Informa ní bezpe nost II Technologie pro budování bezpe nosti IS technická opat ení michal.slama@opava.cz
Obsah Úvod ISMS Analýza rizik a Analýza dopad (BIA) Vn jší regulace (Zákony a normy) ITIL, CobIT, CMMI Sociotechnické metody Eliminace hrozeb technickými prost edky Antivir Antispam Firewall IDS/IPS VPN Inspekce obsahu, atd...
Bezpe nost Informa ních systém Ochrana informa ních aktiv v organizaci D v rnost Integrita Dostupnost Bezpe nost jako integrální sou ást innosti organizace Bezpe nost jako stále probíhající proces Princip PDCA
Nástroje prosazování bezpe nosti Pravidla Sm rnice, politiky Vynucování Technické prost edky Prost edky IS Osv ta Školení Kontrola Sankce
Návrhy protiopat ení Technická Programová Komunika ní Procedurální Fyzická Personální
Vztah úrovn bezpe nosti a náklad
Pro po izovat technologie? Pro eliminaci vysokého rizika zp sobeného: Vysokou hrozbou nebo Vysokým dopadem do organizace
Bezpe nostní aspekty pro po ízení Dostupnost D v rnost Integrita Nízké riziko St ední riziko Vysoké riziko
Antivirové systémy Vysoká úrove hrozby St ední až nízké dopady Vysoká etnost Náklady: Nízké Ú innost: Vysoká Eliminuje hrozbu: Škodlivé programy Dostupnost D v rnost Integrita
Antispamové systémy St ední úrove hrozby Nízké dopady Vysoká etnost Náklady: Nízké Ú innost: Vysoká Eliminuje hrozbu: Škodlivé programy Dostupnost D v rnost Integrita
Firewall St ední úrove hrozby St ední dopady Nízká až st ední etnost Náklady: St ední Ú innost: Vysoká Eliminuje hrozby: Infiltrace komunikací P edstírání identity uživatele cizími osobami P esm rování zpráv Úmyslná škoda zp sobená cizími osobami Dostupnost D v rnost Integrita
Co je firewall? Firewall je sí ové za ízení, které sloužík ízení a zabezpe ování sí ového provozu mezi sít mi s r znou úrovní d v ryhodnosti a/nebo zabezpe ení. Slouží jako kontrolní bod, který definuje pravidla pro komunikaci mezi sít mi, které od sebe odd luje. Firewally se opírají p inejmenším o informace o stavu spojení, znalost kontrolovaných protokol a p ípadn prvky IDS. Firewally se b hem svého vývoje adily zhruba do následujících kategorií: Paketové filtry Aplika ní brány Stavové paketové filtry Stavové paketové filtry s kontrolou známých protokol a pop. kombinované s IDS Osobní firewally
Porovnání typ FW - Zdrojové IP adresy Cílové IP adresy/portu Stavu spojení Stavu aplikace } Paketové filtry } Stavové paketové filtry Analýzy sí ového spojení IDS, IPS, Application Analýzy aplika ních dat } Intelligence, Deep Inspection
Použití FW
Trendy Vysoká dostupnost Serializace bezpe nostních za ízení Návrat k jednoduchým jednoú elovým ešením Splývání funkcionality firewall a IDS Vzd lávání uživatel Personální firewally
Co je VPN (Virtual private network) Bezpe né (autentizované a šifrované) a p itom pro uživatele zcela transparentní spojení mezi dv ma i více sít mi. Pro spojení mezi uživatelem a požadovanou destinací použita ve ejná sí - nej ast ji internet
VPN St ední úrove hrozby Vysoké dopady Nízká etnost Náklady: St ední Ú innost: Vysoká Eliminuje hrozby: Infiltrace komunikací P edstírání identity uživatele cizími osobami Úmyslná škoda zp sobená cizími osobami Zachycení komunikace Dostupnost D v rnost Integrita
Architektonické možnosti
Jak p ipojit VPN do vnit ní infrastruktury? Vzdálený konec/konce VPN je vhodné vnímat do jisté míry jako vn jší prost edí zakon ení VPN p ímo ve vnit ní LAN ne zcela dobrá praxe (by astá) praxe: ší ení problém mezi lokalitami skrze VPN Ideální je p ipojení VPN do vnit ního prost edí p es prvek schopný ídit komunikaci probíhající p es VPN firewall p íp. router se základními funkcemi firewallu op t zvýšené nároky na správu
IPSec a SSL aplikace šifrování autentizace bezpe nost celkov SSL webové aplikace, sdílení soubor a elektronická pošta zn silné v závislosti na webovém prohlíže i zn silná (jednosm rná nebo obousm rná, za použití hesel, tokenu nebo certifikát ) st edn silná IPSec všechny aplikace TCP/IP konzistentn silné, závisí na dané implementace silná (obousm rná, za použití tokenu nebo certifikát ) velmi silná
Co je Content Monitoring? Ochrana http, ftp proxy (antivir, content filtering, blokování nevhodného obsahu) Antispam poštovního serveru
Active Content Monitoring St ední úrove hrozby St ední dopady Vysoká etnost Eliminuje hrozby: Infiltrace komunikací Škodlivé programy Úmyslná škoda zp sobená cizími osobami Zachycení komunikace Dostupnost D v rnost Integrita
Úkoly pro ACM Nedisciplinovaní uživatelé Viry Viry ší ené protokolem HTTP/SMTP/FTP Spam Nevhodný obsah stránek Neproduktivní stránky Vulgární výrazy Hoax
Co je IDS / IPS Systémy pro detekci neoprávn ného pr niku umo ují zvýšit zabezpe ení informa ních systém p ed útoky ze sít internet i z vnit ních sítí organizace, a jsou tak vhodným dopl kem k firewallové ochran. Je tvo en kombinací softwarového a hardwarového vybavení vhodn zakomponovaného do po íta ové sít, která je schopna odhalit neoprávn né, nesprávné nebo anomální aktivity v síti. IDS detekuje útoky na aktivní prvky po íta ové sít nebo na servery. Krom samotné detekce útok poskytuje IPS také r zné možnosti odezvy na útoky.
IDS / IPS Vysoká úrove hrozby Vysoké dopady Nízká etnost Náklady: Vysoké Ú innost: St ední až vysoká Eliminuje hrozby: Infiltrace komunikací P edstírání identity uživatele cizími osobami Úmyslná škoda zp sobená cizími osobami Zachycení komunikace Dostupnost D v rnost Integrita
Host-based systémy Nasazují se p ímo na jednotlivé servery nebo uživatelské stanice Softwarové produkty, nasazení je limitováno podporou OS Monitorují systémová volání, logy, chybová hlášení a podobn. Chrání p ed útoky na opera ní systém a aplikace provozované na po íta i.
Network-based systémy Specializovaná za ízení monitorující sí ový provoz Za ízení tak dokáže chránit po íta e v celé síti, respektive segmentu sít Tyto systémy monitorují všechny pakety v síti pomocí NIC (Network Interface Card) rozhraní v promiskuitním módu a porovnáním t chto paket se signaturami detekují útoky.
Detek ní metody Detekce vzoru provozu(signatury) V sí ovém provozu jsou hledány p edem definované vzorky. Sofistikovan jší varianta této metody dovoluje rekonstruovat celou vým nu dat. Systém je pak schopen nalézt útoky, které vyžadují datovou vým nu nebo jsou rozd leny do více paket práv kv li snížení pravd podobnosti odhalení. Detekce odchylek od protokolových norem Metoda vychází z definic jednotlivých protokol daných standardy RFC. Odchylky od norem jsou detekovány a dále analyzovány. Detekce anomálií v sí ovém provozu Systém na základ statistických metod odhaluje sí ový provoz, který se vymyká dosud b žnému provozu. Heuristická analýza Tato metoda využívá statistické vyhodnocování parametr monitorovaného provozu. Takto se dají nap íklad snadno detekovat útoky typu port sweep
IDS vs IPS Systém detekce narušení (IDS) slouží k odhalování pokus o narušení integrity, utajení a dostupnosti dat v chrán né síti. Jedná se o pasivní systém, který pouze upozor uje a sám ne iní aktivní protiopat ení. Prost ednictvím upozorn ní a statistik poskytuje obsluze informace o zaznamenaných útocích. Naproti tomu systém prevence narušení (IPS) nejen detekuje pokusy o útok jako IDS, ale zárove je schopen dle nastavené konfigurace aktivn reagovat, tzn. útoku zabránit, pop ípad jej p erušit. Zamezit útoku lze zablokováním jednotlivého spojení, p ípadn celého provozu ze zdrojové IP adresy.
IDS
IPS
IDS + IPS
Další prost edky zabezpe ení ipové karty a PKI Elektronický podpis Kryptování Zálohování + Archivace Ochrana periferií Fyzická ochrana Organiza ní opat ení Bezpenostní politika
Zvyšování zabezpe ení Kombinace r zných typ technologií Kombinace r zných dodavatel Serializace ochran Centrální správa vs jednoú elová za ízení
D kuji za pozornost michal.slama@opava.cz