METODY I TECHNIKI ZABEZPIECZANIA SIECI

Transkrypt

1 METODY I TECHNIKI ZABEZPIECZANIA SIECI - -

2 Podstawowe grupy narzędzi i technik G Log systemowy (syslog) narzędzie pozwalające na zapis wybranych zdarzeń z pracy systemu do rejestru. Zdarzenia mogą mieć związek z atakami, eksploatacją systemu oraz działaniami awaryjnymi. G Uwierzytelnianie w systemie dobry system uwierzytelniania pozwoli na podniesienie poziomu bezpieczeństwa w elementach podsystemu bezpieczeństwa. Uzyskuje się to przez zapewnienie odpowiedniego poziomu bezpieczeństwa przy przesyłaniu, przechowywaniu oraz przy tworzeniu haseł. G Odpowiednia architektura systemów zabezpieczeń logiczne umiejscowienie elementów systemu ochrony. G Hosty bastionowe systemy komputerowe pracujące w sieci ochrony. G NAT translacja adresów IP. G Filtry pakietów systemy odpowiedzialne za filtrowanie przepływających pakietów, czyli określenie na podstawie charakterystyki pakietu czy jest on legalny (bezpieczny). G Systemy Proxy (pełnomocnik, pośrednik) ogól systemów działających na zasadzie pośredniczenia i przekazywania usług. G Szyfrowane tunelowanie nazywane również wirtualnymi sieciami prywatnymi (VPN virtual private networks), szyfrowane kanały łączące sieci prywatne przez Internet. G Systemy IDS (Intrusion Detection Systems systemy wykrywania intruzów) ogół systemów, których zadaniem - 2-

3 jest wykrycie nielegalnej działalności na podstawie szeroko rozumianej analizy pracy chronionego systemu. G Inne dość szeroka klasa systemów, narzędzi, metod, które w rękach doświadczonego operatora podniosą poziom bezpieczeństwa systemu. Podstawowe strategie tworzenia zabezpieczeń G Minimalne przywileje strategia ta określa, żekażdy obiekt (użytkownik, aplikacja, system) powinien posiadać tylko te przywilej, które są mu niezbędne do wykonywania realizowanych przez niego zadań. G Dogłębna obrona polega to na braku zaufania do jednego mechanizmu zabezpieczającego niezależnie od poziomu jego skuteczności. Dokonuje się instalacji wielu systemów zabezpieczeń tak, aby awaria jednego mechanizmu nie wyłączyła wszystkich. Może tosię objawiać przez budowę nadmiarowych zabezpieczeń lub dublowania tych samych zasad na wielu poziomach np. filtru pakietów. G Wąskie przejście - zmusza napastników do używania kanału, który można kontrolować i monitorować. W sieci wąskim przejściem jest np. Proxy, który jest jedyną drogą przejścia z Internetu do ośrodka. G Najsłabszy punkt strategia ta wynika z podstawowej zasady wszelkiego bezpieczeństwa: każdy łańcuch jest tak silny jak najsłabsze jego ogniwo. G Bezpieczeństwo w razie awarii kolejna zasada wskazuje, żeby system był jak najbardziej bezpieczny w razie uszkodzenia. Oznacza to przyjęcie zasady, że zajście awarii - 3-

4 w systemie bezpieczeństwa uniemożliwi dostęp do chronionych zasobów nie zaś otworzy ten dostęp. G Powszechna współpraca mówi nam o konieczności współpracy (lub nie przeszkadzania) ze strony członków organizacji, aby system zabezpieczeń działał efektywnie. G Zróżnicowana obrona jestściśle powiązana z głębokością obrony. Według tej strategii potrzebne jest nie tylko wiele warstw obrony, ale również, aby obrona była różnego rodzaju. G Prostota wynika to z tego, że prostsze rzeczy można łatwiej zrozumieć, a jeśli coś jest nie zrozumiałe to nie wiadomo czy jest bezpieczne. G Zabezpieczenie przez utajnienie polega to na tym, że wykorzystujemy kolejną płaszczyznę bezpieczeństwa przez blokadę informacji na temat szczegółów zabezpieczeń ich typów, topologii, istniejących hostów. Jeśli uruchamiamy nowy host, czy uruchomimy usługę ftp na porcie innym niż standardowy, nie jest konieczne żeby wszyscy o tym wiedzieli poza uprawnionymi. Architektury systemów zabezpieczeń G Architektury jednoelementowe: Architektura z routerem ekranującym jest to prosta i tania architektura zbudowana na podstawie routera, który jednocześnie pełni rolę systemu ochrony poprzez instalacje w nim filtra pakietów. Przyjęcie takiej architektury możliwe jest w sieciach o bardzo dobrze chronionych serwerach i stacjach roboczych, kiedy - 4-

5 potrzeba jest maksymalnej wydajności lub nadmiarowości. Internet Router ekranujący Laptop Stacja robocza Serwer Drukarka Stacja robocza Architektura dwusieciowego serwera dostępowego. Podobnie jak poprzednia architektura jest prosta i tania. Rolę routera pełni tutaj serwer posiadający dwa interfejsy sieciowe, który może również pełnić role ochronną poprzez instalacje systemów zabezpieczeń. Architektura ta jest lepsza pod względem bezpieczeństwa, z uwagi na możliwości implementacji zabezpieczeń w serwerze dostępowym i przy dbałej konfiguracji może zapewnić stosunkowo dobry system ochrony. - 5-

6 Internet Serwer + oprogramowanie ochronne Laptop Stacja robocza Serwer Drukarka Stacja robocza Architektura ekranowanego hosta polega na tym, że host bastionowy jest umieszczony w sieci wewnętrznej i możliwe są połączenia z Internetu tylko do tego hosta, który ma wyłączone trasowanie. Stacje w sieci wewnętrznej mogą się łączyć bądź z hostem bastionowym w celu uzyskania pewnych usług (typu poczta), oraz mogą łączyć się z dowolnym, hostem zewnętrznym. Architekturę tą można modyfikować poprzez zmianę konfiguracji routera np. można wymusić by hosty wewnętrzne łączyły się tylko z hostem bastionowym, który będzie pośredniczył w dozwolonych usługach. Architekturatajestdość bezpieczna, ale wymaga idealnej konfiguracji systemów ochronnych, każdy błąd otworzy sieć wewnętrzną na ataki z Internetu. - 6-

7 Laptop Stacja robocza Host bastionowy Router ekranujący Internet Serwer Stacja robocza Architektura ekranowanej podsieci tworzona jest dzięki wykorzystaniu dwóch routerów, tworzących miedzy sobą strefę zdemilitaryzowaną DMZ (DeMilitarized Zone). Strefa DMZ jest siecią peryferyjną i jakiekolwiek nieuprawnione działanie (nieuprawnione w sensie zasad obowiązujących w danej sieci LAN) jest traktowane jako wrogie. Ta architektura należy do bezpieczniejszych oraz pozwala na implementacje zabezpieczeń, co najmniej trzech miejscach tj. na dwóch routerach i hoście bastionowym. Pozwala na dość swobodne i bezpieczne korzystanie z Internetu z sieci wewnętrznej, jednocześnie stanowiąc duże wyzwanie dla intruza. Ekranowanie podsieci umożliwia budowę zabezpieczeń według zasad strategii tworzenia zabezpieczeń. Ten typ architektury jest punktem wyjścia do tworzenia wariacji tej topologii poprzez różne sposoby zabezpieczania oraz zmiany ilościowe urządzeń. - 7-

8 Laptop Stacja robocza Serwer trzna wewnę Sieć Router wewnętrzny DMZ Host bastionowy Router zewnetrzny Internet Stacja robocza Architektura z wieloczęściową siecią ekranowaną ta architektura dodaje jeden punkt ochrony (serwer dwusieciowy), który może być wykorzystany do permanentnego monitorowania ruchu lub i usług pośredniczących. Laptop Stacja robocza Serwer trzna wewnę Sieć DMZ Router zewnetrzny Serwer dwusieciowy Internet DMZ Stacja robocza Router wewnętrzny - 8-

9 Hosty bastionowe G Hosty bastionowe są systemami, które występują w strefie DMZ i są z natury dostępne publicznie. Hosty te są komputerami szczególnie zabezpieczonymi i mającymi za zadanie realizować różnego rodzaju usługi dla użytkownika publicznego jak i wewnętrznego. G Hosty bastionowe są szczególnie narażone na włamania i można założyć, że atak na sieć rozpocznie się od próby przejęcia kontroli, przez intruza, nad takim celem. Dlatego też systemy te muszą być szczególnie zabezpieczane i monitorowane oraz muszą znajdować się w specjalnej wydzielonej podsieci nieprzenoszącej żadnych poufnych danych. G Hosty bastionowe można podzielić na kilka rodzajów: Nietrasujące hosty dwusieciowe ma wiele połączeń sieciowych, ale nie przekazuje między nimi ruchu, może natomiast spełniać role pośredniczące lub filtra pakietów. Hosty ofiary tutaj mamy system słabo zabezpieczony, przez konieczność udostępnienia na nim usług, które z natury są niebezpieczne. System taki będący skazanym na cel udanego ataku musi być szczególnie monitorowany i powinien mieć opracowane procedury, które są wstanie taki atak rozpoznać i umożliwić możliwie szybki powrót do stanu poprzedniego. Hosty pułapki podobnie jak poprzednio, systemy tego typu są podatne na ataki z tą różnicą, iż nie są używane do świadczenia jakichkolwiek usług. Mają za zadanie zwabić intruza i poinformować administratora o zaistniałym fakcie. - 9-

10 Wewnętrzne hosty bastionowe są to hosty umiejscowione w sieci wewnętrznej i mogą wchodzić w interakcje z głównymi hostami bastionowymi np. dla przekazania poczty do serwera wewnętrznego. Komputery te są faktycznie wtórnymi hostami bastionowymi, więc powinny być zabezpieczane i konfigurowane w podobny sposób. Zewnętrzne hosty usługowe to systemy odpowiedzialne za udostępnianie usług w Internecie np. WWW. Translacja adresów IP G Mechanizm maskowania zwanym również NAT (Network Address Translation translacja adresów sieciowych) nie jest mechanizmem pozwalającym na jakiś typ aktywnej ochrony, ale posiada właściwości, które ukrywają wiele informacji przed potencjalnym intruzem. Mechanizm ten został oryginalnie zaimplementowany po to, aby można było udostępniać więcej adresów siecią prywatnym, jednak okazało się, że ma on inny jeszcze aspekt związany z bezpieczeństwem: możliwość ukrywania wewnętrznych hostów. Ukrywa przed intruzem informacje warstw TCP/IP o hostach wewnętrznych, ponieważ całyruch wygląda jak by pochodził z pojedynczego adresu IP. G Działanie mechanizmu maskowania IP wymaga, aby host maskujący (odpowiedzialny za translacje adresów) przechowywał tablice z przyporządkowanymi sobie gniazdami wewnętrznymi i zewnętrznymi. Jeśli host z sieci wewnętrznej nawiązuje połączenie z zewnętrznym serwerem, host maskujący zamienia jego port - 0 -

11 źródłowy na jeden ze swoich portów zewnętrznych, zamienia adres IP na swój (lub adres z pewnej puli) dokonuje odpowiedniego zapisu do tablicy translacji i wysyła pakiet do hosta docelowego. Kiedy otrzymywana jest odpowiedz od hosta zewnętrznego poszukiwany jest port w tablicy translacji, zmieniany jest adres docelowy i port hosta wewnętrznego i wysyła do podsieci wewnętrznej. Gdy zapisu w tablicy translacji jest brak pakiet jest odrzucany. Host zewnętrzny Docelowy IP Źródłowy IP Docelowy port 5465 Docelowy IP Źródłowy IP Źródłowy port 5465 IP Host maskujący IP Docelowy IP Źródłowy IP Źródłowy port 234 Docelowy IP Źródłowy IP Źródłowy port 234 Host wewętrzny G Translacja może być przeprowadzana na dwa sposoby: translacja dynamiczna przydział portów odbywa się niezależnie, translacja statyczna na stałe przypisujemy rekord w tablicy translacji do danego połączenia w sieci - -

12 wewnętrznej, tracąc w ten sposób ochronę hosta wewnętrznego. G Mimo wielu zalet maskowanie posiada wadę polegającą na tym, iż część protokołów wymagających kanału zwrotnego nie potrafi z tym mechanizmem współpracować. Pojawiają się moduły dotejusługi pozwalające ominąć przeszkody jednak może się zdarzyć, że protokół potrzebny w danej organizacji nie będzie potrafił poradzić sobie z tym mechanizmem wtedy należy odrzucić protokół lub maskowanie adresówip. G NAT można zrealizować na różnych urządzeniach, pozwalają na to serwery jak i niektóre inne urządzenia takie jak routery. Filtry pakietów G Działanie podejmowane przez urządzenie, mające na celu selektywną kontrolę przepływu danych do i z sieci. Filtry pakietów pozwalają na przejście lub blokują pakiety zazwyczaj w czasie przesyłania ich z jednej sieci do innej. G Aby zrealizować filtrowanie pakietów musi zostać opracowany zestaw reguł określających, które rodzaje pakietów można przepuszczać, a które należy blokować. Filtrowanie może odbywać się na moście, routerze lub w pojedynczym hoście, czasami jest nazywane ekranowaniem G Patrząc z perspektywy historycznej należy przypomnieć, ze określenie firewall było odnoszone tylko do systemów filtrowania pakietów. G Obecnie wyróżnia się dwa podstawowe typy filtrowania pakietów: - 2 -

13 Filtry standardowe lub bezstanowe (stateless) charakteryzują się tym, że nie potrafią sprawdzić części z ładunkiem pakiecie oraz nie pamiętają stanu połączenia. Badają informacje zawarte w nagłówku każdego indywidualnego pakietu i określają na tej podstawie czy pakiet przesłać dalej czy też odrzucić. Od strony teoretycznej można spowodować, aby filtr korzystał ze wszystkich danych nagłówka, jednak w praktyce wykorzystywane są pola: - typ protokołu opiera się na zawartości pola protokół nagłówka IP. Pole to pozwala rozróżniać zestaw usług takich jak UDP,TCP, ICMP, IGMP. Jednak informacja w polu nagłówka jest na tyle ogólna, że trudno ją wykorzystać do filtrowania. - filtrowanie adresów IP pozwala na filtrowanie adresów do lub z określonych hostów i sieci w oparciu o adres IP. Ten typ filtrowania jest dość szeroko stosowany do zezwalania na połączenia z wybranymi adresami IP (zaufane sieci, zdalni użytkownicy). Nie ma jednak sensu używanie tego filtrowania dla jakiegoś szerszego blokowania adresów,chyba ze to dotyczy zablokowania pojedynczych sieci znanych ze stwarzania problemów. - porty TCP/UDP to pole w filtrowaniu znajduje duże zastosowania, ponieważ pola te określają najbardziej szczegółowo przeznaczenie pakietu. Filtrowanie portów jestczęsto nazywane filtrowaniem protokołów, ponieważ numery portów TCP/UDP identyfikują protokoły wyższych warstw. W większości przypadków filtry albo pozwalają na przejście wszystkim protokołom wyłączając listę protokołów - 3 -

14 zabronionych, lub też zabraniają wszystkich pozwalającnadostęp tylko zaufanym. - wybór trasy przez nadawcę (source routing) ta opcja pozwala określić dokładną drogę, jaką ma przebyć pakiet IP do miejsca przeznaczenia. Kiedyś było to używane do celów diagnostycznych obecnie jednak najczęściej używany jest przez napastników. Dlatego filtry odrzucają pakiety ustawionym wyborem trasy. Start Wejście pakietu do filtra Syslog 0 Zezwolić? Reguły filtra Odzruć Rejestruj Rejestrować? Zezwól na przejście 0 Koniec Filtry z badaniem stanów (Stateful inspection filter) są to systemy przechowujące w pamięci dane o stanie całego ruchu przechodzącego przez filtr i oceniają na tej podstawie czy dany pakiet może być przepuszczony

15 Filtry te nie pozwalają na przejście pakietu żądnej usługi, która nie została dopuszczona, oraz nie jest realizowana przez połączenie umieszczone w tablicy stanów. Filtry tego typu nie rozwiązują wszelkich problemów to znaczy badania danych pakietu, jednak rozszerzają swoje możliwości na analizę flag pakietu IP. Transmisja przez taki filtr przebiega w ten sposób, że gdy zaufany wewnętrzny host rozpoczyna połączenie z portem TCP niezaufanego hosta, wysyła pakiet synchronizacyjny SYN zwierający adres IP i numer portu (gniazdo), na którym oczekuje odpowiedzi. Filtr zapisuje w tablicy stanów adresy gniazd docelowego oraz zwrotnego i dopiero wysyła pakiet do sieci zewnętrznej. Nadchodząca odpowiedź jest badana pod kątem gniazda docelowych i źródłowych w tablicy stanów. Jeśli jest jakaś niezgodność w porównaniu, pakiet jest odrzucany, ponieważ nie stanowi odpowiedzi na żądanie z sieci chronionej. Pozycja wpisu w tablicy stanów jest usuwana po określonym czasie (w razie zerwania połączenia) lub po przesłaniu pakietów negocjacji zamknięcia sesji. Oczywiście poza badaniem stanu w filtrach tego typu również są stosowane zbiory reguły związane z analizą nagłówka IP tak jak realizowane jest to w filtrach bezstanowych

16 Start Wejście pakietu do filtra Wewnętrzny? 0 0 Zezwoli ć? Regułyfiltra Zezwoli ć? 0 Rejestrować (0 - Koniec) Nawiązanie połączenia? 0 SysLog Rejestruj Utwórz rekord w tablicy stanów Tablica stanów Isnieje rekord wtablicy stanów? 0 Koniec połączenia? Usuń rekord w tablicy stanów Koniec połączenia? 0 0 Prześlij do celu Prześlij do celu Koniec - 6 -

17 Systemy pośredniczące G Systemy pośredniczące, czyli Proxy służą do regeneracji żądań klientów sieci prywatnej skierowane do usług warstw wyższych usług sieci zewnętrznej. G Historycznie systemy Proxy były wykorzystywane głównie do buforowania i przechowywania w pamięci podręcznej, często przeglądanych stron WWW. PUNKT WIDZENIA SERWERA IUŻYTKOWNIKA Sieć prywatna WRZECZYWISTOŚCI... Sieć prywatna Bastion Host Proxy Server Internet Internet G Wraz z obniżką wartości Proxy jako system przechowywania, coraz lepiej widać ich zalety jako elementu systemu zabezpieczeń. G Proxy działa nasłuchując zleceń usługi od klientów wewnętrznych i przesyłaniu ich na zewnątrz w taki sposób jakby pochodziły od rzeczywistego klienta. Podobnie - 7 -

18 działają wdrugą stronę przesyłając klientowi dane w sposób jakby pochodziły od hosta zewnętrznego. G Serwery Proxy pracują zwykle jako hosty bastionowe. G Host Proxy jest bezpośrednio podłączony do sieci Internet, i komunikuje się bezpośrednio z lokalnymi (wewnętrznymi) oraz zewnętrznymi hostami (jeśli połączenie jest dozwolone). Sieć prywatna Muszą być wstanie wymuszać ruch pakietów IP poprzez serwer proxy Bastion Host Proxy Server Internet G Typy serwerów pośredniczących: Obwodowy pośrednik, który tworzy obwód między klientem a serwerem bez interpretowania protokołu aplikacji. To są najprostsze Proxy swoją funkcjonalnością zbliżone do filtrów pakietów isą dość łatwe do oszukania

19 Ich niezaprzeczalną zaletą jest świadczenie usług dla wielu różnych protokołów. Aplikacyjny jest to Proxy, który zna aplikacje, dla której pośredniczy oraz rozumie i interpretuje polecenia w protokole aplikacji. Potrafi również zajrzeć do ładunku danych i je analizować. Wadą tych Proxy jest ograniczenie ich funkcjonalności dla kilku protokołów, którym mogą pośredniczyć i je analizować. G Zalety Proxy w kontekście zabezpieczeń: Ukrywanie prywatnego klienta przed światem zewnętrznym podobnie jak mechanizm NAT powodują, że z punktu widzenia zewnętrznego obserwatora, cała sieć wewnętrzna będzie wyglądała jak jeden host. Możliwe jest to dzięki temu, żeproxydziałają na zasadzie ponownego wygenerowania żądań warstwy usługowej. Dodatkowo Proxy może multipleksować połączenie, aby pewna liczba hostów korzystała zjednego połączenia z Internetem. Blokowanie niebezpiecznych URL (Universal Resource Lokator uniwersalny wskaźnik zasobów) pozwala to administratorowi zakazać dostępu do stron WWW w oparciu o URL. Podane adresy są zabronione z tych czy innych przyczyn i standardowy użytkownik nie może wywołać takiego adresu w swojej przeglądarce. Jednak system blokad jest łatwo ominąć np. stosują liczbową notacje adresu. Dlatego tego typu blokady są rzadko stosowane chyba, że system jest do takich celów dedykowany i nie jest łatwo go obejść. Filtrowanie zawartości Proxy transmituje cały ładunek danych oraz jest związany z danym protokołem, więc - 9 -

20 może być użyty do przeszukiwania danych pod kątem podejrzanej zawartości np. wirusy, konie trojańskie, kontrolki ActiveX, binarne załączniki i, treść na stronie WWW itp. Filtrowanie takie może dość znacznie podnieś bezpieczeństwo naszej sieci dzięki ograniczeniu ekspansji wirusów. Kontrola spójności polega na kontroli zgodności danych z protokołem, czyli sprawdzenie zawartości danych pod kątem ich znaczenia dla protokołu. Może w ten sposób zapobiegać wykorzystaniu nieprawidłowo sformatowanych danych do wykorzystywania luk bezpieczeństwa. Blokowanie routingu systemy pośredniczące nie muszą wyznaczać trasy dla pakietów warstwy transportowej w związku z całkowitą regeneracją żądań. Rejestracja zdarzeń i alarmowanie wąskie przejście, jakim jest system pośredniczący pozwala na przeprowadzenie głębokiego monitorowania przepływających danych a co za tym idzie wyłapywać dane związane z działalnością nieuprawnioną oraz próby ataku, które nie koniecznie muszą być przeprowadzane na system Proxy. G Wady systemów Proxy: Pojedynczy punkt awarii z pojedynczym punktem kontroli związany jest pojedynczy punkt awarii. Więc awaria serwera powoduje odcięcie całej sieci, której pośredniczy, od Internetu

21 Oprogramowanie klienckie musi współpracować z Proxy dla każdej usługi objętej Proxy musi istnieć klient, który współpracuje z systemem pośredniczącym. Usługa musi mieć swoje Proxy każda uwzględniony protokół musi mieć swoje Proxy. Proxy tworzą zatory przeciążony system pośredniczący może tworzyć zatory w obsłudze klientów. G System pośredniczący mimo swoich wad jest dość istotnym elementem ściany ogniowej organizacji. Szyfrowane tunelowanie. G Szyfrowane tunelowanie rozwiązuje problem bezpiecznego i bezpośredniego dostępu do hostów zapośrednictwem sieci Internet. G W tym celu wykorzystuje się kilka podstawowych składników zabezpieczeń: Kapsułowanie (hermetyzacja) w pakietach protokołu IP polega na zawarciu w pakiecie IP innego pakietu również IP. Jest to niezbędne do wywołania komputera znajdującego się w innej sieci, gdy nie istnieje trasa bezpośredniego połączenia. Przy takim rozwiązaniu odległe sieci schowane za systemami firewall mogą komunikować się między hostami tak, jakby znajdowały się w tej samej sieci podzielone routerem. Pakiet po dotarciu na miejsce przeznaczenia, oddaje zaszyfrowany pakiet, który jest następnie deszyfrowany i wysyłany do komputera przeznaczenia. Uwierzytelnienie kryptograficzne jest używane do bezpiecznego sprawdzenia tożsamości użytkownika - 2 -

22 zdalnego tak, aby system mógł dobrać system zabezpieczeń dla użytkownika. Ocenia na tej podstawie czy użytkownik może korzystać z szyfrowanego tunelu. Używany jest również do wymiany publicznych i prywatnych kluczy przez VPN. - Szyfrowanie kluczem prywatnym (tajnym) pracuje w oparciu o utajnienie wartości znanej obu stroną. Zgłaszający znający tą wartość jest uznawany za godnego zaufania. Istnieją odmiany tej metody polegające na używaniu jednorazowego klucza. - Szyfrowanie z wykorzystaniem klucza publicznego polega na wymianie kluczy sesji, mogących być używanymi tylko do szyfrowania danych. Klucz deszyfrujący jest przechowywany na urządzeniu odbiorczym i nigdy nie jest transmitowany przez sieć publiczną. Szyfrowanie ładunku danych jest używane do kapsułowania danych w przesyłanych protokołach. Pozwala to na utajnienie zawartości kapsułowanego pakietu oraz danych nagłówka, czyli chronimy informacje owewnętrznej sieci. Protokół 2 Protokół Firewall Protokół 2 Protokół Protokół Protokół Dane znajdują się teraz poza firewall G VPN możebyć realizowane w trzech typach: tunelowanie wykorzystujące serwery,

23 tunelowanie wykorzystujące ściany ogniowe, tunelowanie wykorzystujące routery. G Wirtualne sieci prywatne są dobrym rozwiązaniem do realizacji swoich celów polegającym na bezpiecznym zdalnym dostępie. Nie można oczywiście podchodzić do nich bezkrytycznie wiadomo, że są wolniejszym rozwiązaniem niż sieć WAN i mniej bezpiecznym niż połączenie kablowe. Ważna jest implementacja tej z uwagi znane problemy z np. jakie zaistniały z protokołem PPTP firmy Microsoft. Systemy wykrywania włamań. G Wykrywanie włamań jest to proces identyfikowania i reagowania na szkodliwą działalność, skierowaną przeciw zasobom informatycznym i sieciowym. G Zasadę działania systemu IDS można opisać jako: monitorowanie czyli obserwacja chronionej infrastruktury, raportowanie tworzenie raportów dla systemów analitycznych, reakcja reagowanie na incydenty działaniem lub alarmem. G Systemy IDS starają się w pewnym stopniu zastąpić część zadań administratora polegających na obserwacji systemu w poszukaniu anomalii (w miejscach sondowania), czyli zachowań odbiegających od standardu. Systemy te starają się wykryć anomalię, ocenić jej wagę i zareagować

24 G Wykrywanie anomalii może być przeprowadzana w wielu miejscach sondowania na podstawie różnych kryterióworaz różnych danych wejściowych. Przetwarzanie raportu audytu metoda ta polega na zebraniu zapisanych w logach zdarzeń w systemie, do dziennika audytu, który następnie jest poddawany analizie przez narzędzia znające semantykę rekordów dziennika. Analizie towarzyszą techniki algorytmiczne, które dzięki schematowi przetwarzania audytu wykrywają pewne atrybuty rekordów w raporcie. Atrybuty te odpowiadają wzorcom działań uznanych za podejrzane. Systemy tego typu, choć efektywne mają bardzo duże zapotrzebowanie na moc obliczeniową oraz obarczone są poślizgiem czasowym związanym z gromadzeniem danych. Przetwarzanie na bieżąco ruchu w sieci w odróżnieniu od poprzedniej metody ta realizowana jest w czasie rzeczywisty. Podstawę stanowią dane o ruchu w sieci. Używa się tu szybszych algorytmów (mniej dokładnych) mających znaleźć atrybuty ataku w trakcie jego przeprowadzania. G Zebrane informacje z raportu audytu czy też analizy ruchu w sieci można poddać różnym metodą analizy. Metoda profilu normalnego zachowania polega na przewidywaniu działalności informatycznej użytkownika i systemu. Metoda profilowania jest o tyle ciekawa, że można ją uogólnić do grupy użytkowników lub systemu. Polega ona na analizie atrybutów aktywności pracy obiektów i korekcie profilowanego nowego użytkownika aż do maksymalnie precyzyjnej regulacji istniejących profilów. Oznaczenie wartości średnich i możliwych odchyłkach

25 Metoda sygnatur nienormalnego zachowania bardzo popularna metoda w rzeczywistych realizacjach IDS. Polegająca na porównaniu atrybutów rzeczywistych i sygnatur ataków. Sygnatury występują wdwóch typowych formach: - Sygnatury ataków sygnatury profilów dynamicznych ataków opisujące dane wzorce aktywności, które w jakiś sposób mogą stanowić naruszenie bezpieczeństwa. Wiążą się one z zależnością czasową ciągu aktywności, które mogą być przeplecione działaniami obojętnymi np. pakiet przychodzący na zewnętrzny interfejs o adresie źródłowym i docelowym wewnętrznym.. - Wybrane ciągi tekstowe są to sygnatury ciągów tekstowych, które można uznać za podejrzane np. /etc/passwd G Systemy IDS są generalnie połączeniem systemów monitorowania, z systemami ekspertowymi analizującymi odchylenia w sondowanych atrybutach. Przydatność takich systemów jestdość duża, pozwalają one, bowiem wychwycić dość drobne z pozoru zdarzenia mające miejsce w długim okresie czasu, będące atakiem. Systemy takie są również dość pomocne przy zwykłych próbach ataku, typu wychwycenie na podstawie prowadzonej transmisji z hosta i numeru portu można założyć, że jest tam zainstalowany koń trojański lub inny złośliwy program. G Główną wadą systemów tego typu jest generowanie stosunkowo dużej ilości fałszywych alarmów, które mogą znieczulić obsługę, natyle, że nie zareaguje na prawdziwe zagrożenie

26 Start Pobranie założonych danych Przygotowanie danych do porównania Baza profili Porównanie profili Porównanie sygnatur ataku Baza sygnatur ataku Popraw profil Zgodne? Zgodny? 0 Alarm 0 Poprawić? 0 Alarm 0 Prawdziwy? Koniec