Marek Pyka,PhD Security Engineer Paulina Januszkiewicz Security Engineer Academy of Business in Dąbrowa Górnicza, POLAND prezentują
[EN] Remote access mechanics as a source of threats to enterprise network infrastructure. [PL] Mechanizmy dostępu zdalnego jako źródło zagrożeń dla infrastruktury sieciowej przedsiębiorstwa.
Trendy w bezpieczeństwie
Wartość informacji Informacje i zasoby przedsiębiorstwa: Są najcenniejszym towarem Silnie oddziaływają na procesy biznesowe Wymagają ciągłej ochrony Mogą być dobrze chronione przy wykorzystaniu organizacyjnych oraz technicznych środków bezpieczeństwa Należy pamiętać, że łączenie wysokiego poziomu bezpieczeństwa z dobrą funkcjonalnością jest bardzo kosztowne oraz trudne w implementacji.
Idealna metoda zdalnego dostępu Poszukując rozwiązania dla przedsiębiorstwa należy pamiętać, że: Metoda dostępowa powinna charakteryzować się uniwersalnością pozwalającą na dostęp klientów niezależnie od stosowanych mechanizmów komunikacji oraz typów aplikacji, które są udostępniane. Bezpieczeństwo metod dostępowych związane jest zarówno z urządzeniem zapewniającym dostęp, jaki klientem oraz zasobami.
Model In depth Defense Zarządzanie bezpieczeństwem w większości oparte jest na modelu dogłębnej obrony :
Zagrożenia oraz wybrane metody dostępu
Realne zagrożenie wstępna infekcja ISP Pracownik korzysta z laptop a w domu Włamanie Robak Wirus Zagr. Hybryd. + + = Pracownik odbiera w domu pocztę z zainfekowanym załącznikiem do swojego służbowego laptop a lub przegląda niezaufane strony WWW.
Realne zagrożenie propagacja Serwer plików Exchange Server Pracownik Łączący się do firmy Web Server Włamanie Robak Wirus Zagr. Hybryd. + + = Zagrożenie Pracownik podłącza hybrydowe swój przenosi laptop się do do sieci systemów firmowej i z uruchamia otwartymi zainfekowany udziałami sieciowymi. załącznik.
Różne techniki propagacji luka w serwerach WWW Serwer plików Exchange Server Pracownik Łączący się do firmy Web Server Włamanie Robak Wirus Zagr. Hybryd. + + = Komputery Zagrożenie korzystające hybrydowe wyszukuje z serwera serwery WWW zostają WWW z zainfekowane. luką w zabezpieczeniach i infekuje je.
Różne techniki propagacji wirus typu mass mailer Serwer plików Exchange Server Pracownik Łączący się do firmy Web Server Włamanie Robak Wirus Zagr. Hybryd. + + = Zagrożenie hybrydowe przenosi się w tradycyjny sposób za pośrednictwem poczty.
Infekcja wszystkich sieci partnerskich firmy Zagrożenie hybrydowe zaraża pozostałe sieci firmy.
Problem globalny!!! Zagrożenie hybrydowe rozprzestrzenia się w całym świecie w ciągu kilku godzin.
Ryzyko Wewnętrzne: Narzędzia do analizy/skrypty Nieautoryzowane aplikacje Nieautoryzowany ruch Fałszowanie tożsamości Kradzież informacji Modyfikacja informacji Zniszczenie danych Zewnętrzne: Nieautoryzowani użytkownicy Nieautoryzowani klienci CIA MALWARE I Więcej
Prosty atak na usługi terminalowe
Usługi terminalowe W systemie Windows Server 2008 wprowadzono nową funkcjonalność usług terminalowych, która pozwala na łączenie się zarówno z odległymi komputerami, jak i aplikacjami. Technologia TS może zostać zintegrowana z NAP, dzięki temu administratorzy będą mieli pewność, że użytkownicy korzystający z usług terminalowych będą posiadali status zdrowia zgodny z nałożonym na przedsiębiorstwo. Usługa Remote Programs (TS RemoteApp) pozwala na integrację aplikacji uruchomionej na serwerze terminalowym z pulpitem użytkownika tak, że użytkownik widzi aplikację, jakby była ona uruchomiona lokalnie. Wpraktyce nie należy udostępniać aplikacji bez wcześniejszego zapoznania się zzakresem jej uprawnień.
Terminal Services Gateway Hotel Dom Tuneluje RDP przez HTTPS Internet Internet Zewnętrzny Firewall DMZ Analiza RDP/HTTPS Wewnętrzny Firewall Terminal Services Gateway Server LAN Terminal Server Ruch RDP/SSL przekazany do TS Terminal Server Other RDP Hosts Klienci/Partnerzy Biznesowi Network Policy Server Active Directory Domain Controller
Terminal Services Remote Programs Programy wyglądają, jakby Programy zdalne Dostępne przez konsolę były uruchomione lokalnie zintegrowane z komputerem Remote Programs console Wymagany klient Remote lokalnym Dostępne przez interfejs Desktop Prosta konfiguracja z jednego WWW TS Web Access miejsca: konsola Terminal Server Configuration Wymagany klient Remote Desktop Terminal Services Gateway Server Marek Pyka, Paulina Januszkiewicz
Network Access Protection
Network Access Protection Czym jest Network Access Protection? Weryfikacja stanu zdrowia Poprawa stanu zdrowia (wymuszane polityką) Ograniczony dostęp Większe bezpieczeństwo Zwiększona wartość biznesowa
Komponenty Platformy NAP NAP umożliwia stosowanie wielu komponentów do ochrony sieci, są to: Internet Protocol security (IPsec), który odpowiada za uwierzytelnianie na hostach IEEE 802.1X kontrola w punktach dostępowych Wirtualne sieci prywatne (VPN) Serwery DHCP Technologie te mogą być ze sobą łączone, aza ich prawidłowe funkcjonowanie odpowiada Network Policy Server (NPS), który analizuje obowiązujące reguły dostępowe.
Działanie Network Access Protection 3 Serwery Polis Np.: Patch, AV Klient Windows 1 2 NPS Nie spełnia założeń polisy 5 Jeżeli klient spełnia założenia polisy, dostaje dostęp do sieci firmowej. Sieć z ograniczonymi uprawnieniami DHCP, VPN Spełnia Switch/Router założenia 1 polisy Klient żąda dostępu do sieci i prezentuje swój status. 2 DHCP, VPN lub Switch/Router przesyłastatus klienta do serwera 5 Sieć firmowa Microsoft Network Policy Server (RADIUS). 3 NPS weryfikuje status klienta po kątem zdefiniowanej polisy przez firmę. 4 Jeżeli klient nie spełnia założeń polisy, klient jest przekierowany do osobnego VLAN u. Ponad to klient otrzymuje dostęp tylko do wyznaczonych serwerów (Kroki 1 4). 4 Fix Up Servers Np..: Patch
Scenariusze działania Urządzenia mobilne, komputery stacjonarne Ograniczenie dostępu do sieci Weryfikacja komputerów osobistych Ciągłe monitorowanie stanów komputerów stacjonarnych oraz na uaktualnianie wybranych jednostek. W przypadku urządzeń mobilnych, w sytuacji, gdy znajdują się poza firmą, w momencie podłączenia, następuje weryfikacja stanu. Przy wykorzystaniu dostępnych polityk można określić czy urządzenie mobilne np. laptop posiada odpowiednie uprawnienia dostępu do ściśle ograniczonych fragmentów sieci, nie posiada ich lub też ma nieograniczony dostęp. Sprawdzenie, czy dany komputer posiada uchybienia stanu zdrowia wynikając np. zbraku wymaganego przez politykę oprogramowania lub też niewłaściwych wpisów w rejestrze.
Wnioski Wdrożenie bezpiecznego mechanizmu dostępu jest istotne, ponieważ: Ryzyko nieautoryzowanego wykorzystania danych będzie zminimalizowane. Poziom bezpieczeństwa przetwarzanych informacji wypływa na dobrą reputację przedsiębiorstwa na rynku. Przedsiębiorstwo będzie posiadało dobrze zaprojektowaną metodę dostępu zdalnego, która wpływa na ciągłość działaniabiznesowego. Dział IT oraz Zarząd będą świadomi poziomu bezpieczeństwa w przedsiębiorstwie oraz łatwiej im będzie ocenić poziom wydatków na kolejne środki zabezpieczeń. Ciągły oraz bezpieczny zdalny dostępdoważnych danych.
Q & A
Dziękujemy za uwagę! Marek Pyka,PhD mpyka@wsb.edu.pl Paulina Januszkiewicz pjanuszkiewicz@wsb.edu.pl