1 / 48

Bezpieczeństwo sieci i odtwarzanie po awarii

d r inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska. Bezpieczeństwo sieci i odtwarzanie po awarii. Bezpieczeństwo sieci. Czyli jak chronić sieć przed nieautoryzowanym dostępem. Internet a intranet. Internet = źódło informacji

lamar
Download Presentation

Bezpieczeństwo sieci i odtwarzanie po awarii

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. dr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska Bezpieczeństwosieciiodtwarzaniepoawarii

  2. Bezpieczeństwo sieci Czyli jak chronić sieć przed nieautoryzowanym dostępem

  3. Internet a intranet • Internet = źódło informacji • Internet = źródło zagrożeń dla użytkowników intranetu • Udostępnianie zasobów i swoboda komunikacji • Ochrona sieci przed agresorami i intruzami

  4. Struktura sieci • Połączenie ze światem zewnętrznym, czyli Internetem • Potrzeby użytkowników, bezpieczeństwo danych a struktura sieci • Podział sieci wewnętrznej na segmenty

  5. Zapora ogniowa (firewall) • Minimalizacja zagrożenia z zewnątrz • Personalizacja (na poziomie komputera) zasad dostępu • Ochrona przed niektórymi wirusami • Brak ochrony przed zagrożeniami z wnętrza Intranetu • Podatne na awarie (dotyczy rozwiązań programowych)

  6. Jedna zapora czy dwie DMZ Internet

  7. Personalizacja dostępu • Użytkownik – w zasadzie grupy użytkowników (Problem: użytkownik może statycznie ustawić cudzy adres) • Adres IP • DHCP i adres fizyczny

  8. IP + MAC • Personalizacja ustawień zapory ogniowej • Możliwość zlokalizowania użytkownika • Możliwość wyłączenia portu, do którego wpięty jest komputer użytkownika Mary Bob

  9. IEEE 802.1X • Protokół uwierzytelniania w sieciach LAN: • bezprzewodowych • przewodowych Sys. op. wspierający ten standard ftp://ftp.dlink.it/FAQs/802.1x.pdf

  10. 802.1x • Standard ten definiuje kontrolę dostępu opartą na modelu klient-serwer wraz z protokołami uwierzytelniania uniemożliwiającymi dostęp do sieci nieautoryzowanym urządzeniom za pośrednictwem publicznie dostępnych portów. Serwer uwierzytelniania przeprowadza uwierzytelnianie każdego klient, który podłącza się do sieci zanim zaoferuje mu jakąkolwiek usługę.

  11. IEEE 802.1X • Bazujące na portach • Port na przełączniku aktywowany dopiero po uwierzytelnieniu • Bazujące na adresach fizycznych • Wielu użytkowników może używać tego samego portu jednocześnie i istnieje możliwość ograniczenia liczby adresów MAC, które się komunikują przy jego użyciu

  12. 802.1x - definicje • Adres multikastowy dla protokołu EAPOL (Extensible Authentication Protocol over LAN), czyli tzw. Port Access Entity (PAE) • Umożliwia przełącznikom rozpoznawanie właściwych pakietów

  13. Czy sieć jest bezpieczna? • Analiza logów • Monitorowanie sieci • Aktualizacja reguł firewalla • Aktualizacja krytycznych systemów

  14. 802.11x - role • Klienta • Uwierzytelniającego (przełącznik) • Serwera

  15. OTP = hasło jednorazowe

  16. IDS • Detekcja zagrożeń • Alarmy - “Hej, coś jest nie tak!” • Monitorowanie - sondy • Mechanizmy reakcji na zdarzenia • Systemy detekcji intruzów = prosta idea

  17. Idea a praktyka • Co jest włamaniem lub jego proba, a co nie? • Jakie są metody włamań? • Jakie luki występują w systemach? • Czy wiedza systemu IDS jest aktualna? • Czy system może działać w pełni automatycznie? • Sekwencja działań może być rozciągnięta w czasie • Sekwencja działań może być rozbita pomiędzy różne sesje • Poprawnie działający system może być wykorzystany do ataku na inny system (np. DRDoS)

  18. SYN (sq.#2)/ACK (sq. #1) Ataki DoS • DoS – atak typu odmowa usługi (np. SYN flood) • Distributed DoS – rozproszony atak typu DoS (wiele źródeł ataku, zwykle jeden cel) • Distributed Reflected DoS – fałszowanie pakietów SYN, tak by pakiet SYN/ACK był wysyłany do atakowanego komputera SYN (sq.#1) ACK(sq. #2)

  19. DRDoS – Studium przypadku • Zobacz plik drdos.pdf

  20. Cele ataków • Uzyskanie dostępu do danych • W celu przejęcia kontroli nad systemem • W celu zniszczenia systemu

  21. Problemy w IDS • Problem 1.: Jakie metody można użyć? • Problem 2.: Jaka powinna być struktura systemów wykrywania włamań? • Problem 3.: Co to jest włamanie? • Problem 4.: Jak zidentyfikować tożsamość intruza? • Problem 5.: Jak korelować informacje? • Problem 6.: Jak złapać intruza w pułapkę? • Problem 7.: Jak reagować na incydenty?

  22. Metody • Przetwarzanie raportu audytu • Przetwarzanie na bieżąco • Profile normalnego zachowania • Sygnatury nienormalnego zachowania • Zgodność przetwarzania ze wzorcem

  23. Przetwarzanie raportu audytu • Najczęściej stosowana • Dostępne w logach SO, firewallów, routerów, przełączników System wykrywania włamań System chroniony Sonda audytu Przetwarzanie audytu

  24. Przetwrzanie na bieżąco • Nie powinno zakłócać pracy sieci • Analiza w czasie rzecywistym lub zbliżonym do rzeczywistego • Wyszukiwanie wzorców (“brzydkich słów”) np. “/etc/passwd” • Nie zbędny dostęp do ruchu w sieci – łatwe do zapewnienia w przypadku podłączenia do Internetu poprzez bramę dławiącą

  25. Profile • Normalnego zachowania – przewidywanie zachowań użytkowników i sprzętu, wykrywanie włamań = wykrywanie anomalii wzgl. profili • Sygnatury nienormalnego zachowania – umożliwiają identyfikację tylko znanych typów ataków, ale nie wymagają tak złożonego przetwarzania jak profile normalnego zachowani

  26. Zgodność parametrów ze wzorcem Hmm, ten użytkownik generuje bardzo dużo pakietów!!!

  27. Struktua systemu wykrywania włamań • CDIF – Common Intrusion Detection Framework: • Sensor – event box • System zarządzania – oparty o SNMP, MIB i RMON • Algorytmy – analysis box • Bazy wiedzy – data box, jednostka danych • Alarmy – w formacie GIDO (Generalized Intrusion Detection Object)

  28. Co to jest włamanie? • Def.:Włamanie jest ciągiem współzależnych działań złośliwego intruza, które powodują wystąpienie zagrożeń naruszenia bezpieczeństwa zasobów przez dostęp nieautoryzowany do danej domeny komputerowej lub sieciowej

  29. Ukrywanie tożsamości • Techniki wewnętrzne względem sieci • Techniki zewnętrzne względem sieci

  30. Korelacja danych • Rodzaje korelacji: • Korelacja pakietów w jednej i wielu sesjach • Korelacja informacji w czasie rzeczywistym lub po fakcie • Korelacja informacji dostępnych całościowo lub wewnętrznie

  31. Pułapki internetowe • Podejrzany użytkownik • System rzeczywisty • System wykrywania włamań • System pułapka • Aspekty prawne

  32. Reagowanie na incydenty • Podjęcie działań i decyzji zmniejszających ryzyko dalszego naruszenia bezpieczeństwa • Ocena wpływu incydentu na działanie systemu i firmy • Ewentualne zawiadomienie organów ściagania o popełnienu przestępstwa

  33. Przegląd systemów IDS • http://www-rnks.informatik.tu-cottbus.de//en/security/ids.html

  34. Architektura systemu z IDS IDS IDS DMZ F F Intranet

  35. Archiwizacja danych • Streamery • Macierze dyskowe – RAID • Biblioteki taśmowe • Dyski magnetoptyczne • Zdalny mirroring • Płyty CD/DVD • Mikrofilmy

  36. Wybór technologii • RAID a błędy użytkownika • Koszty technologii • Miejsce składowania danych • Systemy krytyczne i zapasowe centra danych • Sieci SAN

  37. Przykładowa architektura sieci Intranet Router brzegowy F DMZ DHCP RADIUS WWW MAIL File server SAN Bilioteka taśmowa Bilioteka taśmowa Bilioteka taśmowa

  38. Wybór technologii (cd.) • Identyfikacja krytycznych procesów i danych • Określenie okna backup'u • Określenie dopuszczalnego czasu niedostępności po awarii • Określenie czasu przez, który chcemy przechowywać kopie archiwalne • Określenie czasu, który jest potrzebny na odtworzenie danych przy wykorzystaniu danej technologii • Określenie czasu potrzebnego na odtworzenie procesów

  39. Disaster recovery plan • Disaster recovery – plan gwarantujący dostępność danych i aplikacji w określonym czasie po zdarzeniu o charakterze katastrofalnym • Klasyfikacja planów odtwarzania po awarii: • Tier 0 – Do nothing, no off-site data • Tier 1 – Offsite vaulting • Tier 2 – Offsite vaulting with a hot site • Tier 3 – Electronic vaulting • Tier 4 – Electronic vaulting to hot site (active secondary site) • Tier 5 – Two site two phase commit • Tier 6 – Zero data loss

  40. Rodzaje zagrożeń • Lokalne • Logiczne • Katastrofy

  41. Rodzaje strat • Straty bezpośrednie i pośrednie • Straty bezpośrednie: • Zmniejszenie przychodów • Spadek wydajności pracy • Kary za opóźnienia • Straty pośrednie: • Utrata klientów • Utrata wiarygodności • Korzyści utracone • Koszty przestoju

  42. Koszty przestoju • Koszty przestoju różnych rodzajów aplikacji [$/min] (USA, 1998) • Call location: $27 000 /min • e-commerce: $10 000 / min • Customer service center: $3 700 / min • Point of sale: $3 500 / min

  43. Parametry profilów DR • RTO – czas potrzebny na odtworzenie danych • RPO – czas pracy systemu jaki tracimy na skutek awarii • BWO - “Okno backupowe”, czas potrzebny na wykonanie kopii • Okres przechowywania na nośnikach

  44. Koszty przestoju i koszt technologii Pieniądze Koszt technologii Straty wynikające z przestoju systemu Czas

  45. Systemy macierzowe i klastrowe • Systemy macierzowe • Zabezpieczają przed skutkami awarii dysku, kontrolera • Pełna nadmiarowość • Równoległa struktura połączeń • Systemy klastrowe • Szerszy zakres ochrony • Eliminacja “single point of failure” • Ułatwienie zarządzania

  46. Prędkości transmisji • Czas przesłania 1TB danych w [min]: • 10Mbps – 13653,33 • 100Mbps – 1365,333 • SAN FCP (scsi-3) 2Gbps – 68,27 • OC -255 ATM 13,21 Gbps – 10,34 • SAN + DWDM 200 Gbps – 0,68

  47. Tworzenie planów Analiza ryzyka Analiza procesów Start projektu Opisy procesów, tworzenie procedur BWO RPO RTO Sposób ochrony danych Plany odtwarzania Zarządzanie zmianami TESTY

  48. Podsumowanie • Zapora ogniowa • System IDS • Fizyczna ochrona danych i archiwizacja • Plany awaryjne

More Related