Bezpečnostní služby v sítích kategorie: utajení a důvěrnost dat ochrana před neautorizovaným únikem informací (šífrování) autentizace ověření totožnosti druhé komunikující strany (hesla, biometrie..) integrita dat zajištění neporušenosti přenášených dat (digitalni podpis) Zranitelná místa sítě kategorie: informace a data (včetně bezpečnostních opatření i hesla) služby přenosu a zpracování dat zařízení - veškerá uživatelé z hlediska svého majetku a identity
Bezpečnostní politika sítě je založena na rozpoznání autorizovaného a neautorizovaného chování. Tato politika má dvě součásti: založená na pravidlech (1. všechno povolím a něco zakážu nebo 2. všechno zakážu a něco povolím) založená na identitě Musí mít jasně daná a formulovaná pravidla a mechanismy, které poskytují řadu bezpečnostních služeb: autentizace ověření identity řízení přístupu na základě přidělených práv zajištění utajení a důvěrnosti přenášených dat zajištění integrity dat (neporušenosti) ochrana proti odmítnutí původu zprávy (nepopiratelnost)
Útoky na bezpečnost sítě - útoky na propustnost sítě (šířka pásma, záplavové útoky) - protokolové útoky využívají vlastností běžných protokolů (zneužití chování) - logické útoky využití slabin systému Útoky falešnou identitou - útok prostřednictvím falešné IP - nasměrovat odpovědi na oběť (uživatele, stanici) za kterou se vydává - dopady: zjištění informací o uživatelích, účtech, heslech, možnost změny Útoky pomocí neautorizované distribuce citlivých informací Informace lze šířit např. pomocí elektronické pošty, umístěním na www stránky (zabezpečené )
Útoky na přístupová hesla Slabá hesla jsou možným zdrojem útoku. Kvalitní hesla jsou základem dobré bezpečnostní politiky. Heslo lze odhalit falešnou IP adresací, trojským koněm, hrubou silou vyzkoušení všech kombinací Útoky pomocí neautorizované distribuce citlivých informací např. pomocí elektronické pošty, umístěním na www stránky (zabezpečené nezabezpečené), šíření červů a virů...
Techniky DoS, DDoS (denial of service) záplavy SYN útok využívá principu zahajování spojení TCP. Útočník vysílá zprávy SYN se zfalšovanou neexistující zpáteční adresou, oběť vysílá na tuto adresu zprávy SYN-ACK, ale protože neexistuje žádné potvrzení, hromadí se tyto zprávy ve vyrovnávací paměti, kde musí čekat na potvrzení nebo na chybové hlášení. Objem záplavy je závislý na nastavení časovače pro opětovné vyslání zprávy
Techniky DoS, DDoS - záplava UDP datagramy
Techniky DoS, DDoS surf útočník posílá ICMP zprávy echo request na všeobecnou adresu (broadcast), avšak zdrojovou adresu zfalšuje označí jí oběť
Spoofing podvržení údajů v komunikaci fenomén zasahující spektrum protokolů (vrstva datových spojů až aplikační) IP: podvržení odesilatele (obejití firewallu); ochrana: IPSec, IPv6 MAC: (získání zajímavé IP adresy z DHCP) DNS: ovlivnění globálních dat v DNS za cílem přesměrování komunikace
Phishing (rhybaření) mystifikace uživatelů Internetu za účelem získání jejich soukromých informací (čísla/hesla k účtům, data v počítači formou virů a rootkitů z podvržených updatů či mailů) masová aplikace sociálního inženýrství (Kevin Mitnick) novodobá záležitost; průvodní jev spamu důvěřovat, ale prověřovat!
Viry, rootkity & spol. specifikum virů: replikují a šíří sebe sama šíření: chyby v programech (obvykle email a WWW klienti a různé servery) spuštění vlastního kódu s právy uživatele, aneb firewall nestačí specifikum rootkitů: instalovaný hackerem po získání administrátorských privilegií na obsazeném stroji malware pracuje obvykle nenápadně; někdy sám sebe zlikviduje, až splní svůj účel společné rysy: odesílání zajímavých dat do Internetu, distribuce spamu, inventarizace okolí (scanování sítě,atp.), provoz FTP a jiných serverů s warezem, otevření zadních dvířek pro útočníky
Odbočka: typické chyby v programech dotýká se každého kusu spustitelného kódu v počítači (tar, wmf lib, Thunderbird, Apache, ) programátoři je stále opakují kontrola návratových kódů funkcí, kontrola vstupních parametrů (délka, nečekané znaky), ošetření výjimek, správné chování mezí struktur (např. Offbyone) atd. následky: buffer overflow, arbitrary code execution
Silná hesla na: Routery, switche, servery Switche Komunikační servery Komunikační aplikace Ošetřit vstupy do komunikačních zařízení : Jsou dostupná na síti pro všechny!
Útoky na servery DNS a směrovače - otrávení informace v cache ukládání falešných informací do paměti serveru vede k tomu, že útočník může přesměrovat provoz na server pod správou útočníka - změna dat útočníci mohou využít slabiny některých verzí a pro uživatele DNS pozměnit některá data - odmítnutí služby tento útok může znamenat problém v rámci celého internetu (nedostupnost) - únos domény útočníci mohou neoprávněně převzít registrační proces a tak unést legitimní domény
Firewall Tvoří ho ochranné složky jak hardwarové, tak softwarové
Funkce firewall - filtrace paketů na úrovni síťové vrstvy, na základě zdrojové a cílové IP adresy - aplikační brána/proxy zadržuje všechny pakety pro specifikované aplikace a chová se jako zástupný server (TELNET, FTP, SMTP..), zjistí nejprve autentizaci zvnějšku a teprve potom povolí komunikaci se serverem v demilitarizované zóně - zástupný server (proxy), ověřuje pakety z hlediska platnosti dat na aplikační úrovni před otevřením spojení. Zástupné servery mohou také ověřovat hesla a požadavky na služby - řízení přístupu autentizační mechanismus pro ověření totožnosti uživatele na základě hesla a jeho autorizace pro užívání požadovaných služeb - šifrování zpráv zabezpečení přenosu informací (jmen, hesel, dat ) - atd.
bezpečnost není stav, ale proces! replikovatelnost digitálních dat: neexistuje pojem originálu (digitální data jako důkaz u soudu?) neexistuje zcela zabezpečený systém!
Zavést: IDS/IPS intrudion detection systém/intrudion protection system Netflow monitoruje a analyzuje IP provoz na síti SIEM sbírá a analyzuje všechny logy Zdvojovat a seriově řadit bezpečnostní zařízení
Řízení přístupu Autentizace Je ověřování a potvrzování totožnosti uživatelů komunikujících stran. Autentizace může vés Totožnost lze ověřit třemi možnými způsoby: - kdo jsou jednoznačné ukazatel jako otisky prstů, dlaní atd. - co mají identifikace podle předmětů karty, klíče atd. - co znají identifikace podle hesel, číselných kombinací, osobních čísel atd. Autorizace Po autentizaci může být udělena autorizace pro používání zdrojů a služeb, specifikuje jaké o Účtování/logování Zodpovídá za záznam všech činností uživatele v systému.
bezpečnost není stav, ale proces! replikovatelnost digitálních dat: neexistuje pojem originálu (digitální data jako důkaz u soudu?) neexistuje zcela zabezpečený systém!
Rady do života paranoidnější vyhrává; vždycky myslete na to, že existuje nějaký (byť sebepodivnější) vám momentál celý systém je tak bezpečný, jako je bezpečný jeho nejslabší článek šifrujte (SSL kde je možné hlavně web a pošta oběma směry) udržujte veškerý (opravdu!) SW na počítači aktuální vypínejte nepotřebné síťové služby (které otevírají porty ) používejte silná hesla, nikam si je nepište a nechte si jen pro sebe Pozor co spouštíte (stažené SW, checksumy, skripty v HTML, e-mailech )