Internetowe BD P.Skrobanek 1. INTERNETOWE BAZY DANYCH materiały pomocnicze - wykład IV. Paweł Skrobanek PLAN NA DZIŚ :

Transkrypt

1 Wrocław 2006(07) INTERNETOWE BAZY DANYCH materiały pomocnicze wykład IV Paweł Skrobanek C3, pok PLAN NA DZIŚ : 1. Wprowadzenie bezpieczeństwo 2. Umiejscowienie bazy danych w architekturze sieci firmowej 3. Podstawowe typy ataków 4. Składowanie, archiwizacja i ochrona danych 5. Konfiguracja firewall a iptables 2/26 Wprowadzenie Aspekty związane z bezpieczeństwem IBD KLIENT SERWER web SERWER aplikacji i BD fałszowanie cookie, pola zakryte, dostęp do zasobów (pliki, katalogi, usługi) manipulowanie na danych wejściowych, błędy w projektach skryptów luki w ochronie i błędy w konfiguracji, tylne wejścia, przepełnienie bufora 3/26 P.Skrobanek 1

2 Wprowadzenie Przykłady zagroŝeń: SQL Slammer (robak atak na Microsoft SQL, azja styczeń 2003, straty ok. 1,2 mld $), drugi biuletyn Microsoft ( MS06_012 z marca 2006) naprawia błąd umoŝliwiający lokalne podniesienie swoich przywilejów do poziomu z którego korzystają usługi na nim uruchamiane. Błąd dotyczy tylko XP SP1 oraz Windows Server 2003 (źródło: 4/26 Statystyka przestępstw komputerowych Oszustwo komp. art. 287 par Uzyskanie inform. 267 par Zniszcz. lub zmiana istotnej inform. art. 268 par. 13 i 268a Zniszcz. lub zmiana informacji art. 269 par SabotaŜ komputero wy art. 269a 1 19 Źródło: 5/26 2. Umiejscowienie bazy danych w architekturze sieci firmowej 6/26 P.Skrobanek 2

3 Umiejscowienie BD przykład 1 7/26 Umiejscowienie BD przykład 2 8/26 Umiejscowienie BD sieci wirtualne Tunelowanie: 1. z wykorzystaniem IPSec, 2. z wykorzystaniem SSL (przezroczyste dla zapory) VPN (Virtual( Private Network) wirtualna sieć prywatna korzysta z publicznej infrastruktury telekomunikacyjnej, protokołów tunelowania i procedur bezpieczeństwa danych (UWAGA: wykorzystywane równieŝ w ramach LAN do odseparowania fragmentu sieci) 9/26 P.Skrobanek 3

4 Umiejscowienie BD sieci wirtualne Zachęcam do przejrzenia źródła: lub 10/26 3. PODSTAWOWE TYPY ATAKÓW 11/26 Buffer overflow zapisanie łańcuchów danych przekraczających rozmiar bufora, przy niedopracowanych aplikacjach moŝe spowodować uzyskanie uprawnień do wykonywania swoich programów zapobieganie: instalacja łatek, przykład: błędy ODBC w serwerze webowym Microsoft (Windows NT) 12/26 P.Skrobanek 4

5 Wirusy robaki i konie trojańskie znane z Ŝycia codziennego zapobieganie: aktualne oprogramowanie antywirusowe, wyłączanie zbędnych usług. 13/26 Spoofing podrabianie wiarygodnej toŝsamości, fałszowanie adresu IP (zaufanie serwera lub udawanie kogoś innego), podrabianie zaufanej witryny (moŝe klient się zaloguje ), i inne zapobieganie: zabezpieczenia firewall a, podpisy cyfrowe, urządzenia separujące sieci (jeśli moŝliwe) 14/26 DoS DoS (Denial of Service) przy uŝyciu standardowych protokołów lub procesów blokuje usługi, np. ping śmierci, otwierająca się ogromna liczba okienek, zapobieganie: właściwa konfiguracja firewall a oraz zabezpieczenia po stronie komputera klienta, a takŝe np. moniorowanie sieci. 15/26 P.Skrobanek 5

6 Session Hijacking przejęcie istniejącego połączenia i odgrywanie roli jednej ze stron, zapobieganie: instalacja łatek, właściwe projektowanie i implementacja oprogramowania 16/26 Normy i zalecenia w dziedzinie zarządzania bezpieczeństwem patrz ksero. 17/26 4. Składowanie, archiwizacja i ochrona danych 18/26 P.Skrobanek 6

7 ZagroŜenia miejsca (budynku, statku itp.), huragan, trzęsienie ziemi, powódź, itp. utrata zasilania, wojna, terroryzm. Awarie sprzętu uszkodzenia pamięci masowej (np. dysku), błąd procesora, Niedziałająca infrastruktura sieciowa. awaria logiczna błędy oprogramowania, wirusy, robaki, itp. przypadkowe usunięcia danych. 19/26 ZagroŜenia miejsca wybrane techniki zapobiegania utratom danych: redundancja sprzętu replika bazy danych wraz ze sprzętem na serwerze zapasowym (np. 30 km dalej), zasilacze UPS, własne generatory, monitorowanie i zabezpieczenie obiektów, systemy alarmowe itp. 20/26 Awarie sprzętu wybrane techniki zapobiegania utratom danych: redundancja sprzętu, Macierze RAID 1 (mirroring), RAID 5, backup i archiwizacja 21/26 P.Skrobanek 7

8 Błędy w oprogramowaniu wybrane techniki zapobiegania utratom danych: takie, jak poprzednio, ochrona antywirusowa, aktualizacja oprogramowania, zapory sieciowe, itp. projetkowanie, implementacja, testowanie i walidacja oprogramowanie metodami formalnymi 22/26 Rodzaje backupów: full backup, incremental backup, differential backup lokalny sieciowy 23/26 Przykłady urządzeń wykorzystywanych do archiwizacji: macierze dyskowe RAID, urządzenia taśmowe DAT, np. DDS6 80GB, 5MB/s, DLT (Digital Linear Tape), np. SDLT GB, 32MB/s, przyszłość:? OMass5 10 TB, 1GB/s (rok 2011), nośniki optyczne i magnetooptyczne 24/26 P.Skrobanek 8

9 5. Konfiguracja firewall a iptables 25/26 Bibliografia VoiceXML, opis standardu, tutoriale opis protokołów związanych z tunelowaniem IP konfiguracja IP tables (wybieramy z menu: linux) 26/26 P.Skrobanek 9