Zarządzanie systemami informatycznymi. Zagrożenia w sieci

Transkrypt

1 Zarządzanie systemami informatycznymi Zagrożenia w sieci

2 Scenariusze ataków sieciowych Ataki DoS: Syn Flood Amplification attack (fałszowanie ICMP) Fragmentation attack (wymuszenie fragmentacji pakietów) Ataki DDos Phishing

3 Ataki DoS: SYN flood Ataki tego typu składają się z serii żądań dostarczania usług, których intensywność i liczba jest tak wielka, iż system spędza tyle czasu i zużywa tyle energii, udzielając odpowiedzi na żądania, że nie jest zdolny do jakichkolwiek innych działań Atak typu SYN flood polega na wysłaniu do systemu ofiary tysięcy próśb o nawiązanie połączenia TCP, system odsyła napastnikowi pakiety SYN/ACK, jednocześnie rezerwując część pamięci na nowo nawiązaną komunikację Napastnik nigdy nie wysyła do ofiary pakietu potwierdzającego nawiązanie połączenia(ack) w rezultacie ofiara nie może zwolnić zarezerwowanej pamięci

4 Amplification attack Atak ten polega na technice fałszowania zapytań ping (ICMP Echo Request), poprzez zamianę adresu źródła tych zapytań na adres atakowanego serwera. Tak spreparowane pakiety ping, wysyłane są na adres rozgłoszeniowy sieci zawierającej wiele komputerów. Pakiety zostają rozesłane do wszystkich aktywnych systemów w sieci, co powoduje przesłanie przez nie pakietów ICMP Echo Reply na sfałszowany wcześniej adres źródłowy atakowanej ofiary.

5 Amplification attack

6 Fragmentation attack Proces fragmentacji pakietów, zachodzący w warstwie sieciowej (IP) lub transportowej (TCP), może być przyczyną poważnych kłopotów urządzeń takich jak rutery, zapory sieciowe i czujniki systemu kontroli włamań. Tego typu ataki nie są skierowane przeciwko określonym serwerom nie są zasobożerne, celem ataków są systemy ochrony Atak polega na fragmentacji pakietów na najmniejsze możliwe części, wysłane w sposób nieuporządkowany, z powtarzającymi się i spóźnionymi pakietami. Urządzenia ochraniające sieć (ruter, zapora sieciowa) marnują mnóstwo czasu, czekając na spóźnione pakiety i próbując złożyć pakiety IP i sesje TCP w jedną całość

7 Rozproszony atak typu odmowa usług (DDoS) DDoS (ang. Distributed Denial of Service) - atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów (np. zombie). Atak DDoS jest odmianą ataku DoS polegającą na jednoczesnym atakowaniu ofiary z wielu miejsc. Służą do tego najczęściej komputery, nad którymi przejęto kontrolę przy użyciu specjalnego oprogramowania (różnego rodzaju tzw. boty i trojany). Na dany sygnał komputery zaczynają jednocześnie atakować system ofiary, zasypując go fałszywymi próbami skorzystania z usług, jakie oferuje. Dla każdego takiego wywołania atakowany komputer musi przydzielić pewne zasoby (pamięć, czas procesora, pasmo sieciowe), co przy bardzo dużej ilości żądań prowadzi do wyczerpania dostępnych zasobów, a w efekcie do przerwy w działaniu lub nawet zawieszenia systemu

8 Model ataku DDoS

9 Phishing Metoda oszustwa polegająca na wyłudzeniu danych wrażliwych (haseł, loginów, numerów), przy zastosowaniu metody podszywania się pod inną osobę lub instytucję (np. w postaci przesyłanych maili z linkami do serwisów i systemów płatności).

10 Zapora sieciowa Zapora sieciowa (ang. firewall ściana ogniowa) jeden ze sposobów zabezpieczania sieci i systemów przed intruzami. Termin ten może odnosić się zarówno do dedykowanego sprzętu komputerowego wraz ze specjalnym oprogramowaniem, jak i do samego oprogramowania blokującego niepowołany dostęp do komputera, na którego straży stoi. Pełni rolę połączenia ochrony sprzętowej i programowej sieci wewnętrznej LAN przed dostępem z zewnątrz tzn. sieci publicznych, Internetu, chroni też przed nieuprawnionym wypływem danych z sieci lokalnej na zewnątrz.

11 Funkcje zapory sieciowej Filtrowanie pakietów, czyli sprawdzanie pochodzenia pakietów i akceptowanie pożądanych na podstawie adresu źródła, przeznaczenia i typu usług. Stosowanie algorytmów identyfikacji użytkownika (hasła, cyfrowe certyfikaty). Zabezpieczanie programów obsługujących niektóre protokoły (np. FTP, TELNET).

12 Podstawowe typy zapór sieciowych Zapora sieciowa filtrująca pakiety ( ang. packietfiltering firewall) Zapora sieciowa wykonująca statyczną inspekcje stanów (ang. Stateful inspection firewall) Pośredniczące zapory aplikacyjne (ang. application proxy firewall)

13 Zapora filtrująca pakiety Zapora filtrująca pakiety tylko na podstawie adresów IP źródła i przeznaczenia, umieszczonych w nagłówku pakietu, a także źródła i przeznaczenia portów TCP/UDP. Analiza odbywa się tylko na poziomie warstwy sieciowej modelu OSI Zapora stosuje się tylko do pierwszej napotkanej reguły, która odnosi się do danego pakietu później przeszukiwanie zostaje zatrzymane i żadna kolejna reguła nie będzie stosowana

14 Wady zapory filtrującej pakiety Przepuszczenie fali pakietów SYN przez zaporę

15 Wady zapory filtrującej pakiety Przepuszczenie pofragmentowanych pakietów, które wydają się ruchem HTTP a po rekonstrukcji okazują się telnetem

16 Zapora sieciowa z inspekcją stanów Zapora sieciowa z inspekcją stanów odwołuje się do definiowanych przez administratora reguł (tak jak filtr pakietów), ale są one interpretowane za pomocą dodatkowych układów logicznych Zapora przeprowadzająca inspekcję stanów monitoruje warstwę transportową (gdzie podstawowym protokołem jest TCP) Zapora taka monitoruje nie tylko takie dane jak źródło pakietu, jego adres docelowy i port, ale także numer sekwencji pakietu (kolejność pakietów) i znaczniki TCP (SYN, FIN) odróżnia początek, środek i koniec połączenia. Jądrem każdej takiej zapory jest tablica stanów, która jest aktualizowana za każdym razem, gdy zmienia się status połączenia

17 Schemat działania połączenia ftp z zaporą sieciową z inspekcją stanów Zapora blokuje wszystkie połączenia przychodzące Komputer U inicjuje sesję ftp kontaktując się z serwerem A Serwer ftp może otworzyć połączenie zwrotne, bo zapora zapamiętała w tablicy stanów stan wcześniejszego połączenia Inny serwer ftp (serwer B nie ma możliwości nawiązania połączenia z klientem, gdyż w tablicy stanów nie ma odpowiedniego rekordu opisującego to połączenie

18 Pośredniczące zapory aplikacyjne (proxy) Firewall tego typu nie zezwala na bezpośrednie połączenia pomiędzy jednostkami znajdującymi się po obu stronach zapory Wszystkie połączenia są dokonywane za pośrednictwem serwera pośredniczącego proxy, który przechwytuje wszystkie wchodzące i wychodzące sesje, analizuje ich zgodność z listą reguł i dopiero ustanawia połączenie pomiędzy zaporą a usługą docelową Pośrednicząca zapora aplikacyjna odgrywa swą rolę jeżeli uda się przewidzieć możliwości przeprowadzania ataków z wykorzystaniem danych protokołu Wadą zapory jest konieczność korzystania z większej mocy obliczeniowej, pamięci operacyjnej, oddzielnego serwera proxy.

19 Pośredniczące zapory aplikacyjne

20 Hybrydy Hybrydy zapór sieciowych łącze wszystkie technologie zapór: filtrowanie pakietów, inspekcja stanów i pośredniczenie w usługach Hybrydy inicjują sesję, wykorzystując w pierwszej fazie serwer pośredniczący Po nawiązaniu połączenia przechodzą w tryb monitorowania połączenia, wykorzystując tablicę stanów

21 Zapora z szczeliną powietrzną (air gap) Szczeliną powietrzną określa się urządzenie, które konwertuje standardowe protokoły internetowe (TCP/IP) na pewien nietypowy lub bazujący na sprzęcie protokół jeszcze przed podjęciem decyzji o przepuszczeniu lub odrzuceniu pakietów

22 Drugorzędne funkcje zapory sieciowej Translacja adresów w sieci (NAT) Translacja adresów portów (PAT) Antispoofing Obsługa wirtualnych sieci LAN Uwierzytelnianie

23 Sieć bez translacji adresów Możliwe mapowanie topologii sieci wewnętrznej bez translacji adresów (NAT)- sieć z adresami trasowalnymi z Internetu, łączenie się z każdym adresem oddzielnie

24 Statyczna translacja adresów w sieci (NAT) Sieć wykorzystująca translację adresów (NAT) komputery w sieci wewnętrznej otrzymują nietrasowalne adresy IP

25 Statyczna translacja adresu serwera poczty

26 Dynamiczna translacja adresów portów (PAT) Komputery w sieci wewnętrznej używają jednego adresu IP, zapora przydziela im różne porty do komunikacji z Internetem

27 Przykład konfiguracji PAT w routerze

28 Antispoofing Spoofing- metoda podrabiania adresów sieci wewnętrznej, stosowana przykładowo w anonimowych sesjach ftp Antispoofing mechanizm pozwalający odróżnić czy pakiet pojawił się na interfejsie wewnętrznym zapory (pochodzi z sieci wewnętrznej) czy na innym interfejsie (może by sfałszowany)

29 Antispoofing Pakiety z adresem IP komputera sieci wewnętrznej, pojawiające się na zewnętrznym interfejsie zapory są blokowane i odrzucane umożliwia to funkcja antispoofing

30 Uwierzytelnianie w zaporze sieciowej

31 Dyspozycyjność zapory sieciowej Model HA (High Availability) polega na zastosowaniu systemu nadmiarowej zapory sieciowej Rezerwa pasywna gotowa do pracy wyłączona zapora awaryjna Rezerwa aktywna włączona i połączona za pomocą połączenia synchronizującego Zapora w trybie rezerwy aktywnej

32 Platformy zapór sieciowych Zapory sieciowe stworzone na bazie systemu operacyjnego Urządzenia wykorzystujące standardowe systemy operacyjne Tradycyjne systemy operacyjne z dodatkowym oprogramowaniem firmowym, zapewniającym ochronę Zapory sprzętowe

33 Zapory wykorzystujące oprogramowanie systemu operacyjnego IPChains zapora dla systemów Linux i BSD pozwala definiować reguły filtrów pakietów bez inspekcji stanów Firewall systemów Windows integrują się z oprogramowaniem sieciowym, w trakcie łączenia aplikacji z Internetem tworzone są reguły filtrowania pakietów, zawierają podstawowe funkcje takie jak inspekcja stanów.

34 Urządzenia korzystające z systemów operacyjnych (systemowy firewall) Zmodyfikowane komputery osobiste z procesorem Intela, na których zainstalowano wzmocniony i ulepszony system linuksowy (lub BSD) wraz z IPChains i jego nowymi interfejsami użytkownika. Zapory tego typu charakteryzują się możliwością dokonywania inspekcji stanów, funkcjami zestawiania połączeń VPN dla zdalnych użytkowników i rozszerzeniami wykorzystującymi zewnętrzne źródła uwierzytelniania (np. mechanizm sprawdzania certyfikatów cyfrowych)

35 Tradycyjne systemy operacyjne z dodatkowym oprogramowaniem firmowym Oprogramowanie zapory jest zainstalowane wraz ze specjalnie przygotowanym systemem operacyjnym (Linux lub NT), w którym zablokowano wszystkie niepotrzebne usługi Platforma zapewnia funkcje inspekcji stanów, serwera pośredniczącego proxy lub inne funkcje stosowane w modelach hybrydowych Oprogramowanie komercyjne umożliwia systemowi operacyjnemu pełnienie niskopoziomowych funkcji trasowania

36 Rozwiązania sprzętowe Zapora sprzętowa (firewall appliance) urządzenia dedykowane, w których funkcje zapory implementowane są w specjalizowanych układach scalonych (ASIC Application Specific Integrated Circuit) Zalety: Wzmocniony system operacyjny sprzętowej zapory sieciowej Łatwe uruchomianie Łatwa konserwacja i obsługa Większa wydajność

37 Narzędzia ochrony przed atakami DoS odmowa usług (ang. denial of service)

38 Dzienniki zapór sieciowych Co powinno być rejestrowane w dziennikach? wszystkie zdarzenia zakończone porażką przypadki dostępu do ważnych zasobów zdalne połączenia zakończone sukcesem (np. dane połączeniowa VPN)