego bazie zostało

stworzone.

Domenowe konto uŜytkownika jest wykorzystywane wyłącznie wtedy, gdy komputer pracuje

w domenie. Konta domenowe są zakładane przez administratora domeny w usłudze Active

Directory . Konto domenowe umoŜliwia logowanie do domeny, co oznacza, Ŝe podczas

logowania do komputera po wpisaniu przez uŜytkownika swojej nazwy i hasła dane te są

przesyłane przez sieć do kontrolera domeny, który autoryzuje uŜytkownika, sprawdzając bazę

kont, czyli Active Directory. Dzięki temu mechanizmowi uŜytkownik, posiadając pojedyncze

konto, moŜe uzyskiwać dostęp do dowolnych zasobów w całej domenie.

Wbudowane konta uŜytkowników są tworzone automatycznie podczas instalacji MS

Windows lub podczas instalacji kontrolera domeny po to, aby umoŜliwić wykonywanie zadań

administracyjnych w systemie. Są dwa konta wbudowane, które nie mogą być usunięte:

Administrator i Go ść. Lokalne konta Administratora i Gościa są przechowywane w lokalnej

bazie kont SAM, natomiast domenowe konta Administratora i Gościa są przechowywane w

Active Directory i powstają podczas instalacji kontrolera domeny.

Techniki włama ń do systemów komputerowych:

Włamanie przez exploit - polegające na bezpośrednim połączeniu intruza z

atakowanym systemem i wykonaniu w nim niedozwolonych działań dzięki

wykorzystaniu błędów jego aplikacji,

Włamanie przez agenta - polegające na przesłaniu do systemu specjalnie napisanego

programu, który po uruchomieniu wykonuje niedozwolone działania zaprogramowane

przez intruza .

Metody ataków sieciowych na systemy informatyczne:

Skanowanie – wyszukiwanie luk w systemie,

Sniffing – podsłuchiwanie pakietów przepływaj ą cych przez sie ć ,

Spoofing – podszywanie si ę pod inny komputer,

Hijacking – przechwycenie sesji (spoofing+sniffing).

Główne formy nielegalnych ingerencji w polskim Internecie w 2005 roku:

¤ Skanowanie struktury i zasobów sieci,

¤ Programy szkodliwe - wirusy i robaki, konie trojańskie, exploity, rootkity,

¤ Spam,

¤ DoS i DDoS (tworzenie sieci BotNet),

¤ SQL injection (atakowanie informacji przechowywanych w bazie za pomocą zapytań

SQL),

¤ Wykradanie informacji (inŜynieria społeczna, Spyware, Keylogger, Phishing),

¤ Uzyskanie dostępu do zasobów sieciowych (systemu, mocy obliczeniowej, danych).

Systemy zabezpieczeń systemów komputerowych:

Network IDS (Intrusion Detection System),

Firewall (zapora ogniowa),

Host IPS (Intrusion Prevention System) ,

Network IPS.

Technologie zabezpiecze ń zawarte w zintegrowanych rozwi ą zaniach ochronnych:

zapory sieciowe (ogniowe),

wykrywanie włama ń ,

wirtualne sieci prywatne (VPN),

system wykrywania i zapobiegania włamaniom (IDS/IPS) ,

filtrowanie tre ś ci,

zarz ą dzanie lukami,

ochrona antywirusowa.

Ataki pasywne

Polegają na podsłuchiwaniu i monitorowaniu przesyłanych informacji. Celem takich ataków

moŜe być dąŜenie do ujawnienia treści wiadomości lub uzyskania informacji o samym ruchu

w sieci, które to mogą być wykorzystane do przeprowadzenia dalszych ataków na system.

• Podsłuchiwanie ( IP sniffing )

Polega na podsłuchiwaniu za pomocą odpowiedniego oprogramowania ( sniffery )

pakietów przesyłanych w sieci w celu pozyskania haseł, wiadomości email lub innych

poufnych informacji. Analizator ruchu moŜe być załoŜony w dowolnym miejscu sieci jednak

na szczególne niebezpieczeństwo naraŜone są komputery będące bramkami pomiędzy

sieciami. Ruch generowany w okolicach takiego komputera zawiera stosunkowo najwięcej

pakietów pochodzących z procedur autoryzacji.

• Skanowanie portów

Działalno ść tego typu polega na wysyłaniu zapyta ń do portów TCP/IP i

zapisywaniu odpowiedzi otrzymywanych z serwera. Dokonuj ą tego specjalne programy

zwane skanerami . Gromadzą cenne informacje na temat wybranego serwera poprzez

ustalenie:

1. Usług udost ę pnianych przez serwer

2. Wła ś cicieli procesów serwerów tych usług

3. Czy serwer zezwala na anonimowe logowanie

4. Czy dla wybranych usług stosowane s ą procedury autoryzacji u Ŝ ytkownika

Programy tego typu wywołuj ą sporo kontrowersji. Mogą słuŜyć zarówno włamywaczom

chcącym poznać słabe strony skanowanej maszyny, jak równieŜ administratorom pomagając

„uszczelnić” swój system. Nale Ŝ y przyj ąć jednak, i Ŝ działalno ść tego typu bez wiedzy

administratora skanowanego systemu prowadzi do planowanego ataku i uzyskania

nieautoryzowanego dost ę pu do komputera.

Do skanowania portów stworzono wiele narzędzi, zarówno dla systemów Windows jak

i Unix. Jednym z najbardziej znanych i najbardziej zaawansowanych jest nmap (ang.

Network Mapper ). Został on stworzony przez Insecure.Org i moŜna go bezpłatnie pobrać ze

strony http://www.insecure.org/nmap/ .

Nmap posiada zarówno wersję tekstową jak i graficzną

Ataki aktywne

Jest to najczęściej spotykany typ ataków sieciowych na bezpieczeństwo systemu.

Polega on na modyfikowaniu strumienia informacji lub tworzeniu fałszywych danych.

Działania te mieszczą równieŜ podszywanie się pod osobę uprawnioną oraz blokowanie

działania (uniemoŜliwienie dostępu do usługi sieciowej).

¤ Blokowanie działania ( Denial of Service )

Mają one na celu utrudnienie uprawnionym uŜytkownikom korzystanie z zaatakowanego

systemu. Mogą to być ataki wykorzystujące błędy w systemie operacyjnym. (Na przykład

program teardrop.c wysyłał serie fragmentowanych pakietów IP, zachodz ą cych na siebie w

specyficzny sposób, co powodowało zawieszenie lub restart systemu operacyjnego).

Najprostszy atak DOS to zatapianie ( flood ). Polega on na wygenerowaniu du Ŝ ego ruchu

skierowanego do atakowanego systemu. Jeśli jest on podłączony do sieci niezbyt szybkim

łączem, to atakujący moŜe całkowicie zająć jego przepustowość, znacząco utrudniając

komunikację z zaatakowanym serwerem. Źle skonfigurowane routery mogą spowodować, Ŝe

cała sieć zostanie uŜyta jako „wzmacniacz ICMP”. Ataki typu DOS mogą być bardzo

uciąŜliwe. Nie dają one atakującemu kontroli nad serwerem, ale uniemoŜliwiają korzystanie z

niego innym. W wielu przypadkach (na przykład dostawca Internetu, popularny serwer

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: