Bezpieczeństwo Systemów Sieciowych

Wielkość: px
Rozpocząć pokaz od strony:

Download "Bezpieczeństwo Systemów Sieciowych"

Transkrypt

1 Bezpieczeństwo Systemów Sieciowych dr inż. Łukasz Sturgulewski, dr inż. Andrzej Frączyk, BSS - v2013 1

2 Co dalej? IDS, IPS Application Firewall (zagrożenia w warstwie aplikacji głównie web w tym także DNS oraz PKI) TOR, Sandbox, Honeypot Backup BSS - v2013 2

3 Zagrożenia BSS - v2013 3

4 IDS/IPS IDS (ang. Intrusion Detection System) IPS (ang. Intrusion Prevention System) BSS - v2013 4

5 zero-day BSS - v2013 5

6 zero-day Nowy wirus (robak, trojan) wcześniej wolna propagacja, dziś błyskawiczna. Nowa dziura w sofcie (usługach, bazach, itp. itd.): odkrycie, użycie (wcześniejszy rekonesans pozwala stwierdzić z czego korzysta nasz cel), załatanie. BSS - v2013 6

7 IDS Przed IDS admin siedzi i przegląda ruch (logi), dokonuje analizy i podejmuje decyzje. System IDS pasywne monitorowanie ruchu w sieci. Tryb offline i inline. BSS - v2013 7

8 IDS - offline Przekierowanie kopii ruchu do sensora, analiza ruchu. Porównanie ruchu z sygnaturami. Wysłanie alarmu do stacji MC. BSS - v2013 8

9 IDS - offline Zalety: Brak wpływu na wydajność sieci, urządzeń. Wady: Szkodliwy ruch dotrze do celu (można połączyć IDS z urządzeniami sieciowymi aby zapewnić reakcję). BSS - v2013 9

10 IDS - inline Właściwy ruch przez niego przechodzi, nie kopia. Nie blokuje szkodliwego ruchu. Wysyła alerty do stacji MC. BSS - v

11 IPS - inline Ruch przepływa przez sensor. Porównanie ruchu z sygnaturami. Wysłanie alarmu do stacji MC. Blokowanie ruchu. BSS - v

12 IPS - inline Zalety: Blokowanie szkodliwego ruchu. Wady: Negatywny wpływ na wydajność. Gubione pakiety jeśli źle skonfigurowany. False positive BSS - v

13 IDS, IPS Sensor IDS lub IPS może być jednym z urządzeń: Router z systemem IOS IPS Dedykowane urządzenie IDS lub IPS Moduł dodatkowy zainstalowany w: firewall, router, switch. BSS - v

14 IDS, IPS IDS, IPS używa sygnatur aby wykrywać wzorce nadużyć w ruchu sieciowym. Sygnatura jest zbiorem zasad, które IDS, IPS wykorzystuje do wykrycia zagrożenia. Sygnatury pozwalają na detekcję szerokiego zakresu ataków, nieprawidłowości. IDS, IPS wykrywają: atomic signature patterns (single-packet), composite signature patterns (multipacket). BSS - v

15 IDS vs IPS IDS: Brak wpływu na sieć: opóźnienia, zmienność opóźnienia, uszkodzenie sensora, przeciążenie sensora. IPS: Zatrzymanie szkodliwego ruchu (od pierwszego pakietu); bezpośredni wpływ, regulacja ruchu. IDS: Zatrzymanie szkodliwego ruchu wymaga współpracy z innymi urządzeniami. IPS: Wpływa na sieć: opóźnienia, zmienność opóźnienia, uszkodzenie sensora, przeciążenie sensora. BSS - v

16 IDS vs IPS IDS i IPS: wymagają starannego dostrojenia: Sygnatury Dozwolone poziomy Reakcja (podejmowane działania) IPS inline szybka inspekcja IDS offline dokładna, szczegółowa inspekcja BSS - v

17 Network Intrusion Prevention System (NIPS) BSS - v

18 Host Intrusion Prevention System (HIPS) HIPS skanuje logi, pliki systemowe, zasoby w tym rejestr i procesy. Zaleta: możliwość monitorowania systemu operacyjnego, procesów, plików. Łączy analizę behawioralną z sygnaturami oraz funkcjami antywirusa, firewall sieciowego i aplikacyjnego. BSS - v

19 Składniki HIPS HIPS składa się z dwóch komponentów: Management Center serwer; Do zarządzania dla admina. Security Agent hosty; Agent działa używając zbioru polityk zdefiniowanych indywidualnie dla niego. BSS - v

20 Działanie HIPS BSS - v

21 Przykład HIPS ESET NOD32 BSS - v

22 HIPS analiza Sygnatury Poziomy Zachowanie BSS - v

23 HIPS Zalety: Wynik ataku (powodzenie, porażka) znane jest natychmiast. Nie troszczy się o typowe ataki L3 zajmuje się tym OS. Dostęp do ruchu nieszyfrowanego. Wady: Wpływ na wydajność stacji roboczej. HIPS nie dostarcza kompletnego obrazu sieci. HIPS powinien być uruchomiony na wszystkich hostach. Wymagane wsparcie dla szerokiej gamy systemów operacyjnych. BSS - v

24 HIPS vs NIPS Raczej jako uzupełnienie a nie konkurencja. BSS - v

25 Network-Based Intrusion Detection Sensory są umieszczane w wybranych punktach sieci aby w nich monitorować / weryfikować ruch pod kątem bezpieczeństwa. BSS - v

26 IPS Ochrona IPS: IOS na urządzeniu IPS jest okrojony do niezbędnych usług/procesów (dodatkowo chronionych). Cel: wydajność i bezpieczeństwo (hardening). Elementy typowego IPS: Network Interface Card (NIC) Procesor Pamięć operacyjna im bardziej rozbudowane śledzenie tym większe zapotrzebowanie. BSS - v

27 Network-Based Intrusion Detection Network IPS zapewnia bezpieczeństwo sieci w czasie rzeczywistym: wzrost liczby zasobów (węzłów) nie ma krytycznego znaczenia (także kosztów), nowy sensor konieczny tylko w przypadku dużego wzrostu ruchu w chronionym segmencie sieci. Dodanie nowej sieci wymusza dodanie nowego sensora łatwa procedura. BSS - v

28 Network-Based Intrusion Detection Routery ze zintegrowanymi usługami: Bez dodatkowych modułów (tylko wersja systemu operacyjnego) problem pamięci i wydajności. Dodatkowe moduły np. IPS Advanced Integration Module (AIM) lub Network Module Enhanced (IPS NME). Dedykowane urządzenie IPS np. IPS 4200 seria (najwyższa wydajność, najwięcej rozpoznawanych zagrożeń, najszerszy zakres metod inwigilacji ruchu). Firewall: Bez dodatkowych modułów problem pamięci i wydajności. Dodatkowe moduły np. Inspection and Prevention Security Services Module (ASA AIP-SSM). Przełącznik sieciowy L3, modularny np. Catalyst 6500 z modułem Intrusion Detection System Services Module (IDSM-2). BSS - v

29 Cisco IDS Network Module BSS - v

30 Cisco IDSM-2 BSS - v

31 Cisco IPS 4240 BSS - v

32 Cisco BSS - v

33 IPS co wybrać? Wiele czynników może decydować o wyborze IPS: wolumen ruchu sieciowego, topologia sieci, budżet, wykwalifikowani pracownicy. BSS - v

34 HIPS vs Network IPS Zalety NetIPS: Koszty (efektywne wykorzystanie). Przezroczysty dla urządzeń i usług. Niezależność od OS. Możliwość śledzenia ruchu na poziomie najniższych warstw modelu OSI. Wady NetIPS: Wpływ na wydajność sieci (opóźnienia). Problem inwigilacji ruchu szyfrowanego. Brak wiedzy czy atak zakończył się sukcesem. BSS - v

35 HIPS vs Network IPS Zalety HIPS: Reguły dobrane do węzła (hosta, serwera, inne) Inwigilacja ruchu szyfrowanego. Inwigilacja na poziomie aplikacji. Wady HIPS: Zależność od OS. Niższe warstwy modelu OSI nie są widoczne. Host jest widoczny dla intruza. BSS - v

36 IPS Aby zatrzymać szkodliwy ruch sieć musi go zidentyfikować. Najczęściej ruch ten różni się od ruchu prawidłowego. Sygnatury i poziomy pozwalają identyfikować robaki, wirusy, exploity, anomalie w protokołach, szkodliwy ruch, ataki DoS, itp. itd... Sygnatury koncepcyjnie są zbliżone do plików typu virus.dat z definicjami wirusów - wykorzystywane przez antywirusy. BSS - v

37 IDS, IPS Gdy sensor znajdzie dopasowanie ruchu do sygnatury podejmuje akcje takie jak: logowanie zdarzeń, wysyłanie alarmów do aplikacji/stacji zarządzającej. Sygnatury posiadają trzy główne atrybuty: Type Trigger (alarm) Action BSS - v

38 Klasyfikacja sygnatur IDS, IPS BSS - v

39 Atomic proste sygnatury BSS - v

40 Compound (stateful) złożone sygnatury Sekwencja operacji rozrzucona na wiele węzłów w określonym oknie czasowym. Wysokie zapotrzebowanie na pamięć. event horizon okno czasowe. initial signature component pierwszy pakiet, podejrzany o bycie elementem złożonego ataku. BSS - v

41 IPS charakterystyka sygnatur Jeśli nowe zagrożenia zostaną zidentyfikowane, nowe sygnatury muszą być opracowane i załadowane do IPS. Plik sygnatur zawiera paczkę sygnatur stanowiącą update dla systemu IPS. BSS - v

42 IPS sygnatura (LAND atak) IOS-S556-CLI.pkg (linia 0160) BSS - v

43 Grupowanie sygnatur Aby skanowanie sygnatur było bardziej efektywne system IOS opiera się na micro-engines (SME), które kategoryzują sygnatury w grupy. Kiedy IDS, IPS jest włączony, załadowany jest SME. Do sprawnego działania SME wymaga skompilowanych sygnatur. SME wyciąga określone wartości z pakietów i przekazuje do REE (Regular Expression Engine). REE potrafi jednoczasowo wyszukiwać wiele wzorców. Liczba dostępnych SME zależy od platformy. Cisco IOS Release 12.4(6)T definiuje 5 micro-engines: Atomic weryfikacja pojedynczych pakietów np. ICMP, UDP. Service weryfikacja usług. String weryfikacja określonych wyrażeń regularnych w celu wykrycia intruzów. Multi-string - weryfikacja elastyczna wielu wyrażeń oraz sygnatur Trend Labs. Other różne, inne sygnatury. BSS - v

44 Grupowanie sygnatur BSS - v

45 Sygnatury - Update Mniej istotne publikowane tygodniowo. Istotne publikowane natychmiast. Przykład: plik IOS-S361-CLI.pkg zawiera wszystkie sygnatury z pliku IOS-S360-CLI.pkg plus nowe sygnatury minus sygnatury nieaktualne. Pobieranie ręczne i automatyczne. BSS - v

46 Bezpieczeństwo systemu sieciowego IDS, Firewall router, dedykowane urządzenia, Virtual Private Network (VPN), Network Admission Control (NAC), IPS. BSS - v

47 Alarmy sygnatur Alarm sygnatury = alarm, trigger Jakie czujki mamy w systemie? W domu mamy czujki ruchu, czujki zbicia szyby, itp. itd. IPS ( full wypas ) ma: Pattern-based detection Anomaly-based detection Policy-based detection Honey pot-based detection Dekodowanie protokołów bardziej szczegółowa inwigilacja, weryfikacja zgodności ze standardami. BSS - v

48 Pattern-based detection Pattern-based detection = signature-based detection, jest najprostszym mechanizmem, wyszukiwanie specyficznych, predefiniowanych wzorców. Wykrywanie w: single packet (atomic) sequence of packets (composite). Wzorce mogą być łączone z określonymi usługami bądź portami. Nie zawsze to się jednak sprawdza konie trojańskie, które później atakują inne wewnętrzne zasoby, backdoor. BSS - v

49 Anomaly-based Detection Anomaly-based detection = profile-based detection Prawidłowy profil użytkownika jest tworzony poprzez monitorowanie jego aktywności w sieci w określonym czasie. Profil także może uwzględniać specyfikacje takie jak RFC. Po określeniu profilu (normalna aktywność), sygnatura wyzwala akcję jeśli badany ruch nie zawiera się w profilu (zwykłe reguły, sieci neuronowe, rozpoznawanie obrazów). Problemy: A co gdy user zmieni zachowanie? A co z atakami w trakcie uczenia? Trudność w łączeniu anomalii z konkretnym atakiem wymagana dokładna, dodatkowa analiza. Atak może być zaklasyfikowany jako normalny ruch. Metody klasyfikacji: zwykłe reguły, sieci neuronowe, rozpoznawanie obrazów. BSS - v

50 Anomaly-Based Detection BSS - v

51 Policy-based Detection Zbliżone do pattern-based detection, admin definiuje prawidłowe zachowania na podstawie zgromadzonych danych historycznych o aktywności pracowników. BSS - v

52 Honey pot-based Detection Honey pot-based detection - używa atrapy, przynęty serwera w celu: odciągnięcia uwagi od ważnych zasobów, dokładnej analizy (śledzenie) działań intruza. Rzadziej używany w sieciach produkcyjnych. Używane głównie w celach badawczych np. producenci softu z zakresu bezpieczeństwa. BSS - v

53 IPS typy alarmów BSS - v

54 IDS / IPS Detection Identifies malicious attacks on network and host resources. Prevention Stops the detected attack from executing. Reaction Immunizes the system from future attacks from a malicious source. BSS - v

55 IPS poziom ważności alarmu Administrator może wybrać z kilku poziomów ważności dla zagrożeń, sygnatur: High (atak, DoS) Informational (niebezpośredni atak) Low (nietypowy ruch w sieci, nie prowadzący do bezpośredniego ataku) Medium (nietypowy ruch w sieci, prowadzący do bezpośredniego ataku) Dobranie poziomów do sieci aby ograniczać false positive. BSS - v

56 IPS odpowiedź systemu (typy alarmów) Kiedy wykryte zostanie zagrożenie możliwych jest kilka działań: Generowanie alarmu (alarm, alarm + pakiet). Logowanie aktywności (atakujący, atakowany, obaj). Odrzucanie, zapobieganie aktywności (atakujący, połączenie, pakiet). Resetowanie połączenia TCP (RST). Blokowanie przyszłej aktywności. Zezwolenie na aktywność. Działania zależą głównie od sygnatury. BSS - v

57 IPS odpowiedź systemu Network Management Console 4 Alarm 2 1 Attack Drop Packet 3 Reset Connection BSS - v

58 Generowanie alarmów Monitorowanie alarmów jest bardzo ważne, pozwala na wykrycie i zrozumienie tego co stało się w systemie. Intruz może zalać system fałszywymi alarmami aby zaciemnić, odciągnąć uwagę od właściwego ataku. Systemy IPS najczęściej udostępniają dwa tryby alarmów, ostrzeżeń: Atomic alerts generowany zawsze gdy sygnatura zostanie wyzwolona. Czasem użyteczne (natychmiast widać co i jak często występowało), czasem kłopotliwa w analizie (gdy dużo zdarzeń). Summary alert pojedynczy alarm zwierający wiele wystąpień tej samej sygnatury z tego samego źródła na ten sam port. Ogranicza liczbę alarmów, rozjaśnia obrazów, nie obciąża sieci i systemów. BSS - v

59 Logowanie aktywności Czasem brak pewności co do szkodliwości ruchu, w takiej sytuacji warto logować podejrzaną aktywność w celu dalszej (offline) analizy. Admin posiada/dodał sygnaturę wyszukującą ciąg znaków /etc/password z akcją logowanie. Gdy ciąg się pojawi cały ruch z tego adresu przez określony czas (albo liczbę bajtów) jest logowany. Co umożliwia późniejszą, dokładną analizą danych co dalej robił podejrzany. BSS - v

60 Odrzucanie, zapobieganie aktywności Kluczowym działaniem IPS jest odrzucanie (drop) pakietów zapobieganie aktywności. Pozwala zatrzymać atak zanim wyrządzi on szkody w systemie. Nie tylko jeden pakiet, ale cały strumień, albo cały ruch od intruza. Możliwa współpraca z innymi urządzeniami w celu blokowania ruchu. BSS - v

61 Resetowanie połączenia TCP Typowe działanie mające na celu zakończenie połączenia TCP poprzez wygenerowanie pakietu TCP z ustawioną flagą RST. Często stosuje się łącznie deny + RST. BSS - v

62 Blokowanie przyszłej aktywności Blokowanie przyszłej aktywności np. poprzez wpływ na ACL na urządzeniach sieciowych. ACL może zatrzymać ruch od intruza bez angażowania zasobów systemu IPS. Po określonym okresie czasu IPS usuwa ACL. Dodatkowo możliwość ochrony całej sieci zagrożenie wykryte w jednym segmencie = ACL dla całej sieci. BSS - v

63 Zezwolenie na aktywność Akcja wymagana gdy admin chce zdefiniować wyjątki dla wybranych sygnatur. BSS - v

64 IPS zarządzanie i monitorowanie Monitorowanie incydentów bezpieczeństwa pozwala adminowi: zidentyfikować atak, określić naruszenia polityki bezpieczeństwa. BSS - v

65 IPS zarządzanie i monitorowanie Management Method: Sensory mogą być zarządzane indywidualnie albo centralnie. Event correlation: Proces korelowania ataków i innych zdarzeń, które wydarzyły się jednocześnie w różnych punktach sieci. (scentralizowany system + NTP + analiza danych). Security Staff: Wykwalifikowana kadra jest konieczna aby prawidłowo analizować i oceniać skuteczność IPS także dostrajać i optymalizować. Incident Response Plan: Skutecznie zaatakowany system powinien być przywrócony do stanu sprzed ataku. BSS - v

66 IPS zarządzanie i monitorowanie Konfiguracja: CLI GUI Zarządzanie lokalne (przykłady dla Cisco): Cisco Router and Security Device Manager (SDM) Cisco IPS Device Manager (IDM) Zarządzanie scentralizowane (przykłady dla Cisco): Cisco IDS Event Viewer (IEV) Cisco Security Manager (CSM) Cisco Security Monitoring, Analysis, and Response System (MARS) BSS - v

67 IPS logowanie zdarzeń Po wykryciu ataku IOS IPS może wysłać wiadomość w formacie Syslog lub Secure Device Event Exchange (SDEE). %IPS-4-SIGNATURE:Sig:1107 Subsig:0 Sev:2 RFC1918 address [ :137 -> :137] BSS - v

68 IPS - podsumowanie Aktualizacja sygnatur: ręczna automatyczna BSS - v

69 Configuration Tasks on Cisco IOS Install Cisco IOS IPS on the router. Specify location of the Signature Definition File (SDF). Create an IPS rule. Attach a policy to a signature (Optional). Apply IPS rule at an interface. Configure Logging using Syslog or SDEE. Verify the configuration. BSS - v

70 Specify Location of SDF Router (config)# ip ips sdf location url (Optional) Specifies the location in which the router will load the SDF, attack-drop.sdf. If this command is not issued, the router will load the default, built-in signatures. Router(config)# ip ips sdf location disk2:attack-drop.sdf BSS - v

71 Create an IPS Rule Router (config)# ip ips name ips-name [list acl] Creates an IPS rule. Router(config)# ip ips name MYIPS Creates an IPS rule named MYIPS that will be applied to an interface. BSS - v

72 Attach a policy to a given signature (optional) Router (config)# ip ips signature signature-id [:sub-signature-id] {delete disable list acl-list} Attaches a policy to a given signature. Router(config)# ip ips signature 1000 disable Disables signature 1000 in the signature definition file. BSS - v

73 Apply an IPS Rule at an Interface Router (config-if)# ip ips ips-name {in out} Applies an IPS rule at an interface. Router(config-if)# ip ips MYIPS in BSS - v

74 Upgrade to Latest SDF Router (config)# ip ips name ips-name Creates an IPS rule. Router (config)# no ip ips sdf builtin Instructs the router not to load the built-in signatures. Router (config)# ip ips fail closed Instructs the router to drop all packets until the signature engine is built and ready to scan traffic. BSS - v

75 Upgrade to Latest SDF(Cont.) Router (config-if)# ip ips ips-name {in out} [list acl] Applies an IPS rule at an interface. This command automatically loads the signatures and builds the signature engines. BSS - v

76 Monitoring Cisco IOS IPS Signatures Network Management Console Alarm SDEE Protocol Alert Syslog Syslog Server BSS - v

77 SDEE Benefits (Security Device Event Exchange) Vendor Interoperability SDEE will become the standard format for all vendors to communicate events to a network management application. This lowers the cost of supporting proprietary vendor formats and potentially multiple network management platforms. Secured transport The use of HTTP over SSL or HTTPS ensures that data is secured as it traverses the network BSS - v

78 Set Notification Type Router (config)# ip ips notify [log sdee] Sets notification type Router(config)# ip ips notify sdee Router(config)# ip ips notify log Router (config)# ip sdee events num_of_events Sets the maximum number of SDEE events that can be stored in the event buffer. BSS - v

79 show Commands Router# show ip ips configuration Verifies that Cisco IOS IPS is properly configured. Router# show ip ips signatures [detailed] Verifies signature configuration, such as signatures that have been disabled. Router# show ip ips interface Display the interface configuration. BSS - v

80 clear Commands Router# clear ip ips configuration Remove all intrusion prevention configuration entries, and release dynamic resources. Router# clear ip ips statistics Reset statistics on packets analyzed and alarms sent Router# clear ip sdee {events subscriptions} Clear SDEE events or subscriptions. BSS - v

81 debug Commands Router# debug ip ips timers Router# debug ip ips object-creation Router# debug ip ips object-deletion Router# debug ip ips function trace Router# debug ip ips detailed Router# debug ip ips ftp-cmd Router# debug ip ips ftp-token Router# debug ip ips icmp Router# debug ip ips ip Router# debug ip ips rpc Router# debug ip ips smtp Router# debug ip ips tcp Router# debug ip ips tftp Router# debug ip ips udp Instead of no, undebug may be used BSS - v

82 Configure Intrusion Prevention on the PIX Security Appliance BSS - v

83 Configure IDS pixfirewall(config)# ip audit name audit_name info [action [alarm] [drop] [reset]] Creates a policy for informational signatures. pixfirewall(config)# ip audit name audit_name attack [action [alarm] [drop] [reset]] Creates a policy for attack signatures. pixfirewall(config)# ip audit interface if_name audit_name Applies a policy to an interface. pixfirewall(config)# ip audit name ATTACKPOLICY attack action alarm reset pixfirewall(config)# ip audit interface outside ATTACKPOLICY When the PIX Security Appliance detects an attack signature on its outside interface, it reports an event to all configured Syslog servers, drops the offending packet, and closes the connection if it is part of an active connection. BSS - v

84 Specify Default Actions for Signatures pixfirewall(config)# ip audit attack [action [alarm] [drop] [reset]] Specifies the default actions for attack signatures. pixfirewall(config)# ip audit info [action [alarm] [drop] [reset]] Specifies the default actions for informational signatures. pixfirewall(config)# ip audit info action alarm drop When the PIX Security Appliance detects an info signature, it reports an event to all configured Syslog servers and drops the offending packet. BSS - v

85 Disable Intrusion Detection Signatures pixfirewall(config)# ip audit signature signature_number disable Excludes a signature from auditing. pixfirewall(config)# ip audit signature 6102 disable Disables signature BSS - v

86 DoS, DDoS Ping of death Teardrop Land UDP-flood Smurf (Fraggle) SYN Flood Attack (Naptha (FIN)) HTTP-flood (Slowloris) HTTP GET Flood BSS - v

87 SYN Flood Attack Atakujący podszywa się pod nieistniejący adres IP i zalewa cel pakietami SYN. Cel odpowiada na pakiety SYN poprzez wysłanie pakietów SYN-ACK na nieistniejący adres IP. Cel przepełnia swój bufor zbyt dużą liczbą embryonic connections i przestaje odpowiadać na prawidłowy ruch. BSS - v

88 SYN Flood Guard Configuration pixfirewall (config)# static [(prenat_interface, postnat_interface)] mapped_address interface real_address [dns][netmask mask][norandomseq][connection_limit [em_limit]] For inbound connections: Use the em_limit to limit the number of embryonic connections. Set the limit to a number lower than the server can handle. pixfirewall (config)# nat [(if-name)]id address [netmask [outside] [dns] [norandomseq] [timeout hh:mm:ss] [conn_limit [em_limit]]] For outbound connections: Use the em_limit to limit the number of embryonic connections. Set the limit to a number lower than the server can handle. pixfirewall(config)# nat (inside) pixfirewall(config)# static (inside,outside) BSS - v

89 Slow-Header Attack Ciąg dalszy nastąpił po 20s. -know-how-to-protect-against-such-attacks-using-netscaler/ BSS - v

90 Slow-Post Attack -know-how-to-protect-against-such-attacks-using-netscaler/ BSS - v

91 HTTP GET Flood Nie ma na celu wysycenia pasma. Ma na celu wysycenie zasobów serwera (CPU, memory). Zapytanie musi być tak przygotowane aby serwer musiał wykonać maksymalnie wiele operacji (zapytania do bazy danych, sesje SSL). Od czasu gdy HTTP GET Flood używa standardowych URL requests, stał się trudny do rozpoznania przez systemy IDS/IPS, szczególnie w wersji rozproszonej (DDoS). BSS - v

92 OWASP: HTTP Post Tool Open Web Application Security Project OWASP's guides are a great start towards building and maintaining secure applications. quickly, accurately, efficiently. https://www.owasp.org/index.php/owasp_http_post_tool BSS - v

93 DoS, DDoS - przeciwdziałanie 1. Zoptymalizuj swoją stronę. Im mniej zapytań do bazy danych i im mniej zasobów pobieranych z twoich serwerów podczas wizyty na twojej stronie, tym lepiej. 2. Statyczne treści (obrazki, skrypty js, arkusze stylów, pliki PDF) wystaw przy pomocy osobnego serwera, tzw. CDN (Content Delivery Network). 3. Rozważ CDN dla całego serwisu. Istnieją tanie rozwiązania takie jak darmowy Cloudflare. 4. Zastanów się nad loadbalancingiem. Krótko mówiąc, skaluj moc obliczeniową swoich serwerów. Żądanie zanim trafi do webserwera jest przechwytywane przez loadbalancer, który następnie decyduje do którego webserwera z farmy (klastra) je przekazać. Wirtualizacja i optymalizacja wykorzystania zasobów. 5. Skaluj łącze. Dynamiczny routing i kilka niezależnych łącz może pomóc w trakcie ataków DDoS. 6. Rozdziel usługi. DDoS-y z reguły dotykają stron WWW. 7. Ustal alternatywny kanał komunikacji, np. Facebook. BSS - v

94 CloudFlare is the next-generation CDN BSS - v

95 CloudFlare advanced DDoS protection Layer 3/4 attacks DNS amplification attacks SMURF attacks ACK attacks Layer 7 attacks BSS - v

96 IDS: Intrusion Deception System BSS - v

97 Detekcja Zastawienie wielu pułapek w celu złapania intruza, już w czasie rekonesansu (przed atakiem szkodliwym). Wstawienie w przepływający ruch (aplikacje webowe zawierające URLe, formularze, pliki) detection points losowe i zmienne dane. Kiedy intruz zaczyna manipulować detection points zostaje złapany. detection points nie są związane z serwerem aplikacji, użytkownik także ich nie widzi. detection points zostaną zauważone przez intruza szukającego podatności na np. exploity. Aplikacja nie jest już pasywna! BSS - v

98 Śledzenie Po etapie detekcji następuje: Śledzenie: IP Wstrzyknięcie persistent token do przeglądarki intruza Fingerprinting maszyny intruza (jeśli używa softu albo skryptów) Rejestracja (PVR) BSS - v

99 Profil W czasie śledzenia budowany jest profil intruza: BSS - v

100 Reakcja Reakcje automatyczne, w czasie rzeczywistym: BSS - v

101 Aktualizacja systemu ochrony Dawne czasy: raz dziennie Dziś: natychmiast gdy zagrożenie wykryte Jak wykrywać zagrożenia? Ktoś musi dostarczyć próbkę A może lepiej pobierać dane z systemów klientów? BSS - v

102 Ochrona w czasie rzeczywistym inteligencja w chmurze BSS - v

103 Ochrona w czasie rzeczywistym inteligencja w chmurze BSS - v

104 Ochrona w czasie rzeczywistym inteligencja w chmurze BSS - v

105 Ochrona w czasie rzeczywistym inteligencja w chmurze BSS - v

106 Ochrona w czasie rzeczywistym inteligencja w chmurze BSS - v

107 ASA CX ASA Context Aware BSS - v

108 ASA CX BSS - v

109 ASA CX BSS - v

110 ASA CX BSS - v

111 ASA CX BSS - v

112 ASA CX BSS - v

113 ASA CX BSS - v

114 ASA CX BSS - v

115 ASA CX BSS - v

116 ASA CX BSS - v

117 ASA CX BSS - v

118 ASA CX Zastosowanie: Styk z Internetem Kontrola aplikacji NGFW BSS - v

119 BSS - v

120 WAF Web Application Firewall: Cisco Web Security Appliance BSS - v

121 Web Security Appliance - Cache Web Proxy BSS - v

122 Web Security Appliance - Cache Web Proxy BSS - v

123 Web Security Appliance - Cache Web Proxy BSS - v

124 Aplikacje webowe W 2020 roku ponad 80% to aplikacje webowe! Główne, obecne zagrożenia: Injection Attacks, PHP Remote File Includes, Cross Site Scripting (XSS), Cross Site Request Forgeries (CSRF), Insecure Communications BSS - v

125 SQL Injection Imperva: SQLinjection has been responsible for 83% of successful hacking-related data breaches ( ) Wstrzyknięcie Injection szkodliwych, spreparowanych przez intruza, danych do interpretera. Wyszukanie stron w aplikacji webowej, które akceptują wprowadzane przez użytkowników informacje w celu dostępu do bazy: login form, signup form, forgot password form, dynamiczne strony używające zmiennych w URL takich jak ID produktu. Włamania typu SQL injection wynikają z dwóch głównych przyczyn: braku lub niewystarczającej walidacji danych wejściowych, braku kodowania znaków specjalnych przed wstawieniem do zapytania SQL. BSS - v

126 Przykład SQL Injection Załóżmy że na stronie znajduje się następujący formularz: <form method="post" action="login.php"> Login: <input type="text" name="login"><br> Hasło: <input type="password" name="pass"><br> <input type="submit" value="zaloguj się"><br> </form> Po stronie serwera, w kodzie PHP tworzone i wykonywane jest następujące zapytanie: SELECT USER_ID FROM USERS WHERE (LOGIN='$login') AND (PASS='$pass') BSS - v

127 Przykład SQL Injection Intruz wpisuje w pole hasło: ' OR '1'='1 Zapytanie, które zostanie wykonane będzie następujące: SELECT USER_ID FROM USERS WHERE (LOGIN='admin') AND (PASS='' OR '1'='1') BSS - v

128 Przykład SQL Injection Intruz wpisuje: admin') -- Zapytanie, które zostanie wykonane będzie następujące: SELECT USER_ID FROM USERS WHERE (LOGIN='admin') --') AND (PASS='') BSS - v

129 Przykład SQL Injection Intruz wpisuje: ') DELETE FROM USERS -- Zapytanie, które zostanie wykonane będzie następujące: SELECT USER_ID FROM USERS WHERE (LOGIN='') DELETE FROM USERS -- ') AND (PASS='') BSS - v

130 Przykład SQL Injection Intruz wpisuje: '); exec master..xp_cmdshell 'iisreset /stop' -- Zapytanie, które zostanie wykonane będzie następujące: SELECT USER_ID FROM USERS WHERE (LOGIN=''); exec master..xp_cmdshell 'iisreset /stop' -- ') AND (PASS='') BSS - v

131 Przykład SQL Injection Wyświetlenie listy zamówionych produktów za pomocą zapytania: SELECT PRODUKT_ID, NAZWA, OPIS, KWOTA FROM PRODUKTY, ZAMOWIENIA WHERE (PRODUKTY.PRODUKT_ID=ZAMOWIENIA.PRODUKT.ID) AND (KLIENT_ID=$id) ORDER BY NAZWA Wstrzyknięcie: 0 OR 1=1 BSS - v

132 Przykład SQL Injection Dostęp do innych tabel, korzystając z instrukcji UNION: -1) UNION SELECT KLIENT_ID, LOGIN, HASLO, 0 FROM KLIENCI -- Zapytanie pozwoli zwrócić pełną listę listę loginów i haseł klientów sklepu: AND (KLIENT_ID=-1) UNION SELECT KLIENT_ID, LOGIN, HASLO, 0 FROM KLIENCI --) BSS - v

133 SQL Injection SQL Injection można szukać innych tabel w bazie danych, oraz próbować określić typy ich kolumn. blind SQL injection kiedy wynik wstrzykniętego kodu nie jest prezentowany, wiemy tylko czy zapytanie zakończyło się sukcesem, czy niepowodzeniem. Wielofazowy atak SQL Injection: To zostało zakodowane (np. = ) przy zapisie do bazy, jest jednak odkodowywane przy odczycie, czyli można tego użyć do generowania szkodliwego zapytania BSS - v

134 Przykład: SQL Injection BSS - v

135 PHP Remote File Includes PHP to najpopularniejszy web application framework. Funkcja allow_url_fopen jest ulubioną przez intruzów funkcją, gdyż: pozwala uruchamiać ich skrypty na stronach ofiar, jest domyślnie włączona. Dostęp do choćby jednego pliku i dodanie w nim: include( ) = sukces Rozwiązania: Wyłączenie a jeśli nie to: kontrola użycia, aktualizacja, śledzenie informacji o nowych podatnościach. BSS - v

136 Cross Site Scripting (XSS) Cross Site Request Forgeries (CSRF) Non-persistent Typowo niewinnie wyglądający URL prowadzący do zaufanej strony ale zawierający XSS. Jeśli zaufana strona jest podatna, po kliknięciu na link wstrzyknięty skrypt zostanie wykonany. Persistent Typowa aplikacja webowa ze stroną, w której użytkownik może umieszczać bezpośrednio tekst: Forums Comments Wikis Reviews Umieszczenie wpisu zwierającego JavaScript z innego serwera: <script src= ></script>. Załadowanie strony zawierającej powyższy wpis. Jeśli skrypt się wykonał strona jest podatna. BSS - v

137 Cross Site Scripting (XSS) Cross Site Request Forgeries (CSRF) CSRF: Jeśli występuje podatność XSS to można dzięki obcym skryptom wykradać dane z maszyny ofiary np. ciasteczka, a jak intruz ma ciasteczko ma też sesję, a gdy ma sesję może w imieniu zaufanej osoby rozsyłać linki zawierające XSS (np. instalujące złośliwe oprogramowanie). Rozwiązanie: Nigdy nie ufaj danym wprowadzanym przez user a! Kasuj kod JavaScript wstawiany przez user a. Limituj i kontroluj tagi dostępne dla user a. BSS - v

138 Insecure Communications Brak SSL/TLS, SSH, innych BSS - v

139 Watering Hole wodopój BSS - v

140 Watering Hole wodopój 29/12/2012 Kilka dni temu ktoś włamał się na stronę amerykańskiej organizacji Council on Foreign Relations i umieścił na stronie złośliwy kod JavaScript, który przy pomocy Adobe Flasha exploituje w pełni zapatchowane IE8 (technika heap spray) BSS - v

141 Drive-by download Drive-by download niezamierzone, nieświadome pobranie softu z Internetu: Pobranie autoryzowane przez użytkownika bez świadomości / zrozumienia konsekwencji (pobranie i instalacja nieznanego kodu ActiveX lub Java oraz trojany). Pobranie bez wiedzy użytkownika: wirusy, spyware, malware, crimeware. BSS - v

142 Botnet Botnet zbiór węzłów sieci (hostów) zainfekowanych złośliwym oprogramowaniem (podobnym do robaka, którego celem jest rozprzestrzenianie, niewidocznym dla użytkownika) dającym możliwość, jego twórcom, zdalnej kontroli nad wszystkimi zainfekowanymi węzłami. Zombie pojedynczy węzeł sieci botnet. Botnet = armia zombie. Typowe zastosowania: rozsyłanie spamu, ataki DDoS (Distributed Denial of Service), kradzież poufnych informacji, sabotaż, oszustwa, inwigilacja. BSS - v

143 Botnet NASK przejmuje domeny polskiego botnetu Virut Virut to botnet dzieło polskich programistów. Jego wielkość szacuje się na ok zainfekowanych maszyn, a botnet jest wykorzystywany do spamu, kradzieży danych i ataków DDoS. Swoje centrum dowodzenia miał w Polsce. Do dzisiaj NASK właśnie poinformował, że przejął 23 polskie domeny, które wykorzystywane były w atakch Virutem. Jest to pierwszy przypadek, w którym NASK decyduje się na tak drastyczne decyzje, jak siłowe odebranie domeny jej właścicielowi ale nie ulega wątpliwości, że w tym przypadku jest to słuszna i długo wyczekiwana decyzja. NASK do tej pory, w przeciwieństwie do innych registrarów nie nakładał żadnych sankcji na złośliwe domeny. Domeny Viruta wskazują obecnie na adres należący do NASK-u. Z naszych informacji wynika, że już od kilku lat Virut był wnikliwie analizowany przez zespół CERT Polska. Dzięki temu ustalono, że C&C Viruta było utrzymywane m.in. na domenach zief.pl oraz ircgalaxy.pl, które dziś zostały wyłączone przez NASK. Techniką sinkholingu pozyskano także informację o 890 tysiącach unikalnych adresów IP zainfekowanych Virutem użytkowników. Na botnecie tej wielkości można uzyskać przychody rzędu złotych w skali roku. 18/1/2013 BSS - v

144 Botnet Kontrowersje wokół akcji Microsoftu wymierzonej w botnet Citadel Kilka dni temu, szerokim echem odbiła się w mediach międzynarodowa operacja Microsoftu, której wynikiem było ubicie botnetu Citadel. Botnet wykradał pieniądze z kont bankowych przy pomocy złośliwego oprogramowania i sztuczek socjotechnicznych. Problem w tym, że oprócz przestępców stojących za botnetem oberwali także researcherzy, a sam Microsoft demontując botnet najprawdopodobniej złamał prawo w wielu krajach Microsoft rozłożył 1400 botnetów i przejął 4000 domen (sinkhollując je na swój adres IP). Akcja odbyła się równocześnie w 80 krajach. Niestety Microsoft przejmując domeny, przejął także kilkaset domen, które już wcześniej były przejęte i sinkhollowane przez innych researcherów, m.in. przez ekipę abuse.ch. Po rozmowach z innymi researcherami, okazuje się, że aż 1000 domen przejętych przez Microsoft w rzeczywistości nie należało do właścicieli Citadela, a do różnch bezpieczników Po akcji Microsoftu niestety nie będą one w stanie zbierać logów, a zatem Shadowserver przestanie informować administratorów o tym, że w ich podsieciach są zainfekowane hosty Co gorsza, okazuje się, że Microsoft przez swój sinkhole serwuje poprawny plik konfiguracyjny Citadela zainfekowanym hostom, który powoduje: zdjęcie blokady URL serwerów firm antywirusowych (to umożliwi ich aktualizację) zmianę IP serwerów C&C na microsoftowe Powyższe działanie pozornie korzystne dla użytkowników końcowych jest jednocześnie moralnie wątpliwe od lat w świecie bezpieczeństwa trwa debata, czy mając możliwość zdalnego wykonywania poleceń na zainfekowanych komputerach powinno się je siłowo i bez zgody/świadomości właściciela leczyć? 8/6/2013 BSS - v

145 Honeypot Garnce miodu (ang. honeypot) Systemy tworzone jedynie w celu zbierania informacji o atakach na nie przeprowadzanych brak innych funkcji. Początek lat 90-tych trudne, uporczywe ataki wymagały podjęcia dodatkowych czynności aby określić intruza. Pierwszy publicznie dostępny honeypot: Deception Toolkit, przeznaczony dla systemów Unix-like zestaw skryptów napisanych w języku perl, symulujących znane usługi sieciowe wraz z wybranymi lukami dla zachęty dla atakujących. Powstało wiele projektów, od prostych aplikacji po rozbudowane systemy czy nawet całe sieci komputerowe. Współczesne honeypoty: Specter, Kfsensorczy PatriotBox (o zamkniętym kodzie źródłowym) oraz Honeyd, Nepenthes, Dionaea czy LaBrea (o otwartym kodzie źródłowym). BSS - v

146 Honeypot W budowie honeypotów coraz częściej wykorzystuje się też oprogramowanie do wirtualizacji w połączeniu z oprogramowaniem monitorującym system i filtrującym ruch sieciowy. Istnieją też implementacje honeypotów dedykowane sieciom bezprzewodowym, takie jak fake ap czy honeyspot. Zwykle honeypoty klasyfikuje się ze względu na stopień interakcji, czyli na to, na ile pozwalają one atakującemu: wysoki stopień interakcji: uruchomienie rzeczywistego systemu lub systemu opartego o oprogramowanie do wirtualizacji, wzbogaconego o podsystem monitorowania akcji użytkowników w sposób dla nich możliwie niezauważalny czy też gotowe rozwiązania komercyjne jak Symantec Decoy Server, które de facto pozwalają na to samo przy znacznie mniejszym nakładzie pracy. Wady to wysoki koszt wdrożenia oraz groźba, iż stanie się, po przejęciu kontroli, przyczółkiem do ataku na istotne zasoby. niski stopień interakcji: prosta aplikacja lub skrypt, nasłuchujący na wyznaczonym porcie i symulujący działanie jakiejś usługi. Cel: zapisywanie możliwie najwięcej danych na temat połączeń, tj. czas, adres źródłowy, przesyłane dane itp. BSS - v

147 Sandbox Sandbox jest jednym z mechanizmów zwiększających bezpieczeństwo poprzez separowanie uruchamianych programów. Często wykorzystywane do uruchamiania niezaufanego / podejrzanego kodu / programów pochodzących od stron trzecich, dostawców, niezaufanych użytkowników czy też stron internetowych. Typowo sandbox dostarcza ściśle kontrolowany zestaw zasobów (pamięć operacyjna i dyskowa, czas procesora) potrzebny do uruchomienia podejrzanego programu. Tak przygotowywane środowisko jest ściśle kontrolowane, pozwala poznać prawdziwą naturę programu. Wszelkie niebezpieczne działania jak dostęp do sieci, urządzeń IO, systemu operacyjnego są zabronione albo bardzo ograniczone / kontrolowane. Można powiedzieć, że sandbox to specyficzny przypadek wirtualizacji. BSS - v

148 DNS cache poisoning Typy serwerów: Authoritative (autorytatywne) Recursive (nieautorytatywne) Podstawa działania serwerów DNS: Jeśli serwer DNS Recursive nie zna adresu domeny pyta o niego serwer Authoritative dla tej domeny. Serwer Authoritative odpowiada a serwer Recursive zapamiętuje tę odpowiedź przez określony czas i udostępnia ją zainteresowanym. BSS - v

149 DNS cache poisoning Opis ataku: Atakujący zasypuje atakowany serwer Recursive zapytaniami o domeny podobne do 1q2w3e.mojbank.com. Serwer nie zna oczywiście odpowiedzi, pyta więc serwer Authoritative o dane domeny 1q2w3e.mojbank.com Z odpowiedzią spieszy atakujący zasypując atakowany serwer Recursive fałszywymi odpowiedziami (duża liczba zwiększa szanse odgadnięcia numeru portu i ID w zapytaniu DNS są to podstawowe mechanizmy bezpieczeństwa). Fałszywe odpowiedzi zwierają nie tylko adres dla domeny 1q2w3e.mojbank.com ale także adres fałszywego serwera DNS dla domeny, pod którą atakujący chce się podszyć. Teraz gdy przyjdzie zwykłe zapytanie o domenę mojbank.com zaatakowany serwer Recursive zwróci się o podanie jej adresu do intruza. BSS - v

150 DNS cache poisoning Bezpiecznie: gdy serwer jest Authoritative dla danej domeny. Zagrożenie: gdy serwer jest Recursive dla danej domeny ale porty wybierane są losowo. Wysokie zagrożenie: gdy serwer jest Recursive dla danej domeny i porty nie są wybierane losowo. BSS - v

151 Testy penetracyjne OWASP (Open Web Application Security Project) The Development Guide will show your project how to architect and build a secure application, the Code Review Guide will tell you how to verify the security of your application's source code, and this Testing Guide will show you how to verify the security of your running application 16th December, OWASP Testing Guide, v3.0 15th February, DRAFT New Testing Guide v4 Na niezamówione pentesty jest paragraf Tego typu czynności to łamanie prawa wykonując testy bezpieczeństwa bez zgody właściciela infrastruktury, wykonujesz je na własną odpowiedzialność i ryzykujesz zatrzymanie przez policję nawet jeśli swoimi odkryciami za darmo i bezinteresownie podzielisz się z właścicielem. Prawda jest taka, że po ujawnieniu twój los jest całkowicie w rękach właściciela sieci, do której się włamałeś a łatwo jest sobie wyobrazić, jaka jest pierwsza reakcja osoby, która dowiaduje się, że ktoś mógł np. czytać jej pocztę ;) BSS - v

152 TOR TOR jest siecią składającą się z wirtualnych tuneli implementowanych w darmowym oprogramowaniu, które pozwala na zwiększenie prywatności i bezpieczeństwa użytkowników. W rzeczywistości każdy komputer, na którym zainstalowano oprogramowanie TOR, zachowuje się jak serwer Proxy, przy czym wszystkie serwery należące do sieci traktowane są jako grupa podlegająca wspólnym, ściśle określonym zasadom The Onion Routing (ang. trasowanie cebulowe). Podczas połączeń zestawiane są okresowo inne za każdym razem ścieżki, którymi wysyłane są pakiety za pośrednictwem wielu użytkowników sieci TOR. Ponadto wszystkie transmisje pomiędzy poszczególnymi peerami są osobno szyfrowane za wyjątkiem połączenia pomiędzy ostatnim węzłem danej ścieżki, a serwerem docelowym. BSS - v

153 TOR połączenie szyfrowane połączenie nieszyfrowane BSS - v

154 TOR Trasowanie realizowane jest w ten sposób, że każdy z węzłów biorących udział w przesyłaniu danych w obrębie jednej ścieżki posiada informacje jedynie o węźle, który przysłał jemu dane oraz o węźle, do którego on sam ma je wysłać. Testy pokazały, że kontrolowanie tylko 4% wszystkich węzłów sieci TOR pozwala na przechwycenie dowolnego pakietu z prawdopodobieństwem równym 50%. Sytuacja taka jest możliwa ponieważ w przypadku dużego ruchu sieciowego jest on kierowany do węzłów dysponujących łączem o dużej przepustowości. Ponadto możliwe także do przeprowadzenia są tzw. ataki czasowe. Zamiast starać się łamać szyfrowane połączenia lub podstawiać fałszywe węzły wystarczy nasłuchiwać ruch w obu kierunkach wszystkich węzłów brzegowych sieci obserwując jedynie ilość wysyłanych bądź odbieranych danych oraz czas, w którym takie operacje mają miejsce. Dzięki temu można ustalić zależność pomiędzy nadawcą pakietów, a ostatnim węzłem, który przekazuje je do serwera docelowego z pewnym opóźnieniem, a tym samym zidentyfikować klienta i jego działania w sieci. BSS - v

155 TOR Policja rekwiruje serwery, bo są węzłami TOR-a 20 letni Austriak, William Weber, musiał się tłumaczyć na komisariacie, że to nie on osobiście, a ktoś korzystający z zainstalowanego na jego serwerze TOR-a wszedł na polski serwer hostujący dziecięcą pornografię. I to tego kogoś, a nie Wiliama, policja powinna oskarżać o dystrybucję materiałów pedofilskich (za co grozi 10 lat więzienia). BSS - v

156 TOR NSA Nigdy nie będziemy w stanie deanonimizować wszystkich użytkowników TOR-a przez cały czas BSS - v

157 TOR - Przykład BSS - v

158 TOR - Przykład BSS - v

Robaki sieciowe. + systemy IDS/IPS

Robaki sieciowe. + systemy IDS/IPS Robaki sieciowe + systemy IDS/IPS Robak komputerowy (ang. computer worm) samoreplikujący się program komputerowy, podobny do wirusa komputerowego, ale w przeciwieństwie do niego nie potrzebujący nosiciela

Bardziej szczegółowo

ZADANIE.01 Prewencja w Systemach Informatycznych v.2014 ZADANIE.01. NIPS (Network Intrusion Prevention System) - 1 -

ZADANIE.01 Prewencja w Systemach Informatycznych v.2014 ZADANIE.01. NIPS (Network Intrusion Prevention System) - 1 - Imię Nazwisko ZADANIE.01 NIPS (Network Intrusion Prevention System) - 1 - 212.191.89.192/28 ISP LDZ dmz security-level 50 ISP BACKBONE 79.96.21.160/28 outside security-level 0 subinterfaces, trunk 212.191.89.0/26

Bardziej szczegółowo

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci N, Wykład 6: Bezpieczeństwo w sieci 1 Ochrona danych Ochrona danych w sieci musi zapewniać: Poufność nieupoważnione osoby nie mają dostępu do danych Uwierzytelnianie gwarancja pochodzenia Nienaruszalność

Bardziej szczegółowo

ZADANIE.05. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.05 IDS / IPS - 1 -

ZADANIE.05. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.05 IDS / IPS - 1 - Imię Nazwisko ZADANIE.05 IDS / IPS - 1 - 212.191.89.192/28 ISP LDZ dmz security-level 50 ISP BACKBONE 79.96.21.160/28 outside security-level 0 subinterfaces, trunk 212.191.89.0/26 172.16+G.0.0/16 10.G.99.0/24

Bardziej szczegółowo

Portal Security - ModSec Enterprise

Portal Security - ModSec Enterprise Portal Security - ModSec Enterprise Leszek Miś Security Architect RHCA, RHCSS lm@linuxpolska.pl 1 O firmie Linux Polska Podstawowa działalność spółki: Wsparcie lokalne dla systemów Open Source Wdrożenia

Bardziej szczegółowo

Bezpieczeństwo w M875

Bezpieczeństwo w M875 Bezpieczeństwo w M875 1. Reguły zapory sieciowej Funkcje bezpieczeństwa modułu M875 zawierają Stateful Firewall. Jest to metoda filtrowania i sprawdzania pakietów, która polega na analizie nagłówków pakietów

Bardziej szczegółowo

The OWASP Foundation http://www.owasp.org. Session Management. Sławomir Rozbicki. slawek@rozbicki.eu

The OWASP Foundation http://www.owasp.org. Session Management. Sławomir Rozbicki. slawek@rozbicki.eu The OWASP Foundation http://www.owasp.org Session Management Sławomir Rozbicki slawek@rozbicki.eu 28-07-2011 OWASP TOP 10 A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session

Bardziej szczegółowo

Przełączanie i Trasowanie w Sieciach Komputerowych

Przełączanie i Trasowanie w Sieciach Komputerowych Przełączanie i Trasowanie w Sieciach Komputerowych Przedmiot Zaawansowane trasowanie IP: Usługi trasowania; modele wdrażania Wdrożenie protokołu Enhanced Interior Gateway Routing Protocol Wdrożenie protokołu

Bardziej szczegółowo

ZADANIE.01 Prewencja w Systemach Informatycznych v.2014 ZADANIE.01 IDS / IPS - 1 -

ZADANIE.01 Prewencja w Systemach Informatycznych v.2014 ZADANIE.01 IDS / IPS - 1 - Imię Nazwisko ZADANIE.01 IDS / IPS - 1 - 212.191.89.192/28 ISP LDZ dmz security-level 50 ISP BACKBONE 79.96.21.160/28 outside security-level 0 subinterfaces, trunk 212.191.89.0/26 172.16+G.0.0/16 10.G.99.0/24

Bardziej szczegółowo

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl Client-side Hacking - wprowadzenie w tematykę ataków na klienta Radosław Wal radoslaw.wal@clico.pl Plan wystąpienia Wprowadzenie Statystyki incydentów bezpieczeństwa Typowe zagrożenia Client-side Minimalne

Bardziej szczegółowo

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework Uniwersytet Zielonogórski Wydział Elektrotechniki, Informatyki i Telekomunikacji Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework mgr inż. Łukasz Stefanowicz dr inż.

Bardziej szczegółowo

Wprowadzenie do zagadnień związanych z firewallingiem

Wprowadzenie do zagadnień związanych z firewallingiem NASK Wprowadzenie do zagadnień związanych z firewallingiem Seminarium Zaawansowane systemy firewall Dla przypomnienia Firewall Bariera mająca na celu powstrzymanie wszelkich działań skierowanych przeciwko

Bardziej szczegółowo

9. System wykrywania i blokowania włamań ASQ (IPS)

9. System wykrywania i blokowania włamań ASQ (IPS) 9. System wykrywania i blokowania włamań ASQ (IPS) System Intrusion Prevention w urządzeniach NETASQ wykorzystuje unikalną, stworzoną w laboratoriach firmy NETASQ technologię wykrywania i blokowania ataków

Bardziej szczegółowo

OWASP OWASP. The OWASP Foundation http://www.owasp.org. Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek

OWASP OWASP. The OWASP Foundation http://www.owasp.org. Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek Cross-Site Scripting Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of

Bardziej szczegółowo

www.arakis.pl PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK)

www.arakis.pl PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK) PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK) agenda I. opis systemu II. wykrywanie nowych ataków III. ataki aktualne robak PHP IV. open proxy znajdź

Bardziej szczegółowo

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet Zagrożenia związane z udostępnianiem aplikacji w sieci Internet I Ogólnopolska Konferencja Informatyki Śledczej Katowice, 8-9 stycznia 2009 Michał Kurek, Aleksander Ludynia Cel prezentacji Wskazanie skali

Bardziej szczegółowo

Palo Alto firewall nowej generacji

Palo Alto firewall nowej generacji Palo Alto firewall nowej generacji Agenda Wprowadzenie do koncepcji firewall-a nowej generacji Główne funkcjonalności firewalla Palo Alto Dostępne modele sprzętowe Firewall nowej generacji w nawiązaniu

Bardziej szczegółowo

Drobne błędy w portalach WWW

Drobne błędy w portalach WWW Drobne błędy w portalach WWW Borys Łącki http://www.logicaltrust.net XIX Górska Szkoła Informatyki / Szczyrk, 23-26.06.2008 r. LogicalTrust wyizolowany departament bezpieczeństwa IT Business Consulting

Bardziej szczegółowo

PBS. Wykład 6. 1. Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy

PBS. Wykład 6. 1. Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy PBS Wykład 6 1. Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy mgr inż. Roman Krzeszewski roman@kis.p.lodz.pl mgr inż. Artur Sierszeń asiersz@kis.p.lodz.pl mgr inż. Łukasz Sturgulewski

Bardziej szczegółowo

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa dr inż. Mariusz Stawowski mariusz.stawowski@clico.pl Agenda Wprowadzenie Specyficzne

Bardziej szczegółowo

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Przewodnik instalacji i konfiguracji SofaWare S-box SofaWare S-box to niewielkiego rozmiaru, ciche w działaniu, łatwe w instalacji i zarządzaniu urządzenia Firewall

Bardziej szczegółowo

Produkty. ESET Produkty

Produkty. ESET Produkty Produkty ESET Produkty czerwiec 2006 COPYRIGHT ArkaNET KATOWICE CZERWIEC 2006 KOPIOWANIE I ROZPOWSZECHNIANIE ZABRONIONE ESET Produkty czerwiec 2006 Wersja dokumentu W dokumencie użyto obrazków zaczerpniętych

Bardziej szczegółowo

ZiMSK. Konsola, TELNET, SSH 1

ZiMSK. Konsola, TELNET, SSH 1 ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Konsola, TELNET, SSH 1 Wykład

Bardziej szczegółowo

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych Firewalle aplikacyjne - Zabezpieczanie aplikacji internetowych Wojciech Dworakowski Agenda Dlaczego tradycyjne mechanizmy nie wystarczają? Wykorzystanie zaawansowanych firewalli Firewalle aplikacyjne architektura

Bardziej szczegółowo

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N PODSTAWOWA KONFIGURACJA LINKSYS WRT300N 1. Topologia połączenia sieci WAN i LAN (jeśli poniższa ilustracja jest nieczytelna, to dokładny rysunek topologii znajdziesz w pliku network_konfigurowanie_linksys_wrt300n_cw.jpg)

Bardziej szczegółowo

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV Produkty zabezpieczeń typu UTM (ang. unified threat management) to urządzenia, w których zawarte

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS

Bardziej szczegółowo

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego ZADANIE V OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego A. ROZMIARY I CHARAKTER ZADANIA 1. W ramach dostawy oprogramowania antywirusowego Szpital

Bardziej szczegółowo

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko TCP/IP Warstwa aplikacji mgr inż. Krzysztof Szałajko Modele odniesienia 7 Aplikacji 6 Prezentacji 5 Sesji 4 Transportowa 3 Sieciowa 2 Łącza danych 1 Fizyczna Aplikacji Transportowa Internetowa Dostępu

Bardziej szczegółowo

Integracja systemu antymalwarowego HP ATA z urządzeniami bezpieczeństwa sieciowego HP NGIPS. Sebastian Mazurczyk Warszawa / 19, 06, 2015

Integracja systemu antymalwarowego HP ATA z urządzeniami bezpieczeństwa sieciowego HP NGIPS. Sebastian Mazurczyk Warszawa / 19, 06, 2015 Integracja systemu antymalwarowego HP ATA z urządzeniami bezpieczeństwa sieciowego HP NGIPS Sebastian Mazurczyk Warszawa / 19, 06, 2015 TippingPoint: Źródła informacji 1. Cotygodniowe filtry Digital Vaccine

Bardziej szczegółowo

Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web

Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web Opracował: dr inŝ. Mariusz Stawowski F5 Certified Product Consultant, ASM Email: mariusz.stawowski@clico.pl Zabezpieczenia sieciowe Firewall i Intrusion Prevention System (IPS) są podstawą do tworzenia

Bardziej szczegółowo

Polityka bezpieczeństwa i zarządzanie systemem wykrywania intruzów IDP i aktywnej ochrony przed atakami

Polityka bezpieczeństwa i zarządzanie systemem wykrywania intruzów IDP i aktywnej ochrony przed atakami Polityka bezpieczeństwa i zarządzanie systemem wykrywania intruzów IDP i aktywnej ochrony przed atakami Współczesnym systemom IDS zarzucane jest, że baza sygnatur ataków analizowana jest przez nie w sposób

Bardziej szczegółowo

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9 ZALECENIA DLA MIGRACJI NS-BSD V8 => V9 Wprowadzenie Wersja 9 NS-BSD wprowadza wiele zmian. Zmieniła się koncepcja działania niektórych modułów NETASQ UTM. Sam proces aktualizacji nie jest więc całkowicie

Bardziej szczegółowo

Własności: Wykrywa ataki analizując całość ruchu sieciowego. Nie dopuszcza, żeby intruz dosięgnął chronionych zasobów

Własności: Wykrywa ataki analizując całość ruchu sieciowego. Nie dopuszcza, żeby intruz dosięgnął chronionych zasobów System wykrywania intruzów i aktywnej ochrony Wykrywa ataki analizując całość ruchu sieciowego Nie dopuszcza, żeby intruz dosięgnął chronionych zasobów to system zabezpieczeń sieciowych realizujący zadania

Bardziej szczegółowo

n6: otwarta wymiana danych

n6: otwarta wymiana danych n6: otwarta wymiana danych Paweł Pawliński SECURE 2013 XVII Konferencja na temat bezpieczeństwa teleinformatycznego 9 października 2013 Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013

Bardziej szczegółowo

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik Panda Managed Office Protection. Przewodnik Panda Managed Office Protection Przewodnik Maj 2008 Spis treści 1. Przewodnik po konsoli administracyjnej i monitorującej... 3 1.1. Przegląd konsoli... 3 1.2.

Bardziej szczegółowo

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą? Warszawa, 9 października 2014r. Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą? Grzegorz Długajczyk ING Bank Śląski Które strony popełniały najwięcej naruszeń w ostatnich 10 latach?

Bardziej szczegółowo

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2) Routery BEFSR11 / 41 WAN (Internet): 1xRJ-45 FE 10/100 LAN: przełącznik FE 1 / 4xRJ-45 (AutoMDI / MDI-X) Rodzaje połączenia WAN: Obtain IP address automatically - klient serwera DHCP Static IP - adres

Bardziej szczegółowo

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych. 1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych. Integralność systemu musi być zapewniona także w przypadku różnych

Bardziej szczegółowo

Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems

Bezpieczeństwo szyte na miarę, czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems Czy jestem atakowany? Charakterystyka ataku http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf?cmp=dmc-smb_z_zz_zz_z_tv_n_z038

Bardziej szczegółowo

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x? Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x? Przykład autoryzacji 802.1x dokonano w oparciu serwer Microsoft Windows 2003 i

Bardziej szczegółowo

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka Wybrane metody obrony przed atakami Denial of Service Synflood Przemysław Kukiełka agenda Wprowadzenie Podział ataków DoS Zasada działania ataku Synflood Podział metod obrony Omówienie wybranych metod

Bardziej szczegółowo

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Przewodnik konfiguracji i zarządzania Siemens 4YourSafety Konfiguracja Siemens 4YourSafety w zakresie systemu operacyjnego i supportu urządzenia może odbywać się w

Bardziej szczegółowo

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE.. SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE.. Cel prezentacji Spojrzymy na dane i serwery SQL z perspektywy cyberprzestępcy, omówimy

Bardziej szczegółowo

Instalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia

Instalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia Instalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia 1) Uruchomienie str. 2 2) Konfiguracja NEOSTRADA str. 3 3) Konfiguracja NET24 str. 4 4) Konfiguracja sieć LAN str. 5 5) Przekierowanie portów

Bardziej szczegółowo

7. zainstalowane oprogramowanie. 8. 9. 10. zarządzane stacje robocze

7. zainstalowane oprogramowanie. 8. 9. 10. zarządzane stacje robocze Specyfikacja oprogramowania do Opis zarządzania przedmiotu i monitorowania zamówienia środowiska Załącznik nr informatycznego 1 do specyfikacji Lp. 1. a) 1. Oprogramowanie oprogramowania i do systemów

Bardziej szczegółowo

Monitorowanie aplikacji i rozwiązywanie problemów

Monitorowanie aplikacji i rozwiązywanie problemów Monitorowanie aplikacji i rozwiązywanie problemów 21 Maj 2015, Poznań Adrian TUROWSKI adrian.turowski@passus.com.pl Agenda Po co monitorować aplikacje sieciowe? Sposoby monitorowania SPAN vs. Netflow.

Bardziej szczegółowo

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Pracownia internetowa w każdej szkole (edycja Jesień 2007) Instrukcja numer D2/06_06/Z1 Pracownia internetowa w każdej szkole (edycja Jesień 2007) Wstęp Opiekun pracowni internetowej cz. 2 (D2) Definiowanie dostępu do szkolnej strony poprzez jej publiczną nazwę

Bardziej szczegółowo

PODSTAWOWA OBSŁUGA PROGRAMU PROGRAMU PACKET TRACER TRYB REAL TIME

PODSTAWOWA OBSŁUGA PROGRAMU PROGRAMU PACKET TRACER TRYB REAL TIME Nr dwiczenia: PT-02 Nr wersji dwiczenia: 2 Temat dwiczenia: PODSTAWOWA OBSŁUGA PROGRAMU PACKET TRACER CZĘŚD 2 Orientacyjny czas wykonania dwiczenia: 1 godz. Wymagane oprogramowanie: 6.1.0 Spis treści 0.

Bardziej szczegółowo

Trojan bankowy Emotet w wersji DGA

Trojan bankowy Emotet w wersji DGA Trojan bankowy Emotet w wersji DGA Warszawa 17/11/2014 CERT Orange Polska Strona 1 z 7 Trojan bankowy Emotet został zauważony kilka miesięcy temu. Od tej pory zdaje się być cyklicznie wykorzystywany w

Bardziej szczegółowo

Wprowadzenie do obsługi systemu IOS na przykładzie Routera Tryby poleceń Użytkownika (user mode) Router> Przejście do trybu: Dostępny bezpośrednio po podłączeniu konsoli. Opuszczenie trybu: Polecenia:

Bardziej szczegółowo

Uwaga!!! Autentykacja LDAP/AD zaimplementowana w Vigor wspiera tylko proste uwierzytelnianie (hasło przesyłane jest jawnym tekstem).

Uwaga!!! Autentykacja LDAP/AD zaimplementowana w Vigor wspiera tylko proste uwierzytelnianie (hasło przesyłane jest jawnym tekstem). 1. Konfiguracja serwera VPN 1.1. LDAP/AD 1.2. Ustawienia ogólne 1.3. Konto SSL 2. Konfiguracja klienta VPN 3. Status połączenia 3.1. Klient VPN 3.2. Serwer VPN Procedura konfiguracji została oparta na

Bardziej szczegółowo

ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ DHCP

ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ DHCP ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl DHCP 1 Wykład Dynamiczna konfiguracja

Bardziej szczegółowo

Wykaz zmian w programie SysLoger

Wykaz zmian w programie SysLoger Wykaz zmian w programie SysLoger Pierwsza wersja programu 1.0.0.1 powstała we wrześniu 2011. Funkcjonalność pierwszej wersji programu: 1. Zapis logów do pliku tekstowego, 2. Powiadamianie e-mail tylko

Bardziej szczegółowo

Podstawowa konfiguracja routerów. Interfejsy sieciowe routerów. Sprawdzanie komunikacji w sieci. Podstawy routingu statycznego

Podstawowa konfiguracja routerów. Interfejsy sieciowe routerów. Sprawdzanie komunikacji w sieci. Podstawy routingu statycznego Podstawowa konfiguracja routerów Interfejsy sieciowe routerów Sprawdzanie komunikacji w sieci Podstawy routingu statycznego Podstawy routingu dynamicznego 2 Plan prezentacji Tryby pracy routera Polecenia

Bardziej szczegółowo

Technologia Automatyczne zapobieganie exploitom

Technologia Automatyczne zapobieganie exploitom Technologia Automatyczne zapobieganie exploitom Podejście Kaspersky Lab do bezpieczeństwa opiera się na ochronie wielowarstwowej. Większość szkodliwych programów powstrzymuje pierwsza warstwa zostają np.

Bardziej szczegółowo

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników 2. Konfiguracja klienta VPN 3. Status połączenia 3.1. Klient VPN 3.2. Serwer VPN Procedura konfiguracji została

Bardziej szczegółowo

Narzędzia OWASP dla developerów OWASP ESAPI & AppSensor OWASP 2011-11-23. The OWASP Foundation http://www.owasp.org

Narzędzia OWASP dla developerów OWASP ESAPI & AppSensor OWASP 2011-11-23. The OWASP Foundation http://www.owasp.org Narzędzia dla developerów ESAPI & AppSensor 2011-11-23 Wojciech Dworakowski Poland Chapter Leader SecuRing wojciech.dworakowski@owasp.org +48506184550 Copyright The Foundation Permission is granted to

Bardziej szczegółowo

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1 ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Charakterystyka urządzeń sieciowych:

Bardziej szczegółowo

Wstęp do Microsoft Forefront. Jakub Januszewski Technology Adviser - Security Microsoft

Wstęp do Microsoft Forefront. Jakub Januszewski Technology Adviser - Security Microsoft Wstęp do Microsoft Forefront Jakub Januszewski Technology Adviser - Security Microsoft 1 Agenda Wyzwania bezpieczeństwa Rodzina Forefront dzisiaj Forefront Codename Stirling Pytania Wyzwania bezpieczeństwa

Bardziej szczegółowo

4. Podstawowa konfiguracja

4. Podstawowa konfiguracja 4. Podstawowa konfiguracja Po pierwszym zalogowaniu się do urządzenia należy zweryfikować poprawność licencji. Można to zrobić na jednym z widżetów panelu kontrolnego. Wstępną konfigurację można podzielić

Bardziej szczegółowo

Zagrożenia trywialne. Zagrożenia bezpieczeństwa aplikacji internetowych. Parametry ukryte. Modyfikowanie parametrów wywołania

Zagrożenia trywialne. Zagrożenia bezpieczeństwa aplikacji internetowych. Parametry ukryte. Modyfikowanie parametrów wywołania Zagrożenia trywialne Zagrożenia bezpieczeństwa aplikacji internetowych Rozwiązania charakterystyczne dla fazy rozwoju opisy rozpoznanych błędów, debugging, komentarze poprzednie wersje plików (cp plik.jsp

Bardziej szczegółowo

Wykrywanie i analiza złośliwych stron WWW. Łukasz Juszczyk CERT Polska/NASK lukasz.juszczyk@cert.pl

Wykrywanie i analiza złośliwych stron WWW. Łukasz Juszczyk CERT Polska/NASK lukasz.juszczyk@cert.pl Wykrywanie i analiza złośliwych stron WWW Łukasz Juszczyk CERT Polska/NASK lukasz.juszczyk@cert.pl Agenda atak analiza obrona techniki i mechanizmy ataków narzędzia, problemy sposoby obrony Atak Źródło

Bardziej szczegółowo

6. Bezpieczeństwo przy współpracy z bazami danych

6. Bezpieczeństwo przy współpracy z bazami danych 6. Bezpieczeństwo przy współpracy z bazami danych 6.1. Idea ataku SQL injection Atak znany jako SQL injection jest możliwy wtedy, gdy użytkownik ma bezpośredni wpływ na postać zapytania wysyłanego do bazy

Bardziej szczegółowo

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami Bezpieczeństwo aplikacji WWW Klasyfikacja zgodna ze standardem OWASP Zarządzanie podatnościami Tomasz Zawicki tomasz.zawicki@passus.com.pl Pojawianie się nowych podatności I. Identyfikacja podatności II.

Bardziej szczegółowo

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA Kompleksowe zabezpieczenie współczesnej sieci Adrian Dorobisz inżnier systemowy DAGMA Ataki sieciowe SONY niedostępnośc usługi Playstation Network koszt: 3,4mld USD CIA niedostępnośc witryny Web cia.gov

Bardziej szczegółowo

Projektowanie bezpieczeństwa sieci i serwerów

Projektowanie bezpieczeństwa sieci i serwerów Projektowanie bezpieczeństwa sieci i serwerów Konfiguracja zabezpieczeń stacji roboczej 1. Strefy bezpieczeństwa przeglądarki Internet Explorer. W programie Internet Explorer można skonfigurować ustawienia

Bardziej szczegółowo

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak Wykład 3 / Wykład 4 Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak 1 Wprowadzenie do Modułu 3 CCNA-E Funkcje trzech wyższych warstw modelu OSI W jaki sposób ludzie wykorzystują

Bardziej szczegółowo

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks Systemy informatyczne zmieniają się, a wraz z nimi wymagane jest stosowanie środków bezpieczeństwa odpowiednich

Bardziej szczegółowo

Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. Open Source Day 2013 O mnie Leszek Miś IT Security Architect RHCA/RHCSS

Bardziej szczegółowo

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek Router jest podłączony do sieci Internet, natomiast od dostawcy zostaje

Bardziej szczegółowo

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek poniżej:

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek poniżej: Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek poniżej: Router jest podłączony do sieci Internet, natomiast od dostawcy

Bardziej szczegółowo

Analiza Trojana NotCompatible.C

Analiza Trojana NotCompatible.C Analiza Trojana NotCompatible.C Warszawa 2014-12-23 CERT OPL Malware Analysis Strona 1 z 11 1. Wstęp Pierwszy raz malware o nazwie NotCompatible został wykryty w 2012 roku. Na początku kod używany był

Bardziej szczegółowo

BEZPIECZEŃSTWO W SIECIACH

BEZPIECZEŃSTWO W SIECIACH PREZENTACJA NA SYSTEMY OPERACYJNE Katarzyna Macioszek styczeń 2007 DEFINICJA ROBAKA CO TO JEST ROBAK? PRZYKŁADY ROBAKÓW Robak - program komputerowy zdolny do samoreplikacji przez sieć bez interakcji użytkownika

Bardziej szczegółowo

Podstawy bezpieczeństwa

Podstawy bezpieczeństwa Podstawy bezpieczeństwa sieciowego Dariusz CHAŁADYNIAK 2 Plan prezentacji Złośliwe oprogramowanie Wybrane ataki na sieci teleinformatyczne Wybrane metody bezpieczeństwa sieciowego Systemy wykrywania intruzów

Bardziej szczegółowo

Metody zabezpieczania transmisji w sieci Ethernet

Metody zabezpieczania transmisji w sieci Ethernet Metody zabezpieczania transmisji w sieci Ethernet na przykładzie protokołu PPTP Paweł Pokrywka Plan prezentacji Założenia Cele Problemy i ich rozwiązania Rozwiązanie ogólne i jego omówienie Założenia Sieć

Bardziej szczegółowo

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1 Spis treści Wstęp... ix 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1 Składniki systemu Windows SBS 2008... 1 Windows Server 2008 Standard... 2 Exchange Server 2007 Standard...

Bardziej szczegółowo

Zadanie.09-1 - OUTSIDE 200. 200. 200.0/24. dmz. outside 192. 168.1.0/24. security- level 50 176.16.0.0/16

Zadanie.09-1 - OUTSIDE 200. 200. 200.0/24. dmz. outside 192. 168.1.0/24. security- level 50 176.16.0.0/16 ASDM - Adaptive Security Device Manager (pix) HTTP Device Manager (switch) SSH (pix), TELNET (switch) Schemat sieci OUTSIDE 200. 200. 200.0/24 outside security- level 0 192. 168.1.0/24 dmz security- level

Bardziej szczegółowo

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 - Imię Nazwisko ZADANIE.07 VPN RA Virtual Private Network Remote Access (Router) - 1 - 212.191.89.192/28 ISP LDZ dmz security-level 50 ISP BACKBONE 79.96.21.160/28 outside security-level 0 subinterfaces,

Bardziej szczegółowo

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1 Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1 Fakty Złożona i rozbudowana architektura: błędy w kodzie błędy w konfiguracji błędy w założeniach

Bardziej szczegółowo

Wykaz zmian w programie SysLoger

Wykaz zmian w programie SysLoger Wykaz zmian w programie SysLoger Pierwsza wersja programu 1.0.0.1 powstała we wrześniu 2011. Funkcjonalność pierwszej wersji programu: 1. Zapis logów do pliku tekstowego, 2. Powiadamianie e-mail tylko

Bardziej szczegółowo

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW Ataki na aplikacje WWW Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW Ataki na aplikację Ataki na przeglądarkę Ataki na serwer WWW/kontener, etc. Często kombinacja i wiele etapów Którędy do środka

Bardziej szczegółowo

1.1 Podłączenie... 3 1.2 Montaż... 4 1.2.1 Biurko... 4 1.2.2 Montaż naścienny... 4

1.1 Podłączenie... 3 1.2 Montaż... 4 1.2.1 Biurko... 4 1.2.2 Montaż naścienny... 4 Szybki start telefonu AT810 Wersja: 1.1 PL 2014 1. Podłączenie i instalacja AT810... 3 1.1 Podłączenie... 3 1.2 Montaż... 4 1.2.1 Biurko... 4 1.2.2 Montaż naścienny... 4 2. Konfiguracja przez stronę www...

Bardziej szczegółowo

Zespól Szkół Ponadgimnazjalnych Nr 17 im. Jana Nowaka - Jeziorańskiego Al. Politechniki 37 Windows Serwer 2003 Instalacja

Zespól Szkół Ponadgimnazjalnych Nr 17 im. Jana Nowaka - Jeziorańskiego Al. Politechniki 37 Windows Serwer 2003 Instalacja 7 Windows Serwer 2003 Instalacja Łódź, styczeń 2012r. SPIS TREŚCI Strona Wstęp... 3 INSTALOWANIE SYSTEMU WINDOWS SERWER 2003 Przygotowanie instalacji serwera..4 1.1. Minimalne wymagania sprzętowe......4

Bardziej szczegółowo

24/10/2011 Norma bezpieczeństwa PCI DSS. Korzyści i problemy implementacji. 1

24/10/2011 Norma bezpieczeństwa PCI DSS. Korzyści i problemy implementacji. 1 24/10/2011 Norma bezpieczeństwa PCI DSS. Korzyści i problemy implementacji. 1 Norma bezpieczeństwa PCI DSS Korzyści i problemy implementacji Wojciech Śronek, Zespół Administratorów Sieci, Grupa Allegro

Bardziej szczegółowo

Firewall bez adresu IP

Firewall bez adresu IP Firewall bez adresu IP Jak to zrobić Janusz Janiszewski Janusz.Janiszewski@nask.pl Agenda Wstęp Jak to działa? FreeBSD Kiedy stosować? Wady i zalety Inne rozwiązania Pytania? Typy firewalli Filtry pakietów

Bardziej szczegółowo

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej Marcin Kłopocki /170277/ Przemysła Michalczyk /170279/ Bartosz Połaniecki /170127/ Tomasz Skibiński /170128/ Styk

Bardziej szczegółowo

Projektowani Systemów Inf.

Projektowani Systemów Inf. Projektowani Systemów Inf. Wykład VII Bezpieczeństwo Copyrights by Arkadiusz Rzucidło 1 Bezpieczeństwo Bezpieczeństwo związane z danymi Konstrukcja magazynów danych Mechanizmy zapisu i modyfikacji danych

Bardziej szczegółowo

Jak bezpieczne są Twoje dane w Internecie?

Jak bezpieczne są Twoje dane w Internecie? Politechnika Krakowska im. Tadeusza Kościuszki Wydział Fizyki, Matematyki i Informatyki Jak bezpieczne są Twoje dane w Internecie? Dawid Płoskonka, Łukasz Winkler, Jakub Woźniak, Konrad Żabicki Plan prezentacji

Bardziej szczegółowo

Axence nvision Nowe możliwości w zarządzaniu sieciami

Axence nvision Nowe możliwości w zarządzaniu sieciami www.axence.pl Axence nvision Nowe możliwości w zarządzaniu sieciami Axence nvision moduły NETWORK Monitorowanie serwerów, urządzeń i aplikacji INVENTORY Inwentaryzacja sprzętu i oprogramowania, audyty

Bardziej szczegółowo

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór S t r o n a ǀ 1 z 5 Załącznik nr 1 do zapytania ofertowego Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór I. Definicje. 1. Dostawca

Bardziej szczegółowo

CENTRUM OPROGRAMOWANIA

CENTRUM OPROGRAMOWANIA CENTRUM OPROGRAMOWANIA Internet. Ta " " ### $ %on line&# ' Network Wizards (http://www.nw.com( ) * + #, * $ $ # - ) ) " ) "#, " " " $ " #. $ (ang. firewall), dedykowanego do ochrony systemu lokalnego #'$

Bardziej szczegółowo

Problemy z bezpieczeństwem w sieci lokalnej

Problemy z bezpieczeństwem w sieci lokalnej Problemy z bezpieczeństwem w sieci lokalnej możliwości podsłuchiwania/przechwytywania ruchu sieciowego pakiet dsniff demonstracja kilku narzędzi z pakietu dsniff metody przeciwdziałania Podsłuchiwanie

Bardziej szczegółowo

ASQ: ZALETY SYSTEMU IPS W NETASQ

ASQ: ZALETY SYSTEMU IPS W NETASQ ASQ: ZALETY SYSTEMU IPS W NETASQ Firma NETASQ specjalizuje się w rozwiązaniach do zintegrowanego zabezpieczenia sieci komputerowych, kierując się przy tym załoŝeniem, Ŝe ryzyko ataku jest identyczne niezaleŝnie

Bardziej szczegółowo

7. Konfiguracja zapory (firewall)

7. Konfiguracja zapory (firewall) 7. Konfiguracja zapory (firewall) Konfiguracja firewalla w rozwiązaniach NETASQ podzielona jest na dwie części. Pierwszą z nich są reguły domyślne a drugą polityki konfigurowane przez administratora. W

Bardziej szczegółowo

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo 1 > /proc/sys/net/ipv4/ip_forward Zarządzanie bezpieczeństwem w sieciach Router programowy z firewallem oparty o iptables Celem ćwiczenia jest stworzenie kompletnego routera (bramki internetowej), opartej na iptables. Bramka umożliwiać

Bardziej szczegółowo

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Systemy Firewall. Grzegorz Blinowski. CC - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl Systemy Firewall Grzegorz Blinowski "CC" - Open Computer Systems Grzegorz.Blinowski@cc.com.pl Plan wykładu Zastosowanie systemów Firewall w Intranecie Rodzaje systemów Firewall Główne koncepcje stosowania

Bardziej szczegółowo

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager Wykrywanie cyberzagrożeń typu Drive-by Download Piotr Bisialski Security and Data Center Product Manager WIEDZA I TECHNOLOGIA Hosting Meeting Wrocław 26 stycznia 2012 Zagrożenia w Internecie Tytuł Atak

Bardziej szczegółowo