Aspekty bezpieczeństwa sieci i aplikacji w CPD Grzegorz Wróbel

Transkrypt

1 Aspekty bezpieczeństwa sieci i aplikacji w CPD Grzegorz Wróbel 1

2 ść no ral eg Int Po ufn oś ć Mechanizmy kontroli logicznej w obrębie sieci Ciągłość pracy/osiągalność 2

3 Wstęp do zarządzania bezpieczeństwem informacji Synergia współdziałania mechanizmów kontroli Mechanizmy kontroli fizycznej: Ochrona obiektu,pracownicy ochrony fizycznej,zamki,monitoring,systemy antywłamaniowe Mechanizmy kontroli logicznej: Architektury i urządzenia wspierające mechanizmy kontroli dostępu,uwierzytelniania i autoryzacji,monitorowania sieci Mechanizmy kontroli administracyjnej: Polityki,standardy,wytyczne,procedury,wartości bazowe edukacja procesu bezpieczeństwa Zasoby organizacji 3

4 Zagrożenia. 4

5 The code for the listener (whiskers.py) can be generated with the script that is included in section Appendix A. The output of whiskers is as follows: python whiskers.py *********************************************************** Sat, 12 Apr :13:17 GMT: Starting server... Sat, 12 Apr :13:17 GMT: Server started: listening on 6667 Sat, 12 Apr :13:39 GMT: [+] Opened hole for port: 135 on ip: Sat, 12 Apr :13:39 GMT: [+] Internal port: 135 on ip: closed. Sat, 12 Apr :13:40 GMT: [+] Opened hole for port: 137 on ip: Sat, 12 Apr :13:40 GMT: [+] Internal port: 137 on ip: closed. Sat, 12 Apr :13:42 GMT: [+] Opened hole for port: 138 on ip: Sat, 12 Apr :13:42 GMT: [+] Internal port: 138 on ip: closed. Sat, 12 Apr :13:43 GMT: [+] Opened hole for port: 139 on ip: Sat, 12 Apr :13:44 GMT: [+] Internal port: 139 on ip: closed. Sat, 12 Apr :13:45 GMT: [+] Opened hole for port: 22 on ip: Sat, 12 Apr :13:45 GMT: [+] Internal port: 22 on ip: open. Sat, 12 Apr :13:53 GMT: Server stopped. As you can see, the victim had a service running on port 22. 5

6 Podstawy Remote SQL injection Typowe zapytanie SQL przy logowaniu: SELECT * FROM users WHERE login = gwrobel' AND password = '123' Typowy kod w skrypcie, który wykonuje powyższe zapytanie: var sql = "SELECT * FROM users WHERE login = '" + form_user + "' AND password = '" + form_pwd + "'"; 6

7 No to logujemy się bez hasła.. Wpisujemy poniższy kod do formularza: Komentarz SQL form_user = ' or 1=1 form_pwd = cokolwiek W efekcie wykonując poniższe zapytanie: SELECT * FROM users WHERE username = ' ' or 1=1 Zawsze prawda! AND password = cokolwiek'... dzięki któremu zalogowaliśmy się do systemu... Do ataku można wykorzystywać także znaki ) > \ itd. 7

8 Moje hobby to: RFI LFI XSS AFD... 8

9 9

10 Obecny trend Więcej Spamu Source: IronPort s Threat Operations Center 10

11 Ewolucja spamu trwa Spam ASCII Art Symbole akcji wyrażone za pomocą znaków ASCII Używane znaki losowo zmieniane Image Spam 2.0 Tworzenie obrazków w taki sposób, żeby przypominały zwykłą grafikę np. kartki z pozdrowieniami Używane obiekty z powerpointa i excela Falujący tekst utrudnienia dla technologii OCR 11

12 Spam obrazkowy 1. Polka dots 2. Slice & Dice 12

13 Ewolucja spamu Spamerzy testują nowe techniki.. PDF Spam Text Spam nd Qtr MP3 Spam 4th Qtr 3rd Qtr Excel Spam Image Spam 13

14 Po pierwsze kontrola dostępu. 14

15 Cisco ASA 5580 Firewall Skalowalność i niskie opóźnienia Do dwóch milionów połączeń jednocześnie Do 150K połączeń na sek. Dobra obsługa małych pakietów poniżej 50 mikrosekund opóźnienia Wydajność 10 Gbps ruchu mix. Do 20 Gbps dla ramek jumbo Wsparcie dla 750,000 polityk (wpisów) Optymalizacja użyteczności Do 50 wirtualnych fw Pełna redundancja: Active/Active failover, redundantne zasilanie, wiatraki i porty sieciowe. 15

16 Śledzenie stanu sesji ze zrozumieniem aplikacji UC SIP SCCP (Skinny) H.323 v1 4 GTP (3G Mobile Wireless MGCP TRP/RTCP/RTSP TAPI/JTAPI Ponad 30 silników Protokoły internetowe HTTP FTP TFTP SMTP/ESMTP DNS/EDNS ICMP TCP UDP Specyficzne aplikacje Microsoft Windows Messenger Microsoft NetMeeting Real Player Cisco IP Phones Cisco Softphones Usługi bazodanowe/os ILS/LDAP Oracle/SQL*Net (V1/V2) Microsoft RPC/DCE RPC Microsoft Networking NFS RSH SunRPC/NIS+ X Windows (XDMCP) Usługi związane z bezp. IKE IPSec PPTP 16

17 Po drugie monitorowanie aktywności w sieci. 17

18 ACE Web Application Firewall Poznaj OWASP.. 1. Cross Site Scripting 2. Injection flaws 3. Malicious file 4. Insecure execution direct object ref 5. CSRF 6. Improper error handling 7. Broken authentication 8. Insecure cryptographic storage 9. Insecure cryptographic comms 10. Failure to restrict URL access Zintegrowany firewall aplikacyjny dla aplikacji webowych i XMLowych Dowiedz się czym jest PCI DSS.. 18

19 Cisco IPS 4270 Wydajność i funkcjonalność. New! Ochrona treści wymagającej dużych przepustowości. 4 Gbps ochrony dla treści webowych z video, replikacji danych, wystawianych plików itd.. Ochrona środowisk o dużej ilości transakcji. 2 Gbps i 20,000 transakcji na sekundę w środowiskach e Commerce, głosowych, IM, itd.. Duża ilość fizycznych portów. 19

20 Systemy IPS w CPD Analiza ryzyka a reakcja na atak Event Severity + Jak poważne jest zagrożenie? + Jaka jest statystyczna możliwość fałszywego alarmu dla sygnatury? Attack Relevancy + Czy atak dotyczy atakowanych zasobów? Asset Value of Target + Jak ważny jest atakowany zasób? Signature Fidelity Ocena ryzyka Przypisana do niej akcja 20

21 Systemy IPS w CPD Ocena zagrożenia na podstawie wiedzy o serwerach Informacja o podatnościach i słabościach systemów operacyjnych oraz konkretnych aplikacjach na podstawie Pasywnego rozpoznania systemu operacyjnego Statycznego mapowania systemu operacyjnego Wartość wpływa na ogólny Wskaźnik Ryzyka (RR) dla zdarzenia Rezultat: Efektywniejsza reakcja na rekonesans/atak Konsola monitoringu: zdarzenia nieistotne są automatycznie odfiltrowane Włamywacz rozpoczyna atak na serwery IIS Skaner sieciowy A Serwer Windows Podatny Zwiększ RR Serwer Linux Odporny Odfiltruj 21

22 Systemy IPS w CPD Współpraca z agentem na serwerach CSA może poinformować sondy IPS o podejrzanym zachowaniu konkretnych hostów Sensory IPS dynamicznie zwiększają wskaźnik RR dla ruchu pochodzącego z tych hostów Rezultat: Dynamiczne dopasowanie rekacji no zaistniałej sytuacji 2. CSA blokuje atak i dodaje IP stacji do listy monitoringu 1. Włamywacz atakuje jeden z serwerów 4. Przyszłe próby rekonesansu/ataku są blokowane już na brzegu sieci 3. Współpraca CSA z IPS v6 pozwala na dynamiczne zwiększenie wskaźnika RR dla ruchu pochodzącego z konkretnej listy adresów IP 22

23 Systemy IPS w CPD Wykrywanie anomalii w czasie rzeczywistym Zintegrowane algorytmy badające anomalie w ruchu powstrzymujące ataki Day 0 Możliwość wykrycia i powstrzymania zagrożeń zanim wzorce sygnatur i ruchu zostaną opracowane i rozpowszechnione Rezultat: Ochrona działająca 24/7/365 bez potrzeby ciągłego uaktualniania sygnatur Zone 1 Internet Zone 2 Zone 3 Graficzna reprezentacja ilości i typu ruchu 23

24 Baza reputacyjna IronPort SenderBase Globalny zbiór informacji o ruchu internetowym 30Mil.+ ilośc zapytań dziennie 150+ ilość analizowanych parametrów ruchu smtp i http 25% procentowe pokrycie całego ruchu w sieci Internet Wkrótce.. także informacje z urządzeń Cisco Połączona analiza ruchu & WWW 24

25 Bezpieczeństwo poczty elektronicznej Bez IronPort Z IronPort Internet Internet Firewall Firewall Platforma szyfrująca Skaner DLP MTA Anty Spam Platforma zarządzająca polityką DLP Anty Virus Urządzenie IronPort dla poczty Wymuszanie polityki użytkowania Routing poczty Grupa robocza Grupa robocza Użytkownicy Użytkownicy 25

26 Po trzecie bezpieczeństwo aplikacji i systemów operacyjnych na serwerach. 26

27 Cisco Security Agent 6.0 Utwardzanie serwerów Centralne zarządzanie HIPS behawioralny z AV CSA Mechanizmy DLP Wymuszanie polityki użytkowania Współraca z routerami, switchami i Cisco IPS Predefinjowane zestawy reguł.. Dział IT może mieć wpływ na zmniejszenie ryzyka biznesowego Po co? Wymusza polityki funkcjonalne bezpieczeństwa Zmniejsza obciążenie administracyjne Redukuje koszty operacyjne 27

28 Po czwarte zcentralizowane zarządzanie i monitorowanie. 28

29 Cisco Security Management Suite Cisco Security Mars Cisco Security Manager Configuration Provisioning Monitoring Analysis Mitigation Self Defending Network Integracja z Cisco Secure Access Control Server 29

30 Podsumowując... Warto zapoznać się bliżej z: Cisco WAF Cisco IPS 4270 Cisco ASA 5580 VRF WAN Cisco CSA 6.0 Ironport seria C Cisco MARS & CSM Czy macie Państwo pytania? 30

31 31