Przepełnienie bufora. SQL Injection Załączenie zewnętrznego kodu XSS. Nabycie uprawnień innego użytkownika/klienta/administratora



Podobne dokumenty
Przegląd dostępnych hypervisorów. Jakub Wojtasz IT Solutions Architect

WIRTUALIZACJA. Kamil Frydel, Julia Romanowska, Maciej Sokołowski. 12 listopada 2007 WIRTUALIZACJA. Kamil Frydel, Julia Romanowska, Maciej Sokołowski

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Przegląd technik wirtualizacji i separacji w nowoczesnych systemach rodziny UNIX

Linux Contextualization

U M L. System operacyjny Linux zagnieżdżony w zewnętrznym systemie operacyjnym (Linux)

NOWY OPIS TECHNICZNY PRZEDMIOTU ZAMÓWIENIA

Linux -- u mnie działa!

Przegląd technik wirtualizacji i separacji w nowoczesnych systemach rodziny UNIX

OPIS TECHNICZNY PRZEDMIOTU ZAMÓWIENIA

OpenContrail jako wtyczka do OpenStacka. Bartosz Górski, Paweł Banaszewski CodiLime

RHEL 5 wpływ wirtualizacji na koszty

NASK SA Data Center Hosting Wirtualny na publicznej platformie NASK SA Cloud

Systemy Operacyjne Wirtualizacja

27/13 ZAŁĄCZNIK NR 4 DO SIWZ. 1 Serwery przetwarzania danych. 1.1 Serwery. dostawa, rozmieszczenie i zainstalowanie 2. serwerów przetwarzania danych.

WWQ. Wakacyjne Warsztaty QNAP. Zaczynamy o 11:00. Prowadzący: Łukasz Milic Certyfikowany Trener QNAP

WZÓR UMOWY. Zawarta w Białymstoku, w dniu.. pomiędzy:

Tworzenie bezpiecznego środowiska kont shellowych

ZAŁOŻENIA PROJEKTOWE I SPECYFIKACJA USŁUG

System wspomagania zarządzania wirtualizacją

Wykorzystanie wirtualizacji w kluczowych scenariuszach data-center

Wirtualizacja. Piotr Sikora Tomasz Ziółkowski

PRZETARG 01/EU/2016/SERVERS NA DOSTAWĘ, MONTAŻ I URUCHOMIENIE SERWERÓW, WIRTUALIZATORÓW, MACIERZY I OPROGRAMOWANIA ORAZ WYKUP STAREGO SPRZĘTU

CyberGuru Wirtualizacja na platformie Hyper-V w pigułce. Prezentuje: Kamil Frankowicz

Zapytanie ofertowe nr 03/05/2014. Zakup licencji na oprogramowanie do wirtualizacji Działanie POIG 8.2

ZAŁĄCZNIK NR 1.8 do PFU Serwery wraz z system do tworzenia kopii zapasowych i archiwizacji danych - wyposażenie serwerowni

LPAR - logiczne partycjonowanie systemów

Wykorzystanie wirtualizacji w kluczowych scenariuszach data-center

WAKACYJNA AKADEMIA TECHNICZNA

Virtual Grid Resource Management System with Virtualization Technology

VMware. Prezentacja na Systemy Operacyjne

Wsparcie migracji obliczeń poprzez wirtualizację zasobów sieciowych

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

Sieć aktywna. Podział infrastruktury sieciowej na różne sieci wewnętrzne w zależności od potrzeb danego klienta.

Dane bezpieczne w chmurze

Firma Informatyczna ASDER. Prezentacja. Centrum zarządzania. Przemysław Kroczak ASDER

Opis Przedmiotu Zamówienia

Systemy macierzowe. www. qsantechnology. com

Wirtualizacja w praktyce.

1. Serwer Lenovo IBM x3550m5 (2 x Xeon E v3/ 96GB RAM/ 4x HDD 600GB@15k) 96 GB TruDDR4 Memory LRDIMMs

Opis przedmiotu zamówienia / Formularz Oferty Technicznej (dokument należy złożyć wraz z ofertą)

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

Sprawa numer: BAK.WZP Warszawa, dnia 16 sierpnia 2016 r.

Oprogramowanie do wirtualizacji

Audytowane obszary IT

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Software RAID funkcje dostarcza zaimplementowane oprogramowanie, bez wykorzystania z dedykowanych kontrolerów.

EZ/2009/697/92/09/ML Warszawa, dnia r.

Szczegółowy Opis Przedmiotu Zamówienia

PREMIUM BIZNES zł 110zł za 1 Mb/s Na czas nieokreślony Od 9 14 Mbit/s

Opis przedmiotu zamówienia. Część IV. Dostawa niewyłącznej, nieograniczonej czasowo licencji oprogramowania Microsoft Serwer 2012 R2 DataCenter x64.

Koncepcja wirtualnej pracowni GIS w oparciu o oprogramowanie open source

RedHat Enterprise Virtualization

CloudFerro. Chmury publiczne, chmury prywatne, serwery dedykowane zalety, wady, problemy, ograniczenia, wyzwania.

Rozwiązania HPE Storage jak zapewnić pełne bezpieczeństwo Twoich danych?

IV. Wymagane parametry techniczne platformy sprzętowo-programowej (serwera) do zarządzania oprogramowaniem do wykonywania kopii zapasowych szt. 1.

Opis przedmiotu zamówienia

Case Study: Migracja 100 serwerów Warsaw Data Center z platformy wirtualizacji OpenSource na platformę Microsoft Hyper-V

Wirtualizacja sieci - VMware NSX

Bezpieczne udostępnianie usług www. BłaŜej Miga Zespół Bezpieczeństwa PCSS

Wirtualizacja. Przegla d wybranych technik. Magda Michalska Krzysztof Kulewski Andrzej Pacuk. Systemy operacyjne 2006

2. Jakie i ile licencji Oracle 10g posiada zamawiający i czy posiada do tych licencji wsparcie techniczne?

Przetwarzanie i zabezpieczenie danych w zewnętrznym DATA CENTER

Bezpieczeństwo dla wszystkich środowisk wirtualnych

Projektowanie i implementacja infrastruktury serwerów

AE/ZP-27-16/14. Oprogramowanie do wykonywania kopii zapasowych oraz zarządzania maszynami wirtualnymi

Odpowiedź II wyjaśnienie na zapytania do Specyfikacji Istotnych Warunków Zamówienia.

Jarosław Kuchta. Administrowanie Systemami Komputerowymi. Klastry serwerów

Serwer główny bazodanowy. Maksymalnie 1U RACK 19 cali (wraz ze wszystkimi elementami niezbędnymi do zamontowania serwera w oferowanej szafie)

DYREKTOR GENERALNY URZĘDU ZAMÓWIEŃ PUBLICZNYCH

Wirtualizacja Hyper-V: sposoby wykorzystania i najnowsze wyniki badań

Zmiana treści Specyfikacji Istotnych Warunków Zamówienia.

Zbuduj prywatną chmurę backupu w firmie. Xopero Backup. Centralnie zarządzane rozwiązanie do backupu serwerów i stacji roboczych

1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1

Monitor maszyn wirtualnych

Szczegółowy opis przedmiotu zamówienia

Projekt współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego. Opis oferowanego przedmiotu zamówienia

Opis wdrożenia Platformy Technologicznej epodreczniki.pl na zasobach Poznańskiego Centrum Superkomputerowo-Sieciowego

Szczegółowy zakres szkoleń dotyczy części nr II zamówienia

Olaf Kozłowski 10/05/2010. Forum IT. Backup danych w środowiskach wirtualnych w oparciu o rozwiązania IBM Tivoli IBM Corporation

(kody CPV: i )

Platforma serwerowa Microsoft - do usług. O wdrożeniu Microsoft Cloud Platform w Beyond.pl

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA. Wieloprocesorowa typu SMP

Serwerowy system operacyjny musi spełniać następujące wymagania minimalne:

Agenda. Quo vadis, security? Artur Maj, Prevenity

Zdalne logowanie do serwerów

ZMIANA TREŚCI SPECYFIKACJI ISTOTNYCH WARUNKÓW ZAMÓWIENIA

Opis przedmiotu zamówienia/ Formularz ofertowo cenowy (część szczegółowa dla Zadania nr 6: Programy komputerowe do zarządzania infrastrukturą)

Koniec problemów z zarządzaniem stacjami roboczymi BigFix. Włodzimierz Dymaczewski, IBM

Opis Przedmiotu Zamówienia na dostawę dysków twardych i oprogramowania standardowego do tworzenia kopii zapasowych

platforma zapewniająca usługi wirtualizacji

Załącznik nr 2 do wzoru umowy protokół odbioru. 1. Infrastruktura wspólna dla serwerów blade szt.

Internetowe BD P.Skrobanek 1. INTERNETOWE BAZY DANYCH materiały pomocnicze - wykład IV. Paweł Skrobanek PLAN NA DZIŚ :

Usługi sieciowe w kontenerach systemu operacyjnego CoreOS

Wirtualizacja. Metody, zastosowania, przykłady

Sposoby klastrowania aplikacji webowych w oparciu o rozwiązania OpenSource. Piotr Klimek. piko@piko.homelinux.net

CZY TWOJE ŚRODOWISKO PLIKOWE RÓWNIEŻ ROŚNIE SZYBCIEJ NIŻ BAZODANOWE?

Transkrypt:

NAUKOWA I AKADEMICKA SIEĆ KOMPUTEROWA Bezpieczeństwo rozwiązań hostingowych Hosting wirtualny - studium przypadku Secure 2008 3 października 2008 Arkadiusz Kalicki, NASK

Agenda Zagrożenia Omówienie zabezpieczeń na poziomie systemu operacyjnego Wirtualizacja jako metoda ochrony Omówienie typów wirtualizacji Przedstawienie wybranego rozwiązania opartego o XEN Zarządzanie systemem Podsumowanie

Zagrożenia Naruszenie integralności pamięci/danych Przepełnienie bufora Walidacja wejścia SQL Injection Załączenie zewnętrznego kodu XSS Przekroczenie uprawnień Nabycie uprawnień innego użytkownika/klienta/administratora

Stosowane zabezpieczenia Środowisko chroot, jail, wirtualizacja Systemy MAC, RBAC, np. SELinux, Grsecurity Kernel hardening, ochrona stosu, np. PaX, Grsecurity Host based IDS, Network based IDS, IPS Firewalling IP, aplikacji np. mod_security Hardening aplikacji Hardening OS, np. Hardened Gentoo, OpenBSD

Do czego dążymy? Bezpieczeństwo usługi Podwyższone w stosunku do hostingu współdzielonego Dostępność usługi i łatwość zarządzania Lepsze niż typowego rozwiązania dedykowanego Spełnienie specyficznych wymagań klientów Wymagania sprzętowe Wyższe niż hosting współdzielony, niższe niż rozwiązanie dedykowane Oszczędność miejsca i energii W stosunku do rozwiązań dedykowanych

Dlaczego wirtualizacja? Pozwala na odseparowanie klientów od siebie, np. Kompromitacja jednej maszyny wirtualnej zmniejsza szansę kompromitacji innych Minimalny zestaw pakietów/aplikacji Zapewnia izolację i przydział zasobów, pamięci i czasu procesora, np. Pochłonięcie całej pamięci przez aplikację jednego klienta nie zakłóci pracy innych Ułatwia zarządzanie backupami Backupy tworzone są w postaci obrazu całego systemu

Dlaczego wirtualizacja? Zwiększa możliwości na odrębne konfiguracje aplikacji i serwisów Umożliwia włączanie dodatkowych zabezpieczeń, trudnych do wdrożenia w środowisku współdzielonym Ułatwia instalację nowych systemów Ma niestety minusy, poza utratą wydajności Odrębna sieciowość (strata adresów IP) Więcej systemów operacyjnych do zarządzania Więcej instancji aplikacji do zarządzania Mogą pojawić się ataki na wirtualizacje, na razie bardzo mało

Typy wirtualizacji, kontenery Wirtualizacja na poziomie systemu operacyjnego ( lepszy chroot ) Polega na rozdzieleniu przestrzeni użytkownika poszczególnych systemów Wszystkie systemy wykorzystują wspólne jądro, wspomagane wybrane dystrybucje Mały narzut na wirtualizację Mniejsza separacja pomiędzy systemami Przykłady: Solaris Zones Linux-VServer OpenVZ/Virtuozzo

Typy wirtualizacji, parawirtualizacja Oprogramowanie wirtualizacyjne (hipernadzorca) dostarcza API, z którego korzystają systemy gości Wymaga modyfikacji jądra systemu gościa Alternatywa dla architektury x86 trudnej do pełnego zwirtualizowania Lepsza izolacja zasobów niż kontenery ale mniejsza wydajność Przykłady: Xen Lguest User Mode Linux

Typy wirtualizacji, pełna wirtualizacja, emulacja Pełna wirtualizacja x86 wymaga wsparcia sprzętowego AMD-V, Intel-VT Wirtualizacja części wywołań potrzebnych do izolacji oprogramowania Przetwarzanie innych instrukcji bezpośrednio przez fizyczny sprzęt Przykłady VMWare XEN (z VT) Bochs VirtualBox

Hosting wirtualny, dlaczego XEN? Lepsza izolacja zasobów niż w przypadku kontenerów Wszystkie systemy pracują z własnym jądrem Możliwość dodatkowego zabezpieczenia systemu gościa, np. za pomocą SELinux Większa efektywność w porównaniu z pełną wirtualizacją x86 Łatwość instalacji, konfiguracji i zarządzania zasobami Pełna wirtualizacja, przy zastosowaniu procesorów Intel-VT lub AMD-V Licencja GPL

Hosting wirtualny, Ethernet

Hosting wirtualny, Ethernet Rozdzielenie serwerów wirtualnych poszczególnych klientów za pomocą VLAN-ów Możliwość stworzenia prywatnej sieci klienta, udostępnienie wybranych maszyn wirtualnych, np.: Serwer WWW dostępny ze świata Serwer bazy danych nie widoczny z zewnątrz Serwer testowy nie widoczny z zewnątrz Migracja pomiędzy serwerami fizycznymi Oddzielna sieć prywatna dla systemu macierzystego dom0, sieć zarządzająca

Hosting wirtualny, IP

Hosting wirtualny, IP Ochrona systemów za pomocą rozbudowanego firewalla Firewall warstwy aplikacji za pomocą modułu IPS Ochrona antywirusowa Wykrywanie i blokowanie znanych ataków na aplikacje webowe Analiza ruchu i zagrożeń Szyfrowany dostęp do zasobów serwera wirtualnego lub sieci prywatnej przez VPN FTP, MySQL, PostgreSQL

Hosting wirtualny, storage

Hosting wirtualny, storage Zasoby dyskowe dostępne przez sieć SAN Redundantne połączenie FC z macierzą (multipath) Dobre zabezpieczenie na wypadek awarii dysków lokalnych Migracja pomiędzy maszynami fizycznymi Szybkie backupy w postaci snapshot-ów wolumenów na macierzy Szybkie odtworzenie systemu z backupu w razie potrzeby Większa wydajność

Zarządzanie systemami wirtualnymi Tworzenie systemów wirtualnych (domu) na podstawie szablonów Monitorowanie wykorzystania zasobów Przydział zasobów Migracje systemów w locie Scentralizowana konfiguracja Przykłady systemów: Enomalism ConVirt Virt-manager (RedHat)

Zarządzanie wieloma systemami operacyjnymi Scentralizowana konfiguracja systemów Centralny mechanizm aktualizacji pakietów Centralny serwer logów Przykłady systemów: Puppet, Cfengine, Bcfg2 Źródło: http://reductivelabs.com/projects/puppet/

Podsumowanie Im większy stopień izolacji zasobów systemów wirtualnych tym mniejsze wsparcie dla pożyczania zasobów wspólnych, np. pamięci RAM Kosztem większego bezpieczeństwa mniejszy stopień upakowania na jednej maszynie Przedstawiony model usługi jest odpowiedni dla klientów z podwyższonymi wymaganiami bezpieczeństwa w stosunku do hostingu współdzielonego