ochrona dogłębna sieci w nowoczesnej organizacji
DESCRIPTION
Ochrona dogłębna sieci w nowoczesnej organizacji. Maciej Miłostan , Gerard Frankowski, Marcin Jerzak Zespół Bezpieczeństwa PCSS. Agenda. Sfery i wymiary bezpieczeństwa Przykładowe zagrożenia i ataki Strategia dogłębnej ochrony – Defense-In-Depth Wybrane środki obrony. PCSS. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/1.jpg)
Ochrona dogłębna sieci w nowoczesnej organizacji
Maciej Miłostan, Gerard Frankowski, Marcin JerzakZespół Bezpieczeństwa PCSS
![Page 2: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/2.jpg)
2
Agenda• Sfery i wymiary bezpieczeństwa• Przykładowe zagrożenia i ataki• Strategia dogłębnej ochrony – Defense-In-
Depth• Wybrane środki obrony
![Page 3: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/3.jpg)
3
PCSS• Operator sieci PIONIER oraz
POZMAN• Uczestnik europejskich i
krajowych projektów naukowo-badawczych
• Realizacja prac B&R z nauką, administracją oraz biznesem
• Główne obszary zainteresowań– Sieci nowej generacji (NGN)– Nowe architektury przetwarzania
danych– Zaawansowane aplikacje– Usługi Internetu Przyszłości– Bezpieczeństwo sieci i systemów
![Page 4: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/4.jpg)
4
Bezpieczeństwo IT w PCSS• Zespół Bezpieczeństwa PCSS utworzony w 1996 r. w
strukturze Działu Komputerów Dużej Mocy PCSS• Podstawowe zadania
– Zabezpieczanie infrastruktury PCSS, sieci PIONIER i POZMAN– Zadania bezpieczeństwa w projektach R&D
• Zabezpieczanie usług i infrastruktury• Tworzenie oraz wdrażanie systemów bezpieczeństwa
– Konferencje, szkolenia i transfer wiedzy– Własne badania bezpieczeństwa– Współpraca zewnętrzna w zakresie bezpieczeństwa IT
• Więcej: http://security.psnc.pl
![Page 5: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/5.jpg)
5
Współpracowaliśmy między innymi z:
![Page 6: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/6.jpg)
6
Wiele wymiarów bezpieczeństwaWarstwy, obszary, różnorodne
czynniki
![Page 7: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/7.jpg)
7
Sfery i wymiary bezpieczeństwa
Dane, serwery, aplikacje, usługi, budynki, ludzie
Chroniony zasób
Zasoby mogą być chronione na wielu poziomach. Poziomy mogą być definiowane z wielu różnych perspektyw
Wiele warstw ochrony
Wymiary/Obszary bezpieczeństwaBezpieczeństwo danych, Bezpieczeństwo fizyczne, Bezpieczeństwo techniczne, Logistyka i procedury bezpieczeństwa,
![Page 8: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/8.jpg)
8
Obszary bezpieczeństwaBezpieczeństwo fizyczne
Logistyka i procedury bezpieczeństwa
Bezpieczeństwo techniczne
Bezpieczeństwo danych
![Page 9: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/9.jpg)
9
Zagrożenia dla ciągłości biznesu a obszary bezpieczeństwa
![Page 10: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/10.jpg)
10
![Page 11: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/11.jpg)
11
BYOD, chmury itp.• Nowe trendy, nowe
problemy, nowa odsłona starych zagrożeń
• Prywatne urządzenia w sieci firmowej – za, a nawet przeciw
• Przechowywanie danych firmowych w chmurach (przy użyciu służbowych i prywatnych urządzeń)
![Page 12: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/12.jpg)
12
Co chcemy chronić? Zasoby, usługi…• Każda firma świadczy jakieś usługi lub wytwarza
produkty• Wiele firm wykorzystuje usługi IT do tego, by
świadczyć swoje usługi lub sprzedawać produkty,• E-mail, telefon, faks…• Własne aplikacje / oprogramowanie firm trzecich
(BOK, sklep internetowy)• Aplikacje działają na serwerach własnych lub u
dostarczyciela usługi (outsourcing)• Czy aplikacjom coś grozi?• Jakie zagrożenia występują w „warstwie aplikacji”?
![Page 13: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/13.jpg)
13
Ataki na aplikacje / usługi• Odmowa usługi (ang.
DoS/DDoS)• Cross Site Scripting (ang. XSS)• Przepełnienie bufora (ang.
Buffer Overflow)• Wstrzyknięcie kodu SQL (ang.
SQL Injection)• Dołączenie zdalnych (z innego
serwera) plików (ang. Remote File Inclusion)
![Page 14: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/14.jpg)
14
(R)Ewolucja zagrożeń w sektorze IT• Nowe technologie – nowe zagrożenia• Bezpieczeństwo też jest
procesem, a nie stanem!
%
Źródło: cve.mitre.org
Źródło: www.internet-security-days.com
![Page 15: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/15.jpg)
15
Czynnik ludzki• Cel ataku: coraz szersze grono
użytkowników o różnych stopniach technicznego zaawansowania
• Dziś każda większa firma musi działać online– Wymieniać informacje– Istnieć w Internecie
• Kto korzysta z rozwiązań IT?– Administrator?– Programista?– Kadrowy?– Obsługa Klienta?– Przedstawiciel handlowy?– Asystent?– … ?
W 48 z 50 przypadków osoby,które znalazły podrzuconego
smartfona, uruchamiałyzainstalowane tam aplikacje
Paweł Wojciechowski, Symantec – maj 2012
![Page 16: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/16.jpg)
16
Wiele miejsc,gdzie może wystąpić problem
• Oprogramowanie – podatności i konfiguracja– Używane aplikacje klienckie– Serwery (WWW, bazy danych)– System operacyjny– Brak albo niewłaściwe systemy
bezpieczeństwa• Konfiguracja sieci, urządzeń• Procedury i polityki• Działania użytkownika
– Także inżynieria społeczna!
Co roku odkrywa się kilkatysięcy podatności
bezpieczeństwa oprogramowania (w 2011roku zgłoszono ich 4989)
Symantec Internet Threat Report – kwiecień 2012
![Page 17: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/17.jpg)
17
Ataki z zewnątrz i od wewnątrz
• Sieć często jest odpowiednio chroniona od strony Internetu
• Sieć wewnętrzną chroni się nie tak dobrze, bo traktowana jest jako środowisko zaufane
![Page 18: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/18.jpg)
18
Ewolucja zagrożeń IT
• Dla sławy• Użytkownik = ekspert techniczny• Względnie proste• Głównie techniczneDawniej
• Dla pieniędzy, informacji, władzy • Użytkownik to każdy z nas• Skomplikowane, wielowarstwowe• Częściej wymierzone w użytkownika• Aby szkodzić konkurencji
Dzisiaj
![Page 19: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/19.jpg)
19
Ataki Advanced Persistent Threats• Ataki APT są wykonywane przy
pomocy zaawansowanych, ukierunkowanych scenariuszy w celu uzyskania i utrzymania dostępu (dla stałej korzyści)– Np. kradzież tajemnic firmy– Ofiarą padły m.in. Google i Adobe
• Ataki APT wykorzystują:– Wyjątkowo wyrafinowane
złośliwe oprogramowanie– Nieznane podatności, tzw. 0-day– Inżynierię społeczną
If anyone attempts to sellyour organization on a
hardware or software solutionfor APT, they either don’t
understand APT, don’t reallyunderstand how computers
work, or are lying –or possibly all three
Gavin Reid, Cisco CSIRT – marzec 2011
![Page 20: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/20.jpg)
20
Przykład• Specjalnie spreparowany e-mail z załącznikiem doc/pdf/jpg etc. • Z zaproszeniem na bankiet w Ratuszu albo pod Sejmem /
zapytaniem ofertowym / zdjęciem kochanki(-a)• W pliku osadzony dla przykładu obiekt flash (wykryto dużo
podatności w ubiegłym roku)• Po otwarciu skrypt Flash uruchamiany jest np. przez MS Word za
pomocą Internet Explorera• FlashPlayer wykonuje złośliwy kod z poziomu przeglądarki• Kod łączy się z Internetem i pobiera kolejną porcję malware-u.• Modyfikowane są atrybuty złośliwych plików, aby utrudnić
identyfikację• Komputer został zainfekowany i może być inwigilowany
![Page 21: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/21.jpg)
21
Ataki D(r)DoS• Distributed (reflected) Denial of Services
Źródło : http://cloudflare.com
![Page 22: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/22.jpg)
22
Rodzaje ataków (Q1 2013) - Prolexic
Źródło : http://www.prolexic.com
![Page 23: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/23.jpg)
23
Atak na Spamhaus• Marzec 2013• Największy
odnotowany w historii– 300 Gbps w
szczytowym momencie
• Trzy fazy:– Spamhaus– Cloudflare– Usługodawcy
Cloudflare
Źródło : http://www.enisa.europa.eu
![Page 24: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/24.jpg)
24
Kluczowi gracze – historia w tle
![Page 25: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/25.jpg)
25
Metody ataku na SpamHaus• Niezbyt wyrafinowane, ale skuteczne
– Amplifikacja przy użyciu otwartych „resolwerów” DNS (OpenDNS resolvers) – co ciekawe, niektóre domowe routery uruchamiają tego typu usługi domyślnie
– Spoofing (fałszowanie) adresów źródłowych • Ataki na protokół BGP
– Ogłaszanie fałszywych prefix-ów w węzłach międzyoperatorskich (IX), m.in. w NL-IX
router# show ip bgp 204.16.254.40 BGP routing table entry for 204.16.254.40/32 Paths: (1 available, best #1, table Default-IP-Routing-Table) Advertised to
non peer-group peers: xxx.xxx.xxx.xxx 34109 51787 1198 193.239.116.204 from 193.239.116.204 (84.22.127.134) Origin IGP, metric 10, localpref 140, valid, external, best Last update: Tue Jan 5 11:57:27 1971
Spamhaus
Cyber Bunker
![Page 26: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/26.jpg)
26
Metody ataku na Allegro• Allegro miało prawdopodobnie do czynienia z dwoma rodzajami
ataków:– SYN flood-y, – GET flood-y,
• Obrona przed atakami przebiegała w sposób dynamiczny, tj. dobierano narzędzia i rozwiązania do obserwowany wzorców i celów ataków
• Wypracowano kilka własnych rozwiązań, które umożliwiają obronę przed kilkoma rodzajami zidentyfikowanych ataków
• W trakcie odpierania ataku wykorzystywano wiedzę o wewnętrznej budowie systemu
• Nieoficjalnie wiadomo, że sposoby ataku zmieniały się w odpowiedzi na podjęte działania obronne
• W uzupełnieniu do własnych mechanizmów zdecydowalno się również na podjęcie współpracy z firmą Prolexic
![Page 27: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/27.jpg)
27
Ataki na bezpieczeństwo danych (w tranzycie)
Przerwanie
Przechwycenie
Modyfikacja
Podszywanie się/Fałszerstwo
![Page 28: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/28.jpg)
28
Usługi i mechanizmy wykorzystywane do ochrony danych• Klasyfikacja usług
– Poufność (confidentiality)– Uwierzytelnienie (authentication)– Nienaruszalność (integrity)– Niezaprzeczalność (non-repudiation)– Kontrola dostępu (access control)– Dostępność danych/usług (availability)
• Mechanizmy– Element wspólny = techniki
kryptograficzne
28
Warszawa, 17.09.2013
Ja Monika Kowalski, chora na umyśle i zdrowa na ciele oświadczam, co następuje....
Ja Jan Kowalski...
![Page 29: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/29.jpg)
29
Jak się chronić?
Czy jest to w ogóle możliwe?
![Page 30: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/30.jpg)
30
Realia i ekonomia bezpieczeństwa• Nie są dostępne systemy w 100% bezpieczne
• Ale koszt ataku musi być tylko wyższy niż oczekiwany zysk– Nie jest potrzebne całkowite bezpieczeństwo!– Trzeba mnożyć trudności napastnikowi– Koszt zabezpieczeń musi być dostosowany do wartości aktywów
Koszt czasowy orazfinansowy certyfikacji
systemu do poziomu EAL4:do 2 lat i 350 000 USD
(formalna poprawność topoziom EAL7!)
US Government Accountability Office - 2006
![Page 31: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/31.jpg)
31
Kompleksowa ochrona • Bezpieczeństwo nie może być cechą dodaną po
zakończeniu projektu (to za drogo kosztuje)
Przykład: błędyoprogramowania.
Naprawianie ich po wydaniuaplikacji może być kilkasetrazy droższe niż na etapie
pisania kodu!Marco M. Morana - 2006
Źródło: Building Security Into The Software Life Cycle, Marco M. Morana, 2006
![Page 32: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/32.jpg)
32
Strategia Defense-in-Depth• Ochrona dogłębna – na wielu
różnych warstwach– Napastnik znajdzie błąd np. w
aplikacji WWW, ale nie wykorzysta go, gdy:
1. Serwer WWW jest dobrze skonfigurowany. Nie można wykonać w zaatakowanym systemie dowolnego kodu.
2. System IDS wykryje niepożądane działania i powiadomi administratora.
– Strategia podwyższa koszt udanego ataku, czyniąc go potencjalnie nieopłacalnym dla napastnika
![Page 33: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/33.jpg)
33
Omówienie wybranychwarstw zabezpieczeń
![Page 34: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/34.jpg)
34
Ochrona serwera (1)• Konfiguracja systemu operacyjnego
– Poprawna instalacja– Wybór ról serwera– Konfiguracja systemu firewall– Szablony zabezpieczeń– Konfiguracja sieci– Aktualizacje– Ochrona antywirusowa– Użytkownicy– Konfiguracja inspekcji, dzienników zdarzeń
![Page 35: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/35.jpg)
35
Ochrona serwera (2)• Konfiguracja usług
– Minimalizacja uprawnień użytkownika (NTFS, rejestr)– Ustawienie quoty– Logowanie działania usługi– Przydziały zasobów pamięciowych i procesora– Zasady specyficzne dla usługi
• Narzędzia producenta (dla serwerów Windows)– Microsoft Security Compliance Manager– Microsoft Web Configuration Analyzer – Microsoft Baseline Security Analyzer
![Page 36: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/36.jpg)
36
![Page 37: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/37.jpg)
37
Ochrona aplikacji (1)• Dlaczego potrzebujemy ochrony na poziomie
aplikacji?– Trudności w odseparowaniu ruchu złośliwego
22
666
1238080
http://somewhere.pl?param=<script>alert(document.cookie)</script>
80
http://somewhere.pl?param=<script>alert(document.cookie)</script>
![Page 38: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/38.jpg)
38
Ochrona aplikacji – przykład błędu
![Page 39: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/39.jpg)
39
Ochrona aplikacji (2)• Kluczowe obszary
– Kompletność projektu pod kątem zabezpieczeń– Filtrowanie danych wejściowych– Jakość tworzonego kodu– Konfigurowalność i łatwość użytkowania
• Zabezpieczenia– Ocena koncepcji/projektu– Statyczna lub dynamiczna analiza kodu
• Testy automatyczne oraz manualne– Testy penetracyjne
![Page 40: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/40.jpg)
40
Omówienie wybranychwarstw zabezpieczeń – ochrona sieci
![Page 41: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/41.jpg)
41
Ochrona sieci• Ograniczony dostęp do sieci komputerowej
– Uwierzytelnianie użytkowników/urządzeń przy podłączaniu do sieci (IEEE 802.1x)
• Filtrowanie i profilowanie ruchu• Wdrożenie proaktywnych i reaktywnych
mechanizmów ochrony przed atakami (np. przed DDoS)– Proaktywne – usuwanie podatności, ale także
podnoszenie świadomości użytkowników i pracowników– Reaktywne – detekcja anomalii i szybka reakcja, (IDS,
fail2ban, OSSEC itp.)
![Page 42: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/42.jpg)
42
• Protokół uwierzytelniania w sieciach LAN:– bezprzewodowych– przewodowych
IEEE 802.1X
ftp://ftp.dlink.it/FAQs/802.1x.pdf
Sys. op. wspierający ten standard
![Page 43: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/43.jpg)
43
• Standard ten definiuje kontrolę dostępu opartą na modelu klient-serwer wraz z protokołami uwierzytelniania uniemożliwiającymi dostęp do sieci nieautoryzowanym urządzeniom za pośrednictwem publicznie dostępnych portów. Serwer uwierzytelniania przeprowadza uwierzytelnianie każdego klient, który podłącza się do sieci, zanim zaoferuje mu jakąkolwiek usługę.
IEEE 802.1x (1)
![Page 44: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/44.jpg)
44
• Bazujące na portach– Port na przełączniku aktywowany dopiero po
uwierzytelnieniu • Bazujące na adresach fizycznych
– Wielu użytkowników może używać tego samego portu jednocześnie i istnieje możliwość ograniczenia liczby adresów MAC, które się komunikują przy jego użyciu
IEEE 802.1X (2)
![Page 45: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/45.jpg)
45
Zapora nowej generacji i kompleksowe zarządzanie bezpieczeństwem
• Next Generation Firewall – Filtracja w warstwie
aplikacji– Coś więcej niż tylko
blokowanie per port/ip/protokół
• UTM (ang. unified threat management)– „Kompleksowe
zarządzanie”
![Page 46: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/46.jpg)
46
Strategie obrony przed DDoS• Po atakach na SpamHaus ENISA wydała w
swoim dokumencie rekomendacje:– Agencja ENISA (UE): „Internet Service Providers fail
to apply filters against big cyber attacks”• Wskazano trzy obszary, w których należy
wdrożyć najlepsze bieżące praktyki (BCP, best current practice) :
• implementacja BCP 38 – ograniczenie fałszowania adresów źródłowych
• implementacja BCP 140 – zabezpieczenie DNS• zabezpieczenie się przed atakami BGP
![Page 47: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/47.jpg)
47
BCP 38• Network Ingress Filtering: Defeating Denial of Service Attacks
which employ IP Source Address Spoofing– Rekomendacja opublikowana w maju 2000 (13 lat temu!)– Celem jest zapobieganie fałszowaniu źródłowych adresów IP– Filtrowanie ruchu źródłowego (Ingreess Filtering)
• uRPF (Unicast Reverse Path Forwarding) RFC3704działa w 3 trybach, pakiet jest przekazywany, gdypojawia się na interfejsie będącym:
– Strict mode (najlepszą ścieżką do nadawcy)– Feasible mode (jedną ze ścieżek do nadawcy)– Loose mode (istnieje ścieżka do nadawcy)
– Wdrożenie zalecenia pozwala na łatwe zlokalizowanie źródła atakuŹródła:http://tools.ietf.org/html/bcp38http://tools.ietf.org/html/rfc3704
![Page 48: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/48.jpg)
48
BCP 140 (1)• Preventing Use of Recursive Nameservers in
Reflector Attacks– Rekomendacja opublikowana w październiku 2008– Zbiór dobrych praktyk dotyczących konfiguracji
rekursywnych serwerów DNS– Wprowadzenie rozszerzeń EDNS0 (RFC2671)
wymaganych przez DNSSEC zwiększyło potencjał serwerów DNS do wykorzystania ich jako amplifikatorów ataków sieciowych (query/packet size = 80)
![Page 49: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/49.jpg)
49
BCP 140 (2)Rekomendacje:• By default, nameservers SHOULD NOT offer recursive service to
external networks• Ograniczenie dostępu do rekursywnych serwerów DNS wyłącznie
do własnych sieci i interfejsów• Ewentualne wdrożenie mechanizmu podpisywania zapytań TSIG
w celu autoryzacji klientów• Użytkownicy mobilni powinni korzystać z lokalnych buforujących
resolverów uruchomionych na urządzeniach mobilnych, bądź korzystać serwerów DNS za pośrednictwem VPN
Źródła:- http://tools.ietf.org/html/bcp140- http://tools.ietf.org/html/rfc2671
![Page 50: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/50.jpg)
50
Omówienie wybranychwarstw zabezpieczeń – ochrona danych w trakcie komunikacji
![Page 51: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/51.jpg)
51
Usługi i mechanizmy wykorzystywane do ochrony danych
• Klasyfikacja usług – Poufność (confidentiality)
• Szyfrowanie kanału komunikacyjnego• Szyfrowanie wiadomości przy użyciu PKI
– Uwierzytelnienie (authentication)• Potwierdzenie tożsamości np. przy użyciu
certyfikatu• Login i hasło (hash hasła – funkcje skrótu)
– Nienaruszalność (integrity)• Sumy kontrolne, funkcje skrótu
– Niezaprzeczalność (nonrepudiation)• Pochodzenia • Odbioru
– Kontrola dostępu (access control)– Dostępność danych/usług (availability)
• Mechanizmy– Element wspólny = techniki kryptograficzne
51
Warszawa, 17.09.2013
Ja Monika Kowalski, chora na umyśle i zdrowa na ciele oświadczam, co następuje....
Ja Jan Kowalski...
![Page 52: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/52.jpg)
52
Mechanizmy kryptograficzne – z czego korzystać
• Infrastruktura klucza publicznego (PKI)– Certyfikaty podpisane przez zaufaną stronę trzecią
• Algorytmy i protokoły:– Asymetryczne
• RSA• Diffie-Hellman
– Symetryczne• AES• 3DES
• Zabezpieczenie komunikacji w warstwie transportowej: SSL/TLS – TLS 1.2
![Page 53: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/53.jpg)
53
Zapewnianie bezpieczeństwa jako proces ciągły
![Page 54: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/54.jpg)
54
Bezpieczeństwo jako proces
• Ocena bezpieczeństwa jest ważna tylko dla określonego stanu
• A zmienia się przecież: – Stan wiedzy w zakresie
bezpieczeństwa IT– Analizowane środowisko
(dodatkowe aplikacje, nowe serwery, więcej kont użytkowników, inny administrator…)
![Page 55: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/55.jpg)
55
Niezbędne elementy strategii obrony• Sprzęt/oprogramowanie:
– Firewalle klasyczne i firewalle następnej generacji (aplikacyjne),
– Filtry antywirusowe i antyspamowe – Automatyczne analizatory logów
• Ewaluacja zewnętrzna– Pentesty,– Audyty zabezpieczeń,– Audyty aplikacji (typu black box i white box)
• Szkolenia– Podnoszenie świadomości użytkowników– Krzewienie dobrych praktyk programistycznych
![Page 56: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/56.jpg)
56
Najlepsza strategia ochrony?• Docenienie wagi problemu
– Własny dział (zespół) ds. bezpieczeństwa• Bezpieczeństwo wbudowane w cykl życia
infrastruktury lub systemu– Od projektu, przez implementację, wdrożenie aż
do utrzymania• Ochrona na wielu warstwach• Budowanie świadomości użytkowników• Badania poziomu bezpieczeństwa
– Cykliczne– Wewnętrzne i zewnętrzne (niezależne)
• Rozważenie outsourcingu bezpieczeństwa IT
![Page 57: Ochrona dogłębna sieci w nowoczesnej organizacji](https://reader033.vdocuments.site/reader033/viewer/2022051020/56815db4550346895dcbe204/html5/thumbnails/57.jpg)
Dziękuję za uwagę!