Wrocław 2006(07) INTERNETOWE BAZY DANYCH materiały pomocnicze wykład IV Paweł Skrobanek C3, pok. 323 email: pawel.skrobanek@pwr.wroc.pl PLAN NA DZIŚ : 1. Wprowadzenie bezpieczeństwo 2. Umiejscowienie bazy danych w architekturze sieci firmowej 3. Podstawowe typy ataków 4. Składowanie, archiwizacja i ochrona danych 5. Konfiguracja firewall a iptables 2/26 Wprowadzenie Aspekty związane z bezpieczeństwem IBD KLIENT SERWER web SERWER aplikacji i BD fałszowanie cookie, pola zakryte, dostęp do zasobów (pliki, katalogi, usługi) manipulowanie na danych wejściowych, błędy w projektach skryptów luki w ochronie i błędy w konfiguracji, tylne wejścia, przepełnienie bufora 3/26 P.Skrobanek 1
Wprowadzenie Przykłady zagroŝeń: SQL Slammer (robak atak na Microsoft SQL, azja styczeń 2003, straty ok. 1,2 mld $), drugi biuletyn Microsoft ( MS06_012 z marca 2006) naprawia błąd umoŝliwiający lokalne podniesienie swoich przywilejów do poziomu z którego korzystają usługi na nim uruchamiane. Błąd dotyczy tylko XP SP1 oraz Windows Server 2003 (źródło: http://hacking.pl/5848) 4/26 Statystyka przestępstw komputerowych 1999 2000 2001 2002 2003 2004 2005 2006 Oszustwo komp. art. 287 par.12 217 323 279 368 168 390 568 444 Uzyskanie inform. 267 par. 1 3 113 240 175 215 232 248 260 370 Zniszcz. lub zmiana istotnej inform. art. 268 par. 13 i 268a 49 48 118 167 138 89 98 136 Zniszcz. lub zmiana informacji art. 269 par. 12 1 5 5 12 2 0 3 4 SabotaŜ komputero wy art. 269a 1 19 Źródło: http://www.policja.pl/index.php?dzial=4&id=321 5/26 2. Umiejscowienie bazy danych w architekturze sieci firmowej 6/26 P.Skrobanek 2
Umiejscowienie BD przykład 1 7/26 Umiejscowienie BD przykład 2 8/26 Umiejscowienie BD sieci wirtualne Tunelowanie: 1. z wykorzystaniem IPSec, 2. z wykorzystaniem SSL (przezroczyste dla zapory) VPN (Virtual( Private Network) wirtualna sieć prywatna korzysta z publicznej infrastruktury telekomunikacyjnej, protokołów tunelowania i procedur bezpieczeństwa danych (UWAGA: wykorzystywane równieŝ w ramach LAN do odseparowania fragmentu sieci) 9/26 P.Skrobanek 3
Umiejscowienie BD sieci wirtualne Zachęcam do przejrzenia źródła: http://pl.wikipedia.org/wiki/ipsec lub http://en.wikipedia.org/wiki/ipsec 10/26 3. PODSTAWOWE TYPY ATAKÓW 11/26 Buffer overflow zapisanie łańcuchów danych przekraczających rozmiar bufora, przy niedopracowanych aplikacjach moŝe spowodować uzyskanie uprawnień do wykonywania swoich programów zapobieganie: instalacja łatek, przykład: błędy ODBC w serwerze webowym Microsoft (Windows NT) 12/26 P.Skrobanek 4
Wirusy robaki i konie trojańskie znane z Ŝycia codziennego zapobieganie: aktualne oprogramowanie antywirusowe, wyłączanie zbędnych usług. 13/26 Spoofing podrabianie wiarygodnej toŝsamości, fałszowanie adresu IP (zaufanie serwera lub udawanie kogoś innego), podrabianie zaufanej witryny (moŝe klient się zaloguje ), i inne zapobieganie: zabezpieczenia firewall a, podpisy cyfrowe, urządzenia separujące sieci (jeśli moŝliwe) 14/26 DoS DoS (Denial of Service) przy uŝyciu standardowych protokołów lub procesów blokuje usługi, np. ping śmierci, otwierająca się ogromna liczba okienek, zapobieganie: właściwa konfiguracja firewall a oraz zabezpieczenia po stronie komputera klienta, a takŝe np. moniorowanie sieci. 15/26 P.Skrobanek 5
Session Hijacking przejęcie istniejącego połączenia i odgrywanie roli jednej ze stron, zapobieganie: instalacja łatek, właściwe projektowanie i implementacja oprogramowania 16/26 Normy i zalecenia w dziedzinie zarządzania bezpieczeństwem patrz ksero. 17/26 4. Składowanie, archiwizacja i ochrona danych 18/26 P.Skrobanek 6
ZagroŜenia miejsca (budynku, statku itp.), huragan, trzęsienie ziemi, powódź, itp. utrata zasilania, wojna, terroryzm. Awarie sprzętu uszkodzenia pamięci masowej (np. dysku), błąd procesora, Niedziałająca infrastruktura sieciowa. awaria logiczna błędy oprogramowania, wirusy, robaki, itp. przypadkowe usunięcia danych. 19/26 ZagroŜenia miejsca wybrane techniki zapobiegania utratom danych: redundancja sprzętu replika bazy danych wraz ze sprzętem na serwerze zapasowym (np. 30 km dalej), zasilacze UPS, własne generatory, monitorowanie i zabezpieczenie obiektów, systemy alarmowe itp. 20/26 Awarie sprzętu wybrane techniki zapobiegania utratom danych: redundancja sprzętu, Macierze RAID 1 (mirroring), RAID 5, backup i archiwizacja 21/26 P.Skrobanek 7
Błędy w oprogramowaniu wybrane techniki zapobiegania utratom danych: takie, jak poprzednio, ochrona antywirusowa, aktualizacja oprogramowania, zapory sieciowe, itp. projetkowanie, implementacja, testowanie i walidacja oprogramowanie metodami formalnymi 22/26 Rodzaje backupów: full backup, incremental backup, differential backup lokalny sieciowy 23/26 Przykłady urządzeń wykorzystywanych do archiwizacji: macierze dyskowe RAID, urządzenia taśmowe DAT, np. DDS6 80GB, 5MB/s, DLT (Digital Linear Tape), np. SDLT600 300GB, 32MB/s, przyszłość:? OMass5 10 TB, 1GB/s (rok 2011), nośniki optyczne i magnetooptyczne 24/26 P.Skrobanek 8
5. Konfiguracja firewall a iptables 25/26 Bibliografia http://www.voicexml.org VoiceXML, opis standardu, tutoriale http://ipsec.pl/leksykon/ipsec.php opis protokołów związanych z tunelowaniem IP http://62.181.186.233/mir/ konfiguracja IP tables (wybieramy z menu: linux) 26/26 P.Skrobanek 9