METODY I TECHNIKI ZABEZPIECZANIA SIECI
-1-
Podstawowe grupy narzędzi i technik G
Log systemowy (syslog) – narzędzie...
12 downloads
23 Views
172KB Size
METODY I TECHNIKI ZABEZPIECZANIA SIECI
-1-
Podstawowe grupy narzędzi i technik G
Log systemowy (syslog) – narzędzie pozwalające na zapis wybranych zdarzeń z pracy systemu do rejestru. Zdarzenia mogą mieć związek z atakami, eksploatacją systemu oraz działaniami awaryjnymi.
G
Uwierzytelnianie w systemie – dobry system uwierzytelniania pozwoli na podniesienie poziomu bezpieczeństwa w elementach podsystemu bezpieczeństwa. Uzyskuje się to przez zapewnienie odpowiedniego poziomu bezpieczeństwa przy przesyłaniu, przechowywaniu oraz przy tworzeniu haseł.
G
Odpowiednia architektura systemów zabezpieczeń – logiczne umiejscowienie elementów systemu ochrony.
G
Hosty bastionowe – systemy komputerowe pracujące w sieci ochrony.
G
NAT – translacja adresów IP.
G
Filtry pakietów – systemy odpowiedzialne za filtrowanie przepływających pakietów, czyli określenie na podstawie charakterystyki pakietu czy jest on legalny (bezpieczny).
G
Systemy Proxy (pełnomocnik, pośrednik) – ogól systemów działających na zasadzie pośredniczenia i przekazywania usług.
G
Szyfrowane tunelowanie – nazywane również wirtualnymi sieciami prywatnymi (VPN – virtual private networks), szyfrowane kanały łączące sieci prywatne przez Internet.
G
Systemy IDS (Intrusion Detection Systems – systemy wykrywania intruzów) – ogół systemów, których zadaniem
-2-
jest wykrycie nielegalnej działalności na podstawie szeroko rozumianej analizy pracy chronionego systemu. G
Inne – dość szeroka klasa systemów, narzędzi, metod, które w rękach doświadczonego operatora podniosą poziom bezpieczeństwa systemu.
Podstawowe strategie tworzenia zabezpieczeń G
Minimalne przywileje – strategia ta określa, że każdy obiekt (użytkownik, aplikacja, system) powinien posiadać tylko te przywilej, które są mu niezbędne do wykonywania realizowanych przez niego zadań.
G
Dogłębna obrona – polega to na braku zaufania do jednego mechanizmu zabezpieczającego niezależnie od poziomu jego skuteczności. Dokonuje się instalacji wielu systemów zabezpieczeń tak, aby awaria jednego mechanizmu nie wyłączyła wszystkich. Może to się objawiać przez budowę nadmiarowych zabezpieczeń lub dublowania tych samych zasad na wielu poziomach np. filtru pakietów.
G
Wąskie przejście - zmusza napastników do używania kanału, który można kontrolować i monitorować. W sieci wąskim przejściem jest np. Proxy, który jest jedyną drogą przejścia z Internetu do ośrodka.
G
Najsłabszy punkt – strategia ta wynika z podstawowej zasady wszelkiego bezpieczeństwa: każdy łańcuch jest tak silny jak najsłabsze jego ogniwo.
G
Bezpieczeństwo w razie awarii – kolejna zasada wskazuje, żeby system był jak najbardziej bezpieczny w razie uszkodzenia. Oznacza to przyjęcie zasady, że zajście awarii
-3-
w systemie bezpieczeństwa uniemożliwi dostęp chronionych zasobów nie zaś otworzy ten dostęp.
do
G
Powszechna współpraca – mówi nam o konieczności współpracy (lub nie przeszkadzania) ze strony członków organizacji, aby system zabezpieczeń działał efektywnie.
G
Zróżnicowana obrona – jest ściśle powiązana z głębokością obrony. Według tej strategii potrzebne jest nie tylko wiele warstw obrony, ale również, aby obrona była różnego rodzaju.
G
Prostota – wynika to z tego, że prostsze rzeczy można łatwiej zrozumieć, a jeśli coś jest nie zrozumiałe to nie wiadomo czy jest bezpieczne.
G
Zabezpieczenie przez utajnienie – polega to na tym, że wykorzystujemy kolejną płaszczyznę bezpieczeństwa przez blokadę informacji na temat szczegółów zabezpieczeń ich typów, topologii, istniejących hostów. Jeśli uruchamiamy nowy host, czy uruchomimy usługę ftp na porcie innym niż standardowy, nie jest konieczne żeby wszyscy o tym wiedzieli poza uprawnionymi.
Architektury systemów zabezpieczeń G
Architektury jednoelementowe: • Architektura z routerem ekranującym – jest to prosta i tania architektura zbudowana na podstawie routera, który jednocześnie pełni rolę systemu ochrony poprzez instalacje w nim filtra pakietów. Przyjęcie takiej architektury możliwe jest w sieciach o bardzo dobrze chronionych serwerach i stacjach roboczych, kiedy -4-
potrzeba jest nadmiarowości.
maksymalnej
wydajności
lub
Internet
Router ekranujący
Laptop
Stacja robocza
Serwer
Drukarka
Stacja robocza
• Architektura dwusieciowego serwera dostępowego. Podobnie jak poprzednia architektura jest prosta i tania. Rolę routera pełni tutaj serwer posiadający dwa interfejsy sieciowe, który może również pełnić role ochronną poprzez instalacje systemów zabezpieczeń. Architektura ta jest lepsza pod względem bezpieczeństwa, z uwagi na możliwości implementacji zabezpieczeń w serwerze dostępowym i przy dbałej konfiguracji może zapewnić stosunkowo dobry system ochrony.
-5-
Internet
Serwer + oprogramowanie ochronne
Laptop Stacja robocza
Serwer
Drukarka
Stacja robocza
• Architektura ekranowanego hosta – polega na tym, że host bastionowy jest umieszczony w sieci wewnętrznej i możliwe są połączenia z Internetu tylko do tego hosta, który ma wyłączone trasowanie. Stacje w sieci wewnętrznej mogą się łączyć bądź z hostem bastionowym w celu uzyskania pewnych usług (typu poczta), oraz mogą łączyć się z dowolnym, hostem zewnętrznym. Architekturę tą można modyfikować poprzez zmianę konfiguracji routera np. można wymusić by hosty wewnętrzne łączyły się tylko z hostem bastionowym, który będzie pośredniczył w dozwolonych usługach. Architektura ta jest dość bezpieczna, ale wymaga idealnej konfiguracji systemów ochronnych, każdy błąd otworzy sieć wewnętrzną na ataki z Internetu.
-6-
Laptop
Stacja robocza
Host bastionowy Router ekranujący
Internet
Serwer
Stacja robocza
• Architektura ekranowanej podsieci – tworzona jest dzięki wykorzystaniu dwóch routerów, tworzących miedzy sobą strefę zdemilitaryzowaną DMZ (DeMilitarized Zone). Strefa DMZ jest siecią peryferyjną i jakiekolwiek nieuprawnione działanie (nieuprawnione w sensie zasad obowiązujących w danej sieci LAN) jest traktowane jako wrogie. Ta architektura należy do bezpieczniejszych oraz pozwala na implementacje zabezpieczeń, co najmniej trzech miejscach tj. na dwóch routerach i hoście bastionowym. Pozwala na dość swobodne i bezpieczne korzystanie z Internetu z sieci wewnętrznej, jednocześnie stanowiąc duże wyzwanie dla intruza. Ekranowanie podsieci umożliwia budowę zabezpieczeń według zasad strategii tworzenia zabezpieczeń. Ten typ architektury jest punktem wyjścia do tworzenia wariacji tej topologii poprzez różne sposoby zabezpieczania oraz zmiany ilościowe urządzeń. -7-
DMZ
Stacja robocza
wewn trzna
Laptop
ę
Internet
ć
Sie
Serwer
Host bastionowy
Router zewnetrzny Router wewnętrzny
Stacja robocza
• Architektura z wieloczęściową siecią ekranowaną – ta architektura dodaje jeden punkt ochrony (serwer dwusieciowy), który może być wykorzystany do permanentnego monitorowania ruchu lub i usług pośredniczących. Laptop
Internet DMZ
Sie wewn trzna
Stacja robocza
Router zewnetrzny
ę ć
DMZ
Serwer
Serwer dwusieciowy
Stacja robocza
Router wewnętrzny
-8-
Hosty bastionowe G
Hosty bastionowe są systemami, które występują w strefie DMZ i są z natury dostępne publicznie. Hosty te są komputerami szczególnie zabezpieczonymi i mającymi za zadanie realizować różnego rodzaju usługi dla użytkownika publicznego jak i wewnętrznego.
G
Hosty bastionowe są szczególnie narażone na włamania i można założyć, że atak na sieć rozpocznie się od próby przejęcia kontroli, przez intruza, nad takim celem. Dlatego też systemy te muszą być szczególnie zabezpieczane i monitorowane oraz muszą znajdować się w specjalnej wydzielonej podsieci nieprzenoszącej żadnych poufnych danych.
G
Hosty bastionowe można podzielić na kilka rodzajów: • Nietrasujące hosty dwusieciowe – ma wiele połączeń sieciowych, ale nie przekazuje między nimi ruchu, może natomiast spełniać role pośredniczące lub filtra pakietów. • Hosty ofiary – tutaj mamy system „słabo” zabezpieczony, przez konieczność udostępnienia na nim usług, które z natury są niebezpieczne. System taki będący skazanym na cel udanego ataku musi być szczególnie monitorowany i powinien mieć opracowane procedury, które są wstanie taki atak rozpoznać i umożliwić możliwie szybki powrót do stanu poprzedniego. • Hosty pułapki – podobnie jak poprzednio, systemy tego typu są podatne na ataki z tą różnicą, iż nie są używane do świadczenia jakichkolwiek usług. Mają za zadanie zwabić intruza i poinformować administratora o zaistniałym fakcie. -9-
• Wewnętrzne hosty bastionowe – są to hosty umiejscowione w sieci wewnętrznej i mogą wchodzić w interakcje z głównymi hostami bastionowymi np. dla przekazania poczty do serwera wewnętrznego. Komputery te są faktycznie wtórnymi hostami bastionowymi, więc powinny być zabezpieczane i konfigurowane w podobny sposób. • Zewnętrzne hosty usługowe – to systemy odpowiedzialne za udostępnianie usług w Internecie np. WWW.
Translacja adresów IP G
Mechanizm maskowania zwanym również NAT (Network Address Translation – translacja adresów sieciowych) nie jest mechanizmem pozwalającym na jakiś typ aktywnej ochrony, ale posiada właściwości, które ukrywają wiele informacji przed potencjalnym intruzem. Mechanizm ten został oryginalnie zaimplementowany po to, aby można było udostępniać więcej adresów siecią prywatnym, jednak okazało się, że ma on inny jeszcze aspekt związany z bezpieczeństwem: możliwość ukrywania wewnętrznych hostów. Ukrywa przed intruzem informacje warstw TCP/IP o hostach wewnętrznych, ponieważ cały ruch wygląda jak by pochodził z pojedynczego adresu IP.
G
Działanie mechanizmu maskowania IP wymaga, aby host maskujący (odpowiedzialny za translacje adresów) przechowywał tablice z przyporządkowanymi sobie gniazdami wewnętrznymi i zewnętrznymi. Jeśli host z sieci wewnętrznej nawiązuje połączenie z zewnętrznym serwerem, host maskujący zamienia jego port - 10 -
źródłowy na jeden ze swoich portów zewnętrznych, zamienia
adres IP na swój (lub adres z pewnej puli) dokonuje odpowiedniego zapisu do tablicy translacji i wysyła pakiet do hosta docelowego. Kiedy otrzymywana jest odpowiedz od hosta zewnętrznego poszukiwany jest port w tablicy translacji, zmieniany jest adres docelowy i port hosta wewnętrznego i wysyła do podsieci wewnętrznej. Gdy zapisu w tablicy translacji jest brak pakiet jest odrzucany. Host zewnętrzny Docelowy IP 128.110.211.1
Źródłowy IP 192.168.13.15
Docelowy port 15465
Docelowy IP 192.168.13.15
Źródłowy IP 128.110.211.1
Źródłowy port 15465
Źródłowy IP 10.0.0.15
Źródłowy port 1234
IP 128.110.211.1
Host maskuj ący IP 10.0.0.1
Docelowy IP 10.0.0.15
Źródłowy IP 192.168.13.15
Źródłowy port 1234
Docelowy IP 192.168.13.15
Host wewętrzny
G
Translacja może być przeprowadzana na dwa sposoby: • translacja dynamiczna – przydział portów odbywa się niezależnie, • translacja statyczna – na stałe przypisujemy rekord w tablicy translacji do danego połączenia w sieci - 11 -
wewnętrznej, tracąc w ten sposób ochronę hosta wewnętrznego. G
Mimo wielu zalet maskowanie posiada wadę polegającą na tym, iż część protokołów wymagających kanału zwrotnego nie potrafi z tym mechanizmem współpracować. Pojawiają się moduły do tej usługi pozwalające ominąć przeszkody jednak może się zdarzyć, że protokół potrzebny w danej organizacji nie będzie potrafił poradzić sobie z tym mechanizmem wtedy należy odrzucić protokół lub maskowanie adresów IP.
G
NAT można zrealizować na różnych urządzeniach, pozwalają na to serwery jak i niektóre inne urządzenia takie jak routery.
Filtry pakietów G
Działanie podejmowane przez urządzenie, mające na celu selektywną kontrolę przepływu danych do i z sieci. Filtry pakietów pozwalają na przejście lub blokują pakiety zazwyczaj w czasie przesyłania ich z jednej sieci do innej.
G
Aby zrealizować filtrowanie pakietów musi zostać opracowany zestaw reguł określających, które rodzaje pakietów można przepuszczać, a które należy blokować. Filtrowanie może odbywać się na moście, routerze lub w pojedynczym hoście, czasami jest nazywane ekranowaniem
G
Patrząc z perspektywy historycznej należy przypomnieć, ze określenie firewall było odnoszone tylko do systemów filtrowania pakietów.
G
Obecnie wyróżnia się dwa podstawowe typy filtrowania pakietów:
- 12 -
• Filtry standardowe lub bezstanowe (stateless) – charakteryzują się tym, że nie potrafią sprawdzić części z ładunkiem pakiecie oraz nie pamiętają stanu połączenia. Badają informacje zawarte w nagłówku każdego indywidualnego pakietu i określają na tej podstawie czy pakiet przesłać dalej czy też odrzucić. Od strony teoretycznej można spowodować, aby filtr korzystał ze wszystkich danych nagłówka, jednak w praktyce wykorzystywane są pola: - typ protokołu – opiera się na zawartości pola protokół nagłówka IP. Pole to pozwala rozróżniać zestaw usług takich jak UDP,TCP, ICMP, IGMP. Jednak informacja w polu nagłówka jest na tyle ogólna, że trudno ją wykorzystać do filtrowania. - filtrowanie adresów IP – pozwala na filtrowanie adresów do lub z określonych hostów i sieci w oparciu o adres IP. Ten typ filtrowania jest dość szeroko stosowany do zezwalania na połączenia z wybranymi adresami IP (zaufane sieci, zdalni użytkownicy). Nie ma jednak sensu używanie tego filtrowania dla jakiegoś szerszego blokowania adresów, chyba ze to dotyczy zablokowania pojedynczych sieci znanych ze stwarzania problemów. - porty TCP/UDP – to pole w filtrowaniu znajduje duże zastosowania, ponieważ pola te określają najbardziej szczegółowo przeznaczenie pakietu. Filtrowanie portów jest często nazywane filtrowaniem protokołów, ponieważ numery portów TCP/UDP identyfikują protokoły wyższych warstw. W większości przypadków filtry albo pozwalają na przejście wszystkim protokołom wyłączając listę protokołów - 13 -
zabronionych, lub też zabraniają pozwalając na dostęp tylko zaufanym.
wszystkich
- wybór trasy przez nadawcę (source routing) – ta opcja pozwala określić dokładną drogę, jaką ma przebyć pakiet IP do miejsca przeznaczenia. Kiedyś było to używane do celów diagnostycznych obecnie jednak najczęściej używany jest przez napastników. Dlatego filtry odrzucają pakiety ustawionym wyborem trasy. Start
Wejście pakietu do filtra
0
Zezwoli ć?
Reguły filtra
Syslog 1
Odzruć
Rejestruj
1
Rejestrować?
Zezwól na przejście
0
Koniec
• Filtry z badaniem stanów (Stateful inspection filter) – są to systemy przechowujące w pamięci dane o stanie całego ruchu przechodzącego przez filtr i oceniają na tej podstawie czy dany pakiet może być przepuszczony. - 14 -
Filtry te nie pozwalają na przejście pakietu żądnej usługi, która nie została dopuszczona, oraz nie jest realizowana przez połączenie umieszczone w tablicy stanów. Filtry tego typu nie rozwiązują wszelkich problemów to znaczy badania danych pakietu, jednak rozszerzają swoje możliwości na analizę flag pakietu IP. Transmisja przez taki filtr przebiega w ten sposób, że gdy zaufany wewnętrzny host rozpoczyna połączenie z portem TCP niezaufanego hosta, wysyła pakiet synchronizacyjny SYN zwierający adres IP i numer portu (gniazdo), na którym oczekuje odpowiedzi. Filtr zapisuje w tablicy stanów adresy gniazd docelowego oraz zwrotnego i dopiero wysyła pakiet do sieci zewnętrznej. Nadchodząca odpowiedź jest badana pod kątem gniazda docelowych i źródłowych w tablicy stanów. Jeśli jest jakaś niezgodność w porównaniu, pakiet jest odrzucany, ponieważ nie stanowi odpowiedzi na żądanie z sieci chronionej. Pozycja wpisu w tablicy stanów jest usuwana po określonym czasie (w razie zerwania połączenia) lub po przesłaniu pakietów negocjacji zamknięcia sesji. Oczywiście poza badaniem stanu w filtrach tego typu również są stosowane zbiory reguły związane z analizą nagłówka IP tak jak realizowane jest to w filtrach bezstanowych.
- 15 -
Start
Wejście pakietu do filtra
1
0
Zezwoli ć?
1
Wewnętrzny?
0
Zezwoli ć?
Reguły filtra
0
1
Rejestrować (0 - Koniec) 1
Nawiązanie połączenia?
1 Rejestruj
SysLog 0
Utwórz rekord w tablicy stanów
Isnieje rekord w tablicy stanów?
Tablica stanów
1 Koniec połączenia?
1
Usuń rekord w tablicy stanów
1
Koniec połączenia? 0
0 Prześlij do celu
Prześlij do celu
Koniec
- 16 -
0
Systemy pośredniczące G
Systemy pośredniczące, czyli Proxy – służą do regeneracji żądań klientów sieci prywatnej skierowane do usług warstw wyższych usług sieci zewnętrznej.
G
Historycznie systemy Proxy były wykorzystywane głównie do buforowania i przechowywania w pamięci podręcznej, często przeglądanych stron WWW. PUNKT WIDZENIA SERWERA I UŻYTKOWNIKA
Sieć prywatna
W RZECZYWISTOŚCI ...
Sieć prywatna
Bastion Host
Internet
Proxy Server
Internet
G
Wraz z obniżką wartości Proxy jako system przechowywania, coraz lepiej widać ich zalety jako elementu systemu zabezpieczeń.
G
Proxy działa nasłuchując zleceń usługi od klientów wewnętrznych i przesyłaniu ich na zewnątrz w taki sposób jakby pochodziły od rzeczywistego klienta. Podobnie - 17 -
działają w drugą stronę przesyłając klientowi dane w sposób jakby pochodziły od hosta zewnętrznego. G
Serwery Proxy pracują zwykle jako hosty bastionowe.
G
Host Proxy jest bezpośrednio podłączony do sieci Internet, i komunikuje się bezpośrednio z lokalnymi (wewnętrznymi) oraz zewnętrznymi hostami (jeśli połączenie jest dozwolone).
Sieć prywatna
Bastion Host
Muszą być w stanie wymuszać ruch pakietów IP poprzez serwer proxy
Proxy Server
Internet
G
Typy serwerów pośredniczących: • Obwodowy – pośrednik, który tworzy obwód między klientem a serwerem bez interpretowania protokołu aplikacji. To są najprostsze Proxy swoją funkcjonalnością zbliżone do filtrów pakietów i są dość łatwe do oszukania.
- 18 -
Ich niezaprzeczalną zaletą jest świadczenie usług dla wielu różnych protokołów. • Aplikacyjny – jest to Proxy, który zna aplikacje, dla której pośredniczy oraz rozumie i interpretuje polecenia w protokole aplikacji. Potrafi również zajrzeć do ładunku danych i je analizować. Wadą tych Proxy jest ograniczenie ich funkcjonalności dla kilku protokołów, którym mogą pośredniczyć i je analizować. G
Zalety Proxy w kontekście zabezpieczeń: • Ukrywanie prywatnego klienta przed światem zewnętrznym – podobnie jak mechanizm NAT powodują, że z punktu widzenia zewnętrznego obserwatora, cała sieć wewnętrzna będzie wyglądała jak jeden host. Możliwe jest to dzięki temu, że Proxy działają na zasadzie ponownego wygenerowania żądań warstwy usługowej. Dodatkowo Proxy może multipleksować połączenie, aby pewna liczba hostów korzystała z jednego połączenia z Internetem. • Blokowanie niebezpiecznych URL (Universal Resource Lokator – uniwersalny wskaźnik zasobów) – pozwala to administratorowi zakazać dostępu do stron WWW w oparciu o URL. Podane adresy są zabronione z tych czy innych przyczyn i standardowy użytkownik nie może wywołać takiego adresu w swojej przeglądarce. Jednak system blokad jest łatwo ominąć np. stosują liczbową notacje adresu. Dlatego tego typu blokady są rzadko stosowane chyba, że system jest do takich celów dedykowany i nie jest łatwo go obejść. • Filtrowanie zawartości – Proxy transmituje cały ładunek danych oraz jest związany z danym protokołem, więc - 19 -
może być użyty do przeszukiwania danych pod kątem podejrzanej zawartości np. wirusy, konie trojańskie, kontrolki ActiveX, binarne załączniki e-maili, treść na stronie WWW itp. Filtrowanie takie może dość znacznie podnieś bezpieczeństwo naszej sieci dzięki ograniczeniu ekspansji wirusów. • Kontrola spójności – polega na kontroli zgodności danych z protokołem, czyli sprawdzenie zawartości danych pod kątem ich znaczenia dla protokołu. Może w ten sposób zapobiegać wykorzystaniu nieprawidłowo sformatowanych danych do wykorzystywania luk bezpieczeństwa. • Blokowanie routingu – systemy pośredniczące nie muszą wyznaczać trasy dla pakietów warstwy transportowej w związku z całkowitą regeneracją żądań. • Rejestracja zdarzeń i alarmowanie – wąskie przejście, jakim jest system pośredniczący pozwala na przeprowadzenie głębokiego monitorowania przepływających danych a co za tym idzie wyłapywać dane związane z działalnością nieuprawnioną oraz próby ataku, które nie koniecznie muszą być przeprowadzane na system Proxy. G
Wady systemów Proxy: • Pojedynczy punkt awarii – z pojedynczym punktem kontroli związany jest pojedynczy punkt awarii. Więc awaria serwera powoduje odcięcie całej sieci, której pośredniczy, od Internetu.
- 20 -
• Oprogramowanie klienckie musi współpracować z Proxy – dla każdej usługi objętej Proxy musi istnieć klient, który współpracuje z systemem pośredniczącym. • Usługa musi mieć swoje Proxy – każda uwzględniony protokół musi mieć swoje Proxy. • Proxy tworzą zatory – przeciążony system pośredniczący może tworzyć zatory w obsłudze klientów. G
System pośredniczący mimo swoich wad jest dość istotnym elementem ściany ogniowej organizacji.
Szyfrowane tunelowanie. G
Szyfrowane tunelowanie rozwiązuje problem bezpiecznego i bezpośredniego dostępu do hostów za pośrednictwem sieci Internet.
G
W tym celu wykorzystuje składników zabezpieczeń:
się
kilka
podstawowych
• Kapsułowanie (hermetyzacja) w pakietach protokołu IP – polega na zawarciu w pakiecie IP innego pakietu również IP. Jest to niezbędne do wywołania komputera znajdującego się w innej sieci, gdy nie istnieje trasa bezpośredniego połączenia. Przy takim rozwiązaniu odległe sieci schowane za systemami firewall mogą komunikować się między hostami tak, jakby znajdowały się w tej samej sieci podzielone routerem. Pakiet po dotarciu na miejsce przeznaczenia, oddaje zaszyfrowany pakiet, który jest następnie deszyfrowany i wysyłany do komputera przeznaczenia. • Uwierzytelnienie kryptograficzne – jest używane do bezpiecznego sprawdzenia tożsamości użytkownika - 21 -
zdalnego tak, aby system mógł dobrać system zabezpieczeń dla użytkownika. Ocenia na tej podstawie czy użytkownik może korzystać z szyfrowanego tunelu. Używany jest również do wymiany publicznych i prywatnych kluczy przez VPN. -
-
Szyfrowanie kluczem prywatnym (tajnym) – pracuje w oparciu o utajnienie wartości znanej obu stroną. Zgłaszający znający tą wartość jest uznawany za godnego zaufania. Istnieją odmiany tej metody polegające na używaniu jednorazowego klucza. Szyfrowanie z wykorzystaniem klucza publicznego – polega na wymianie kluczy sesji, mogących być używanymi tylko do szyfrowania danych. Klucz deszyfrujący jest przechowywany na urządzeniu odbiorczym i nigdy nie jest transmitowany przez sieć publiczną.
• Szyfrowanie ładunku danych – jest używane do kapsułowania danych w przesyłanych protokołach. Pozwala to na utajnienie zawartości kapsułowanego pakietu oraz danych nagłówka, czyli chronimy informacje o wewnętrznej sieci. Protokół 2 Protokół 1
Protokół 2 Protokół 1
Firewall Firewall Dane znajdują się Protokół Protokół teraz poza firewall 11
G
VPN może być realizowane w trzech typach: • tunelowanie wykorzystujące serwery, - 22 -
• tunelowanie wykorzystujące ściany ogniowe, • tunelowanie wykorzystujące routery. G
Wirtualne sieci prywatne są dobrym rozwiązaniem do realizacji swoich celów polegającym na bezpiecznym zdalnym dostępie. Nie można oczywiście podchodzić do nich bezkrytycznie wiadomo, że są wolniejszym rozwiązaniem niż sieć WAN i mniej bezpiecznym niż połączenie kablowe. Ważna jest implementacja tej z uwagi znane problemy z np. jakie zaistniały z protokołem PPTP firmy Microsoft.
Systemy wykrywania włamań. G
Wykrywanie włamań jest to proces identyfikowania i reagowania na szkodliwą działalność, skierowaną przeciw zasobom informatycznym i sieciowym.
G
Zasadę działania systemu IDS można opisać jako: • monitorowanie infrastruktury,
–
czyli
obserwacja
chronionej
• raportowanie – tworzenie raportów dla systemów analitycznych, • reakcja – reagowanie na incydenty działaniem lub alarmem. G
Systemy IDS starają się w pewnym stopniu zastąpić część zadań administratora polegających na obserwacji systemu w poszukaniu anomalii (w miejscach sondowania), czyli zachowań odbiegających od standardu. Systemy te starają się wykryć anomalię, ocenić jej wagę i zareagować.
- 23 -
G
Wykrywanie anomalii może być przeprowadzana w wielu miejscach sondowania na podstawie różnych kryteriów oraz różnych danych wejściowych. • Przetwarzanie raportu audytu – metoda ta polega na zebraniu zapisanych w logach zdarzeń w systemie, do dziennika audytu, który następnie jest poddawany analizie przez narzędzia znające semantykę rekordów dziennika. Analizie towarzyszą techniki algorytmiczne, które dzięki schematowi przetwarzania audytu wykrywają pewne atrybuty rekordów w raporcie. Atrybuty te odpowiadają wzorcom działań uznanych za podejrzane. Systemy tego typu, choć efektywne mają bardzo duże zapotrzebowanie na moc obliczeniową oraz obarczone są poślizgiem czasowym związanym z gromadzeniem danych. • Przetwarzanie na bieżąco ruchu w sieci – w odróżnieniu od poprzedniej metody ta realizowana jest w czasie rzeczywisty. Podstawę stanowią dane o ruchu w sieci. Używa się tu szybszych algorytmów (mniej dokładnych) mających znaleźć atrybuty ataku w trakcie jego przeprowadzania.
G
Zebrane informacje z raportu audytu czy też analizy ruchu w sieci można poddać różnym metodą analizy. • Metoda profilu normalnego zachowania – polega na przewidywaniu działalności informatycznej użytkownika i systemu. Metoda profilowania jest o tyle ciekawa, że można ją uogólnić do grupy użytkowników lub systemu. Polega ona na analizie atrybutów aktywności pracy obiektów i korekcie profilowanego nowego użytkownika aż do maksymalnie precyzyjnej regulacji istniejących profilów. Oznaczenie wartości średnich i możliwych odchyłkach. - 24 -
• Metoda sygnatur nienormalnego zachowania – bardzo popularna metoda w rzeczywistych realizacjach IDS. Polegająca na porównaniu atrybutów rzeczywistych i sygnatur ataków. Sygnatury występują w dwóch typowych formach: -
-
Sygnatury ataków – sygnatury profilów dynamicznych ataków opisujące dane wzorce aktywności, które w jakiś sposób mogą stanowić naruszenie bezpieczeństwa. Wiążą się one z zależnością czasową ciągu aktywności, które mogą być przeplecione działaniami obojętnymi np. pakiet przychodzący na zewnętrzny interfejs o adresie źródłowym i docelowym wewnętrznym.. Wybrane ciągi tekstowe – są to sygnatury ciągów tekstowych, które można uznać za podejrzane np. „/etc/passwd”
G
Systemy IDS są generalnie połączeniem systemów monitorowania, z systemami ekspertowymi analizującymi odchylenia w sondowanych atrybutach. Przydatność takich systemów jest dość duża, pozwalają one, bowiem wychwycić dość drobne z pozoru zdarzenia mające miejsce w długim okresie czasu, będące atakiem. Systemy takie są również dość pomocne przy zwykłych próbach ataku, typu wychwycenie na podstawie prowadzonej transmisji z hosta i numeru portu można założyć, że jest tam zainstalowany koń trojański lub inny złośliwy program.
G
Główną wadą systemów tego typu jest generowanie stosunkowo dużej ilości fałszywych alarmów, które mogą znieczulić obsługę, na tyle, że nie zareaguje na prawdziwe zagrożenie.
- 25 -
Start
Pobranie założonych danych
Przygotowanie danych do porównania
Porównanie sygnatur ataku
Porównanie profili
Baza profili
Popraw profil 1
0
Zgodne?
1
Zgodny?
0
Poprawić? 0
Alarm
0
Prawdziwy?
1
Koniec
- 26 -
Baza sygnatur ataku
1
Alarm