Zarządzanie systemami informatycznymi. Zagrożenia w sieci

Podobne dokumenty
Zarządzanie systemami informatycznymi. Bezpieczne protokoły Scenariusze ataków sieciowych Zapory sieciowe

Zapory sieciowe i techniki filtrowania.

Router programowy z firewallem oparty o iptables

Wprowadzenie do zagadnień związanych z firewallingiem

Podstawy bezpieczeństwa

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Zapory sieciowe i techniki filtrowania danych

Księgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Projektowanie bezpieczeństwa sieci i serwerów

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

Zdalne logowanie do serwerów

dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

Metody ataków sieciowych

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej (firewall) oraz oprogramowania iptables.

Firewalle, maskarady, proxy

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

SMB protokół udostępniania plików i drukarek

Protokoły sieciowe - TCP/IP

9. System wykrywania i blokowania włamań ASQ (IPS)

Marek Parfieniuk, Tomasz Łukaszuk, Tomasz Grześ. Symulator zawodnej sieci IP do badania aplikacji multimedialnych i peer-to-peer

Podstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Firewalle, maskarady, proxy

Sieci VPN SSL czy IPSec?

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Problemy techniczne SQL Server

Sieci komputerowe laboratorium

ZiMSK NAT, PAT, ACL 1

Wyciąg z ogólnej analizy ataków na witryny administracji państwowej RP w okresie stycznia 2012r.

Najbardziej popularne metody włamań

Bezpieczeństwo systemów komputerowych

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

Zarządzanie bezpieczeństwem w sieciach

Rodzaje, budowa i funkcje urządzeń sieciowych

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

Bezpieczeństwo w M875

LABORATORIUM - SINUS Firewall

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Firewalle, maskarady, proxy

Przesyłania danych przez protokół TCP/IP

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

Firewalle, maskarady, proxy

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

Instrukcja konfiguracji i uruchamiania połączenia VPN z systemami SAP

Zapora systemu Windows Vista

PREMIUM BIZNES zł 110zł za 1 Mb/s Na czas nieokreślony Od 9 14 Mbit/s

PARAMETRY TECHNICZNE I FUNKCJONALNE

Sieci komputerowe - administracja

11. Autoryzacja użytkowników

OUTSIDE /24. dmz. outside /24. security- level 50. inside security- level /16 VLAN /

7. zainstalowane oprogramowanie zarządzane stacje robocze

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Działanie komputera i sieci komputerowej.

Opis specjalności. Zajęcia obejmować będą również aspekty prawne dotyczące funkcjonowania sieci komputerowych i licencjonowania oprogramowania.

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

Zadania do wykonania Firewall skrypt iptables

INFORMACJA O TREŚCI ZAPYTAŃ DOTYCZĄCYCH SIWZ WRAZ Z WYJAŚNIENIAMI ZAMAWIAJĄCEGO

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Ćwiczenie 5b Sieć komputerowa z wykorzystaniem rutera.

ASQ: ZALETY SYSTEMU IPS W NETASQ

Metody zabezpieczania transmisji w sieci Ethernet

Adresy w sieciach komputerowych

MASKI SIECIOWE W IPv4

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum

SPECYFIKACJA TECHNICZNA. LP. Parametry wymagane Parametry oferowane (pełny opis

Warstwa sieciowa. Model OSI Model TCP/IP. Aplikacji. Aplikacji. Prezentacji. Sesji. Transportowa. Transportowa

Ćwiczenie 7 Sieć bezprzewodowa z wykorzystaniem rutera.

Robaki sieciowe. + systemy IDS/IPS

Skanowanie portów. Autorzy: Jakub Sorys, Dorota Szczpanik IVFDS

7. Konfiguracja zapory (firewall)

Przełączanie i Trasowanie w Sieciach Komputerowych

Lp. Atak (dane wg Kaspersky Lab za 2008r) Liczba. Intrusion.Win.NETAPI.bufferoverflow.exploit ,469

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

Sieci komputerowe. Wykład 11: Podstawy bezpieczeństwa sieci. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Problemy z bezpieczeństwem w sieci lokalnej

Filtr Połączeń. nie. tak odrzucenie

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

Ćwiczenie 5a Sieć komputerowa z wykorzystaniem rutera.

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

Ataki na serwery Domain Name System (DNS Cache Poisoning)

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

INFORMATYKA Pytania ogólne na egzamin dyplomowy

Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe

Translacja adresów - NAT (Network Address Translation)

Sieci komputerowe. Wykład dr inż. Łukasz Graczykowski

Załącznik nr 02 do OPZ - Zapora ogniowa typu A

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Transkrypt:

Zarządzanie systemami informatycznymi Zagrożenia w sieci

Scenariusze ataków sieciowych Ataki DoS: Syn Flood Amplification attack (fałszowanie ICMP) Fragmentation attack (wymuszenie fragmentacji pakietów) Ataki DDos Phishing

Ataki DoS: SYN flood Ataki tego typu składają się z serii żądań dostarczania usług, których intensywność i liczba jest tak wielka, iż system spędza tyle czasu i zużywa tyle energii, udzielając odpowiedzi na żądania, że nie jest zdolny do jakichkolwiek innych działań Atak typu SYN flood polega na wysłaniu do systemu ofiary tysięcy próśb o nawiązanie połączenia TCP, system odsyła napastnikowi pakiety SYN/ACK, jednocześnie rezerwując część pamięci na nowo nawiązaną komunikację Napastnik nigdy nie wysyła do ofiary pakietu potwierdzającego nawiązanie połączenia(ack) w rezultacie ofiara nie może zwolnić zarezerwowanej pamięci

Amplification attack Atak ten polega na technice fałszowania zapytań ping (ICMP Echo Request), poprzez zamianę adresu źródła tych zapytań na adres atakowanego serwera. Tak spreparowane pakiety ping, wysyłane są na adres rozgłoszeniowy sieci zawierającej wiele komputerów. Pakiety zostają rozesłane do wszystkich aktywnych systemów w sieci, co powoduje przesłanie przez nie pakietów ICMP Echo Reply na sfałszowany wcześniej adres źródłowy atakowanej ofiary.

Amplification attack

Fragmentation attack Proces fragmentacji pakietów, zachodzący w warstwie sieciowej (IP) lub transportowej (TCP), może być przyczyną poważnych kłopotów urządzeń takich jak rutery, zapory sieciowe i czujniki systemu kontroli włamań. Tego typu ataki nie są skierowane przeciwko określonym serwerom nie są zasobożerne, celem ataków są systemy ochrony Atak polega na fragmentacji pakietów na najmniejsze możliwe części, wysłane w sposób nieuporządkowany, z powtarzającymi się i spóźnionymi pakietami. Urządzenia ochraniające sieć (ruter, zapora sieciowa) marnują mnóstwo czasu, czekając na spóźnione pakiety i próbując złożyć pakiety IP i sesje TCP w jedną całość

Rozproszony atak typu odmowa usług (DDoS) DDoS (ang. Distributed Denial of Service) - atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów (np. zombie). Atak DDoS jest odmianą ataku DoS polegającą na jednoczesnym atakowaniu ofiary z wielu miejsc. Służą do tego najczęściej komputery, nad którymi przejęto kontrolę przy użyciu specjalnego oprogramowania (różnego rodzaju tzw. boty i trojany). Na dany sygnał komputery zaczynają jednocześnie atakować system ofiary, zasypując go fałszywymi próbami skorzystania z usług, jakie oferuje. Dla każdego takiego wywołania atakowany komputer musi przydzielić pewne zasoby (pamięć, czas procesora, pasmo sieciowe), co przy bardzo dużej ilości żądań prowadzi do wyczerpania dostępnych zasobów, a w efekcie do przerwy w działaniu lub nawet zawieszenia systemu

Model ataku DDoS

Phishing Metoda oszustwa polegająca na wyłudzeniu danych wrażliwych (haseł, loginów, numerów), przy zastosowaniu metody podszywania się pod inną osobę lub instytucję (np. w postaci przesyłanych maili z linkami do serwisów i systemów płatności).

Zapora sieciowa Zapora sieciowa (ang. firewall ściana ogniowa) jeden ze sposobów zabezpieczania sieci i systemów przed intruzami. Termin ten może odnosić się zarówno do dedykowanego sprzętu komputerowego wraz ze specjalnym oprogramowaniem, jak i do samego oprogramowania blokującego niepowołany dostęp do komputera, na którego straży stoi. Pełni rolę połączenia ochrony sprzętowej i programowej sieci wewnętrznej LAN przed dostępem z zewnątrz tzn. sieci publicznych, Internetu, chroni też przed nieuprawnionym wypływem danych z sieci lokalnej na zewnątrz.

Funkcje zapory sieciowej Filtrowanie pakietów, czyli sprawdzanie pochodzenia pakietów i akceptowanie pożądanych na podstawie adresu źródła, przeznaczenia i typu usług. Stosowanie algorytmów identyfikacji użytkownika (hasła, cyfrowe certyfikaty). Zabezpieczanie programów obsługujących niektóre protokoły (np. FTP, TELNET).

Podstawowe typy zapór sieciowych Zapora sieciowa filtrująca pakiety ( ang. packietfiltering firewall) Zapora sieciowa wykonująca statyczną inspekcje stanów (ang. Stateful inspection firewall) Pośredniczące zapory aplikacyjne (ang. application proxy firewall)

Zapora filtrująca pakiety Zapora filtrująca pakiety tylko na podstawie adresów IP źródła i przeznaczenia, umieszczonych w nagłówku pakietu, a także źródła i przeznaczenia portów TCP/UDP. Analiza odbywa się tylko na poziomie warstwy sieciowej modelu OSI Zapora stosuje się tylko do pierwszej napotkanej reguły, która odnosi się do danego pakietu później przeszukiwanie zostaje zatrzymane i żadna kolejna reguła nie będzie stosowana

Wady zapory filtrującej pakiety Przepuszczenie fali pakietów SYN przez zaporę

Wady zapory filtrującej pakiety Przepuszczenie pofragmentowanych pakietów, które wydają się ruchem HTTP a po rekonstrukcji okazują się telnetem

Zapora sieciowa z inspekcją stanów Zapora sieciowa z inspekcją stanów odwołuje się do definiowanych przez administratora reguł (tak jak filtr pakietów), ale są one interpretowane za pomocą dodatkowych układów logicznych Zapora przeprowadzająca inspekcję stanów monitoruje warstwę transportową (gdzie podstawowym protokołem jest TCP) Zapora taka monitoruje nie tylko takie dane jak źródło pakietu, jego adres docelowy i port, ale także numer sekwencji pakietu (kolejność pakietów) i znaczniki TCP (SYN, FIN) odróżnia początek, środek i koniec połączenia. Jądrem każdej takiej zapory jest tablica stanów, która jest aktualizowana za każdym razem, gdy zmienia się status połączenia

Schemat działania połączenia ftp z zaporą sieciową z inspekcją stanów Zapora blokuje wszystkie połączenia przychodzące Komputer U inicjuje sesję ftp kontaktując się z serwerem A Serwer ftp może otworzyć połączenie zwrotne, bo zapora zapamiętała w tablicy stanów stan wcześniejszego połączenia Inny serwer ftp (serwer B nie ma możliwości nawiązania połączenia z klientem, gdyż w tablicy stanów nie ma odpowiedniego rekordu opisującego to połączenie

Pośredniczące zapory aplikacyjne (proxy) Firewall tego typu nie zezwala na bezpośrednie połączenia pomiędzy jednostkami znajdującymi się po obu stronach zapory Wszystkie połączenia są dokonywane za pośrednictwem serwera pośredniczącego proxy, który przechwytuje wszystkie wchodzące i wychodzące sesje, analizuje ich zgodność z listą reguł i dopiero ustanawia połączenie pomiędzy zaporą a usługą docelową Pośrednicząca zapora aplikacyjna odgrywa swą rolę jeżeli uda się przewidzieć możliwości przeprowadzania ataków z wykorzystaniem danych protokołu Wadą zapory jest konieczność korzystania z większej mocy obliczeniowej, pamięci operacyjnej, oddzielnego serwera proxy.

Pośredniczące zapory aplikacyjne

Hybrydy Hybrydy zapór sieciowych łącze wszystkie technologie zapór: filtrowanie pakietów, inspekcja stanów i pośredniczenie w usługach Hybrydy inicjują sesję, wykorzystując w pierwszej fazie serwer pośredniczący Po nawiązaniu połączenia przechodzą w tryb monitorowania połączenia, wykorzystując tablicę stanów

Zapora z szczeliną powietrzną (air gap) Szczeliną powietrzną określa się urządzenie, które konwertuje standardowe protokoły internetowe (TCP/IP) na pewien nietypowy lub bazujący na sprzęcie protokół jeszcze przed podjęciem decyzji o przepuszczeniu lub odrzuceniu pakietów

Drugorzędne funkcje zapory sieciowej Translacja adresów w sieci (NAT) Translacja adresów portów (PAT) Antispoofing Obsługa wirtualnych sieci LAN Uwierzytelnianie

Sieć bez translacji adresów Możliwe mapowanie topologii sieci wewnętrznej bez translacji adresów (NAT)- sieć z adresami trasowalnymi z Internetu, łączenie się z każdym adresem oddzielnie

Statyczna translacja adresów w sieci (NAT) Sieć wykorzystująca translację adresów (NAT) komputery w sieci wewnętrznej otrzymują nietrasowalne adresy IP

Statyczna translacja adresu serwera poczty

Dynamiczna translacja adresów portów (PAT) Komputery w sieci wewnętrznej używają jednego adresu IP, zapora przydziela im różne porty do komunikacji z Internetem

Przykład konfiguracji PAT w routerze

Antispoofing Spoofing- metoda podrabiania adresów sieci wewnętrznej, stosowana przykładowo w anonimowych sesjach ftp Antispoofing mechanizm pozwalający odróżnić czy pakiet pojawił się na interfejsie wewnętrznym zapory (pochodzi z sieci wewnętrznej) czy na innym interfejsie (może by sfałszowany)

Antispoofing Pakiety z adresem IP komputera sieci wewnętrznej, pojawiające się na zewnętrznym interfejsie zapory są blokowane i odrzucane umożliwia to funkcja antispoofing

Uwierzytelnianie w zaporze sieciowej

Dyspozycyjność zapory sieciowej Model HA (High Availability) polega na zastosowaniu systemu nadmiarowej zapory sieciowej Rezerwa pasywna gotowa do pracy wyłączona zapora awaryjna Rezerwa aktywna włączona i połączona za pomocą połączenia synchronizującego Zapora w trybie rezerwy aktywnej

Platformy zapór sieciowych Zapory sieciowe stworzone na bazie systemu operacyjnego Urządzenia wykorzystujące standardowe systemy operacyjne Tradycyjne systemy operacyjne z dodatkowym oprogramowaniem firmowym, zapewniającym ochronę Zapory sprzętowe

Zapory wykorzystujące oprogramowanie systemu operacyjnego IPChains zapora dla systemów Linux i BSD pozwala definiować reguły filtrów pakietów bez inspekcji stanów Firewall systemów Windows integrują się z oprogramowaniem sieciowym, w trakcie łączenia aplikacji z Internetem tworzone są reguły filtrowania pakietów, zawierają podstawowe funkcje takie jak inspekcja stanów.

Urządzenia korzystające z systemów operacyjnych (systemowy firewall) Zmodyfikowane komputery osobiste z procesorem Intela, na których zainstalowano wzmocniony i ulepszony system linuksowy (lub BSD) wraz z IPChains i jego nowymi interfejsami użytkownika. Zapory tego typu charakteryzują się możliwością dokonywania inspekcji stanów, funkcjami zestawiania połączeń VPN dla zdalnych użytkowników i rozszerzeniami wykorzystującymi zewnętrzne źródła uwierzytelniania (np. mechanizm sprawdzania certyfikatów cyfrowych)

Tradycyjne systemy operacyjne z dodatkowym oprogramowaniem firmowym Oprogramowanie zapory jest zainstalowane wraz ze specjalnie przygotowanym systemem operacyjnym (Linux lub NT), w którym zablokowano wszystkie niepotrzebne usługi Platforma zapewnia funkcje inspekcji stanów, serwera pośredniczącego proxy lub inne funkcje stosowane w modelach hybrydowych Oprogramowanie komercyjne umożliwia systemowi operacyjnemu pełnienie niskopoziomowych funkcji trasowania

Rozwiązania sprzętowe Zapora sprzętowa (firewall appliance) urządzenia dedykowane, w których funkcje zapory implementowane są w specjalizowanych układach scalonych (ASIC Application Specific Integrated Circuit) Zalety: Wzmocniony system operacyjny sprzętowej zapory sieciowej Łatwe uruchomianie Łatwa konserwacja i obsługa Większa wydajność

Narzędzia ochrony przed atakami DoS odmowa usług (ang. denial of service)

Dzienniki zapór sieciowych Co powinno być rejestrowane w dziennikach? wszystkie zdarzenia zakończone porażką przypadki dostępu do ważnych zasobów zdalne połączenia zakończone sukcesem (np. dane połączeniowa VPN)

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres