Technologie pro budování bezpe nosti IS technická opat ení michal.slama@opava.cz
Obsah Úvod bezpe nost IS Analýza rizik a Analýza dopad (BIA) Pro po izovat technologie? Eliminace hrozeb technickými prost edky Firewall IDS/IPS VPN Inspekce obsahu, atd...
Bezpe nost Informa ních systém Ochrana informa ních aktiv v organizaci D v rnost Integrita Dostupnost Bezpe nost jako integrální sou ást innosti organizace Bezpe nost jako stále probíhající proces Princip PDCA
Nástroje prosazování bezpe nosti Pravidla Sm rnice, politiky Vynucování Technické prost edky Osv ta Školení Kontrola Sankce
Návrhy protiopat ení Technická Programová Komunika ní Procedurální Fyzická Personální
Vztah úrovn bezpe nosti a náklad
Pro po izovat technologie? Pro eliminaci vysokého rizika zp sobeného: Vysokou hrozbou nebo Vysokým dopadem do organizace
Bezpe nostní aspekty pro po ízení Dostupnost D v rnost Integrita Nízké riziko St ední riziko Vysoké riziko
Antivirové systémy Vysoká úrove hrozby St ední až nízké dopady Vysoká etnost Náklady: Nízké Ú innost: Vysoká Eliminuje hrozbu: Škodlivé programy Dostupnost D v rnost Integrita
Co je firewall? Firewall je sí ové za ízení, které sloužík ízení a zabezpe ování sí ového provozu mezi sít mi s r znou úrovní d v ryhodnosti a/nebo zabezpe ení. Slouží jako kontrolní bod, který definuje pravidla pro komunikaci mezi sít mi, které od sebe odd luje. Firewally se opírají p inejmenším o informace o stavu spojení, znalost kontrolovaných protokol a p ípadn prvky IDS. Firewally se b hem svého vývoje adily zhruba do následujících kategorií: Paketové filtry Aplika ní brány Stavové paketové filtry Stavové paketové filtry s kontrolou známých protokol a pop. kombinované s IDS
Firewall St ední úrove hrozby St ední dopady Nízká až st ední etnost Náklady: St ední Ú innost: Vysoká Eliminuje hrozby: Infiltrace komunikací P edstírání identity uživatele cizími osobami P esm rování zpráv Úmyslná škoda zp sobená cizími osobami Dostupnost D v rnost Integrita
Paketové filtry Nejjednodušší a nejstarší forma firewallování, která spo íváv tom, že pravidla p esn uvád jí, z jaké adresy a portu na jakou adresu a port m že být doru en procházející paket, tj. kontrola se provádí na t etía tvrté vrstv modelu sí ové komunikace OSI. Výhodou tohoto ešení je vysoká rychlost zpracování, proto se ješt i dnes používají na místech, kde není pot ebná p esnost nebo d kladn jší analýza procházejících dat, ale spíš jde o vysokorychlostní p enosy velkých množství dat. Nevýhodou je nízká úrove kontroly procházejících spojení, která zejména u složit jších protokol Mezi typické p edstavitele paketových filtr pat í nap. tzv. ACL (Access Control Lists)
Paketový filtr + NAT
Aplika ní brány Veškerá komunikace p es aplika ní bránu probíhá formou dvou spojení klient (iniciátor spojení) se p ipojí na aplika ní bránu (proxy), ta p íchozí spojení zpracuje a na základ požadavku klienta otev e nové spojení k serveru, kde klientem je aplika ní brána. Kontrola se provádí na sedmé (aplika ní) vrstv sí ového modelu OSI (proto se t mto firewall m íká aplika ní brány). Výhodou tohoto ešení je pom rn vysoké zabezpe ení známých protokol. Nevýhodou je zejména vysoká náro nost na použitý HW aplika ní brány jsou schopny zpracovat mnohonásobn nižší množství spojení a rychlosti, než paketové filtry a mají mnohem vyšší latenci. Po nástupu stavových paketových filtr se vývoj v tšiny aplika ních bran postupn zastavil a ty p eživší se dnes používají už jen ve velmi specializovaných nasazeních
Aplika ní kontrola Kontrola aplikací Dodržení RFC Analýza anomálií P epsání paketového protokolu ochrana p ed útoky Dodržení délky URL, ovlivn ní Puts, Gets, atd. Scanování vir, erv, spamu, klí ových slov. Blokace necht ného obsahu IN APLIKA NÍ PROXY OUT externí IP stack Stavová inspekce Kontrola hlavi ky paketu obousm rná bezpe nost interní IP stack Chrán ný server odd lené Segmenty sít
Stavové paketové filtry Stavové paketové filtry provád jí kontrolu stejn jako jednoduché paketové filtry, navíc si však ukládají informace o povolených spojeních, které pak mohou využít p i rozhodování, zda procházející pakety pat í do již povoleného spojení a mohou být propušt ny, nebo zda musí znovu projít rozhodovacím procesem. Zásadním vylepšením je i možnost vytvá ení tzv. virtuálního stavu spojení pro bezstavové protokoly, jako nap. UDP a ICMP. K nejv tším výhodám stavových paketových filtr pat í jejich vysoká rychlost, pom rn slušná úrove zabezpe ení a ve srovnání s výše zmín nými aplika ními branami a jednoduchými paketovými filtry ádov mnohonásobn snazší konfigurace a díky zjednodušení konfigurace i nižší pravd podobnost chybného nastavení pravidel obsluhou. Nevýhodou je obecn nižší bezpe nost, než poskytují aplika ní brány.
Stavové paketové filtry s kontrolou protokol a IDS Krom informací o stavu spojení a schopnosti dynamicky otevírat porty pro r zná ídící a datová spojení složit jších známých protokol implementují n co, co se v marketingové terminologii r zných spole ností nazývá nej ast ji Deep Inspection nebo Application Intelligence. Znamená to, že firewally jsou schopny kontrolovat procházející spojení až na úrove korektnosti procházejících dat známých protokol i aplikací. Nejnov ji se do firewall integrují tzv. in-line IDS (Intrusion Detection Systems systémy pro detekci útok ). Výhodou t chto systém je vysoká úrove bezpe nosti kontroly procházejících protokol p i zachování relativn snadné konfigurace, Nevýhodou je zejména složitost - zvyšují tak pravd podobnost, že v n které ásti jejich kódu bude zneužitelná chyba
Sou asnost Posílení stavové inspekce tak, aby i tento typ firewallu rozum l aplikacím. ALG (Application Level Gateway) tak kombinuje výkon a výhody (nap íklad možnost redundantního zapojení) stavových firewall s porozum ním komunikace i na aplika ní vrstv. Ty nejlepší firewally mají dnes integrovaný systém prevence pr niku p ímo v sob, jedná se o deep packet inspection.
Deep packet inspection
Porovnání typ FW - Zdrojové IP adresy Cílové IP adresy/portu Stavu spojení Stavu aplikace } Paketové filtry } Stavové paketové filtry Analýzy sí ového spojení IDS, IPS, Application Analýzy aplika ních dat } Intelligence, Deep Inspection
Použití FW
Trendy Vysoká dostupnost Serializace bezpe nostních za ízení Návrat k jednoduchým jednoú elovým ešením Splývání funkcionality firewall a IDS Vzd lávání uživatel Personální firewally
Vysoká dostupnost Vysoká dostupnost je nezbytná ve vnit ních sítích pro hladký a efektivní provoz spole nosti Aplika ní a databázové servery Sí ová a bezpe nostní infrastruktura Vzdálené p ipojení (management, mobilní pracovníci) ízení výrobních prost edk Vysoká dostupnost služeb na Internetu je nezbytná pro stále rostoucí po et spole ností Banking, finance Informa ní zdroje Vyhledáva e Obchodní prezentace Internetové obchody
Serializace Každý SW obsahuje chyby Vývoj v tšiny produkt jde sm rem k zesloži ování, n kdy dokonce ke kompletnímu p epsání celého produktu za ú elem zesložit ní P ednost mívá uživatelská p ítulnost p ed bezpe ností Zákazníci nejsou pln informováni o problémech Není vhodné používat pro serializaci výrobky jednoho výrobce Úto ník m že využít stejné chyby k pr niku p es všechny firewally v ad Použitír zných systém však m že odstranit výhody centrální správy Centrální správa pro správu serializovaných systém není vhodná ani pro r zné systémy Chyby v nastavení se propagují na všechny systémy
Co je VPN (Virtual private network) Bezpe né (autentizované a šifrované) a p itom pro uživatele zcela transparentní spojení mezi dv ma i více sít mi. Pro spojení mezi uživatelem a požadovanou destinací použita ve ejná sí - nej ast ji internet
VPN St ední úrove hrozby Vysoké dopady Nízká etnost Náklady: St ední Ú innost: Vysoká Eliminuje hrozby: Infiltrace komunikací P edstírání identity uživatele cizími osobami Úmyslná škoda zp sobená cizími osobami Zachycení komunikace Dostupnost D v rnost Integrita
Architektonické možnosti
Propojení klient-klient Každá stanice IP adresu bez nutnosti p ekladu Zdrojovou ani cílovou adresu nemusíme pozm ovat
Propojení klient-brána Mobilní ú astník obdrží ve ejnou (dynamickou) adresu Pro p ipojení do sít ale používá adresu z vnit ní sít Jeho ve ejná adresa a adresa protistrany je tak využita pouze pro navázání spojení tunel Tunelem jsou posílány pakety vnit ní sít
Propojení brána-brána Propojení dvou sítí s odlišným adresním plánem p es t etí tranzitní sí B žn je požadováno šifrování a ov ování autenticity Brány na adresách tranzitní sít navážou tunel, skrze který zasílají pakety, jež adresn odpovídají sítím které propojují
VPN na sí ové vrstv IPoverIP P enášené pakety IP protokolu jsou zabalené do jiných IP paket GRE Cílem umožnit vytvá ení tunel, které budou uzp sobené pro p enos paket jednoho protokolu skrze jiný protokol PPTP Využívá pro svou innost protokolu PPP (point-to-point protocol) L2TP L2TP pln podporuje IPSec P enáší PPP skrz sít, které nejsou PPP
VPN na sí ové vrstv IPSEC Umí vytvo it oby ejný tunel mezi dv ma stanicemi i branami Umí tento tunel zabezpe it jak ve smyslu ov ení autenticity obou komunikujících uzl, tak ve smyslu utajení p enášených dat šifrováním Povinná sou ást protokolu IPv6, v IPv4 dodate n implementován Dnes nejrozší en jší standard na budování VPN sítí hash funkce u AHP protokolu je vypo ítávána práv i z n kterých "statických" ástí samotného IP transportního paketu, ímž je bohužel znemožn no provozu IPSecu na sítích, kde dochází k p ekladu adres (NAT)
VPN na transportní a aplika ní vrstv SSL SSL = Secure Socket Layer, resp. dnes používaný protokol TLS = Transport Layer Security, který je vlastn pouze protokolem SSL verze 3.1. Protokol definující zp sob šifrování a autentifikace p enášených dat na úrovni vyšší vrstvy v OSI modelu Šifrováná pouze data p enášených samotnou aplikací, která SSL implementuje SSL využívá pro po áte ní vým nu klí pro komunikaci asymetrické kryptografie, p ípadn kryptografie založené na ve ejném a privátním klí i - asto se hovo í o použití certifikát
Základní bezpe nost Bezpe nost VPN šifrování nej ast jší technologie pro VPN IPSec (p íp. jeho proprietární variace) základem kvalitní šifra obvykle 3DES / AES (DES v sou asnosti již není považován za dostate ný) význam autentizace doporu ujeme RSA x.509 certifikáty tzv. pre-shared passwords nejsou obecn považovány za zcela vhodné existující standardy nabízí možnost velmi vysoké úrovn zajišt ní integrity a d v rnosti p enášených dat (praxe m že být r zná)
Bezpe nostní kritéria Zakon ení VPN obvykle router (p íp. firewall) Obvyklé problémy aktualizace/patche použité SW vybavení je pom rn komplikované (kryptografie), nelze vylou it výskyt chyb praxe: neaktualizovaný SW riziko DoS útok, znep ístupn ní i jiné negativní ovlivn ní funk nosti neodborným zásahem do nastavení lze jednoduše degradovat veškeré bezpe nostní vlastnosti VPN vysoké nároky na údržbu za ízení kvalifikované lidské zdroje znalosti (sledování aktuálního vývoje)
Jak p ipojit VPN do vnit ní infrastruktury? Vzdálený konec/konce VPN je vhodné vnímat do jisté míry jako vn jší prost edí zakon ení VPN p ímo ve vnit ní LAN ne zcela dobrá praxe (by astá) praxe: ší ení problém mezi lokalitami skrze VPN Ideální je p ipojení VPN do vnit ního prost edí p es prvek schopný ídit komunikaci probíhající p es VPN firewall p íp. router se základními funkcemi firewallu op t zvýšené nároky na správu
IPSec a SSL aplikace šifrování autentizace bezpe nost celkov SSL webové aplikace, sdílení soubor a elektronická pošta zn silné v závislosti na webovém prohlíže i zn silná (jednosm rná nebo obousm rná, za použití hesel, tokenu nebo certifikát ) st edn silná IPSec všechny aplikace TCP/IP konzistentn silné, závisí na dané implementace silná (obousm rná, za použití tokenu nebo certifikát ) velmi silná
Co je Content Monitoring? Ochrana http, ftp proxy (antivir, content filtering, blokování nevhodného obsahu) Antispam poštovního serveru
Active Content Monitoring St ední úrove hrozby St ední dopady Vysoká etnost Eliminuje hrozby: Infiltrace komunikací Škodlivé programy Úmyslná škoda zp sobená cizími osobami Zachycení komunikace Dostupnost D v rnost Integrita
Úkoly pro ACM Nedisciplinovaní uživatelé Viry Viry ší ené protokolem HTTP/SMTP/FTP Spam Nevhodný obsah stránek Neproduktivní stránky Vulgární výrazy Hoax
Co je IDS / IPS Systémy pro detekci neoprávn ného pr niku umo ují zvýšit zabezpe ení informa ních systém p ed útoky ze sít internet i z vnit ních sítí organizace, a jsou tak vhodným dopl kem k firewallové ochran. Je tvo en kombinací softwarového a hardwarového vybavení vhodn zakomponovaného do po íta ové sít, která je schopna odhalit neoprávn né, nesprávné nebo anomální aktivity v síti. IDS detekuje útoky na aktivní prvky po íta ové sít nebo na servery. Krom samotné detekce útok poskytuje IPS také r zné možnosti odezvy na útoky.
IDS / IPS Vysoká úrove hrozby Vysoké dopady Nízká etnost Náklady: Vysoké Ú innost: St ední až vysoká Eliminuje hrozby: Infiltrace komunikací P edstírání identity uživatele cizími osobami Úmyslná škoda zp sobená cizími osobami Zachycení komunikace Dostupnost D v rnost Integrita
Host-based systémy Nasazují se p ímo na jednotlivé servery nebo uživatelské stanice Softwarové produkty, nasazení je limitováno podporou OS Monitorují systémová volání, logy, chybová hlášení a podobn. Chrání p ed útoky na opera ní systém a aplikace provozované na po íta i.
Network-based systémy Specializovaná za ízení monitorující sí ový provoz Za ízení tak dokáže chránit po íta e v celé síti, respektive segmentu sít Tyto systémy monitorují všechny pakety v síti pomocí NIC (Network Interface Card) rozhraní v promiskuitním módu a porovnáním t chto paket se signaturami detekují útoky.
Detek ní metody Detekce vzoru provozu(signatury) V sí ovém provozu jsou hledány p edem definované vzorky. Sofistikovan jší varianta této metody dovoluje rekonstruovat celou vým nu dat. Systém je pak schopen nalézt útoky, které vyžadují datovou vým nu nebo jsou rozd leny do více paket práv kv li snížení pravd podobnosti odhalení. Detekce odchylek od protokolových norem Metoda vychází z definic jednotlivých protokol daných standardy RFC. Odchylky od norem jsou detekovány a dále analyzovány. Detekce anomálií v sí ovém provozu Systém na základ statistických metod odhaluje sí ový provoz, který se vymyká dosud b žnému provozu. Heuristická analýza Tato metoda využívá statistické vyhodnocování parametr monitorovaného provozu. Takto se dají nap íklad snadno detekovat útoky typu port sweep
IDS vs IPS Systém detekce narušení (IDS) slouží k odhalování pokus o narušení integrity, utajení a dostupnosti dat v chrán né síti. Jedná se o pasivní systém, který pouze upozor uje a sám ne iní aktivní protiopat ení. Prost ednictvím upozorn ní a statistik poskytuje obsluze informace o zaznamenaných útocích. Naproti tomu systém prevence narušení (IPS) nejen detekuje pokusy o útok jako IDS, ale zárove je schopen dle nastavené konfigurace aktivn reagovat, tzn. útoku zabránit, pop ípad jej p erušit. Zamezit útoku lze zablokováním jednotlivého spojení, p ípadn celého provozu ze zdrojové IP adresy.
Blokování útoku Nežádoucí provoz je správn detekován jako útok. Nežádoucí provoz není detekován a útok je úsp šný. ádný provoz je nesprávn ozna en jako útok. ádný provoz je ov en jako dobrý. Statefull signature Protocol/trafic anomally detection Backdoor detection Honey pot
Blokování útok
Statefull signature
IDS
IPS
IDS + IPS
Další prost edky zabezpe ení ipové karty a PKI Elektronický podpis Kryptování Zálohování + Archivace Ochrana periferií Fyzická ochrana Organiza ní opat ení Bezpenostní politika
Zvyšování zabezpe ení Kombinace r zných typ technologií Kombinace r zných dodavatel Serializace ochran Centrální správa vs jednoú elová za ízení
P ípadová studie Modelový p íklad IS Výstupy Analýzy rizik Návrh protiopat ení technického zam ení Posouzení adekvátních protiopat ení Návrh implementace technických opat ení
D kuji za pozornost http://www.proit.cz michal.slama@proit.cz