Warszawska Wyższa Szkoła Informatyki Systemy wykrywania włamań w aspekcie pogłębionej architektury systemu bezpieczeństwa teleinformatycznego

Wielkość: px
Rozpocząć pokaz od strony:

Download "Warszawska Wyższa Szkoła Informatyki Systemy wykrywania włamań w aspekcie pogłębionej architektury systemu bezpieczeństwa teleinformatycznego"

Transkrypt

1 Warszawska Wyższa Szkoła Informatyki Systemy wykrywania włamań w aspekcie pogłębionej architektury systemu bezpieczeństwa teleinformatycznego 1 dr inż. Krzysztof Różanowski

2 Wprowadzenie Celem jakichkolwiek działań z zakresu bezpieczeństwa teleinformatycznego jest ochrona informacji, a nie komputerów! 2

3 Wprowadzenie Dlaczego chronimy informację? 1. Ponieważ jest towarem (może mieć znaczenie strategiczne) 2. Jest podstawowym elementem procesów biznesowych 3. Ze względu na obowiązujące wymagania prawne 3

4 Określenie zagrożenia przed czym się bronimy? 1. Włamywacz odczytuje poufne dane 2. Włamywacz zmienia dane 3. Włamywacz usuwa dane 4. Odmowa usługi 4 5. Włamywacz przeprowadza inne ataki z wykorzystaniem zaatakowanego komputera

5 Kim są wrogowie? 1. Krakerzy i hakerzy 2. Rozczarowani pracownicy 3. Rozczarowani byli pracownicy 4. Konkurencja 5. Szpiedzy 6. Przestępcy 7. Ekstremiści oraz terroryści 5

6 6 Informacja Ze względu na znaczenie dla użytkownika całą wykorzystywaną przez niego, jak również jego dotyczącą informację, dzieli się na wrażliwą i niewrażliwą. Informacja wrażliwa informacja mogąca zostać wykorzystana przeciwko interesom podmiotu przez ujawnienie, nie udostępnienie lub manipulację, np.: - wszystkie informacje, które muszą być chronione ze względu na obowiązujące przepisy prawne (Ustawa o ochronie danych osobowych)

7 Informacja c.d. - informacje, które w połączeniu z innymi informacjami stają się istotne - informacje, dotyczące życia prywatnego członków zarządu Informacja Informacje wrażliwe I. niejawne Dane osobowe 7 Rys. Rodzaje informacje [1]

8 Bezpieczeństwo teleinformatyczne Bezpieczeństwo teleinformatyczne dotyczy zakresu form wymiany, przechowywania i przetwarzania informacji ograniczonego do technicznych środków łączności (sieci i systemy teleinformatyczne). 8 Definicja: Bezpieczeństwo teleinformatyczne: poziom uzasadnionego zaufania, że potencjalne straty wynikające z niepożądanego (przypadkowego lub świadomego) ujawnienia, modyfikacji, zniszczenia lub uniemożliwienia przetwarzania informacji przechowywanej lub przesyłanej za pomocą systemów teleinformatycznych nie zostaną poniesione

9 9 Bezpieczeństwo teleinformatyczne Atrybuty informacji związane z jej bezpieczeństwem 1. Poufność opisuje stopień ochrony jakiej ma ona podlegać. Stopień ten jest określany przez osoby lub organizacje dostarczające i otrzymujące informację. 2. Integralność oznacza, że dane i informacje są poprawne, nienaruszone i nie zostały poddane manipulacji. 3. Dostępność właściwość systemu teleinformatycznego oznaczająca dostępność danych, procesów lub aplikacji zgodnie z wymaganiami użytkownika

10 Bezpieczeństwo teleinformatyczne Bezpieczeństwa teleinformatycznego nie można rozpatrywać w oderwaniu, uważając iż szeroko rozumiane bezpieczeństwo informacji nas nie interesuje, gdyż zajmujemy się tylko tym co związane jest z systemami i sieciami komputerowymi. Takie podejście prowadzi do budowania dziurawych systemów bezpieczeństwa i jest nie zgodne z uznanymi praktykami w tym zakresie, zapisanymi, np.: w postaci normy ISO/IEC (http://www.iso.org/iso/en/isoonline.frontpage). 10

11 Bezpieczeństwo teleinformatyczne Bezpieczeństwo informacji: informacje we wszelkiej znanej postaci Bezpieczeństwo teleinformacyjne: informacja przekazywana za pomocą technicznych środków łączności Bezpieczeństwo teleinformatyczne: informacja przetwarzana, przechowywana i przesyłana w systemach teleinformatycznych 11 Rys. Związki między różnymi rodzajami bezpieczeństwa informacji [1]

12 Bezpieczeństwo teleinformatyczne Osiągnięcie założonego poziomu bezpieczeństwa teleinformatycznego można przedstawić na trójetapowym schemacie: 1.Planowanie bezpieczeństwa teleinformatycznego 2.Wdrażanie koncepcji bezpieczeństwa teleinformatycznego 3.Utrzymywanie bezpieczeństwa teleinformatycznego 12

13 Zagrożenia - wewnętrzne Przeciętnie około ¾ wszystkich incydentów związanych z naruszaniem zasad bezpieczeństwa kojarzonych jest z pracownikami danej firmy Przeciętnie około 80% inwestycji związanych z bezpieczeństwem w przedsiębiorstwach dotyczą ochrony przed atakami z zewnątrz. 13 Ataki wewnętrzne (główne przyczyny): -Kradzież danych -Szpiegostwo -Sabotaż -Zła wola

14 Zagrożenia wewnętrzne Najczęstsze efekty działań: -usuwanie wartościowych danych przedsiębiorstwa -publikowanie lub rozpowszechnianie danych poufnych -zmiana uprawnień, haseł, itd.. -obraźliwe maile Anatomia ataku wewnętrznego: Kradzież kopii zapasowych (oprogramowania systemowego, sprzętu)->atak na sieć lub system 14

15 Zagrożenia zewnętrzne Atak zewnętrzny atak zainicjowany ze stacji pracującej poza zaporą firewall. Anatomia ataku zewnętrznego: 15 Pozyskiwanie informacji o konfiguracji środowiska, sieci (próby komunikacji z SNMP w celu uzyskania informacji o routerach i zaporach)->gromadzenie danych (adresy IP, adresy MAC, informacje o trasach)->zbieranie informacji o pracujących w sieci systemach (np,: nmap (freeware) ->Naruszenie pierwszego pojedynczego systemu w sieci wewnętrznej (np..: uruchomienie na jednej ze stacji sieciowej oprogramowania typu backdoor.

16 Zagrożenia zewnętrzne Script kiddies osoby korzystające z gotowych narzędzi. White hat hakers osoby wyszukujące luk w zabezpieczeniach systemów (możliwa współpraca z producentami oprogramowania) Black hat hakers osoby wykorzystujące swoją wiedzę do łamania systemów bezpieczeństwa 16

17 Bezpieczeństwo wewnętrzne i zewnętrzne Środki ochrony systemu: 1. Statyczne 2. Dynamiczne Ad. 1 Instalacja i sposób zabezpieczenia systemu wraz z opracowaniem dokumentacji Ad. 2 Gromadzenie aktualnych informacji o lukach w zabezpieczeniach oraz wprowadzanie niezbędnych korekt w konfiguracji 17

18 Zagrożenia internetowe 18 - Wirusy - Wykradanie tożsamości - Robaki - Pharming - Trojany - Phishing - Spam - Skrypty ActiveX i HTTP - Dialery - Szkodliwa zawartość WWW - Spyware - Sieci Botnet - Adware - Exploity - Ataki DOS i DDOS - Backdoors - Luki w zabezpieczeniach - Ataki typu Buffer Overflow - Rootkity

19 Złośliwe oprogramowanie Termin złośliwe oprogramowanie, obejmuje wirusy, robaki i konie trojańskie, których celem jest dokonanie działań złośliwych na systemach komputerowych. -Koń trojański (zwany również kodem trojańskim lub trojanem) Program który na pierwszy rzut oka wygląda na użyteczny bądź nieszkodliwy, posiada jednak ukryty kod zaprojektowany tak, aby wykorzystać luki w zabezpieczeniach systemu bądź uszkodzić go. Trojany są najczęściej dostarczane za pośrednictwem poczty elektronicznej i podszywają się pod jakiś znany program. Uszkadzają system poprzez wykonanie załączonego, ukrytego programu. 19

20 Złośliwe oprogramowanie 20 -Robak używa do replikacji własnych mechanizmów, przez co jest w stanie w sposób całkowicie niezależny rozprzestrzeniać się w sieci. Efektem działania robaków jest np. zużywanie zasobów systemowych zainfekowanych komputerów, co może przerodzić się w atak typu odmowa obsługi (ang. Denial of Service, DoS). Niektóre robaki są w stanie samoczynnie się uruchamiać i rozprzestrzeniać; są również takie, które wymagają bezpośredniego uruchomienia kodu przez użytkownika. Poza replikacją robaki mogą również podejmować inne działania. -Wirus wykorzystuje kod stworzony do samoreplikacji. Wirusy rozprzestrzeniają się poprzez dołączanie swojego kodu do programunosiciela. Mogą uszkodzić sprzęt, oprogramowanie oraz dane. W przypadku uruchomienia nosiciela, uruchamiany jest również kod wirusa, który infekuje następnie nowe programy; czasami również podejmuje dodatkowe działania.

21 Złośliwe oprogramowanie diagram identyfikacji oprogramowania malware 21

22 Sniffer (ang. wąchacz) jest to program komputerowy, którego zadaniem jest przechwytywanie i ewentualne analizowanie danych przepływających w sieci. Wspólną cechą wielu takich analizatorów jest przełączenie karty sieciowej w tryb promiscous, w którym urządzenie odbiera wszystkie ramki z sieci, także te nie adresowane bezpośrednio do niego; sniffery mogą jednak być uruchamiane także na ruterze, lub na komputerze będącym jedną ze stron komunikacji sieciowej - i w tych przypadkach, tryb promiscuous nie jest konieczny. (http://pl.wikipedia.org) 22

23 23 Skanery- przykłady: Najczęściej używanymi programami tego typu są: windump nessus tcpdump niffit ettercap dsniff ethereal snort (pełni także funkcję sieciowego systemu wykrywania intruzów)

24 Typ usługi Porty TCP Porty UDP Usługi logowania Telnet: 23 SSH: 22 FTP: 21 NetBIOS: 139 rlogin: 512, 513,514 RPC i NFS Portmap/rcpbind: 111 NFS: 2049 Lockd: 4045 Portmap/rcpbind: 111 NFS: 2049 Lockd: 4045 X Window Od 6000 do Usługi nazewnicze DNS: blokowanie transferów sieciowych poza zewnętrznymi drugorzędnymi LDAP: 389 DNS: blokowanie UDP 53 dla wszystkich komputerów, które nie są serwerami DNS LDAP: 389

25 Typ usługi Porty TCP Porty UDP 25 Poczta elektroniczna SMTP: 25 POP: 109, 110 IMAP: 143 WWW HTTP: 80 HTTPS: 443 Rożne Finger: 79 ICMP Poza zewnętrznymi serwerami WWW. Uwzględnić typowe porty wybierane do komunikacji 8000,8080,8888 NNTP: 119 SNMP: 161, 162 Blokowanie nadchodzących żądań echo (ping i traceroute) TFTP: 69 NTP: 123 SNMP:

26 26 Skanowanie sieci Za pomocą skanowania można poznać topologię sieci i konfigurację urządzeń dostępowych, np. listy dostępu (ACL) czy tablice routingu. Zaawansowane techniki pozwalają ominąć urządzenia filtrujące oraz ukryć źródło skanowania. Zrozumienie tego procesu wymaga pewnej wiedzy o budowie i działaniu protokołów warstwy transportowej i sieciowej. Protokoły TCP oraz UDP korzystają z tej samej warstwy sieciowej IP. Protokół TCP jest bardziej użyteczny podczas skanowania, gdyż realizuje połączenia typu connection-oriented. Narzędzia skanujące śledzą numery sekwencyjne pakietów oraz odpowiedzi systemu po otrzymaniu pakietów TCP z włączonymi określonymi flagami.

27 Protokół TCP/IP Kapsułkowanie danych TCP w IP * 27 * - Datagram IP *

28 Protokół TCP/IP Najważniejsze pola w datagramie IP: - TTL (długość życia pakietu) - znaczniki -przesunięcie fragmentacji Pole TTL określa liczbę urządzeń przełączających warstwy sieciowej (najczęściej routerów), przez które dany pakiet może być przesłany. Pozostałe dwa pola odpowiadają za obsługę fragmentacji datagramów IP. 28

29 Protokół TCP/IP 29 * - Nagłówek TCP *

30 30 Flagi nagłówka TCP URG - znacznik ważności pola wskaźnik ponaglający (jeśli jest ustawiony, to pole jest sprawdzane); oznacza, że w normalnym potoku danych umieszczone zostały dane pilne; ACK - znacznik ważności pola numer potwierdzenia (jeśli jest ustawiony, pole jest sprawdzane); PSH - oznacza, że dane po odebraniu powinny zostać przekazane procesowi wyższej warstwy, który je przetwarza bez czekania na wypełnienie się bufora lub kolejne segmenty. Znacznik ustawiany jest przez proces wysyłający (aplikację). Jeśli jest ustawiony u nadawcy, nakazuje on wysłać wszystko z bufora nadawczego, niezależnie od stopnia jego wypełnienia; RST - natychmiastowe (jednostronne) zamknięcie połączenia; SYN - synchronizacja numerów sekwencyjnych w celu inicjalizacji połączenia; FIN - znacznik określający zamiar zamknięcia połączenia (druga strona musi potwierdzić zamknięcie).

31 Proces nawiązywania połączenia - TCP 31 * -

32 32 Proces nawiązywania połączenia - TCP 1. Host wysyła pakiet z flagą SYN, inicjując numer sekwencyjny związany z wybranym portem - flaga informuje, że należy odczytać pole numer sekwencyjny, w którym umieszczany jest początkowy numer sekwencyjny (ISN - Initial Sequence Number). Wartość ISN jest istotna i powinna być losowa 2. Jeśli docelowy port jest otwarty, to host odbierający generuje pakiet z flagą SYN, własnym numerem sekwencyjnym oraz flagą ACK. W pole numer potwierdzenia wpisywana jest wartość pola numer sekwencyjny (z pakietu hosta inicjującego połączenie) powiększona o jeden (ACK = SYN+1). Jeśli port nie jest otwarty, host docelowy zobowiązany jest wysłać pakiet z ustawionymi bitami RST oraz ACK

33 Proces nawiązywania połączenia - TCP 3. Host inicjujący połączenie odpowiada pakietem z ustawioną flagą ACK informującą, że należy odczytać pole numer potwierdzenia, w którym wpisana jest wartość równa ISN+1. Od tego momentu połączenie jest nawiązane i gotowe do transmisji danych. 33

34 Techniki skanowania portów z wykorzystaniem TCP: - TCP connect - TCP SYN - SYN/ACK - FIN - XMAS - NULL - Inverse Mapping - Spoofed Inverse Mapping - IP ID idle scan 34 Podstawowe zadania narzędzi skanowania: - ominąć filtry pakietów (ACL), - nie dać się wykryć przez systemy IDS, - ukryć się w typowym ruchu sieci.

35 Technika TCP connect Metoda TCP connect wykorzystuje pełne połączenie z odległym portem. Jeśli w fazie nawiązywania połączenia serwer odpowie flagami SYN/ACK, oznacza to, że port jest otwarty w trybie nasłuchu - flaga RST/ACK wskazuje na zamknięty port. Skanowanie kończy pakiet RST, czyli czyste zamknięcie połączenia. Spostrzeżenie to wykorzystuje technika półotwarcia - TCP SYN. 35

36 Technika TCP SYN Metoda TCP SYN polega na wysłaniu pakietu RST zaraz po otrzymaniu w drugiej fazie połączenia pakietu SYN/ACK lub RST/ACK. Zaleta: utrudniona wykrywalność Wada - konieczność posiadania uprawnień zastrzeżonych dla administratora. Technika ta zbliżona jest do ataku DoS SYN Flood, dlatego też jest często wykrywana przez systemy IDS (np. Snort) lub odfiltrowywana na bramkach dostępowych. 36

37 Technika SYN/ACK Metoda SYN/ACK wykorzystuje pakiety wysłane na wybrany port z flagami SYN/ACK bez wcześniejszego zainicjowania połączenia pakietem SYN. Wartość ACK w tym pakiecie odnosi się do nieistniejącego połączenia. Skanowany system, jeśli odbierze taki pakiet na otwartym porcie, zignoruje go, traktując jako uszkodzony. Jeśli pakiet trafi na port zamknięty, wygenerowany zostanie pakiet RST. 37 Wada: - konieczność posiadania uprawnień administratora - większość zapór ogniowych blokuje pakiety SYN/ACK na zabronione porty, a skanowanie jest łatwo wykrywalne przez programy, np. synlogger, courtney.

38 Technika FIN Metoda FIN wykorzystuje flagę FIN. Reakcja skanowanego systemu jest identyczna jak w przypadku techniki SYN/ACK. Metoda ta wykorzystuje błąd w obsłudze stosu TCP/IP, przez co działa jedynie w systemach, gdzie błąd ten nie został poprawiony - niektóre implementacje (np. Windows) są na nią odporne. Zaleta: trudność detekcji i zablokowania. 38

39 Technika XMAS Metoda XMAS wykorzystuje wszystkie flagi w pakiecie. Otrzymując tak udziwniony pakiet, skanowany system odpowiada jak w poprzednim przypadku, lecz dotyczy to również systemu Windows. 39

40 Technika NULL Metoda NULL wykorzystuje pakiety bez ustawionej żadnej flagi. Zgodnie z zaleceniami RFC 793, wszystkie hosty zobowiązane są odpowiedzieć pakietem RST, jeżeli port jest zamknięty. Wada: niektóre systemy (m.in. w Windows, CISCO, BSDI, HP/UX, MVS i IRIX) z powodu niewłaściwej implementacji TCP/IP nie ignorują pakietów NULL skierowane pod adresem otwartego portu, lecz odpowiadają pakietem RST. 40

41 Technika Inverse Mapping Metoda Inverse Mapping wykorzystuje wysyłanie pakietów z ustawioną flagą RST. HostSkanujacy -> {Pakiet RST} -> Router -> {zapytanie ARP o adresie MAC} -> SUBNET <- {ICMP host unreachable (ICMP time exceeded)} Jeśli byłby to typowy pakiet (np. ping lub SYN/ACK), zostałby zapisany w logach. Jeśli natomiast będzie to pakiet z ustawioną flagą RST i losowym numerem ACK, istnieje duże prawdopodobieństwo, że zostanie on zignorowany przez system ochrony, a wygeneruje komunikat zwrotny. 41 Wada: brak odpowiedzi może oznaczać aktywność hosta, choć równie prawdopodobne jest to, że router nie wygenerował komunikatu ICMP, komunikat się zgubił lub wysłany przez skanującego pakiet został odfiltrowany w drodze powrotnej.

42 Technika Spoofed Inverse Mapping Metoda Spoofed Inverse Mapping polega na wykorzystaniu do skanowania jeszcze jednego komputera. Host B skanuje, a host A jest dodatkowym komputerem. Wszystkie pakiety wysyłane z hosta A powinny przechodzić przez host B, co w praktyce oznacza, że oba hosty muszą znajdować się w jednym segmencie sieci. Możliwe są dwie metody postępowania: 42

43 Technika Spoofed Inverse Mapping 1. Wysyłać do hosta A pakiety z włączoną flagą ACK i sfałszowanym adresem źródłowym wskazującym na host C. Host A odpowie na takie pakiety segmentami RST skierowanymi do hosta C. Ponieważ skanujący host znajduje się po drodze do hosta A, będzie on w stanie wychwycić odpowiedź hosta C na pakiety RST Aby nie zostawić śladu w logach na komputerze A, można od razu wysyłać pakiety RST z fałszywym adresem źródła (wskazującym na host A) do hosta C. Jeśli bramka wyśle komunikat ICMP wskazujący na brak hosta C, skanujący host B może go odczytać.

44 Implementacja stosu TCP/IP Analiza otrzymanego pakietu RST poprzez ocenę: - wielkości okna TCP - pola TTL (Time To Live) Odpowiedź RST można otrzymać na przykład wysyłając pakiet FIN na wybrany port. Niektóre systemy operacyjne zwracają pakiet RST z ustawionym polem TTL o wartości wyższej dla portów zamkniętych. Porty otwarte zwrócą pakiet RST z niższą wartością TTL. W poniższym przykładzie odpowiedź z portu 22 zawiera wartość TTL mniejszą niż 64, co zdradza otwarty port: 44 pakiet 1: host XXX.XXX.XXX.XXX port 20: F:RST -> ttl: 70 win: 0 => port zamknięty pakiet 2: host XXX.XXX.XXX.XXX port 21: F:RST -> ttl: 70 win: 0 => port zamknięty pakiet 3: host XXX.XXX.XXX.XXX port 22: F:RST -> ttl: 40 win: 0 => port otwarty pakiet 4: host XXX.XXX.XXX.XXX port 23: F:RST -> ttl: 70 win: 0 => port zamknięty

45 Implementacja stosu TCP/IP Sprawdzanie wielkości okna - różna od zera oznacza otwarty port. Działa ona w systemach z rodziny BSD (FreeBSD, OpenBSD) oraz Unix (AIX, DGUX), choć pojawiły się łaty w ich ostatnich wersjach. W tym przypadku można zauważyć, że pole TTL nie zdradza stanu portu, za to analiza wielkości okna daje dobre rezultaty: pakiet 6: host XXX.XXX.XXX.XXX port 20: F:RST -> ttl: 64 win: 0 => port zamknięty pakiet 7: host XXX.XXX.XXX.XXX port 21: F:RST -> ttl: 64 win: 0 => port zamknięty pakiet 8: host XXX.XXX.XXX.XXX port 22: F:RST -> ttl: 64 win: 512 => port otwarty pakiet 9: host XXX.XXX.XXX.XXX port 23: F:RST -> ttl: 64 win: 0 => port zamknięty 45 Metoda ta jest trudna do wykrycia. Pakiet RST może wygenerować system skanowany w bardzo wielu przypadkach. Zadanie skanującego ogranicza się wtedy do znalezienia takiego pakietu, który nie zostanie zapisany w logach routera i zapory ogniowej (względnie systemu IDS), ale spowoduje zwrócenie pakietu RST.

46 IP ID idle scan Metoda IP ID idle scan zależna jest od implementacji stosu TCP/IP konkretnego systemu operacyjnego. Wykorzystuje ona wcześniej opisaną technikę skanowania SYN, czyli nawiązywania połączenia TCP. Różnica polega na wykorzystaniu trzeciego hosta jako źródła pakietów, co pozwala na ukrycie własnego adresu. Aby skorzystać z tej techniki, trzeba zlokalizować w Internecie tzw. niemy (dumb) host, który nie wysyła i nie odbiera żadnych pakietów. W tym scenariuszu biorą udział trzy hosty: 1. A - skanujący, 2. B - niemy, 3. C - skanowany, czyli cel. 46

47 IP ID idle scan Technika ta wykorzystuje to, że wiele systemów operacyjnych wpisuje kolejne liczby w pole IP ID nagłówka pakietu IP. Windows NT zwiększa to pole stopniowo o wartość 256, Linux o 1. Jedynie system OpenBSD losuje te wartości, przez co nie można go wykorzystać jako niemy host. Skanowanie zaczyna host A, wysłając do hosta B pakiety ping i sprawdzając wartości pola IP ID. W przypadku Linuksa wartości te powinny rosnąć o jeden, co oznacza, że host B nie wysyła ani nie odbiera żadnych pakietów: 47 #hping B -r HPING B (eth0 xxx.yyy.zzz.jjj): no flags are set, 40 data bytes 60 bytes from xxx.yyy.zzz.jjj: flags=ra seq=0 ttl=64 id=41660 win=0 time=1.2 ms 60 bytes from xxx.yyy.zzz.jjj: flags=ra seq=1 ttl=64 id=+1 win=0 time=75 ms 60 bytes from xxx.yyy.zzz.jjj: flags=ra seq=2 ttl=64 id=+1 win=0 time=91 ms 60 bytes from xxx.yyy.zzz.jjj: flags=ra seq=3 ttl=64 id=+1 win=0 time=90 ms 60 bytes from xxx.yyy.zzz.jjj: flags=ra seq=4 ttl=64 id=+1 win=0 time=91 ms 60 bytes from xxx.yyy.zzz.jjj: flags=ra seq=5 ttl=64 id=+1 win=0 time=87 ms

48 IP ID idle scan Host A wysyła do hosta C na dowolny port pakiet SYN/ACK (pierwsza faza nawiązywania połączenia TCP) ze sfałszowanym adresem nadawcy wskazującym na host B sprawdzając IP ID. Host C odpowiada na taki pakiet w sposób zdefiniowany w RFC: -SYN/ACK, jeśli port jest otwarty w trybie nasłuchu. Na taki pakiet host B, który nic nie wie o połączeniu, odpowie pakietem RST, a więc zwiększone będzie pole ID IP o więcej niż bytes from xxx.yyy.zzz.jjj: flags=ra seq=17 ttl=64 id=+1 win=0 time=96 ms 60 bytes from xxx.yyy.zzz.jjj: flags=ra seq=18 ttl=64 id=+1 win=0 time=80 ms 60 bytes from xxx.yyy.zzz.jjj: flags=ra seq=19 ttl=64 id=+2 win=0 time=83 ms 60 bytes from xxx.yyy.zzz.jjj: flags=ra seq=20 ttl=64 id=+3 win=0 time=94 ms 60 bytes from xxx.yyy.zzz.jjj: flags=ra seq=21 ttl=64 id=+1 win=0 time=92 ms 60 bytes from xxx.yyy.zzz.jjj: flags=ra seq=22 ttl=64 id=+2 win=0 time=82 ms

49 IP ID idle scan -RST/ACK, jeśli docelowy port na hoście C jest zamknięty. Host B zignoruje taki pakiet. 60 bytes from xxx.yyy.zzz.jjj: flags=ra seq=52 ttl=64 id=+1 win=0 time=85 ms 60 bytes from xxx.yyy.zzz.jjj: flags=ra seq=53 ttl=64 id=+1 win=0 time=83 ms 60 bytes from xxx.yyy.zzz.jjj: flags=ra seq=54 ttl=64 id=+1 win=0 time=93 ms 60 bytes from xxx.yyy.zzz.jjj: flags=ra seq=55 ttl=64 id=+1 win=0 time=74 ms 60 bytes from xxx.yyy.zzz.jjj: flags=ra seq=56 ttl=64 id=+1 win=0 time=95 ms 60 bytes from xxx.yyy.zzz.jjj: flags=ra seq=57 ttl=64 id=+1 win=0 time=81 ms 49 Host A przez cały czas analizował zmiany w polu IP ID z hosta B. Jeśli pole zwiększyło się o więcej niż jeden w kolejnym pakiecie, znaczy to, że host B odpowiedział pakietem RST na połączenie z hosta C, zdradzając w ten sposób, że port jest otwarty.

50 Oszukiwanie wykrywaczy Metody ukrywania skanowania portów. - Skanowanie portów w losowej kolejności:: niektóre systemy IDS wykrywają sekwencyjne połączenia z jednego adresu źródłowego z kolejnymi portami. Wystarczy wprowadzić losowość przy wyborze portów do skanowania, by ominąć to zabezpieczenie 50 - Powolne skanowanie: system IDS lub dowolny inny stwierdzi próbę skanowania systemu, jeśli wykryje kolejne połączenia z jednego źródła do różnych portów w określonym czasie, np. za skanowanie uważana będzie próba nawiązania 5 połączeń na różne porty z jednego adresu w czasie 3 sekund - wiedząc to, można uniknąć wykrycia poprzez skanowanie 5 połączeń w ciągu 4 sekund. W przypadku nieznanych ustawień można skanowanie spowolnić do kilku pakietów na dzień

51 Oszukiwanie wykrywaczy - Fragmentacja pakietów: część istniejących systemów IDS nie składa defragmentowanych pakietów bądź to w obawie przed atakiem DoS, bądź z braku takiej funkcji. Dokument RFC791 określa minimalny rozmiar zdefragmentowango pakietu na 8 oktetów, czyli mniej niż nagłówek TCP + IP, przez co flagi TCP znajdują się w innym fragmencie niż nagłówek (segment TCP jest hermetyzowany w pakiecie IP). Nie widząc całego pakietu, system nie jest w stanie poprawnie go rozpoznać. Rozwiązaniem problemu jest skonfigurowanie bramki (zapory ogniowej lub routera), tak by składała w całość wszystkie zdefragmentowane pakiety 51 - Odwrócenie uwagi: polega na stworzeniu obfitego strumienia skanujących pakietów ze sfałszowanymi adresami nadawcy. Wśród tych pakietów co jakiś czas znajdować się będzie adres prawdziwego hosta inicjującego skanowanie

52 Oszukiwanie wykrywaczy - Fałszowanie adresu nadawcy: komputer skanujący fałszuje wszystkie adresy nadawcy, dbając jedynie o to, by przynajmniej jeden z fałszowanych adresów znajdował się w jego podsieci. Dzięki temu host skanujący jest w stanie podsłuchiwać pakiety zwrotne, nie zdradzając swojego adresu - Skanowanie rozproszone: skoordynowane skanowanie może być wykorzystane w połączeniu z powolnym skanowaniem w celu wykonania praktycznie niewykrywalnego skanowania w rozsądnym czasie. Technika ta wymaga jednak wcześniejszych przygotowań i znacznych zasobów. 52

53 Ewolucja zagrożeń internetowych Front rosnący: - Narzędzia szpiegowskie - Targetowane ataki - Rootkity - Sieci typu Botnet - Targetowany phishing Front stabilny: - Robaki - Spam - Spyware 53 Front zanikający: -Wirusy

54 Aktywność złośliwych programów Liczba nowych modyfikacji złośliwych programów wykrytych w ciągu jednego miesiąca Klasa Udz. % Zmiana TrojWare 91,79 +2,79% VirWare 4,70-1,3% MalWare 3,51-1,49% 54 * Na podstawie

55 Aktywność złośliwych programów Liczba nowych modyfikacji oprogramowania klasy TrojWare, wykrywanych każdego miesiąca przez analityków firmy Kaspersky Lab 55 * Na podstawie

56 Aktywność złośliwych programów Liczba nowych programów z klasy VirWare wykrywanych przez analityków firmy Kaspersky Lab w poszczególnych miesiącach 56 * Na podstawie

57 Nowoczesna ochrona Metoda proaktywna kontroluje następującą aktywność*: 1. Podejrzane zachowanie: analizuje wszystkie procesy załadowane w systemie, zapisuje zmiany wykonywane w rejestrze i systemie plików. 2. Uruchamianie przeglądarki internetowej z parametrami: przechwytywanie ukrytych uruchomień przeglądarki internetowej z parametrami. 3. Ingerencja w inny proces: przechwytuje wszystkie próby dodania kodu do innych aplikacji. 57 * Na podstawie

58 Nowoczesna ochrona 4. Ukryte procesy (rootkit): wykrywa modyfikacje wykonywane przez rootkity, które mają na celu ukrycie przed użytkownikiem plików i folderów, kluczy i wartości rejestru, uruchamianych programów, usług systemowych, sterowników, połączeń i aktywności sieciowej. 5. Window Hook: przechwytuje próbę ingerencji biblioteki (*.dll) w procesy systemowe. 6. Podejrzane wpisy w rejestrze: przechwytuje próbę stworzenia ukrytych wpisów w rejestrze, które nie są wykrywane przez standardowe programy (np.: do edycji rejestru) Podejrzana aktywność systemu: wykrywa zmiany w systemie wskazujące na obecność aktywnego szkodliwego kodu.

59 IDS - Intrusion Detection System Zadanie systemu wykrywania intruzów polega na identyfikacji i reagowaniu na nieautoryzowaną działalność skierowaną przeciwko chronionym zasobom sieciowym. Wyróżnia się trzy główne rodzaje systemów IDS: - hostowe (HIDS - Host IDS) - sieciowe (NIDS - Network IDS) - hybrydowe (NNIDS - Network Node IDS). Różnią się one lokalizacją w sieci oraz zakresem działania. 59

60 Internet Firewall HIDS HIDS Serwer WWW Serwer poczty Serwer WWW Serwer DNS 60 HIDS HIDS HIDS HIDS

61 Internet NIDS NIDS Firewall Serwer WWW Serwer poczty Serwer WWW Serwer DNS NIDS 61

62 Internet NIDS 1 NIDS 2 Firewall Serwer WWW Serwer poczty Serwer WWW Serwer DNS NIDS 3 NIDS 4 NIDS 62 Prywatna sieć zarządzania Centralny system zarządzający NIDS Prywatna sieć zarządzania

63 IDS - Intrusion Detection System Systemy HIDS można podzieli na trzy kategorie: 1. Tradycyjne - z programem agenta zainstalowanym na każdej chronionej maszynie. Agent nadzoruje logi systemowe, dziennik zdarzeń, kluczowe pliki systemowe oraz inne zasoby, które mogą podlegać weryfikacji. Podejrzane działania wykrywane są po ich zarejestrowaniu przez system. Ostrzeżenia o nadużyciach i zauważonej nieautoryzowanej działalności wysyłane są poprzez sieć do centralnej konsoli. 63

64 IDS - Intrusion Detection System Systemy HIDS można podzieli na trzy kategorie: 2. Programy badające integralność plików - sprawdzają status kluczowych plików systemowych oraz rejestru. Zapamiętują stan wybranych plików (najczęściej poprzez stworzenie bazy z sumami kontrolnymi) i w określonym czasie dokonują porównania ze stanem bieżącym. Taki sposób działania pozwala wykryć podmiany plików (np. na konia trojańskiego) oraz zmiany w konfiguracji. Przykładem takiego programu jest Tripwire. 64

65 IDS - Intrusion Detection System Systemy HIDS można podzieli na trzy kategorie: 3. Systemy zapobiegania włamaniom (IPS Intrusion Protect System) przyjmują aktywną postawę w stosunku do zagrożeń - integrują się z systemem operacyjnym, przechwytując wywołania systemowe jądra lub interfejsów programowych API. W momencie wykrycia podejrzanych działań programy IPS są w stanie zablokować wywołanie danej funkcji i udaremnić atak. 65

66 IDS - Intrusion Detection System Z punktu widzenia systemów IDS istnieją trzy kategorie ataków: Ataki rozpoznawcze - takie jak rozpoznanie sieci, tworzenie mapy systemu z uwzględnieniem jej krytycznych punktów, np. serwerów DNS, kontrolerów domeny. 2. Właściwe ataki - polegające na próbie wykorzystania znanych i nieznanych luk w systemach operacyjnych i aplikacjach. Najczęściej wykorzystuje się w tym celu przepełnienie bufora w aplikacji lub błędy w interpretacji nietypowych danych wejściowych. 3. Ataki typu odmowa dostępu do usług (Denial of Service)

67 IDS - Intrusion Detection System Istnieją też trzy podstawowe techniki wykrywania ataków stosowane w klasycznych systemach IDS: 1. Sygnatury - dopasowywanie wzorców: zestawów bajtów, wyrażeń regularnych (regular expression). 2. Badanie częstości zdarzeń i przekraczania pewnych limitów w określonej jednostce czasu Wykrywanie anomalii statystycznych, np. nagłe odstępstwo rozmiarów pakietów IP od przeciętnego rozmiaru obserwowanego w danej sieci.

68 Podsumowanie Do głównych (priorytetowych) zadań systemów IDS należy: 68 analiza aktywności systemu i użytkowników wykrywanie zbyt dużych przeciążeń analiza plików dziennika rozpoznawanie standardowych działań włamywacza natychmiastowa reakcja na wykryte zagrożenie tworzenie i uruchamianie pułapek systemowych wykrywanie podatności systemu na ataki ocena integralności poszczególnych części systemu wraz z danymi

69 System Fedora Linux posiada możliwość monitorowania i zapisywania prawie każdego działania, które ma miejsce w systemie. 69

70 LogSentry Pakiet LogSentry to narzędzie, które ułatwia zarządzanie systemem plików dzienników. LogSentry zwraca uwagę administratora, na rzeczy które mogłoby być niezauważone. Sprawdza pliki dzienników generowane przez standardowe narzędzie systemu Linux, syslog, filtruje wiadomości, które informują o zagrożeniach dla systemu, a następnie porządkuje je według kategorii i przesyła w postaci komunikatu do administratora systemu. 70

71 LogSentry Domyślnie LogSentry sprawdza wiadomości w plikach dzienników messages, secure, mail (/var/log). Istnieje możliwość zmiany wykorzystywanych plików dzienników, funkcji, które monitoruje pakiet, poziom monitorowania syslog oraz częstotliwość generowanych raportów. 71

72 Demon syslogd Tab. Poziomy wiadomości 72 Poziom alert crit debug emerg err info notice warning Co oznacza wymagana jest natychmiastowa interwencja stan krytyczny szczegółowe informacje o stanie przetwarzania system w stanie niestabilnym wystąpienie błędu informacyjny ważne, ale nie informuje o wystąpieniu błędu potencjalna możliwość wystąpienia błędu

73 Zawartość pliku konfiguracyjnego /etc/syslog.conf 73

74 LogSentry 1. Pobieranie i instalacja pakietu LogSentry # rpm Uhv logsentry* 2. Pliki konfiguracyjne: - logsentry.cron (uruchamia skrypt logcheck.sh - /etc/cron.d/) - logtail, logcheck.sh (/usr/bin) - README (/usr/share/doc/logcheck*) 74

75 LogSentry - korzystanie 75 Wiadomości przesyłane w postaci komunikatu do administratora są uporządkowane według następujących kategorii: Active System Attack Alerts wskazują na próby, które mogą być włamaniami do systemu Security Violations informacje o błędach i naruszeniach zabezpieczeń, które mogą wskazywać na istnienie problemów, ale niekoniecznie muszą być włamaniami do systemu Unusual System Events zawiera wszystkie wiadomości dziennika zdarzeń, które nie pasują do powyższych kategorii, ale nie mogą być pominięte.

76 LogSentry - dopasowanie Modyfikacja skryptu /usr/sbin/logcheck.sh odbywa się poprzez zmianę wartości zmiennych wewnątrz skryptu: - SYSADMIN: definiuje konto użytkownika root - TMPDIR: definiuje miejsce, w którym zapisywane są pliki tymczasowe - GREP: wskazuje na polecenie, które jest wykorzystywane do przeszukiwania plików dzienników 76 - MAIL: wiadomość jest wysyłana przez LogSentry z wykorzystaniem polecenia mail

77 LogSentry dopasowanie c.d - Filter files: LogSentry definiuje 4 pliki filtrów. Każdy z nich zawiera słowa kluczowe wykorzystywane do odszukiwania wiadomości lub ich pomijania: - HACKING FILE=/etc/logsentry/logcheck.hacking - VIOLATIONS FILE=/etc/logsentry/logcheck.violations - VIOLATIONS_IGNORE FILE= =/etc/logsentry/logcheck.violations.ignore 77 - IGNORE_FILE=/etc/logsentry/logcheck.ignore

78 LogSentry dopasowanie c.d -Log files: domyślnie skrypt logcheck.sh uruchamia polecenie logtail do sprawdzania zawartości plików messages, secure, maillog (/var/log). Następujące linie definiują, które pliki dzienników są sprawdzane oraz miejsce, gdzie logtail zapisuje pliki tymczasowe: - $logtail /var/log/messages > $TMPDIR/check.$$ - $logtail /var/log/secure > $TMPDIR/check.$$ - $logtail /var/log/maillog > $TMPDIR/check.$$ 78

79 LogSentry modyfikacja plików filtrów /etc/logsentry/logcheck.hacking zawiera słowa kluczowe znajdujące się w wiadomościach dzienników zdarzeń, które wskazują na włamanie do systemu 2. /etc/logsentry/logcheck.ignore zawiera słowa kluczowe odpowiadające wiadomościom, które powinny być zawsze pomijane 3. /etc/logsentry/logcheck.violations zawiera słowa kluczowe odpowiadające próbom naruszenia systemu zabezpieczeń, które nie koniecznie muszą odpowiadać włamaniom do systemu 4. /etc/logsentry/logcheck.violations.ignore zawiera słowa kluczowe odpowiadające wiadomościom, które należy pomijać, chociaż informują o naruszeniach bezpieczeństwa

80 Plik /etc/logsentry/logcheck.hacking 80

81 Plik /etc/logsentry/logcheck.ignore 81

82 Plik /etc/logsentry/logcheck.violations 82

83 Plik /etc/logsentry/logcheck.violations.ignore 83

84 LogSentry logging 84

85 LogSentry logging <- nessus 85

86 LogSentry logging <- nessus 86

87 LogSentry logging <- nessus 87

88 LogSentry logging <- nessus Raport Nessus 88

89 PortSentry PortSentry podejmuje aktywny udział w ochronie systemu przed włamaniami z poziomu sieci. Narządzie PortSentry może być wykorzystane do monitorowania wybranych portów TCP i UDP, a także może reagować na próby uzyskania dostępu do tych portów. PortSentry działa jako uzupełnienie LogSentry poprzez aktywne wyszukiwania włamań do portów sieciowych. 89

90 PortSentry 90 PortSentry działa w kilku różnych trybach: 1. Basic to tryb, którego narzędzie używa standardowo. Wybrane porty TCP i UDP w tym trybie są powiązane z PortSentry, dzięki czemu monitorowane porty wyglądają jakby oferowały usługi dla sieci. 2. Stealth w tym trybie PortSentry nasłuchuje portów na poziomie warstwy gniazda (zamiast wiązać się z portami). Ten tryb może wykrywać różne techniki skanowania (SYN, FIN, XMAS). Może czasami generować fałszywe alarmy.

91 PortSentry PortSentry działa w kilku różnych trybach: 3. Advanced Stealth tryb oferuje tę samą metodę detekcji co tryb stealth, ale zamiast monitorować tylko wybrane porty, monitoruje wszystkie porty poniżej wybranego (domyślnie jest to port 1023). Można wyłączyć monitorowanie określonych portów. 91

92 92 PortSentry - instalacja Instalacja pakietu: #rpm Uhv portsentry* Zainstalowany pakiet składa się z plików konfiguracyjnych znajdujących się w katalogu: /etc/portsentry, skryptu uruchomieniowego portsentry (/etc/init.d/portsentry), polecenia portsentry (/usr/sbin) oraz plików README znajdujące się w katalogu (/usr/share/doc/portsentry*)

93 PortSentry - korzystanie 1. Skrypt uruchomieniowy /etc/init.d/portsentry jest uruchamiany automatycznie podczas startu systemu na poziomie 3, 4, Istnieje ciąg portów zdefiniowanych domyślnie, który jest monitorowany W odpowiedzi na ataki (za które uznawane jest skanowanie monitorowanych portów) wszystkie kolejne próby połączenia się z usługami protokołu TCP (UDP) będą blokowane.

94 PortSentry - korzystanie Komputery, których dostęp do systemu został zablokowany, są wymienione w plikach portsentry.blocked.tcp lub portsentry.blocked.udp znajdujące się w katalogu /var/portsentry. Usunięcie określonych wpisów powoduje przywrócenie dostępu dla wybranych komputerów. 94

95 PortSentry - konfiguracja Konfiguracja narzędzia PortSentry możliwa jest poprzez modyfikację pliku /etc/portsentry/portsentry.conf. W pliku tym istnieje możliwość wyboru: -plików, które mają być monitorowane -trybu monitorowania -sposobu działania po wykryciu próby skanowania. 95 Odpowiedzi mogą obejmować: -blokowanie dostępu dla zdalnego komputera -przekierowanie wiadomości pochodzących od zdalnego komputera do nieaktywnego komputera -dopisanie reguły firewalla blokującej pakiety pochodzące od zdalnego komputera.

96 PortSentry konfiguracja (wybór portów) Istnieje możliwość modyfikacji pliku /etc/portsentry/portsentry.modes do zmiany trybu uruchamiania narzędzia PortSentry. 96 Plik portsentry.conf definiuje porty, które są monitorowane w trybach basic i stealth. Opcje TCP_PORTS i UDP_PORTS definiują, które porty są monitorowane. Porty przypisane do monitorowania są wybierane na podstawie kilku różnych kryteriów. Porty niższe (1,11,15, itd.) są wybierane do przechwytywania skanerów portów, które zaczynają działania od portu 1. Kolejną metodą jest dołączenie portów, które są testowane przez włamywaczy, ponieważ związane z nimi usługi są podatne na ataki (systat port 11, netstat port 15).

97 PortSentry konfiguracja (wybór portów) Jeżeli następuje zmiana trybu pracy z basic na stealth portami monitorowanymi są porty wskazywane przez opcje: ADVANCED_PORT_TCP i ADVANCED_PORT_UDP. Domyślna wartość to: ADVANCED_PORT_TCP= 1023 ADVANCED_PORT_UDP= 1023 Można wyłączyć porty ze skanowania za pomocą opcji: ADVANCED_EXCLUDE_TCP i ADVANCED_EXCLUDE_UDP. 97 Domyślne ustawienia: ADVANCED_EXCLUDE_TCP= 111,113,139 ADVANCED_EXCLUDE_UDP= 520,138,137,67

98 PortSentry konfiguracja (wybór portów) Domyślnie usługi ident i NetBIOS dla TCP -porty 111,113,139 Domyślnie usługi route, NetBIOS, Bootp dla UDP porty 520,138,127,67 Porty te są wyłączone z zaawansowanego skanowania, ponieważ zdalny komputer może odwołać się do tych portów bez wrogich zamiarów. 98

99 PortSentry identyfikacja plików konfiguracyjnych Oprócz pliku portsentry.conf istnieją inne pliki konfiguracyjne wykorzystywane przez PortSentry. Pliki te zdefiniowane są w pliku portsentry.conf: # Ignorowane komputery IGNORE_FILE=/etc/portsentry/portsentry.ignore # Komputery, którym odmówiono dostępu (historia) HISTORY_FILE=/etc/portsentry/portsentry.history # Komputery, którym odmówiono dostępu tylko w tej sesji (tymczasowo) BLOCKED_FILE=/var/portsentry/portsentry.blocked 99

100 PortSentry określenie reakcji 10 0 Opcje BLOCK_TCP i BLOCK_UDP definiują reakcję na skanowanie portów. Domyślnie definicje tych opcji mają postać: BLOCK_TCP= 2 BLOCK_UDP= 2 -wartość 2 (wartość domyślna) powoduje tymczasowe zablokowanie dostępu do usług skanowanego portu oraz zapisanie zdarzenia w dzienniku zdarzeń. Jeżeli jakieś polecenia zostały zdefiniowane przez opcję KILL_RUN_CMD to polecenie jest uruchamiane. -wartość 0 powoduje zapisanie dziennika zdarzeń, ale nie prowadzi do zablokowania zdalnego dostępu -wartość 1 powoduje uruchomienie opcji KILL_ROUTE i KILL_HOSTS_DENY.

101 PortSentry określenie reakcji Domyślnie kolejne żądania nadchodzące od zdalnego komputera zostaną przekierowane do nieaktywnego komputera, a adres IP zdalnego komputera zostanie dopisany do pliku /etc/hosts.deny, co spowoduje zablokowanie dostępu do usług sieciowych. KILL_ROUTE opcja uruchamia polecenie /sbin/route. Domyślne ustawienie: KILL_ROUTE= /sbin/route add host $TARGET$ gw KILL_HOSTS_DENY opcja jest wykorzystywana do odrzucania żądań skierowanych do usług sieciowych, które są chronione. Ta opcja jest domyślnie zdefiniowana następująco: KILL_HOSTS_DENY= ALL: $TARGET$

102 PortSentry określenie reakcji KILL_RUN_CMD definicja dowolnego polecenia wykonywanego jako odpowiedź na działanie. Wartość opcji powinna być pełną ścieżką do skryptu PORT_BANNER można wysłać wiadomość do osoby, która uruchamia monitor PortSentry Np.: PORT_BANNER= **Unauthorized access prohibited** Your connection attemp has been logged. Go away SCAN_TRIGGER liczba skanowań pochodzących od komputera zdalnego przed uruchomieniem odpowiedzi PortSentry. Domyślnie wartość wynosi 0.

103 PortSentry modyfikacja portsentry.modes 10 3 Plik /etc/portsentry/portsentry.modes definiuje tryby uruchamiania PortSentry podczas włączania systemu: tcp udp #stcp #sudp #atcp #audp Opcje tcp i udp to podstawowe tryby pracy PortSentry. Pozostałe obejmują stealth (stcp) i advanced (atcp). Jednocześnie może działać tylko jeden tryb pracy.

104 Skanowanie zdalnego hosta 10 4

105 Info Mail z wykrycia procesu skanowania 10 5

106 Zablokowanie dostępu do skanowanego hosta 10 6

107 LogSentry logging <- nessus Raport Nessus 10 7

108 Wylistowania reguł firewall a 10 8

109 Modyfikacja reguły firewall uzyskanie dostępu 10 9

Wprowadzenie. Celem jakichkolwiek działań z zakresu bezpieczeństwa teleinformatycznego jest ochrona informacji, a nie komputerów!

Wprowadzenie. Celem jakichkolwiek działań z zakresu bezpieczeństwa teleinformatycznego jest ochrona informacji, a nie komputerów! Wprowadzenie Celem jakichkolwiek działań z zakresu bezpieczeństwa teleinformatycznego jest ochrona informacji, a nie komputerów! informatyka + 2 Wprowadzenie Dlaczego chronimy informację? Ponieważ jest

Bardziej szczegółowo

Podstawy bezpieczeństwa

Podstawy bezpieczeństwa Podstawy bezpieczeństwa sieciowego Dariusz CHAŁADYNIAK 2 Plan prezentacji Złośliwe oprogramowanie Wybrane ataki na sieci teleinformatyczne Wybrane metody bezpieczeństwa sieciowego Systemy wykrywania intruzów

Bardziej szczegółowo

Robaki sieciowe. + systemy IDS/IPS

Robaki sieciowe. + systemy IDS/IPS Robaki sieciowe + systemy IDS/IPS Robak komputerowy (ang. computer worm) samoreplikujący się program komputerowy, podobny do wirusa komputerowego, ale w przeciwieństwie do niego nie potrzebujący nosiciela

Bardziej szczegółowo

BEZPIECZEŃSTWO W SIECIACH

BEZPIECZEŃSTWO W SIECIACH PREZENTACJA NA SYSTEMY OPERACYJNE Katarzyna Macioszek styczeń 2007 DEFINICJA ROBAKA CO TO JEST ROBAK? PRZYKŁADY ROBAKÓW Robak - program komputerowy zdolny do samoreplikacji przez sieć bez interakcji użytkownika

Bardziej szczegółowo

9. System wykrywania i blokowania włamań ASQ (IPS)

9. System wykrywania i blokowania włamań ASQ (IPS) 9. System wykrywania i blokowania włamań ASQ (IPS) System Intrusion Prevention w urządzeniach NETASQ wykorzystuje unikalną, stworzoną w laboratoriach firmy NETASQ technologię wykrywania i blokowania ataków

Bardziej szczegółowo

Skanowanie portów. Autorzy: Jakub Sorys, Dorota Szczpanik IVFDS

Skanowanie portów. Autorzy: Jakub Sorys, Dorota Szczpanik IVFDS Skanowanie portów Autorzy: Jakub Sorys, Dorota Szczpanik IVFDS 1 STRESZCZENIE W niniejszej pracy wyjaśniamy podstawowe pojęcia oraz techniki związane z zagadnieniem skanowania sieci, fingerprintingu i

Bardziej szczegółowo

Projektowanie bezpieczeństwa sieci i serwerów

Projektowanie bezpieczeństwa sieci i serwerów Projektowanie bezpieczeństwa sieci i serwerów Konfiguracja zabezpieczeń stacji roboczej 1. Strefy bezpieczeństwa przeglądarki Internet Explorer. W programie Internet Explorer można skonfigurować ustawienia

Bardziej szczegółowo

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci N, Wykład 6: Bezpieczeństwo w sieci 1 Ochrona danych Ochrona danych w sieci musi zapewniać: Poufność nieupoważnione osoby nie mają dostępu do danych Uwierzytelnianie gwarancja pochodzenia Nienaruszalność

Bardziej szczegółowo

7. Konfiguracja zapory (firewall)

7. Konfiguracja zapory (firewall) 7. Konfiguracja zapory (firewall) Konfiguracja firewalla w rozwiązaniach NETASQ podzielona jest na dwie części. Pierwszą z nich są reguły domyślne a drugą polityki konfigurowane przez administratora. W

Bardziej szczegółowo

Wykaz zmian w programie SysLoger

Wykaz zmian w programie SysLoger Wykaz zmian w programie SysLoger Pierwsza wersja programu 1.0.0.1 powstała we wrześniu 2011. Funkcjonalność pierwszej wersji programu: 1. Zapis logów do pliku tekstowego, 2. Powiadamianie e-mail tylko

Bardziej szczegółowo

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo 1 > /proc/sys/net/ipv4/ip_forward Zarządzanie bezpieczeństwem w sieciach Router programowy z firewallem oparty o iptables Celem ćwiczenia jest stworzenie kompletnego routera (bramki internetowej), opartej na iptables. Bramka umożliwiać

Bardziej szczegółowo

Problemy z bezpieczeństwem w sieci lokalnej

Problemy z bezpieczeństwem w sieci lokalnej Problemy z bezpieczeństwem w sieci lokalnej możliwości podsłuchiwania/przechwytywania ruchu sieciowego pakiet dsniff demonstracja kilku narzędzi z pakietu dsniff metody przeciwdziałania Podsłuchiwanie

Bardziej szczegółowo

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński Temat 8.9. Wykrywanie i usuwanie awarii w sieciach komputerowych. 1. Narzędzia

Bardziej szczegółowo

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP FILTROWANIE IP mechanizm decydujący, które typy datagramów IP mają być odebrane, które odrzucone. Odrzucenie oznacza usunięcie, zignorowanie datagramów, tak jakby nie zostały w ogóle odebrane. funkcja

Bardziej szczegółowo

Laboratorium 6.7.2: Śledzenie pakietów ICMP

Laboratorium 6.7.2: Śledzenie pakietów ICMP Topologia sieci Tabela adresacji Urządzenie Interfejs Adres IP Maska podsieci Domyślna brama R1-ISP R2-Central Serwer Eagle S0/0/0 10.10.10.6 255.255.255.252 Nie dotyczy Fa0/0 192.168.254.253 255.255.255.0

Bardziej szczegółowo

z paska narzędzi lub z polecenia Capture

z paska narzędzi lub z polecenia Capture Rodzaje testów i pomiarów pasywnych 40 ZAGADNIENIA Na czym polegają pomiary pasywne sieci? Jak przy pomocy sniffera przechwycić dane przesyłane w sieci? W jaki sposób analizować dane przechwycone przez

Bardziej szczegółowo

Wykaz zmian w programie SysLoger

Wykaz zmian w programie SysLoger Wykaz zmian w programie SysLoger Pierwsza wersja programu 1.0.0.1 powstała we wrześniu 2011. Funkcjonalność pierwszej wersji programu: 1. Zapis logów do pliku tekstowego, 2. Powiadamianie e-mail tylko

Bardziej szczegółowo

Instrukcja konfiguracji funkcji skanowania

Instrukcja konfiguracji funkcji skanowania Instrukcja konfiguracji funkcji skanowania WorkCentre M123/M128 WorkCentre Pro 123/128 701P42171_PL 2004. Wszystkie prawa zastrzeżone. Rozpowszechnianie bez zezwolenia przedstawionych materiałów i informacji

Bardziej szczegółowo

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych Wykład 2: Budowanie sieci lokalnych 1 Budowanie sieci lokalnych Technologie istotne z punktu widzenia konfiguracji i testowania poprawnego działania sieci lokalnej: Protokół ICMP i narzędzia go wykorzystujące

Bardziej szczegółowo

Laboratorium 6.7.1: Ping i Traceroute

Laboratorium 6.7.1: Ping i Traceroute Laboratorium 6.7.1: Ping i Traceroute Topologia sieci Tabela adresacji Urządzenie Interfejs Adres IP Maska podsieci Domyślna brama R1-ISP R2-Central Serwer Eagle S0/0/0 10.10.10.6 255.255.255.252 Nie dotyczy

Bardziej szczegółowo

Wireshark analizator ruchu sieciowego

Wireshark analizator ruchu sieciowego Wireshark analizator ruchu sieciowego Informacje ogólne Wireshark jest graficznym analizatorem ruchu sieciowego (snifferem). Umożliwia przechwytywanie danych transmitowanych przez określone interfejsy

Bardziej szczegółowo

Sieci komputerowe laboratorium

Sieci komputerowe laboratorium Sieci komputerowe laboratorium Temat ćwiczenia: Konfiguracja zapory ogniowej. Cel ćwiczenia Celem ćwiczenia jest zapoznanie się z podstawowymi metodami ataków na system komputerowy, z metodami wykrywania

Bardziej szczegółowo

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego ZADANIE V OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego A. ROZMIARY I CHARAKTER ZADANIA 1. W ramach dostawy oprogramowania antywirusowego Szpital

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS

Bardziej szczegółowo

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej Marcin Kłopocki /170277/ Przemysła Michalczyk /170279/ Bartosz Połaniecki /170127/ Tomasz Skibiński /170128/ Styk

Bardziej szczegółowo

Bezpieczeństwo w M875

Bezpieczeństwo w M875 Bezpieczeństwo w M875 1. Reguły zapory sieciowej Funkcje bezpieczeństwa modułu M875 zawierają Stateful Firewall. Jest to metoda filtrowania i sprawdzania pakietów, która polega na analizie nagłówków pakietów

Bardziej szczegółowo

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV Produkty zabezpieczeń typu UTM (ang. unified threat management) to urządzenia, w których zawarte

Bardziej szczegółowo

9. Internet. Konfiguracja połączenia z Internetem

9. Internet. Konfiguracja połączenia z Internetem 9. Internet Ćwiczenia zawarte w tym rozdziale pozwolą na bezpieczne podłączenie komputera (lub całej sieci lokalnej) do Internetu. Firma Microsoft nie zrezygnowała z umieszczania w systemie przeglądarki

Bardziej szczegółowo

Rozdział 6 - Z kim się kontaktować - 199 - Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o. 2012. Kopiowanie bez zezwolenia zabronione.

Rozdział 6 - Z kim się kontaktować - 199 - Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o. 2012. Kopiowanie bez zezwolenia zabronione. Rozdział 6 - Z kim się kontaktować - 199 - Spis treści - 200 - Rozdział 6 - Z kim się kontaktować Spis treści Rozdział 1: Podstawy bezpiecznego użytkowania komputera... - 3 - Dlaczego należy aktualizować

Bardziej szczegółowo

Akademia Techniczno-Humanistyczna w Bielsku-Białej

Akademia Techniczno-Humanistyczna w Bielsku-Białej Akademia Techniczno-Humanistyczna w Bielsku-Białej Wydział Budowy Maszyn i Informatyki Laboratorium z sieci komputerowych Ćwiczenie numer: 3 Temat ćwiczenia: Narzędzia sieciowe w systemie Windows 1. Wstęp

Bardziej szczegółowo

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka Wybrane metody obrony przed atakami Denial of Service Synflood Przemysław Kukiełka agenda Wprowadzenie Podział ataków DoS Zasada działania ataku Synflood Podział metod obrony Omówienie wybranych metod

Bardziej szczegółowo

Produkty. ESET Produkty

Produkty. ESET Produkty Produkty ESET Produkty czerwiec 2006 COPYRIGHT ArkaNET KATOWICE CZERWIEC 2006 KOPIOWANIE I ROZPOWSZECHNIANIE ZABRONIONE ESET Produkty czerwiec 2006 Wersja dokumentu W dokumencie użyto obrazków zaczerpniętych

Bardziej szczegółowo

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych) Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych) SYSTEM OPERACYJNY I JEGO OTOCZENIE System operacyjny/wersja, uaktualnienia, klucz produktu Stan

Bardziej szczegółowo

Skanowanie podsieci oraz wykrywanie terminali ABA-X3

Skanowanie podsieci oraz wykrywanie terminali ABA-X3 Skanowanie podsieci oraz wykrywanie terminali ABA-X3 Terminale ABA-X3 od dostarczane od połowy listopada 2010 r. są wyposażane w oprogramowanie umożliwiające skanowanie podsieci w poszukiwaniu aktywnych

Bardziej szczegółowo

7. zainstalowane oprogramowanie. 8. 9. 10. zarządzane stacje robocze

7. zainstalowane oprogramowanie. 8. 9. 10. zarządzane stacje robocze Specyfikacja oprogramowania do Opis zarządzania przedmiotu i monitorowania zamówienia środowiska Załącznik nr informatycznego 1 do specyfikacji Lp. 1. a) 1. Oprogramowanie oprogramowania i do systemów

Bardziej szczegółowo

Zarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący

Zarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący Zarządzanie w sieci Protokół Internet Control Message Protocol Protokół sterujący informacje o błędach np. przeznaczenie nieosiągalne, informacje sterujące np. przekierunkowanie, informacje pomocnicze

Bardziej szczegółowo

S P I S T R E Ś C I. Instrukcja obsługi

S P I S T R E Ś C I. Instrukcja obsługi S P I S T R E Ś C I Instrukcja obsługi 1. Podstawowe informacje o programie.................................................................................... 2 2. Instalacja programu.....................................................................................................

Bardziej szczegółowo

Metody zabezpieczania transmisji w sieci Ethernet

Metody zabezpieczania transmisji w sieci Ethernet Metody zabezpieczania transmisji w sieci Ethernet na przykładzie protokołu PPTP Paweł Pokrywka Plan prezentacji Założenia Cele Problemy i ich rozwiązania Rozwiązanie ogólne i jego omówienie Założenia Sieć

Bardziej szczegółowo

Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe. Parametry wymagane przez Zamawiającego

Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe. Parametry wymagane przez Zamawiającego Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe Lp. Parametry wymagane przez Zamawiającego (nazwa oferowanego oprogramowania) Parametry oferowane przez Wykonawcę (TAK- parametry zgodne z wymaganymi

Bardziej szczegółowo

Warstwa transportowa. mgr inż. Krzysztof Szałajko

Warstwa transportowa. mgr inż. Krzysztof Szałajko Warstwa transportowa mgr inż. Krzysztof Szałajko Modele odniesienia 7 Aplikacji 6 Prezentacji 5 Sesji 4 Transportowa 3 Sieciowa 2 Łącza danych 1 Fizyczna Aplikacji Transportowa Internetowa Dostępu do sieci

Bardziej szczegółowo

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych Firewalle aplikacyjne - Zabezpieczanie aplikacji internetowych Wojciech Dworakowski Agenda Dlaczego tradycyjne mechanizmy nie wystarczają? Wykorzystanie zaawansowanych firewalli Firewalle aplikacyjne architektura

Bardziej szczegółowo

Narzędzia do diagnozowania sieci w systemie Windows

Narzędzia do diagnozowania sieci w systemie Windows Narzędzia do diagnozowania sieci w systemie Windows Polecenie ping Polecenie wysyła komunikaty ICMP Echo Request w celu weryfikacji poprawności konfiguracji protokołu TCP/IP oraz dostępności odległego

Bardziej szczegółowo

Programowanie sieciowe

Programowanie sieciowe Programowanie sieciowe Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2014/2015 Michał Cieśla pok. D-2-47, email: michal.ciesla@uj.edu.pl konsultacje: środy 10-12 http://users.uj.edu.pl/~ciesla/

Bardziej szczegółowo

Katedra Inżynierii Komputerowej Politechnika Częstochowska. Zastosowania protokołu ICMP Laboratorium podstaw sieci komputerowych

Katedra Inżynierii Komputerowej Politechnika Częstochowska. Zastosowania protokołu ICMP Laboratorium podstaw sieci komputerowych Katedra Inżynierii Komputerowej Politechnika Częstochowska Zastosowania protokołu ICMP Laboratorium podstaw sieci komputerowych Cel ćwiczenia Zastosowania protokołu ICMP Celem dwiczenia jest zapoznanie

Bardziej szczegółowo

Produkty. MKS Produkty

Produkty. MKS Produkty Produkty MKS Produkty czerwiec 2006 COPYRIGHT ArkaNET KATOWICE CZERWIEC 2006 KOPIOWANIE I ROZPOWSZECHNIANIE ZABRONIONE MKS Produkty czerwiec 2006 Wersja dokumentu W dokumencie użyto obrazków zaczerpniętych

Bardziej szczegółowo

ABA-X3 PXES v. 1.5.0 Podręczna instrukcja administratora. FUNKCJE SIECIOWE Licencja FDL (bez prawa wprowadzania zmian)

ABA-X3 PXES v. 1.5.0 Podręczna instrukcja administratora. FUNKCJE SIECIOWE Licencja FDL (bez prawa wprowadzania zmian) Grupa Ustawienia Sieciowe umożliwia skonfigurowanie podstawowych parametrów terminala: Interfejs ETH0 Umożliwia wybór ustawień podstawowego interfejsu sieciowego. W przypadku wyboru DHCP adres oraz inne

Bardziej szczegółowo

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl) Wydział Elektroniki i Telekomunikacji POLITECHNIKA POZNAŃSKA fax: (+48 61) 665 25 72 ul. Piotrowo 3a, 60-965 Poznań tel: (+48 61) 665 22 93 LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl) Wireshark

Bardziej szczegółowo

Firewall bez adresu IP

Firewall bez adresu IP Firewall bez adresu IP Jak to zrobić Janusz Janiszewski Janusz.Janiszewski@nask.pl Agenda Wstęp Jak to działa? FreeBSD Kiedy stosować? Wady i zalety Inne rozwiązania Pytania? Typy firewalli Filtry pakietów

Bardziej szczegółowo

Rys. 1. Wynik działania programu ping: n = 5, adres cyfrowy. Rys. 1a. Wynik działania programu ping: l = 64 Bajty, adres mnemoniczny

Rys. 1. Wynik działania programu ping: n = 5, adres cyfrowy. Rys. 1a. Wynik działania programu ping: l = 64 Bajty, adres mnemoniczny 41 Rodzaje testów i pomiarów aktywnych ZAGADNIENIA - Jak przeprowadzać pomiary aktywne w sieci? - Jak zmierzyć jakość usług sieciowych? - Kto ustanawia standardy dotyczące jakości usług sieciowych? - Jakie

Bardziej szczegółowo

INSTRUKCJA OBSŁUGI DLA SIECI

INSTRUKCJA OBSŁUGI DLA SIECI INSTRUKCJA OBSŁUGI DLA SIECI Zapisywanie dziennika druku w lokalizacji sieciowej Wersja 0 POL Definicje dotyczące oznaczeń w tekście W tym Podręczniku użytkownika zastosowano następujące ikony: Uwagi informują

Bardziej szczegółowo

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania

Bardziej szczegółowo

4. Podstawowa konfiguracja

4. Podstawowa konfiguracja 4. Podstawowa konfiguracja Po pierwszym zalogowaniu się do urządzenia należy zweryfikować poprawność licencji. Można to zrobić na jednym z widżetów panelu kontrolnego. Wstępną konfigurację można podzielić

Bardziej szczegółowo

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol) Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol) W latach 1973-78 Agencja DARPA i Stanford University opracowały dwa wzajemnie uzupełniające się protokoły: połączeniowy TCP

Bardziej szczegółowo

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks Systemy informatyczne zmieniają się, a wraz z nimi wymagane jest stosowanie środków bezpieczeństwa odpowiednich

Bardziej szczegółowo

11. Autoryzacja użytkowników

11. Autoryzacja użytkowników 11. Autoryzacja użytkowników Rozwiązanie NETASQ UTM pozwala na wykorzystanie trzech typów baz użytkowników: Zewnętrzna baza zgodna z LDAP OpenLDAP, Novell edirectory; Microsoft Active Direcotry; Wewnętrzna

Bardziej szczegółowo

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R. Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R. Topologia sieci: Lokalizacja B Lokalizacja A Niniejsza instrukcja nie obejmuje konfiguracji routera dostępowego

Bardziej szczegółowo

Numer ogłoszenia: 117195-2012; data zamieszczenia: 28.05.2012

Numer ogłoszenia: 117195-2012; data zamieszczenia: 28.05.2012 Ogłoszenie powiązane: Ogłoszenie nr 111915-2012 z dnia 2012-05-21 r. Ogłoszenie o zamówieniu - Stalowa Wola 1) Przedmiotem zamówienia jest dostawa oprogramowania antywirusowego, wraz z zaporą, na stacje

Bardziej szczegółowo

Podstawy zabezpieczania serwera. Marcin Bieńkowski

Podstawy zabezpieczania serwera. Marcin Bieńkowski komputerowa Podstawy zabezpieczania serwera Marcin Bieńkowski Instytut Informatyki Uniwersytet Wrocławski komputerowa () Podstawy zabezpieczania serwera 1 / 17 Z oczywistych przyczyn... Pojawia się tu

Bardziej szczegółowo

Data wykonania. 15.03.2014

Data wykonania. 15.03.2014 Grupa ćwicz. 4 Nr ćwicz./ wersja 4 / 1 Grupa lab. 8 Zespół. Temat ćwiczenia. Rodzina protokołów TCP/IP Imiona i nazwiska. Michał Warzocha, Mateusz Wawrzyniak 4 Data wykonania. 15.03.2014 Data odbioru Ocena

Bardziej szczegółowo

Wykład 13. komputerowych Intrusion Detection Systems głowne slajdy. 4 stycznia 2012. Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Wykład 13. komputerowych Intrusion Detection Systems głowne slajdy. 4 stycznia 2012. Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński Wykład 13 Intrusion Detection Systems głowne slajdy 4 stycznia 2012 Instytut Informatyki Uniwersytet Jagielloński 13.1 Dzienniki systemowe wyszukiwanie i analiza rekordów synchronizacja informacji z różnych

Bardziej szczegółowo

Załącznik nr 1 I. Założenia ogólne:

Załącznik nr 1 I. Założenia ogólne: Załącznik nr 1 do zapytania ofertowego na: dostawę oprogramowania do ochrony stacji roboczych Windows i oprogramowania zabezpieczającego serwery linux wraz z centralną konsolą zarządzającą I. Założenia

Bardziej szczegółowo

Wykład Nr 4. 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Wykład Nr 4. 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia Sieci komputerowe Wykład Nr 4 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia Sieci bezprzewodowe Sieci z bezprzewodowymi punktami dostępu bazują na falach radiowych. Punkt dostępu musi mieć

Bardziej szczegółowo

1 Moduł Diagnostyki Sieci

1 Moduł Diagnostyki Sieci 1 Moduł Diagnostyki Sieci Moduł Diagnostyki Sieci daje użytkownikowi Systemu Vision możliwość badania dostępności w sieci Ethernet komputera lub innych urządzeń wykorzystujących do połączenia protokoły

Bardziej szczegółowo

Przegląd technik wirtualizacji i separacji w nowoczesnych systemach rodziny UNIX

Przegląd technik wirtualizacji i separacji w nowoczesnych systemach rodziny UNIX Przegląd technik wirtualizacji i separacji w nowoczesnych systemach rodziny UNIX CONFidence 2005 IX Liceum Ogólnokształcące im. C.K. Norwida w Częstochowie Krajowy Fundusz na Rzecz Dzieci Wojciech A. Koszek

Bardziej szczegółowo

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl Client-side Hacking - wprowadzenie w tematykę ataków na klienta Radosław Wal radoslaw.wal@clico.pl Plan wystąpienia Wprowadzenie Statystyki incydentów bezpieczeństwa Typowe zagrożenia Client-side Minimalne

Bardziej szczegółowo

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych? Zadanie 1. Rysunek przedstawia topologię A. magistrali. B. pierścienia. C. pełnej siatki. D. rozszerzonej gwiazdy. Zadanie 2. W architekturze sieci lokalnych typu klient serwer A. żaden z komputerów nie

Bardziej szczegółowo

Stos TCP/IP. Warstwa aplikacji cz.2

Stos TCP/IP. Warstwa aplikacji cz.2 aplikacji transportowa Internetu Stos TCP/IP dostępu do sieci Warstwa aplikacji cz.2 Sieci komputerowe Wykład 6 FTP Protokół transmisji danych w sieciach TCP/IP (ang. File Transfer Protocol) Pobieranie

Bardziej szczegółowo

Ping. ipconfig. getmac

Ping. ipconfig. getmac Ping Polecenie wysyła komunikaty ICMP Echo Request w celu weryfikacji poprawności konfiguracji protokołu TCP/IP oraz dostępności odległego hosta. Parametry polecenie pozwalają na szczegółowe określenie

Bardziej szczegółowo

Windows Serwer 2008 R2. Moduł 5. Zarządzanie plikami

Windows Serwer 2008 R2. Moduł 5. Zarządzanie plikami Windows Serwer 2008 R2 Moduł 5. Zarządzanie plikami Sprawdzamy konfigurację kart sieciowych 172.16.x.0 x nr w dzienniku Na serwerze musi działać Internet! Statyczny adres IP jest potrzebny komputerom,

Bardziej szczegółowo

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE Politechnika Gdańska Wydział Elektrotechniki i Automatyki Katedra Inżynierii Systemów Sterowania SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE Temat: Identyfikacja właściciela domeny. Identyfikacja tras

Bardziej szczegółowo

Technologia Automatyczne zapobieganie exploitom

Technologia Automatyczne zapobieganie exploitom Technologia Automatyczne zapobieganie exploitom Podejście Kaspersky Lab do bezpieczeństwa opiera się na ochronie wielowarstwowej. Większość szkodliwych programów powstrzymuje pierwsza warstwa zostają np.

Bardziej szczegółowo

IP Spoofing is still alive... Adam Zabrocki http://pi3.hack.pl ( nie działa ;) ) pi3@itsec.pl (lub oficjalnie: adam@hispasec.com)

IP Spoofing is still alive... Adam Zabrocki http://pi3.hack.pl ( nie działa ;) ) pi3@itsec.pl (lub oficjalnie: adam@hispasec.com) Adam Zabrocki http://pi3.hack.pl ( nie działa ;) ) pi3@itsec.pl (lub oficjalnie: adam@hispasec.com) Mapa prezentacji: Cel wykładu... Mapa prezentacji: Cel wykładu... Spojrzenie inżynierskie: Protokół IPv4

Bardziej szczegółowo

Podstawowe protokoły transportowe stosowane w sieciach IP cz.1

Podstawowe protokoły transportowe stosowane w sieciach IP cz.1 Laboratorium Technologie Sieciowe Podstawowe protokoły transportowe stosowane w sieciach IP cz.1 Wprowadzenie Ćwiczenie przedstawia praktyczną stronę następujących zagadnień: połączeniowy i bezpołączeniowy

Bardziej szczegółowo

Problemy techniczne SQL Server

Problemy techniczne SQL Server Problemy techniczne SQL Server Co zrobić, jeśli program Optivum nie łączy się poprzez sieć lokalną z serwerem SQL? Programy Optivum, które korzystają z bazy danych umieszczonej na serwerze SQL, mogą być

Bardziej szczegółowo

Veronica. Wizyjny system monitorowania obiektów budowlanych. Instrukcja oprogramowania

Veronica. Wizyjny system monitorowania obiektów budowlanych. Instrukcja oprogramowania Veronica Wizyjny system monitorowania obiektów budowlanych Instrukcja oprogramowania 1 Spis treści 1. Aplikacja do konfiguracji i nadzoru systemu Veronica...3 1.1. Okno główne aplikacji...3 1.2. Edycja

Bardziej szczegółowo

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak Wykład 3 / Wykład 4 Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak 1 Wprowadzenie do Modułu 3 CCNA-E Funkcje trzech wyższych warstw modelu OSI W jaki sposób ludzie wykorzystują

Bardziej szczegółowo

WZP/WO/D-332-65/15 SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

WZP/WO/D-332-65/15 SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA Przedmiotem zamówienia jest dostawa licencji na oprogramowanie antywirusowe wraz z centralnym zarządzaniem: Licencje na 600 stanowisk (w tym 15 instalacji serwerowych),

Bardziej szczegółowo

Wymagania techniczne dla programów antywirusowych. Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość 450 sztuk:

Wymagania techniczne dla programów antywirusowych. Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość 450 sztuk: Nr Sprawy KP- 42 /2006 Załącznik nr 1 Do Specyfikacji Istotnych Warunków Zamówienia Wymagania techniczne dla programów antywirusowych Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość

Bardziej szczegółowo

Najbardziej popularne metody włamań

Najbardziej popularne metody włamań Prezentacja: Najbardziej popularne metody włamań Aleksander Grygiel Plan prezentacji Skanery portów Ataki przez przepełnienie bufora Ataki z wykorzystaniem dowiązań w /tmp Ataki odmowy dostępu Skanowanie

Bardziej szczegółowo

MODEL OSI A INTERNET

MODEL OSI A INTERNET MODEL OSI A INTERNET W Internecie przyjęto bardziej uproszczony model sieci. W modelu tym nacisk kładzie się na warstwy sieciową i transportową. Pozostałe warstwy łączone są w dwie warstwy - warstwę dostępu

Bardziej szczegółowo

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych. 1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych. Integralność systemu musi być zapewniona także w przypadku różnych

Bardziej szczegółowo

PROGRAMY NARZĘDZIOWE 1

PROGRAMY NARZĘDZIOWE 1 PROGRAMY NARZĘDZIOWE 1 Kompresja plików Pojęcie kompresji i dekompresji Kompresja plików polega na zmniejszenie rozmiaru pliku na dysku. Potocznie nazywa się to pakowaniem. Jej odwrotnością jest dekompresja

Bardziej szczegółowo

Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK

Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK Realne zagrożenia i trendy na podstawie raportów CERT Polska CERT Polska/NASK Kim jesteśmy? Czym jest CERT Polska: Zespół działający w ramach Naukowej i Akademickiej Sieci Komputerowej; Powołany w 1996

Bardziej szczegółowo

Bezpieczeństwo danych w sieciach elektroenergetycznych

Bezpieczeństwo danych w sieciach elektroenergetycznych Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych

Bardziej szczegółowo

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego 2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego produktu. 23 czerwca 2014 Spis treści 3 Spis treści...5

Bardziej szczegółowo

SIECI KOMPUTEROWE - BIOTECHNOLOGIA

SIECI KOMPUTEROWE - BIOTECHNOLOGIA SIECI KOMPUTEROWE - BIOTECHNOLOGIA ĆWICZENIE 1 WPROWADZENIE DO SIECI KOMPUTEROWYCH - PODSTAWOWE POJĘCIA SIECIOWE 1. KONFIGURACJA SIECI TCP/IP NA KOMPUTERZE PC CELE Identyfikacja narzędzi używanych do sprawdzania

Bardziej szczegółowo

Konfiguracja podglądu obrazu z kamery IP / rejestratora BCS przez sieć LAN.

Konfiguracja podglądu obrazu z kamery IP / rejestratora BCS przez sieć LAN. Konfiguracja podglądu obrazu z kamery IP / rejestratora BCS przez sieć LAN. Aby oglądać obraz z kamery na komputerze za pośrednictwem sieci komputerowej (sieci lokalnej LAN lub Internetu), mamy do dyspozycji

Bardziej szczegółowo

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi)

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi) Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi) Pytanie 2 a) HTTPs, b) HTTP, c) POP3, d) SMTP. Co oznacza skrót WWW? a) Wielka Wyszukiwarka Wiadomości, b) WAN Word Works,

Bardziej szczegółowo

Instalacja Active Directory w Windows Server 2003

Instalacja Active Directory w Windows Server 2003 Instalacja Active Directory w Windows Server 2003 Usługa Active Directory w serwerach z rodziny Microsoft odpowiedzialna jest za autentykacje użytkowników i komputerów w domenie, zarządzanie i wdrażanie

Bardziej szczegółowo

Menu Status routera to pojedyncze okno, prezentujące aktualny stan oraz statystykę interfejsów z uwzględnieniem łącza dostępu do Internetu:

Menu Status routera to pojedyncze okno, prezentujące aktualny stan oraz statystykę interfejsów z uwzględnieniem łącza dostępu do Internetu: Routery DrayTek dysponują rozbudowanym środowiskiem narzędzi pomocnych w utrzymaniu i diagnozowaniu ich pracy. Różnorodność takich narzędzi oddaje w pewnym stopniu bogactwo funkcji zaimplementowanych w

Bardziej szczegółowo

System operacyjny UNIX Internet. mgr Michał Popławski, WFAiIS

System operacyjny UNIX Internet. mgr Michał Popławski, WFAiIS System operacyjny UNIX Internet Protokół TCP/IP Został stworzony w latach 70-tych XX wieku w DARPA w celu bezpiecznego przesyłania danych. Podstawowym jego założeniem jest rozdzielenie komunikacji sieciowej

Bardziej szczegółowo

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik Panda Managed Office Protection. Przewodnik Panda Managed Office Protection Przewodnik Maj 2008 Spis treści 1. Przewodnik po konsoli administracyjnej i monitorującej... 3 1.1. Przegląd konsoli... 3 1.2.

Bardziej szczegółowo

Sieci bezprzewodowe WiFi

Sieci bezprzewodowe WiFi Sieci bezprzewodowe WiFi przegląd typowych ryzyk i aspektów bezpieczeństwa IV Konferencja Bezpieczeństwa Informacji Katowice, 25 czerwca 2013r. Grzegorz Długajczyk ING Bank Śląski Czy sieci bezprzewodowe

Bardziej szczegółowo

Axence nvision Nowe możliwości w zarządzaniu sieciami

Axence nvision Nowe możliwości w zarządzaniu sieciami www.axence.pl Axence nvision Nowe możliwości w zarządzaniu sieciami Axence nvision moduły NETWORK Monitorowanie serwerów, urządzeń i aplikacji INVENTORY Inwentaryzacja sprzętu i oprogramowania, audyty

Bardziej szczegółowo

Ataki sieciowe Materiały pomocnicze do wykładu

Ataki sieciowe Materiały pomocnicze do wykładu Ataki sieciowe Materiały pomocnicze do wykładu Bezpieczeństwo systemów informatycznych Ataki Zbigniew Suski 1 Spoofing ARP Spoofing ARP 1 5 Bufor ARP (ARP Cache) A 2 3 B Bufor ARP (ARP Cache) 6 1. Sprawdzenie

Bardziej szczegółowo

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce www.brinet.pl www.draytek.pl

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce www.brinet.pl www.draytek.pl 1. Firmware Upgrade Utility 1.1. Metoda 1 (standardowa) 1.2. Metoda 2 (niestandardowa) 2. Serwer FTP 2.1. Lokalny serwer FTP 2.2. Zdalny serwer FTP 3. Upgrade przez Web Procedury aktualizacji zostały oparte

Bardziej szczegółowo

Marek Krauze Marek.Krauze@clico.pl

Marek Krauze Marek.Krauze@clico.pl Przeglądarka - juŝ nie najsłabsze ogniwo - laboratorium technologii WebCheck Marek Krauze Marek.Krauze@clico.pl Plan wystąpienia Wprowadzenie Statystyki incydentów bezpieczeństwa Typowe zagroŝenia związane

Bardziej szczegółowo

Wprowadzenie do zagadnień związanych z firewallingiem

Wprowadzenie do zagadnień związanych z firewallingiem NASK Wprowadzenie do zagadnień związanych z firewallingiem Seminarium Zaawansowane systemy firewall Dla przypomnienia Firewall Bariera mająca na celu powstrzymanie wszelkich działań skierowanych przeciwko

Bardziej szczegółowo

ArcaVir 2008 System Protection

ArcaVir 2008 System Protection ArcaVir 2008 System Protection ARCAVIR 2008 SYSTEM PROTECTION to oprogramowanie typu Internet Security stanowiące pełne zabezpieczenie przed zagrożeniami z Internetu i sieci LAN. OCHRONA ANTYWIRUSOWA Silnik

Bardziej szczegółowo