Zarządzanie systemami informatycznymi Bezpieczne protokoły Scenariusze ataków sieciowych Zapory sieciowe
Podstawowe warunki które muszą spełniać protokoły bezpieczeństwa Zapewnienie poufności przenoszenia danych poufność danych, źródła i miejsca przeznaczenia Silne uwierzytelnianie (niezaprzeczalność) zarówno nadawca jak i odbiorca nie może mieć żadnych wątpliwości co do tożsamości drugiej osoby Integralność danych mechanizmy zapewniające nadawcę i odbiorcę, że przesłane dane nie zostały w żaden sposób naruszone bądź zmienione podczas transmisji
Implementacja protokołów bezpieczeństwa Użytkownik- użytkownik (kodowanie poczty) Brama-brama (pełne zabezpieczenie przesyłu danych między ruterami) Użytkownik-brama ( dostęp z zewnątrz)
Protokoły warstwy sieciowej IP Security (IPSec) Point-to-Point Tunneling Protocol (PPTP) Layer 2 Forwarding (L2F) Layer 2 Tunneling Protocol (L2TP poprawiona wersja L2F) Podstawowe zadanie protokołów: bezpieczne przetransportowanie pakietu pochodzącego z pewnej zaufanej sieci IP poprzez siec obcą. Użytkownicy zdalni korzystają z wirtualnej sieci prywatnej (VPN) tak, jakby fizycznie znajdowali się w siedzibie firmy
Cechy protokołów bezpieczeństwa VPN (wirtualne sieci prywatne) Tunelowanie - pakiety z sieci IP są zbierane i umieszczane w treści zasadniczej innego, nowego pakietu. Szyfrowanie Sprawdzanie autentyczności treści zasadniczej pakietu pakietowy podpis cyfrowy zapewniający integralność danych Uwierzytelnianie połączenia przed stworzeniem tunelu łączącego dwa komputery należy dokonać uwierzytelnienia połączenia. Proces ten ma na celu sprawdzenie, czy obie strony są tymi, za które się podają
Protokół IP Security ( IPSec) Protokół stosowany we wszystkich trzech konfiguracjach: użytkownik-użytkownik, brama-brama, użytkownik-brama Funkcje protokołu: poufność, niezaprzeczalność i integralność Protokoły składowe: IP Authentication Header (AH nagłówek rozpoznawczy) zapewnia niezaprzeczalność, uwierzytelnianie danych i pozwala na sprawdzenie integralności danych. Encapsulating Security Payload (ESP - element rozpoznania zabezpieczeń pakietów IP) odpowiedzialny za zapewnienie poufności danych (szyfrowanie)
Warstwy protokółu IP Security ( IPSec)
Konfiguracja Security Associations (organizacja ochrony) A tryb transportowy AH B tryb tunelowy ESP C tryb tunelowy ESP z AH
Wymiana kluczy kryptograficznych Ręcznie tworzy się wspólne dla obu stron hasło (wyrażenie lub ciąg znaków) i umieszcza je np. w pliku konfiguracyjnym Automatycznie lub dynamicznie do bezpiecznej transmisji kluczy kryptograficznych poprzez obcą siec wykorzystuje się specjalny protokół wymiany kluczy np. IKE (Internet Key Exchange)
Zasady dostępu do sieci VPN
Scenariusze ataków sieciowych Ataki DoS Amplification attack (fałszowanie ICMP) Fragmentation attack (wymuszenie fragmentacji pakietów) Ataki DDos
Ataki DoS Ataki tego typu składają się z serii żądań dostarczania usług, których intensywność i liczba jest tak wielka, iż system spędza tyle czasu i zużywa tyle energii, udzielając odpowiedzi na żądania, że nie jest zdolny do jakichkolwiek innych działań Atak typu SYN flood polega na wysłaniu do systemu ofiary tysięcy próśb o nawiązanie połączenia TCP, system odsyła napastnikowi pakiety SYN/ACK, jednocześnie rezerwując część pamięci na nowo nawiązaną komunikację Napastnik nigdy nie wysyła do ofiary pakietu potwierdzającego nawiązanie połączenia(ack) w rezultacie ofiara nie może zwolnić zarezerwowanej pamięci
Amplification attack Atak ten polega na technice fałszowania zapytań ping (ICMP Echo Request), poprzez zamianę adresu źródła tych zapytań na adres atakowanego serwera. Tak spreparowane pakiety ping, wysyłane są na adres rozgłoszeniowy sieci zawierającej wiele komputerów. Pakiety zostają rozesłane do wszystkich aktywnych systemów w sieci, co powoduje przesłanie przez nie pakietów ICMP Echo Reply na sfałszowany wcześniej adres źródłowy atakowanej ofiary.
Amplification attack
Fragmentation attack Proces fragmentacji pakietów, zachodzący w warstwie sieciowej (IP) lub transportowej (TCP), może być przyczyną poważnych kłopotów urządzeń takich jak rutery, zapory sieciowe i czujniki systemu kontroli włamań. Tego typu ataki nie są skierowane przeciwko określonym serwerom nie są zasobożerne, celem ataków są systemy ochrony Atak polega na fragmentacji pakietów na najmniejsze możliwe części, wysłane w sposób nieuporządkowany, z powtarzającymi się i spóźnionymi pakietami. Urządzenia ochraniające sieć (ruter, zapora sieciowa) marnują mnóstwo czasu, czekając na spóźnione pakiety i próbując złożyć pakiety IP i sesje TCP w jedną całość
Rozproszony atak typu odmowa usług (DDoS) DDoS (ang. Distributed Denial of Service) - atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów (np. zombie). Atak DDoS jest odmianą ataku DoS polegającą na jednoczesnym atakowaniu ofiary z wielu miejsc. Służą do tego najczęściej komputery, nad którymi przejęto kontrolę przy użyciu specjalnego oprogramowania (różnego rodzaju tzw. boty i trojany). Na dany sygnał komputery zaczynają jednocześnie atakować system ofiary, zasypując go fałszywymi próbami skorzystania z usług, jakie oferuje. Dla każdego takiego wywołania atakowany komputer musi przydzielić pewne zasoby (pamięć, czas procesora, pasmo sieciowe), co przy bardzo dużej ilości żądań prowadzi do wyczerpania dostępnych zasobów, a w efekcie do przerwy w działaniu lub nawet zawieszenia systemu
Model ataku DDoS
Zapora sieciowa Zapora sieciowa (ang. firewall ściana ogniowa) jeden ze sposobów zabezpieczania sieci i systemów przed intruzami. Termin ten może odnosić się zarówno do dedykowanego sprzętu komputerowego wraz ze specjalnym oprogramowaniem, jak i do samego oprogramowania blokującego niepowołany dostęp do komputera, na którego straży stoi. Pełni rolę połączenia ochrony sprzętowej i programowej sieci wewnętrznej LAN przed dostępem z zewnątrz tzn. sieci publicznych, Internetu, chroni też przed nieuprawnionym wypływem danych z sieci lokalnej na zewnątrz.
Funkcje zapory sieciowej Filtrowanie pakietów, czyli sprawdzanie pochodzenia pakietów i akceptowanie pożądanych na podstawie adresu źródła, przeznaczenia i typu usług. Stosowanie algorytmów identyfikacji użytkownika (hasła, cyfrowe certyfikaty). Zabezpieczanie programów obsługujących niektóre protokoły (np. FTP, TELNET).
Podstawowe typy zapór sieciowych Zapora sieciowa filtrująca pakiety ( ang. packietfiltering firewall) Zapora sieciowa wykonująca statyczną inspekcje stanów (ang. Stateful inspection firewall) Pośredniczące zapory aplikacyjne (ang. application proxy firewall)
Zapora filtrująca pakiety Zapora filtrująca pakiety tylko na podstawie adresów IP źródła i przeznaczenia, umieszczonych w nagłówku pakietu, a także źródła i przeznaczenia portów TCP/UDP. Analiza odbywa się tylko na poziomie warstwy sieciowej modelu OSI Zapora stosuje się tylko do pierwszej napotkanej reguły, która odnosi się do danego pakietu później przeszukiwanie zostaje zatrzymane i żadna kolejna reguła nie będzie stosowana
Wady zapory filtrującej pakiety Przepuszczenie fali pakietów SYN przez zaporę
Wady zapory filtrującej pakiety Przepuszczenie pofragmentowanych pakietów, które wydają się ruchem HTTP a po rekonstrukcji okazują się telnetem
Zapora sieciowa z inspekcją stanów Zapora sieciowa z inspekcją stanów odwołuje się do definiowanych przez administratora reguł (tak jak filtr pakietów), ale są one interpretowane za pomocą dodatkowych układów logicznych Zapora przeprowadzająca inspekcję stanów monitoruje warstwę transportową (gdzie podstawowym protokołem jest TCP) Zapora taka monitoruje nie tylko takie dane jak źródło pakietu, jego adres docelowy i port, ale także numer sekwencji pakietu (kolejność pakietów) i znaczniki TCP (SYN, FIN) odróżnia początek, środek i koniec połączenia. Jądrem każdej takiej zapory jest tablica stanów, która jest aktualizowana za każdym razem, gdy zmienia się status połączenia
Schemat działania połączenia ftp z zaporą sieciową z inspekcją stanów Zapora blokuje wszystkie połączenia przychodzące Komputer U inicjuje sesję ftp kontaktując się z serwerem A Serwer ftp może otworzyć połączenie zwrotne, bo zapora zapamiętała w tablicy stanów stan wcześniejszego połączenia Inny serwer ftp (serwer B nie ma możliwości nawiązania połączenia z klientem, gdyż w tablicy stanów nie ma odpowiedniego rekordu opisującego to połączenie
Pośredniczące zapory aplikacyjne (proxy) Firewall tego typu nie zezwala na bezpośrednie połączenia pomiędzy jednostkami znajdującymi się po obu stornach zapory Wszystkie połączenia są dokonywane za pośrednictwem serwera pośredniczącego proxy, który przechwytuje wszystkie wchodzące i wychodzące sesje, analizuje ich zgodność z listą reguł i dopiero ustanawia połączenie pomiędzy zaporą a usługą docelową Pośrednicząca zapora aplikacyjna odgrywa swą rolę jeżeli uda się przewidzieć możliwości przeprowadzania ataków z wykorzystaniem danych protokołu Wadą zapory jest konieczność korzystania z większej mocy obliczeniowej, pamięci operacyjnej, oddzielnego serwera proxy.
Pośredniczące zapory aplikacyjne
Hybrydy Hybrydy zapór sieciowych łącze wszystkie technologie zapór: filtrowanie pakietów, inspekcja stanów i pośredniczenie w usługach Hybrydy inicjują sesję, wykorzystując w pierwszej fazie serwer pośredniczący Po nawiązaniu połączenia przechodzą w tryb monitorowania połączenia, wykorzystując tablicę stanów
Zapora z szczeliną powietrzną (air gap) Szczeliną powietrzną określa się urządzenie, które konwertuje standardowe protokoły internetowe (TCP/IP) na pewien nietypowy lub bazujący na sprzęcie protokół jeszcze przed podjęciem decyzji o przepuszczeniu lub odrzuceniu pakietów
Drugorzędne funkcje zapory sieciowej Translacja adresów w sieci (NAT) Translacja adresów portów (PAT) Antispoofing Obsługa wirtualnych sieci LAN Uwierzytelnianie
Sieć bez translacji adresów Możliwe mapowanie topologii sieci wewnętrznej bez translacji adresów (NAT)- sieć z adresami trasowalnymi z Internetu, łączenie się z każdym adresem oddzielnie
Statyczna translacja adresów w sieci (NAT) Sieć wykorzystująca translację adresów (NAT) komputery w sieci wewnętrznej otrzymują nietrasowalne adresy IP
Statyczna translacja adresu serwera poczty
Dynamiczna translacja adresów portów (PAT) Komputery w sieci wewnętrznej używają jednego adresu IP, zapora przydziela im różne porty do komunikacji z Internetem
Antispoofing Spoofing- metoda podrabiania adresów sieci wewnętrznej, stosowana przykładowo w anonimowych sesjach ftp Antispoofing mechanizm pozwalający odróżnić czy pakiet pojawił się na interfejsie wewnętrznym zapory (pochodzi z sieci wewnętrznej) czy na innym interfejsie (może by sfałszowany)
Antispoofing Pakiety z adresem IP komputera sieci wewnętrznej, pojawiające się na zewnętrznym interfejsie zapory są blokowane i odrzucane umożliwia to funkcja antispoofing
Uwierzytelnianie w zaporze sieciowej
Dyspozycyjność zapory sieciowej Model HA (High Availability) polega na zastosowaniu systemu nadmiarowej zapory sieciowej Rezerwa pasywna gotowa do pracy wyłączona zapora awaryjna Rezerwa aktywna włączona i połączona za pomocą połączenia synchronizującego Zapora w trybie rezerwy aktywnej
Platformy zapór sieciowych Zapory sieciowe stworzone na bazie systemu operacyjnego Urządzenia wykorzystujące standardowe systemy operacyjne Tradycyjne systemy operacyjne z dodatkowym oprogramowaniem firmowym, zapewniającym ochronę Zapory sprzętowe
Zapory wykorzystujące oprogramowanie systemu operacyjnego IPChains zapora dla systemów Linux i BSD pozwala definiować reguły filtrów pakietów bez inspekcji stanów Firewall systemów Windows integrują się z oprogramowaniem sieciowym, w trakcie łączenia aplikacji z Internetem tworzone są reguły filtrowania pakietów, zawierają podstawowe funkcje takie jak inspekcja stanów.
Urządzenia korzystające z systemów operacyjnych (systemowy firewall) Zmodyfikowane komputery osobiste z procesorem Intela, na których zainstalowano wzmocniony i ulepszony system linuksowy (lub BSD) wraz z IPChains i jego nowymi interfejsami użytkownika. Zapory tego typu charakteryzują się możliwością dokonywania inspekcji stanów, funkcjami zestawiania połączeń VPN dla zdalnych użytkowników i rozszerzeniami wykorzystującymi zewnętrzne źródła uwierzytelniania (np. mechanizm sprawdzania certyfikatów cyfrowych)
Tradycyjne systemy operacyjne z dodatkowym oprogramowaniem firmowym Oprogramowanie zapory jest zainstalowane wraz ze specjalnie przygotowanym systemem operacyjnym (Linux lub NT), w którym zablokowano wszystkie niepotrzebne usługi Platforma zapewnia funkcje inspekcji stanów, serwera pośredniczącego proxy lub inne funkcje stosowane w modelach hybrydowych Oprogramowanie komercyjne umożliwia systemowi operacyjnemu pełnienie niskopoziomowych funkcji trasowania
Rozwiązania sprzętowe Zapora sprzętowa (firewall appliance) urządzenia dedykowane, w których funkcje zapory implementowane są w specjalizowanych układach scalonych (ASIC Application Specific Integrated Circuit) Zalety: Wzmocniony system operacyjny sprzętowej zapory sieciowej Łatwe uruchomianie Łatwa konserwacja i obsługa Większa wydajność
Narzędzia ochrony przed atakami DoS odmowa usług (ang. denial of service)
Dzienniki zapór sieciowych Co powinno być rejestrowane w dziennikach? wszystkie zdarzenia zakończone porażką przypadki dostępu do ważnych zasobów zdalne połączenia zakończone sukcesem (np. dane połączeniowa VPN)