Motel ten na ogół występuje wszędzie (MAN, LAN, WAN). W modelu tym zaznaczono wartościowość bo sieć musi do kogoś należeć.

Transkrypt

1 Cele i modele zarządzania Cel zarządzania siecią: zapewnienie użytkownikowi oczekiwanej jakości planowanie usług i wsparcia w zakresie sieciowego zapewnienie że dane mogą być transmitowane przez infrastrukturę z max efektywnością Model organizacyjny opisuje elementy zarządzania sieciowego i ich wzajemne zależności jest zależny od przyjętych standardów może reprezentować różne typy architektury Motel ten na ogół występuje wszędzie (MAN, LAN, WAN). W modelu tym zaznaczono wartościowość bo sieć musi do kogoś należeć. Model funkcjonalny ( 5 obszarów funkcjonalnych) obsługa anomalii proces lokalizacji, diagnostyki i naprawy problemów sieciowych: wzrost efektywności, produktywności, coś więcej niż system gaszenia pożarów Czynniki sukcesu obsługi anomalii identyfikacja problemu przez ciągłe zbieranie danych odtwarzanie dowolnych straconych usług izolacja awarii usuwanie skutków awarii jeśli to tylko możliwe zarządzanie konfiguracją proces pozyskiwanie informacji od urządzeń sieciowych i wykorzystywanie tych danych do zarządzania wszystkimi elementami sieci umożliwia szybki dostęp do konfiguracji urządzeń zdalna konfiguracja udostępnia informacje konieczne do inwentaryzacji elementów sieci Czynniki sukcesu zarządzania konfiguracją: uzyskiwanie informacji o aktualnej konfiguracji sieci wykorzystanie danych do modyfikacji konfiguracji urządzeń sieciowych przechowywanie danych o konfiguracji i wykorzystanie ich do wsparcia technicznego przygotowanie różnych raportów z inwentaryzacji zarządzanie rozliczeniami -pomiar wykorzystania zasobów sieciowych przez poszczególnych użytkowników w odniesieniu do przyjętych metryk, limitów i kosztów pomiary i raporty danych wymaganychdo rozliczeń grup i indywidualnych użytkowników administrowanie kosztami eksploatacji i utrzymania sieci wewnętrzna weryfikacja rachunków, które otrzymuje instytucja od dostawców usług Czynniki sukcesu zarządzania rozliczeniami: gromadzenie informacji o wykorzystaniu zasobów sieciowego wykorzystanie metryk w celu określenia limitów wystawianie rachunków dal użytkowników za korzystanie z sieci 1

2 zarządzanie wydajnością zapewnienie że sieć jest dostępna i niezatłoczona zapobieganie zatłoczeniu dostarczanie odpowiedniego poziomu usług dla użytkowników sieciowego określanie trendów wykorzystania sieciowego izolacja i rozwiązywanie problemów zagrażających dostępności Czynniki sukcesu zarządzania wydajnością gromadzenie danych dotyczących wykorzystaniu urządzeń i obciążenia połączeń określenie poziomów odniesienia dla metryk analizujących wykorzystanie sieci i identyfikacja problemów związanych z wydajnością ustawienie progów wydajności opartych na poziomach odniesienia analiza danych historycznych w celu wykrycia trendów planowanie wykorzystania zasobów zarządzanie bezpieczeństwem ochrona informacji związanych z danym urządzeniem poprzez kontrolę dostępu do tych informacji budowa zaufania użytkowników sieci zabezpieczenie informacji przed zagrożeniem wewnętrznym i zewnętrznym ochrona sieci przed złośliwymi atakami Czynniki sukcesu zarządzania bezpieczeństwem identyfikacja informacji i urządzeń wymagających ochrony określenie punktów dostępu ochrona punktów dostępu ochrona krytycznych danych przez skonfigurowanie polityki bezpieczeństwa implementacja sprzętowego wykrywania intruzów (Intrusion Detection System IDS) wzmacniającego bezpieczeństwo Model informacyjny Najbardziej dopracowany wewszystkich architekturach związany ze strukturą informatyczną zawiera reprezentację obiektów i informacji związanych z zarządzaniem korzysta ze standardu SMI (Structure of Managment Information) który definiuje składnię i semantykę informacji przechowywanych w MIB Baza informacyjna zarządzania (MIB) Definiuje zmienne związane z zarządzanym obiektem definicje odwołują się do reguł SMIO każdy zarządzany obiekt jest opisany przy użyciu identyfikatorów obiektu zdefiniowanego w SMI MIB-I zawierz 114 standardowych obiektów, obiekty odnoszą się do możliwości zarządzania konfiguracją i błędami MIB-II rozszerzenie MIB-I, 185 obiektów, tysiące zarządzanych obiektów zdefiniowanych za pomocą SMI Bazy: sprzętu (Hardware specific MIBs), transmisyjne, sieciowe, transportowe, aplikacyjne, pomiarowe i nadzoru (RMON), zarządzani rozproszonego, niestandardowe bazy producentów, inne 2

3 Struktura informacji zarządzania (SMI) Koncepcja SMI ASN.1 Structure of Managment Information (SMI) każdy obiekt w bazie SNMP MIB jest zdefiniowany w sposób formalny definicja określa typ danych obiektu, jego dopuszczalną formę i zakres wartości oraz związek z innymi obiektami MIB do deiniowania poszczególnych obiektów oraz całej struktury bazy wykorzystywana jest notacja ASN.1 Informacja zarządzania dotycząca zarządzanych systemów musi być reprezentowana przez Skalary i Tablice (dwuwymiarowe macierze skalarów) Protokół SNMP może operować tylko na skalarach lub listach skalarów zdefiniowanych w oparciu o ASN.1 Typy obiektów Typy skalarów: typy uniwersalne proste (integer, octetstring, null, object identifier) typy uniwersalne konstruktory (seequence, sequence-of) typy aplikacyjne (netwokraddress, ipaddress, counter,gauge,timeticks, opaque) Zasady definiowania typów-konstruktorów: nie stosuje się typu enumerated w ASN.1 wartość 0 (zero) nie może być używana mogą być używane tylko wartości liczb całkowitych wymienione w wyliczeniu Każdy obiekt ma typ i wartość Typ obiektu (Object type) określa rodzaj zarządzanego obiektu. Instancja obiektu (object instance) jest konkretnym przypadkiem typu obiektu, który został zawężony do określonej wartości. Object Type Definition podstawowymi elementami składowymi definicji typu obiektu są: SYNTAX abstrakcyjna składnia typu obiektu, musi to być instancja typu ObjectSyntac. Składnia musi być skonstruowana przy użyciu następujących dopuszczalnych typów uniwersalnych i aplikacyjnych: Integer, Octetstring, Null, ObjectIdentifier, Sequence, Sequence-of,ipAddress, Counter, Gauge, TimetTicks, Opaque, NewType. ACCESS definiuje sposów w jaki instancja obiektu bnędzie dostępna przy użyciu SNMP lub innego protokołu i określa minimalny wymaganypoziom obsługi tego typu obiektów: read-only, read-write, write-only, not-accessible. STATUS określa wymagany poziom implementacji danego typu: obligatoryjny(mandatory), opcjonalny(optional), nie zalecany(deprecated), przestarzały(obsolete) Niezalecany obiekt musi być zaimplementowany, jednak zostanie prawdopodobnie usunięty w następnej wersji MIB. Przestarzały obiekt nie musi być zaimplementowany. 3

4 Struktura i reprezentacja nazw obiektów w MIB Obiekty opisujące tabele Każdy element tablicy musi mieć nazwę indeksowanie kolumn tablicy Tablica ma zero lub więcej wierszy, z których każdy zawiera jeden lub więcej obiektów skalarnych. Zarówno w SNMPv1, jak i w SNMPv2 obowiązują następujące zasady: klauzula SYNTAX w przypadku tablicy przybiera postać SEQUENCE OF <wpis> (wpis oznacza składowy wiersz tablicy) klauzula SYNTAX wiersza ma postać: SEQUENCE { <typ1>... <typn>} (typ jest w postaci <deskryptor> <składnia>) Deskryptor jest nazwą obiektu kolumnowego a składnia wartością klauzuli SYNTAX tego obiektu. Wszystkie obiekty kolumnowe zawsze występują co oznacza, że w definicji sekwencji wiersza nie można stosować klauzul DEFAULT i OPTIONAL. Dopuszczalne są dwie kategorie tablic tablice zabraniające tworzenia i usuwani wierszy przez zarządcę najwyższy dopuszczalny poziom dostępu to read-write tablice dopuszczające tworzenie i usuwanie wierszy przez zarządcę Definicja każdego wiersza musi zawierać klauzulę INDEX albo ARGUMENTS ale nigdy obie naraz. INDEX definiuje wiersz bazowy (Base Conceptual Row). Składnik INDEX określa wartość(i), które będą jednoznacznie odróżniać poszczególne wiersze tablicy. ARGUMENTS nazwa obiektu związanego z tą klauzulą musi być oznaczeniem wiersza bazowego a obiekt, który zawiera taką klauzulę nazwany jest rozszerzeniem wiersza (Conceptual Eow Extension). Tę opcję stosuje się do zwiększenia liczby kolumn tablicy bez przepisywania na nowo jej definicji. Wszystkie obiekty skalarne wchodzące w skład tego obiektu stają się dodatkowymi obiektami kolumnowymi w wierszu bazowym. Tak powstała tabela działa w taki sam sposób jakby byłą zdefiniowana od początku z tymi dodatkowymi kolumnami. 4

5 Bazy informacyjne zarządzania (MIB) Koncepcja bazy. Drzewo MIT Z każdym węzłem MIB (oprócz pnia) skojarzona jest liczba całkowita która jest używana do tworzenia identyfikatorów obiektów MIB. Przykładowo węzeł internet ma identyfikator , w innym formacie iso.org.dod.1 Część drzewa MIB jest zdefiniowana przez standardy (MIB standardowe) Przykładem może być poddrzewo zaczynające się od węzła mib-2 zdefiniowane w RFC 1213, które jest drugim MIB-em internetowym MIB-2 (MIB-I- RFC 1156) MIB II Elementy grupy system W SNMPv2 dochodzi jeszcze sysorlastchange i sysortable Bazy interfejsów if* RO ifadminstatus INTEGER RW up, down, testing Bazy IP, ICMP, TCP i UDP ip* RW ipadentbcastaddr, ipadentreasmmaxsize, iprouteinfo, iproutingdiscards RO icmp* RO 5

6 tcp* RO tcpconnstate INTEGER RW closed, listen, synsent, synrecived, established, finwait, finwait2, closewait, lastack, closing, timewait, deletetcb udp* RO Protokół SNMPv1 Model zarządzania siecią SNMP SNMP jest zbiorem standardów zarządzani siecią obejmujących: protokół wymiany danych specyfikację struktury bazy danych specyfikację obiektów danych Założenia SNMP nie powinien generować nadmiernego ruchu powinien być prosty w implementacji aplikacja działająca na urządzeniu powinna go obciążać w możliwie małym stopniu Architektura protokołu SNMP Model używany do zarządzania siecią TCP/IP zawiera następujące elementy: stację zarządzania pełnomocnika (agenta) zarządzania bazę informacji zarządzania MIB protokół zarządzania siecią Architektura protokołu zarządzania siecią 6

7 Mechanizm pośrednika (Proxy Agent) Jednostki danych protokołu SNMP GetRequest, GetNextRequest, SetRequest, GetResponse, Trap 7

8 Zdalne monitorowanie sieci (RMON) Zadania RMON (z netu) RMON to przede wszystkim definicja bazy MIB Założeniem było utworzenie standardowych funkcji do monitorowania sieci oraz interfejsów komunikacji między konsolami zarządzania wykorzystującymi SNMP a zdalnymi nadzorcami. RMON zapewnia efektywny i wydajny sposób monitorowania zachowania się podsieci, przy jednoczesnym minimalnym obciążeniu zarównoagentów jak i zarządców. działanie w trybie off-line - czasowe wstrzymywanie odpytywania nadzorcy przez zarządcę sieci, w celu redukcji kosztów połączeń, to samo w przypadku awarii łącza należy nadal zbierać informacje o błędach, mimo braku odpytywań od zarządcy sieci, nadzór zapobiegawczy - przy wolnych zasobach, nadzorca może stale prowadzić testy diagnostyczne (nadzór aktywny), przy wystąpieniu awarii w Internecie nadzorca może pomóc zarządcy ustalić przyczyny awarii, wykrywanie problemów i informowanie o nich - wykrywanie błędów i zatorów na podstawie analizy obserwowanego ruchu wsieci (nadzór pasywny), udostępnianie informacji dodatkowych - nadzorca sam przeprowadza analizy danych w podległej mu podsieci, uwalniając od tego stację zarządzania, współpraca z wieloma zarządcami - nadzorca może zostać skonfigurowany, aby współpracował z wieloma zarządcami - zwiększona niezawodność, rozdzielenie funkcji, nie każdy zdalny nadzorca jest w stanie wykonać wszystkie powyższe zadania Baza RMON MIB Grupy RMON MIB statistics podstawowe statystyki wykorzystania zasobów, oraz statystykę błędów dla każdej podsieci monitorowanej przez agenta history zapisuje okresowo syatystyki na podstawie danych zawartych w grupie statistics alarm pozwala stacji zarządzającej na ustawienie odstępu czasu próbkowania oraz wartości graniczne (alarmowe) dla każdego licznika lub określonej wartości zapisanej przez agenta RMON host zawiera liczniki dla różnego rodzaju ruchu od i do urządzenia podłączonego do sieci hosttopn zawiera posortowane statystyki urządzeń które mają najwyższe wartości bazując na jakimś parametrze z tablicy host matrix przekazuje błędy i informacje ilościowe w formie maciezy, tak że mo żna odczytać informacje dla każdej pary adresów sieciowych filter pozwala na ustawianie filtrów dzięki filtrom można ograniczyć liczbę analizowanych pakietów packet capture definiuje jak dane przekazywane są stacji zarządzającej event tablica wszystkich zdarzeń wygenerowanych przez agenta RMON Alarmy Grapa alarm pojedyncza tabele alarmtable alarmindex identyfikuje jednoznacznie wiersz w tablicy alarminterval przedział czasu próbkowania alarmvariable identyfikator obiektu z bazy RMON MIB który ba myc poddany próbkowaniu alarmsampletype metoda obliczania wartości porównania z zadanym progiem, absolute, delta 8

9 alarmvalue wartość statystyki w ostanim okresie próbkowania alarmstartupalarm określa, że po ustawieniu danego wierrsza w stan valid alarm zostaje wygenerowany alarmrisignthreshold wartość progowa dla próbki przy narastaniu alarmfallingthreshold - wartość progowa dla próbki przy zmniejszaniu alarmrisingeventindex indeks obiektu evententry wykorzystywanego przy przekroczeniu wartości progowej przy narastaniu wartości alarmfallingeventindex indeks obiektu evententry wykorzystywanego przy przekroczeniu wartości progowej przy zmniejszaniu wartości Istnieje tutaj mechanizm histerezy!!!! Kanały i Filtry Dwa rodzaje filtrów Filtr danych umożliwia nadzorcy wybór obserwowanych pakietów na podstawie wzoru bitów z którym zgadza się (lub nie) określony fragment Filtr statusu umożliwia nadzorcy wybór obserwowanych pakietów na podstawie ich statusu (np. Poprawne lub z błędem CRC) Filtry można łączyć za pomocą operacji logicznych AND i OR Strumień pakietów poddawanych testowi nazywamy kanałem (Channel). Pamiętana jest liczba pakietów które przeszły test poprawnie. Pakiety przechodzące przez dany kanał mogą być przechwytywane, jeżeli zostanie zdefiniowany odpowiedni mechanizm na grupie capture. Każdy wiersz tablicy channeltable definiuje oddzielny kanał. Z kanałem tym związany jest jeden lub więcej wierszy tablicy filtertable które definiują powiązane filtry. Reguły logiczne filtrów: input zbiór pakietów które mają zostać przefiltrowane filterpktdata wzór bitowy który ma być testowany filterpktdatamask testowane bity filterpktdatanotmask mówi czy testowana jest zgodność czy niezgodność ze wzorem bitowym Kanał jest definiowany przez zbiór filtrów powiązanych ze sobą a pomocą funkcji logicznych. Sposób akceptacji lub odrzucenia pakietu zależy od obiektu channelaccepttype związanego z danym kanałem (acceptmatched, acceptfailed). Jeśli wartością tego obiektu jest acceptfailed pakiety będą akceptowane tylko wtedy kiedy niedopasowane będą dane pakietu albo status pakietu w każdym z powiązanych filtrów Protokół SNMPv2 Ograniczenia SNMPv1 nieudokumentowane reguły ograniczona liczba kodów błędów ograniczona liczba typów danych ograniczona liczba powiadomień ograniczona wydajność tylko 1 protokół transportowy brak hierarchii brak mechanizmów bezpieczeństwa 9

10 Podstawowe rozszerzenia w SNMPv2 Rozszerzenia dotyczą: struktury informacji zarządzania (SMI) wymiany danych pomiędzy stacjami zarządzającymi specyficznych operacji protokołu Rozszerzenia SMI dwie nowe jednostki PDU: GerBulkRequest i InformRequest rozszerzenie makrodefinicji typu obiektów nowe typy danych, znacznie lepiej udokumentowane (Integer32, Counter64, BITS) nowa konwencja tworzenia oraz usuwania tablic Hierarchia zarządzania Pierwotna koncepcja hierarchii: Baza MIB zarządca zarządca (Manager to Manager (M2M) MIB) Koncepcje standaryzacji: w oparciu o MIB w oparciu o skrypty w oparciu o zdalne operacje Rozszerzenia protokołu wymiany danych 3 typy dostępu do informacji: zarządca pełnomocnik; żądanie-odpowiedź pozyskiwanie lub modyfikacja informacji skojarzonych z elementem zarządzanym pełnomocnik zarządca; bez potwierdzenia do powiadamiania stacji zarządzających o zdarzeniach zarządca-zarządca; żądanie-odpowiedź - porozumiewanie się stacji zarządzających, do powiadamiania jednej ze stron o informacji skojarzonej z 2 elementem. SMIv2 W typach prostych doszło: Integer32 W typach aplikacyjnych doszło Counter64, usunięto NetworkAddress Pseudotypy : BITS 10

11 Nowe jednostki danych w SNMPv2 GetBulkRequest umożliwia odczyt dużych ilości informacji za jednym wywołaniem, wyamga 2 parametrów: non-repeators i max-repetitions. Pierwsze N elementów (nonrepeators) na liście powiązanych zmiennych (varbind) jest traktoranych jak operacja if w getnext; Następne elementy na liście powiązanych zmiennych są traktowane jako operacja if złożona z liczby okreslonej przez max-repetitions powtórzonych operacji getnext. InformRequest stosowany jest do komunikacji pomiędzy stacjami zarządzającymi (jest potwierdzoną pułapką Trap) Report - jest nową jednostką danych protokołu do informowania o wyjątkach/błędach o niezdefiniowanej semantyce Transport SNMPv2 PDU: UDP, CLNS (OSI) DDP, IPX Protokół SNMPv3 Architektura protokołu Moduły: Dyspozytor (dispatcher) umożliwia równoległą obsługę wielu wersji SNMP Podsystem przetwarzania wiadomości (Message Processing Subsystem) przygotowuje wiadomości do nadania i pobiera dane z wiadomości odebranych Podsystem bezpieczeństwa (Security System) uświadczy usługi związane zabezpieczaniem informacji (uwierzytelnianie, poufność) Podsystem sterowania dostępem (Access Control Subsystem) dostarcza usług uwierzytelniających do weryfikacji praw dostępu Generator komend (command generator) inicjuje operacje Get, GetNext, GetBulk, Set Odbiornik komend ( command responder) nadzoruje prawda dostępu i generuje wymagane odpowiedzi Nadajnik powiadomień (notification originator) monirotuje system, generuje wiadomości Trap Odbiornik powiadomień (notification reciver) oczekuje na powiadomienia, generuje odpowiedzi na wiadomości zawierającepdu typu Inform Przekaźnik proxy (Proxy forwarder) przekazuje wiadomości wymieniane przez jednostki funkcjonalne SNMP korzystające z jego pośrednictwa 11

12 Zarządca SNMPv3 ma do dyspozycji 3 typy aplikacji: aplikacje generatora poleceń nadzowują i sterują danymi pełnomocników zdalnych aplikacje nadawcy powiadomień inicjują asynchroniczne wysyłanie wiadomości aplikacje odbiorcy powiadomień przetwarzają przychodzące wiadomości asynchronicznie Pełnomocnik SNMPv3 ma do dyspozycji 3 typy aplikacji aplikacje wykonawcy poleceń dostęp do lokalnych informacji aplikacje nadawcy powiadomienia inicjują komunikaty asynchroniczne i wykorzystują PDU typu i Trap aplikacje przekaźnika proxy przekazują wiadomości pomiędzy stacjami Wszystkie aplikacje korzystają z engine SNMP: obiera od aplikacji PDU dołącza stosowne kody autoryzujące i szyfruje dane odbiera nadchodzące komunikaty autoryzuje nadawcę i deszyfruje dane Engine dodatkowo zawiera podsystem kontroli dostępu (access control subsystem) contextengineid = snmpengineid. Algorytmy kryptograficzne w SNMPv3 Protokoły uwierzytelniania: HMAC-MD5-96, HMAC-SHA-96 Szyfrowanie: (Cipher Block Chaining) tryb wiązania bloków standardu DES Model bezpieczeństwa USM (User-based Security Model) Zdefiniowano dla protokołu SNMPv3, obejmuje 5 aspektów: uwierzytelnianie zapewnia integralność i uwierzytelnianie źródał danych synchronizację czasu chroni przed opóźnieniami i powielaniem wiadomości SNMPv3 prywatność chroni przed ujawnianiem zasadniczej treści wiadomości wykrywanie stacji określa procedury dzięki którym jedna stacja protokołu SNMP uzyskuje informacje na temat innej stacji zarządzane kluczami określa procedury tworzenia, modyfikacji i użycia kluczy Model kontroli dostępu VCAM (Vivew-based Access Control Model) VCAM określa czy dopuszczalny jest dostęp zdalnego zarządcy do zarządzanego obiektu z lokalnej bazy MIB VCAM wykorzystuje bazy MIB definiujące zasady kontroli dostępu do danego agenta i umożliwia przeprowadzenie zdalnej konfiguracji Model VCAM tworzy 5 elementów: grupy służą do kategoryzacji zarządców pod względem praw dostępu poziom bezpieczeństwa konteksty określona podgrupa instancji obiektów w lokalnej bazie MIB, zapewniają użyteczna metodę gromadzenia obiektów w zestawy stacja SNMP może zawierać więcej niż 1 kontekst dany obiekt czy instancja obiektu mogą występować więcej niż w jednym kontekście przy wielu kontekstach wymagane zdefiniowane contextname 12

13 widoki MIB potrzebne przy ograniczeniu wybranej grupie dostępu do pewnego podzbioru obiektów w agencie zasady dostępu VCAM pozwala tak skonfigurować stację SNMP, by stosowała określony zestaw praw dostępu Bazy VCAM MIB zawierają informacje zgrupowane w 4 kategoriach: kontekst lokalny grupy prawa dostępu widoki MIB Zagrożenia dla sieci podłączonych do internetu Świadomość użytkowników Internetu lekceważący stosunek do zagrożeń ze strony internetu przesadnie ostrożny stosunek do zagrożeń ze strony internetu Dziedziny zagrożeń Wojna informatyczna personalne (karty kredytowe) korporacyjna globalna Klasy zagrożeń ze strony Internetu uzyskanie dostępu do informacji przysyłanej lub przechowywanej uzyskanie dostępu do zasobów (np. Większa moc obliczeniowa) niszczenie danych fałszerstwo danych (podszywanie się) Charakterystyka włamywaczy turyści (joyriders) zdobywcy (score keepers) wandale szpiedzy Kategorie ataków na sieć (tylko wymienione było) Wtargnięcie do sieci Blokada usług (ang. denial of service) Inżynieria socjalna (ang. social engineering) Bombardowanie elektromagnetyczne i mikrofalowe Techniki ataków na sieć Podszywanie się, maskarada (ang. Spoofing) WebClient podszywa się pod innego WebClienta konieczność uwierzytelniania się użytkowników Fałszywy WebSerwer konieczność uwierzytelniania się serwerów Podsłuchiwanie (ang. Sniffing) Drugi web-client umieszcza na drodze połączenia sniffer i podsłuchuje dane bądź je modyfikuje co prowadzi do utraty integralności danych 13

14 Blokada usług (ang. Holes) Denial of service wysyłanie wielu pakietów inicjujących nowe połączenia TCP, prosty 1 hacker, rozproszone ataki DoS wielu hackerów Poziom zagrożenia dla wybranych technik Typy ścian ogniowych Filtry pakietów Bramy proxy 14

15 Konfiguracje systemów firewall Konfiguracja screening router Konfiguracja dual home gateway 15

16 Konfiguracja screened host gateway Konfiguracja screened subnet 16

17 Wirtualne sieci prywatne Mechanizm ukrywania i translacji adresów IP sieci wewnętrznej Mechanizm wirtualnych sieci prywatnych Realizacja VPN w oparciu o firewalle Siec VPN bez dostępu do zasobów internetu Sieć VPN z jednym punktem dostepu do internetu Sieć VPN z wieloma punktami dostępu do internetu 17

18 Techniki kryptograficzne stosowane w VPN Szyfry symetryczne (z kluczem tajnym) blokowe, strumieniowe szyfry asymetryczne (z kluczem tajnym i publicznym) funkcje skrótu podpis cyfrowy PKI (Public Key Infrastructure) infrastruktura klucza publicznego Metody kryptografii symetrycznej DES (Digital Enctyprion Standard) IDEA (International Data Encryption Algorithm) RC2, RC4 3DEs (Truple DES) AES (Advanced Enctyption Standard) Metody kryptografii asymetrycznej RSA ElGamal (na podstawie Diffiego-Hellmana) DSS (Digital Signature Standard) Przykłady funkcji skrótu MD2, MD4, MD5 SHA-1 (Secure Hash Algorithm) RIPEMD-160 MAC (Message Authentication Code) Podpis cyfrowy Podpisywanie: nadawca dokumentu oblicza skrót dokumentu i szyfruje skrót kluczem prywatnym, wysyła zaszyfrowany skrót razem z dokumentem Potwierdzenie: odbiorca oblicza skrót dokumentu i za pomocą klucza publicznego odszyfrowuje zaszyfrowany klucz Jeśli oba skróty są takie same to dokument jest prawdziwy i porawny. Uwierzytelnianie: jednorazowe identyfikacje przed pobraniem danych (hasła, certyfikaty) identyfikacja podczas pobierania danych podpis cyfrowy, funkcje hashujące Infrastruktura klucza publicznego (PKI) PKI składa się zazwyczaj z 5 podstawowych elementów: CA (Certification Authorities) wydawca certyfikatów, przydzielających i odbierających certyfikaty ORA (Organizational Registration Authorities) ciałą organizacyjnego rejestracji, poręczającego za powiązania pomiędzy kluczamipublicznymi, tożsamością posiadaczy certyfikatów oraz innymi atrybutami Posiadaczy certyfikatów, którym wydawane są certyfikaty i którzy mogą podpisywać dokumenty cyfrowe Klientów, któ zy zatwierdzają cyfrowe podpisy oraz ich ścieżki certyfikowania prowadzące od znanych publicznych kluczy zaufanych CA Katalogów przechowujących i udostępniających certyfikaty oraz listy certyfikatów unieważnionych (CRL Certificate Revocation List) 18

19 Struktura PKI: Główny urząd certyfikacji Root CA Top Level Cas Pośrednie urzędy certyfikacji Użytkownicy Podstawa infrastruktury PKI zawiera się w standardzie X.509 Każdy certyfikat zawiera 3 główne pola: ciało certyfikatu algorytm podpisu podpis uwierzytelniający Uwierzytelnianie Hasła statyczne Hasła dynamiczne Biometria i systemy wielopoziomowe Utrzymanie poziomu bezpieczeństwa (tylko wymienione było) Zadania podstawowe Monitorowanie Kontrolowanie Aktualizacja Postępowanie z incydentami dotyczącymi bezpieczeństwa Incydenty klasyfikujemy: wypadki które zostały wyjaśnione wypadki które nie zostały wyjaśnione, ale się nie powtórzyły skanowanie sieci 0 próby połączeń na niezabezpieczonych portach, próby logowań z typowymi loginami atak obejmuje wielokrotne próby wejścia na konta użytkowników, logowania użytkowników z nieznanych hostów, przesyłanie dziwnych pakietów włamanie świadczyć mogą usunięte lub zmodyfikowane logi, lub pojawiające się dziwne wpisy, nowe katalogi o podobnych nazwach jak systemowe Procedury odpowiedzi na atak szybka próba odcięciaataku od systemu, unikać paniki która nie pozwala na trafną ocenę stanu zagrożenia. Dokumentowanie wypadku. Ogólna procedura odpowiedzi na atak obejmuje kolejno: ocenę sytuacji odłączenie zaatakowanego systemu od sieci lub jego wyłączenie, przy czym odłączenie sieci jest lepszym rozwiązaniem, bo uzyskujemy migawkę systemu tuż po włamaniu analizę incydentu i opracowanie bezpośredniej odpowiedzi poinformowanie o sytuacji odpowiednich jednostek, przede wszystkim własnej organizacji wykonanie zrzutu systemu dla późniejszej analizy odtworzenie systemu z kopi bezpieczeństwa opracowanie dokumentacji incydentu utrzymywanie sum kontrolnych bardziej newralgicznych punktów sieci 19

20 Pojęcie i rola polityki bezpieczeństwa w ochronie systemów informatycznych 1. Wartość i bezpieczeństwo informacji Wojna informatyczna. Osoby świadomie wykorzystujące informacje organizacji bądź osób prywatnych: hakerzy, pracownicy firm, sprzedawcy i dostawcy, prywatni detektywi, specjaliści ds. Bezpieczeństwa, politycy, konkurencja biznesowa, terroryści Ochrona informacji kluczowy element polityki bezpieczeństwa, zwykle można podzielić na 5 grup: niesklasyfikowana, publikowana strony www niesklasyfikowana, niepublikowana liczba zatrudnionych, adres oś. Wypoczynkowego sklasyfikowana przeznaczona dla określonych użytkowników poufna dostępna dla pojedynczych osób tajna specjalnie zabezpieczona 2. Polityka bezpieczeństwa Zbiór zasad bezpiecznego użytkowania systemu komputerowego oraz zabezpieczani informacji. Zmniejszenie ryzyka naruszenia bezpieczeństwa.określa co podlega ochronie i definiuje sposoby zabezpieczeń. Określa prawa dostępu, stworzenie mechanizmów monitorowania bezpieczeństwa sieci. Przedmiotem zabezpieczeń zdefiniowanych przez politykę bezpieczeństwa są: informacje dane elektroniczne i papierowe oprogramowanie, sprzęt komputerowy sieć komputerowa komunikacja, przesyłanie danych infrastruktura przedsiębiorstwa 3. Proces zabezpieczenia systemu informatycznego budowa podstaw bezpieczeństwa usuwanie błędów (hardening) wzbogacenia zabezpieczeń kształtowania obiegu dokumentów (workflow) 4. Znaczenie ciągłości bezpieczeństwa Szybkość reagowania na atak, wytrzymanie naporu. Trzy fazy: kontrolowania, monitorowania i korekty błędów. Narzędzia: Programy wykrywające i i likwidujące złośliwe kody Systemy monitorujące działające w czasie rzeczywistym i raportujące o zdarzeniach w systemie skanery bezpieczeństwa wykrywające anomalie w konfiguracji i słabe punkty systemy zintegrowane pozwalają oszacować miejsce i zakres strat w przypadku ataku 5. Skanery bezpieczeństwa Oprogramowanie służące do oceny bezpieczeństwa sieciowego systemu komputerowego. Symulowanie ataku hakera na system z wnętrza i z sieci publicznej. Wyszukuje powszechnie znane błędy i sporządza raport o furtkach. 20

21 Protokół IPSec Charakterystyka IPSec obok SSL najczęściej stosowanym rozwiązaniem do bezpiecznego przesyłania danych w sieciach IP Początkowo zaimplementowany wipv6 w późniejszym czasie został przystosowany do Ipv4 Pierwsza specyfikacja wydana RFC , aktualna w i 2451 jest zorientowany na bezpieczne połączenia wirtualne, zwane skojarzeniami bezpieczeństwa (SA security associations) kompletna specyfikacja jest zespołem usług i protokołów o zróżnicowanej granulacji można wybrać m innymi ochronę wybranego połączenia transportowego; całego ruchu Endt-toend, ruchu między parą routerów Security Associations jest jednokierunkowym połączeniem, które dostarcza usług bezpieczeństwa całemu ruchowi przez niego przenoszonemu usługi bezpieczeństwa są dostarczane SA przez ESP i AH, lecz nie przez oba protokoły jednocześnie Jeżeli zastosowano oba protokoły do zapewnienia bezpieczeństwa,trzeba stworzyć dwa (lub więcej) SA aby zabezpieczyć typowy dwukierunkowy ruch między hostami lub bramami, wymagane jest zastosowanie dwóch SA (po jednym na kierunek) SA jest identyfikowane na podstawie trójki: SPI (Security Parameter Index), docelowo adresu IP oraz identyfikatora protokołu bezpieczeństwa (AH lub ESP) adres docelowy moze być adresem typu broadcast, multicast lub unicast, jednakże mechanizmy zarządzani SA sa zdefiniowane tylko dla tych ostatnich. Poziomy ochrony: AH, ESP Poufność jest realizowana przez DEWS, 3DE, AES lub CAST Integralność jest zapewniana przez MD5, SHA-1, HMAC AH Authentication Header uwierzytelnienie danych bez ich szyfrowania ESP Encapsulation Security Payload uwierzytelnianie i szyfrowanie danych Działanie IPSec polega na zabezpieczeniu pakietów i dodaniu nagłówków AH lub ESP w warstwie sieciowej, po stronie nadawcy tak aby odbiorca mógł je odczytać i potwierdzić integralność i autentyczność Protokół AH zapewnia ochronę integralności przenoszonych danych IP Ochron ą objęty jest cały pakiet IP z wyłączeniem pól, które ulegają modyfikacji podczas przesyłania przez sieć. Protokół ESP dodatkowo podaje dane warstwy IP szyfrowaniu; ochronie integralności nie jest poddawany nagłówek IP. W obu wariantach funkcje skrótu działają w trybie HMAC. 21