Obrana sítě - základní principy

Transkript

1 Obrana sítě - základní principy Martin Pustka Martin.Pustka@vsb.cz VŠB-TU Ostrava

2 Agenda Základní úvod, přehled designu sítí, technických prostředků a možností zabezpečení. Zaměřeno na nejčastější rizika a útoky, a zejména na možnosti obrany v menších počítačových sítích. Je vhodná základní znalost principů IP sítí, správy serverů a koncových zařízení (PC, tiskárny atd.).

3 Základní oblasti síť, její design a provozovaná zařízení musí umožnit aplikaci bezpečnostních pravidel filtrace provozu zabezpečení koncových prvků sítě (stanice, tiskárny) zabezpečení prvků sítě monitoring

4 Počítačová síť a její design síť, její design a provozovaná zařízení musí umožnit aplikaci bezpečnostních pravidel možnost snadného rozšíření nejen bezpečnost, ale i funkčnost ochrana proti rizikům z Internetu, ale i z vnitřní sítě

5 Technická zařízení je vhodné pořizovat směrovače, přepínače s možností vzdálené správy a podporou VLAN vhodné typy, které jsou kompatibilní alespoň v základních funkcionalitách (SPT, vlany, DHCP snooping, ARPi) WiFi AP centralizovaná, cloudová a samostatná AP

6 Typický základní design sítě

7 Typické základní rozdělení sítě

8 Segmentace sítě cílem je rozdělit síť do samostatných celků dělení podle geografické lokality, funkce nebo typu uživatelů využívání virtuálních LAN (VLAN) mezi segmenty sítě lze aplikovat filtrační pravidla

9 Typy sítí připojení k Internetu propojovací mezi směrovači veřejné serverové sítě s veřejnými adresami interní serverové sítě s privátními adresami interní správa síťových prvků WiFi sítě sítě s PC, tiskárnami speciální účely (kotelny, řídicí systémy budov atd.)

10 Připojení k Internetu připojení zajišťuje směrovač filtrace provozu z/do Internetu rizika a typy útoků: přístup do vnitřní sítě (např. přes VPN) přístup k serverovým službám (krádež dat, zneužití identit, rozesílání spamu, zneužití pro další napadání, přístup do vnitřní sítě) nejčastěji zneužívané chyby povolený administrátorský přístup k hraničním prvků z Internetu SNMP přístup zneužití chyby SW směrovače (zakázat vzdálený mgmt) u VPN zneužití zcizené identity (hesla a certifikáty)

11 Interní páteřní počítačová síť interní infrastruktura počítačové sítě dynamické směrovací protokoly propojovací sítě oddělené od koncových sítí!!! eliminace rizika napadení síťové infrastruktury (např. směrovací protokoly) lepší aplikace bezpečnostních filtrů - jiné jsou pro koncové sítě a jiné pro síťové propoje

12 LAN Security cílem bezpečnostních technik je zajistit přístup do sítě pouze autorizovaným osobám 802.1x - přepínače mohou ověřovat uživatele stejně jako v bezdrátových sítích další bezpečnostní mechanismy mají zajistit bezpečnost již připojených systémů a stanic DHCP snooping zajišťuje kontrolu nad DHCP komunikací ARP inspection zajišťuje kontrolu nad ARP komunikací Source guard zajišťuje kontrolu na IP pakety RA guard pro IPv6 - kontrola RA provozu v LAN síti urpf - zajišťuje kontrolu zdrojových adres paketů posílaných do sítě

13 Serverové systémy a sítě Windows a Linux servery specializovaná zařízení (např. NAS) videokonferenční jednotky, telefonní ústředny rizika a typy útoků: přístup do vnitřní sítě přístup k serverovým službám (krádež dat, zneužití identit, rozesílání spamu, zneužití pro další napadání, přístup do vnitřní sítě, využití volání) nejčastěji zneužívané chyby povolený administrátorský přístup k serverům / službám odchycení nešifrované komunikace klient - server zneužití chyby SW

14 WiFi centralizovaná řešení, samostatná AP, cloudová řešení bezpečnost - WPA2 / AES autentizační RADIUS servery možnosti definovat blacklisty typy WiFi sítí podle účelu: uživatelské, návštěvnické, specializované rizika a typy útoků: přístup do vnitřní sítě přímý přístup ke komunikaci WiFi zařízení Man-in-the-middle útoky (vydávání se za směrovač, falešný DHCP server, ) nejčastěji zneužívané chyby chyby administrátorského rozhraní SNMP otevřené sítě

15 Koncové uživatelské sítě stanice uživatelů obvykle přístup k Internetu, k interním službám sítě rizika a typy útoků: přístup do vnitřní sítě přístup k serverovým službám (krádež dat, zneužití identit, rozesílání spamu, zneužití pro další napadání, přístup do vnitřní sítě) viry, instalace botnet klientů nejčastěji zneužívané chyby nenastavená hesla, SNMP komunity neaktualizované systémy posílání dat/virů uživatelům absence antivirů

16 Speciální sítě Rizika přístup k technologickým sítím přístup k systémům řízení tyto systémy často neudržují IT pracovníci a jsou málokdy aktualizována (když to běží ) Postupy je potřeba více hlídat přístupy k fyzické infrastruktuře aplikovat filtry, jemnější segmentace sítě

17 Aktualizace všechna zařízení obsahují SW v SW jsou chyby - vždy! aktualizace mají odstraňovat zranitelnosti systémů a aplikací firewall omezuje přístup ke službám, pokud ale obsahuje služba chybu, tak ani firewall nepomůže pokud nelze aktualizovat, tak hlídat o to více přístupy ke službě

18 Závěr Dotazy?