1.     Pojęcia

 

Trusted Computer System Evaluation Criteria (TCSEC) - "Orange Book"

D -Ochrona minimalna (Minimal Protection)

C1 - Ochrona uznaniowa (Discretionary Protection)

C2 - Ochrona z kontrolš dostępu (Controlled Access Protection)

B1 - Ochrona z etykietowaniem (Labeled Security Protection)

B2 - Ochrona strukturalna (Structured Protection)

B3 - Ochrona przez podział (Security Domains)

A1 - Konstrukcja zweryfikowana (Verified Design)

Czerwona Księga Trusted Networking Interpretation - zawiera kryteria oceny bezpieczeństwa sieci komputerowych

Zielona Księga -  zawiera wytyczne dotyczšce stosowania i wykorzystania haseł

 

Common Criteria

- CC majš na celu wprowadzenie ujednoliconego sposobu oceny systemów informatycznych pod względem bezpieczeństwa.

- Okreœlajš co należy zrobić, aby osiagnšć żadany cel ale nie jak to zrobić

- CC sš katalogiem schematów konstrukcji wymaga zwišzanych z ochronš informacji.

- CC odnoszš się do produktów programowych i sprzętowych.

- CC nie zalecajš ani nie wspierajš żadnej znanej metodyki projektowania i wytwarzania systemów.

- Wynikiem oceny jest dokument stwierdzšjacy

zgodnoœć produktu z okreœlonym profilem ochrony lub, spełnienie okreœlonych wymagań bezpieczeństwa lub, przypisanie do konkretnego poziomu bezpieczeństwa (Evaluation Assurance Level - EAL).

 

2.     Dokumenty normatywne

 

1.Ustawa z dn. 22.0 .999 O ochronie informacji niejawnych (1999)

2.Ustawa z dn. 29.08.997 O ochronie danych osobowych. (1997)

3.Rozporzšdzenie Prezesa Rady Ministrów W sprawie podstawowych wymaga bezpieczeństwa systemów i sieci teleinformatycznych (1999)

4.Rozporzšdzenie MSWiA W sprawie okreœlenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiada urzšdzenia i systemy informatyczne służšce do przetwarzania danych osobowych. (1998)

5.Kodeks karny i przestępczoœć komputerowa (art.267-292)

 

3.     Polityka bezpieczeństwa

 

Zespól i pełnomocnik ds. zarzšdzania bezpieczeństwem

Audyt bezpieczeństwa, Analiza ryzyka, drzewa zdarzeń i błędów

TISM – rodzaj polityki

 

 

 

 

 

 

 

4.     Zagrożenia sieciowe i ich charakterystyka

 

·        Sniffing

Packet-sniffer - jest to program, który jest uruchomiony na jakieœ maszynie w sieci i "podsłuchuje" (przechwytuje) pakiety, które sš przesyłane. Jest to coœ podobnego do podsłuchu na linii telefonicznej tyle, że sniffer jest umieszczany na jednej z maszyn w sieci.

Jak działa sniffer?

-sniffer (przeważnie) przestawia kartę sieciowš w tryb PROMISCIUOUS (mieszany) aby karta odbierała wszystkie pakiety wędrujšce w sieci (segmencie sieci) nie tylko te, które sš przeznaczone dla niej.

- przechwytuje pakiety przesyłane w sieci (przeważnie okreœlone np.: z danego hosta) 

 Sniffera możemy użyć do:

 - przechwycenia przesyłanego niezaszyfrowanego tekstu (np.: haseł i loginów użytkownika

       używajšcego telneta itp.)

- konwersja danych (pakietów) na zrozumiałe dla człowieka informacje

-    podsłuchiwanie ruchu w sieci (z jakimi serwerami lšczy się dana maszyna w sieci)

-    analizowanie problemów w sieci np.: dlaczego maszyna A nie może nawišzać połšczenia z 

       maszynš B?

-    logowanie ruchu w sieci (wykrywanie włamań), aby stworzyć logi do których haker nie może się włamać ani usunšć 

Inne cechy:  

-może "podsłuchiwać" tylko w segmencie sieci, w którym się znajduje czyli "nie przejdzie":       węzłów komputerowych(switch-ów), routerów ani mostów sieciowych(brige-y)

-działajšcy w sieci gdzie panuje "duży ruch" może skutecznie go zwolnić, a w przypadku zapisywania przez sniffer przechwyconych danych na dysk może go w nawet szybkim czasie zapełnić (zależy od pojemnoœci)

-aby uruchomić sniffera jest potrzebny dostęp do konta root

·        Spoofing

 

Spoofing oznacza podszywanie się pod innš maszynę w sieci. Narażone na to zjawisko sš warstwy: sprzętowa, interfejsu danych, transportowa aplikacji. Wszystkie protokoły warstwy aplikacji sš narażone na spoofing jeżeli nie sš spełnione odpowiednie wymogi bezpieczeństwa warstw niższych.

 

IP spoofing. W wysyłanych datagramach zawarty jest wpis o adresie Ÿródłowym IP. Jeżeli użytkownik potrafi zmodyfikować pakiet tak, aby zawierał on inny niż rzeczywisty adres IP, działanie takie zostanie zakwalifikowane jako spoofing IP.

Spoofing systemu routingu IP  - polega na kierowaniu pakietów do innej maszyny, czy podsieci. Generalnie zmiana routingu powoduje zmianę dróg, jakimi sš przesyłane pakiety w sieci. Spoofing routingu jest przez to podobny do spoofing ARP , który zakłada niepoprawne dostarczanie datagramów dostarczanych lokalnie. Jeżeli w sieci mamy ustawiony domyœlny routing, atakujšcy może zmienić wpis w tablicy routingu i cały ruch przesyłać innš drogš, gdzie dane mogš być podsłuchiwane przez snifery. Jeżeli pakiety dalej będš dostarczane zgodnie z przeznaczeniem, dla użytkownika będzie to niezauważalne.

ARP spoofing. ARP (Address Resolution Protocol). Jest to protokół odopowiedzialny za tłumaczenie adresu IP na adresy sprzętowe.

Adresy IP maszyn oraz skojarzone z nimi adresy sprzętowe sš przechowywane w buforze (cache) ARP kazdego hosta. Kiedy datagram jest przesyłany przez sieć, sprawdzana jest zawartoœć bufora ARP i, jeżeli istnieje tam wpis odpowiadajšcy adresowi docelowego miejsca, gdzie ma dotrzeć datagram, nie ma potrzeby wysyłania zapytania ARP.

Zapisy w buforze ulegajš przeterminowaniu po kilku minutach od ich stworzenia. Kiedy wpis ARP o danym hoœcie wygaœnie, wysyłane jest zapytanie ARP. Jeżeli komputer będzie wyłšczony, zapytanie zostanie bez odpowiedzi. Zanim jednak wpis zostanie przeterminowany, datagramy sš wysyłane, lecz nie odbierane. Klasycznym przykładem spoofingu ARP jest zmiana adresu IP na adres maszyny wyłšczonej. Włamywacz może zorientować się, jaka maszyna w sieci jest wyłšczona, lub samemu jš wyłšczyć. Wtedy zmieniajšc konfigurację swojej maszyny może on skonfigurować jš tak, aby wskazywała IP odłšczonej maszyny. Kiedy ponownie zostanie wysłane zapytanie ARP, jego system odpowie na nie, przesyłšjšc nowy adres sprzętowy, który zostanie skojarzony z adresem IP wyłšczonej maszyny. Jeżeli jakieœ usługi w sieci były udostępniane na podstawie zaufania według danych wskazywanych przez ARP, będš one dostępne dla osoby niepowołanej.

Atak za pomocš spoofingu ARP jest również możliwy w przypadku, kiedy istniejš w sieci maszyny o dwóch takich samych adresach IP. Tak sytuacje powinna być niedopuszczalna, jednak często wystepuje takie zjawisko i nie zawsze jest one zamierzone. Dzieje się tak np. przez instalowanie jednej kopii oprogramowania na wielu maszynach z jednš konfiguracjš. Kiedy jest wysyłane zapytanie ARP każdy z hostów o danym IP odpowie na nie. W zależnoœci od systemu albo pierwsza albo ostatnia odpowiedŸ zostanie umieszczona w buforze. Niektóre systemy wykrywajš takš sytuację i jest to oznaka możliwoœci wystšpienia spoofingu.

Aby bronić się przed spoofingiem ARP, stosuje się wpisy permanentne w przypadku hostów o szczególnym znaczeniu.

 

Web spoofing is a man-in-the-middle attack that makes the user think they have a secured session with one specific web server, when in fact they have a secured session with an attacker's server. At that point, the attacker could persuade the user to supply credit card or other personal info, passwords

 

·        Hijacking

Przechwytywanie sesji;

-         wczesna desynchronizacja : atakujšcy nasłuchuje pakietów SYN/ACK; po wykryciu atakujšcy wysyła do serwera pakiet RST zamykajšcy połšczenie. Nast. Generuje pakiet SYN za sfałszowany adresem oraz takim samym numerem portu; serwer zamyka połšczenie, po czym otwiera na tym samym porcie drugie połšczenie wysyłajšc do klienta pakiet SYN/ACK; atakujšcy wykrywa pakiet SYN/ACK i potw. Pakietem ACK; serwer przechodzi do stanu stabilnego;

-         desynchronizacja za pomocš pustych danych: atakujšcy przyglšda się sesji; w wybranym momencie wysyła do serwera dużš iloœć pustych danych; atakujšcy postępuje w ten sam sposób z klientem.

 

Wykrywanie:

-         wykrywanie stanu rozsynchronizowanego

-         wykrywanie burzy pakietów

-         wykrywanie większej liczby zagub. pakietów oraz retrans. dla konkretnego poł.

-         zrywanie połšczeń

 

·        Programy: Juggernaut, HUNT, ETTERCAP

 

·        DoS

1.      zużycie limitowanych lub nie odnawialnych zasobów

-         blokowanie interfejsu

-         wykorzystanie zasobów serwera przeciwko niemu samemu

-         zużycie przepustowoœci sieci

-         zużycie innych zasobów

2.      zniszczenie lub zmiana informacji konfiguracyjnej

3.      fizyczne zniszczenie lub zmiana sprzętu

Sieciowe ataki DoS

-         ataki majšce na celu zablokowanie konkretnej usługi

-         ataki nastawione na zablokowanie całego systemu

Ping Of Death, Teardrop, nakładanie fragmentów, Jolt2, zalew UDP, zalew pakietów SYN, LAND, SMURF, rozproszony DoS

 

5.     Testy penetracyjne

 

Test penetracyjny

Rekonesans

Skanowanie: przestrzeni adresowej, sieci tel., portów serwerów i urzšdzeń

Identyfikacja systemu

Symulacja włamania

Skanowanie: połšczeniowe, pół-otwarte, skryte

Enumeracja – proces wyszukiwania poprawnych kont użytkowników lub Ÿle zabezpieczonych zasobów współdzielonych

   WinNT – net view, nbtstat

         UNIX – NFS i showmount, NIS I pscan…

 

6.     Podstawy kryptografii

 

·        Szyfrowanie symetryczne:

-Algorytmy z kluczem prywatnym

(Szyfr Cezara, skipjack, IDEA, RC2,4,5, DES, 3DES)

·        Szyfrowanie asymetryczne:

-Algorytmy z kluczem publicznym (DSA, RSA, ElGamal)

               -Algorytmy haszujšce (MD2,4,5, SHA, Snefru, Haval)

 

 

·        Podpis cyfrowy

Wiadomoœć – szyfrowana kluczem symetrycznym

Klucz symetryczny – szyfrowany  kluczem publicznym odbiorcy

Podpis cyfrowy – uzyskany po użyciu f-cji mieszajšcej wiadomoœci ; powstaje skrót który zostaje następnie zaszyfrowany kluczem prywatnym nadawcy

Sprawdzenie autentycznoœci – porównanie skrótów (odszyfrowany podpis cyfrowy i odszyfrowana wiadomoœć skrócona f-cjš mieszajšcš)

              

·        Dystrybucja kluczy kryptograficznych

-         protokół CERBERA

KDC szyfruje klucz sesyjny, przesyła Abonentowi 1 inf. zaszyfrowanš kluczem 2.

Ab.1 wysyła Ab.2 inf., Obaj abonenci posiadajš klucz .

-         protokół SHAMIRA

Ab.1 generuje klucz sesyjny, przesyła zaszyfrowany (C1) do Ab.2. Ab.2 szyfruje wiadomoœć (C2) i wysyła do Ab.1. Ab.1 deszyfruje C2 i przesyła C3. Ab.2 deszyfruje klucz sesyjny.

-         protokół WYMIANY KLUCZA ZASZYFROWANEGO

Ab.1 przesyła klucz jawny K’ zaszyfrowany symetrycznie do Ab.2.

Ab.2 wytwarza klucz sesyjny szyfruje do tajnym i œle do Ab.1.

Ab.1 deszyfruje a następnie przesyła cišg losowy Ra1 zaszyfrowany kluczem sesyjnym. Ab.2 przesyła swój Ra2 i Ra1 do Ab.1, który porównuje klucz Ra1. Potem wysyła Ra2 do Ab.2, który porównuje go. Jeœli ok., to ok. ;)

-         protokół PODSTAWOWY

Ab.1 szyfruje Kses jawnym Ab.2. Ab.2 deszyfruje do swoim tajnym.

-         protokół BLOKUJĽCY

Wymiana jawnych. Ab.1 generuje klucz sesyjny. Potem po ½ wiadomoœci zaszyfrowanej jawnym. Łšczenie, deszyfracja no i jazda.

-         algorytm DIFFIE-HELLMANA

Ab.1 i Ab.2 losujš duże liczby x i y. Obliczajš X(Y)= g^x(y) mod n.

Wymiana X i Y. Następnie obliczajš klucz sesyjny: k=Y(X)^x(y) mod n. Klucz tajny, sesyjny (k = g^xy mod n) obliczony jest przez abonentów niezależnie.

 

7.     Systemy uwierzytelniania użytkowników

 

·        Metody:

-         hasło

-         protokół sKey = hasła jednorazowe, wykorzystuje f-cje skrótu

-         metody znacznikowe

 

Ochrona haseł: nadzorowanie, zabezpieczenie przed odgadnięciem, bezpieczne

przechowywanie

 

Weryfikacja metodš hasło – odzew

 

Weryfikacja hasłami jednorazowymi

-         zdefiniowany w RFC 1760

-         wykorzystuje funkcje skrótu

-         zabezpiecza przed ponownym wykorzystaniem

-         wstępne elementy: wspólny klucz tajny, licznik powtórzeń (repetycji)

-         zachowywane jest ostatnie hasło, dla weryfikacji bieżšcego

 

Uwierzytelnianie dwustronne

               Klient jest uwierzytelniany wobec serwera i serwer jest uwierzytelniany wobec klienta

 

Metoda znacznikowa

-         Użytkownik łšczy się z serwerem

-         Hasło (klucz) generowane po stronie serwera

-         Serwer sprawdza na poziomie skrótów czy odzew klienta prawidłowy

 

Metoda tokenowa – hasło generowane co minutę (LucasBank)

 

·        Standard X 509

                              

Struktura: nr wersji, nr seryjny, id. Algorytmu, id. Wystawcy, okres ważnoœci, użytkownik certyfikatu, informacja o kluczu publicznym, podpis cyfrowy        

 

·        System Kerberos

Kerberos to system weryfikacji autentycznoœci wykorzystujšcy algorytm DES, bazuje na tzw. ``biletach'', które służš jako przepustki do korzystania z usług sieciowych. Przepustka jest zaszyfrowana hasłem użytkownika, dzięki czemu tylko ten, kto zna jego hasło, może z niej skorzystać. Ponieważ dane przesyłane przez sieć w systemie Kerberos sš przesyłane w postaci zaszyfrowanej, system ten jest odporny na podsłuch.

Standardowe hasła użytkownika sš zaszyfrowane za pomocš jednokierunkowej funkcji haszujšcej, która jest nieodwracalna; w systemie Kerberos wszystkie hasła sš zaszyfrowane za pomocš algorytmu DES i można uzyskać ich postać jawnš, jeżeli posiada się odpowiedni klucz. Kerberos nie używa kryptografii z kluczem publicznym.

Kiedy użytkownik otrzyma przepustkę udzielajšcš przepustki, może rozpoczšć pracę z systemami wymagajšcymi autoryzacji. Za każdym razem, zamiast przesyłać hasło, przedstawia on odpowiedniš przepustkę, na podstawie której system, albo zezwala na korzystanie z danej usługi, albo zabrania dostępu. Aby uzyskać przepustkę, stacja robocza musi się skontaktować z serwerem udzielajšcym przepustki (TGS) i przedstawić mu odpowiedniš przepustkę do tego serwera. Przepustka taka składa się z dwóch ważnych informacji:

·   klucz sesyjny Kses

·   przepustka do serwera przepustek, zaszyfrowana kluczem sesyjnym oraz kluczem serwera przepustek

Po uzyskaniu odpowiedniej przepustki, klient może się kontaktować z jednostkš w strefie (realm) Kerberos. Strefa Kerberos to zbiór serwerów i użytkowników znanych serwerowi Kerberos.

 

Kerberos – 2 serwery: uwierzytelniajšcy (przyznaje bilet do usługi przyznawania biletów) i przyznajšcy bilety (przyznaje bilet do usługi)

Serwer aplikacji – sprawdza bilet do usługi

 

Atrybuty biletów: poczštkowe(flaga INITIAL), nieważne(flaga INVALID), odnawialne(flaga RENEWABLE), postdatowane(flagi MAY_POSTDATE), upełnomocniajšce i upełnomocnione(flagi PROXIABLE i PROXY), przekazywalne(flagi FORWARDABLE i FORWARD).

 

8.     Mechanizmy kontroli dostępu

 

Weryfikacja względem praw dostępu:

-Listy kontroli dostępu (ACL) – dla pliku

-Listy możliwoœci – dla użytkownika, aplikacji

-Etykiety poziomów zaufania

 

Ukryte kanały: czasowy, pamięciowy

 

9.     Bezpieczne protokoły

 

·        IPSec

–      tryb transportowy, tunelowy,

–      nie ma dystrybucji kluczy

 

Dwa tryby pracy IPSec:

Tryb transportowy – w tym trybie nagłówki zwišzane z IPSec (AH/ESP) sš dodawane po nagłówku IP, a więc nagłówek IP nie jest ukrywany. Z tego powodu można go stosować tylko do transmisji w sieciach LAN (w WAN – problemy z fragmentacjš i routingiem). Tryb transportowy stosuje się do komunikacji między komputerami, oraz komunikacji komputerów z gatewayami IPSec.

Tryb tunelowy powoduje dodanie nowego nagłówka IP wraz z nagłówkami IPSec i w rezultacie ukrycie całego pakietu, łšcznie z nagłówkami. Stosuje się go głównie do komunikacji gateway-gateway. Umożliwia on budowę sieci VPN (wirtualnych sieci LAN) przy użyciu Internetu.

 

·        SSL (Secure Socket Layer)

może używać różnych kluczy publicznych i systemów wymiany kluczy sesyjnych z kartami identyfikacyjnymi. Wymieniony klucz sesyjny może być używany w wielu różnych algorytmach z tajnym kluczem. System SSL jest publicznie dostępny przez anonimowe ftp

-         SSL Record Protocol (skrót wiadomoœci, dane do przesłania, dane wypełniajšce)

-         SLL Handshake Protocol - mechanizmy szyfrowania zwišzane z SSL wykorzystywane wykorzystujš certyfikaty do uwierzytelniania serwera

-         Biblioteki: SSLRef, Open SSL

 

·        HTTP

 

·        S-HTTP

-         połšczenie klient – serwer

-         definicja protokołów bezpieczeństwa

-         request (protokół i nagłówki) – response (np. protokół 200 OK)

-         protokół dedykowany – nie wiem co to znaczy ale jak będzie pyt. Który dedykowany to ten ;)

 

S-HTTP jest rozszerzeniem protokołu HTTP, dlatego też klient łšczy się na ten sam port TCP serwera, co w przypadku protokołu HTTP, czyli na port 80.

Główne elementy S-HTTP składajšce się na podwyższenie bezpieczeństwa przesyłanych danych to:

-szyfrowanie,

-integralnoœć (MAC),

-podpisy cyfrowe.

 

Wykorzystywane sš tu dwa typy nagłówków:

-nagłówki ogólne - definiujš zastosowane mechanizmy ochrony informacji - nie chronione

-nagłówki HTTP - chronione przez enkapsulację

               SHTTP-Privacy-Domain: standard zapisu zabezpieczonej wiadomoœci

               SHTTP-Certificate-Type: akceptowane formaty certyfikatów

               SHTTP-Key-Exchange-Alg: algorytm używany do wymiany kluczy

               SHTTP-Signature-Alg: algorytm podpisu cyfrowego

               SHTTP-Message-Digest-Alg: alg. zapewnienia integralnoœci danych – f. Skrótu

               SHTTP-Symmetric-Content-Alg: alg. symetr. szyfru blokowego do danych

               SHTTP-Symmetric-Header-Alg: symetr. alg. szyfrowania do nagłówków

               SHTTP-Privacy-Enhancements: zabezpieczenia zwišzane z wiadomoœciš

 

·        SSH

-         jak w HTTP +

-         wykrywane protokoły:

1.      SSH-TRANS – uwierzytelnianie serwera

2.      SSH-USERAUTH – autoryzacja użytkownika (opcjonalnie)

Metody autentykacji:

-public key,

-hostbased – rozbudowano o uwierzytelnianie hosta klienta

-password – idzie otwartym tekstem

3.      SSH-CONN - połšczenie

 

·        S-RPC

-         mechanizm znaczników czasowych

-         ograniczenie: opiera się na NIS lub NIS+

 

·        Protokół AH (Authentication Header),

jak sama nazwa wskazuje zapewnia usługi zwišzane z uwierzytelnieniem pakietu. Robi to za pomocš algorytmów typu MAC (Message Authentication Code). Dodatkowo zapewnia to również integralnoœć przesyłanych danych.

 

·        Protokół ESP (Encapsulation Security Payload)

zapewnia poufnoœć danych plus funkcjonalnoœć protokołu AH. Oprócz mechanizmów MAC stosuje on algorytmy szyfrujšce dane.

 

 

 

 

 

 

 

 

10.                        Zapory sieciowe

Podstawowe funkcje zapory: blokowanie dostępu, monitorowanie komunikacji, wykrywanie intruzów, tunelowanie(VPN), uwierzytelnianie

 

·        Zapory:

-         host z dwoma portami

-         dławik – router bez firewalla, nie chroni przed pakietami z www, ftp, dostępne jest filtrowanie

-         dławik i brama – cały ruch przez bramę, zabezpiecza przed wysyłaniem niewłaœciwej informacji z warstw wyższych

-         2 dławiki i brama

 

·        Filtrowanie pakietów

a)      bezstanowe filtrowanie – kłopot z filtrowaniem usług wymagajšcych kanału zwrotnego

-         adresów IP

-         portów (Telnet, NetBIOS, POP, NFS, X Windows)

-         routing Ÿródłowy

-         fragmentacja

b)      z badaniem stanu

 

·        Proxy

sprawdzanie URL, filtrowanie pakietów przed wysłaniem, zastępuje przepływ pakietów między sieciš wew. a zew.

Zalety:

-         klient niewidoczny

-         blokada niebezpiecznych URL, filtrowanie zawartoœci (wirusy, konie)

-         badanie spójnoœci przesyłanej informacji

-         zapewnienie pojedynczego punktu dostępu (nadzór, audyt)

-         eliminacja routingu  między sieciami

Wady:

-         wrażliwoœć na awarie, zatory

-         każda usługa, oprogramowanie musi mieć proxy

-         nie chroni SO

-         małe bezpieczeństwo konfiguracji domyœlnych

 

·        Translacja adresów (NAT):

Statyczna (jaki serwer ma być widoczny z zew.), dynamiczna, ze zrównoważonym obcišżeniem (rozrzucanie zgłoszeń z zew. na poszczególne serwery), ze zwielokrotnionymi połšczeniami

 

·        Proces budowania zapory:

1. Planowanie konfiguracji; 2. zdefiniowanie reguł dostępu do zasobów sieciowych;  3.znalezienie odpowiedniej zapory; 4. instalacji i konfiguracja zapory; 5. drobiazgowe testowanie zapory

 

 

Zakres f-cji firewall (slajd 16)

 

 

11.                        Systemy wykrywania włamań

 

·        Struktura systemów wykrywania włamań

-         Wymagania: cišgła czujnoœć, niewidocznoœć, infrastruktura, zmylenie przeciwnika

 

System wykrywania włamań -> monitorowanie systemu chronionego

         System wykrywania włamań ->raport o infrastrukturze systemu wykryw. włamań

         infrastrukturze systemu wykryw. włamań -> reakcja systemu chronionego

         infrastrukturze systemu wykryw. włamań -> reakcja systemu wykrywania włamań

 

·        Metody wykrywania włamań

Dobry system wykrywania włamań powinien stosować kilka różnych technik

-         Przetwarzanie raportu audytu

-         Przetwarzanie na bieżšco

-         Profile normalnego zachowania

-         Sygnatury nienormalnego zachowania

-         Zgodnoœć parametrów ze wzorcem

 

·        Typologia włamań

NP1 – zewn. nadużycie; NP2 – nadużycie sprzętu; NP3 – maskarada;

NP4 – póŸniejsze nadużycie; NP5 – obejœcie kontroli; NP6 – aktywne nadużycie zasobu; NP7 – pasywne nadużycie zasobu; NP8 – nadużycie przez zaniechanie;

NP9 – poœrednie wspomaganie

 

·         Funkcje i zasady działania pułapek

Pułapka internetowa -  uprawnione oszustwo w celu odwrócenia uwagi potencjalnego intruza od rzeczywistych, wartoœciowych zasobów poprzez użycie zasobów fikcyjnych i skierowanie intruza do systemu gromadzenia informacji wišżšcych się z włamaniami oraz reagowania.

 

Zagadnienia techniczne:

-         Wykrywanie działań które sš włamaniami

-         Wykrywanie działań wyzwalajšcych

-         Odwołanie kwalifikacji zdarzeń jako włamania

-         Pozostawanie w ukryciu

 

Przygotowanie pułapki:

-         Korespondencję od administratora

-         Sfabrykowana pocztę

-         Sfabrykowane punkty skanowania

-         Fikcyjny plik haseł

-         Komunikaty systemowe

 

Pułapki WWW:

-         http://adres_pułapki/http://adres_pierwotny

 

Problemy: wiersz stanu przeglšdarki; wiersz adresu; adresy URL wpisywane przez użytkownika; podglšd Ÿródła dokumentu

 

 

Cel stosowania pułapek:

-         Poznanie sposobu działania intruza oraz uzyskanie informacji o technikach z jakich korzysta. Zdobytš wiedzę można użyć do lepszego zabezpieczenia sieci produkcyjnej

-         Zdobycie niepodważalnych dowodów włamania; wykorzystanie do zlokalizowania włamywaczy oraz w postępowaniu prawnym

 

Metody:

-         Tarcze (emulowanie niewykorzystywanych serwisów sieciowych)

-         Pole minowe (umieszczanie komputerów pułapek bezpoœrednio między serwerami jako kolejnych maszyn)

-         ZOO (całe wirtualne podsieci, kuszšce napastnika słabymi zabezpieczeniami)

 

Przykłady:

-         Specter Intrusion Detection System

-         Verizon NetFacade

 

 

12.                        Ochrona poczty elektronicznej

 

·        Zagrożenia wewnętrzne

-         Poufnoœć korespondencji (podsłuch w sieci, podglšd  podczas obsługi przez system pocztowy, podglšd w skrzynce pocztowej odbiorcy, możliwoœć ujawnienia inf. podczas działania klientów pocztowych, atak kryptoanalityczny)

-         Spójnoœć korespondencji(robaki internetowe oraz wirusy rozpowszechniane poprzez pocztę, modyfikacja korespondencji, darmowe serwisy pocztowe)

-         Manipulacja autorstwem przesyłki (brak autoryzacji przy wysyłaniu, spam, bomby pocztowe, zapisywanie ofiary do list dyskusyjnych)

-         Dostępnoœć przesyłki i systemu pocztowego (brak systemu podtrzymywania napięcia, ataki typu „odmowa usługi”, spowalnianie systemu poprzez obcišżanie zasobów, przerwy w działaniu systemu operacyjnego)

 

·        Zagrożenia zewnętrzne

-         Ataki aktywnš zawartoœciš

-         Ataki przepełnienia buforu

-         Konie trojańskie

-         Ataki z wykorzystaniem skryptów powłoki

-         Ataki w oparciu o błšd sieci

-         Atak z wykorzystaniem luk w agentach przesyłania poczty

-         Podawanie się za przełożonego lub administratora

-         Ataki na prywatnoœć adresu pocztowego użytkowników

-         Zagrożenia zwišzane z protokołem SMTP (brak szyfrowania, brak autoryzacji nadawcy przy wysyłaniu, brak kontroli spójnoœci przesyłki, polecenia RCPT, VRFY, EXPN, HELP)

-         Zagrożenia zwišzane z protokołem POP3

-         Zagrożenia zwišzane z protokołem IMAP4

 

 

 

·        Metody i narzędzia ochrony

-         Ochrona przed utratš poufnoœci (bezpieczna topologia, szyfrowanie, produkty wykrywajšce programy podsłuchujšce)

-         Zapewnienie spójnoœci przesyłki (md5sum,sum – oprogramowanie umożliwiajšce generowanie i sprawdzanie sum kontrolnych; ccrypt i inne programy szyfrujšce; oprogramowanie antywirusowe; wišzanie stałe adresów MAC)

-         Ochrona przed niechcianš pocztš (Procmail, restrykcje w przekazywaniu poczty, bazy RBL, programy Spam Exterminator, EmC, Mailfilter, Spam Spade, MailDeleter)

-         Ochrona przed atakami zagrażajšcymi dostępnoœci systemu pocztowego

-         Ochrona przed atakami wyprowadzanymi przez system pocztowy (antywirusy, Procmail Sanitizer, uaktualnianie i staranna konfiguracja, niestandardowe oprogramowanie i instalacje)

 

-         PGP (poufnoœć, uwierzytelnianie Ÿródła, integralnoœć wiadomoœci, niezaprzeczalnoœć nadania, zarzšdzanie kluczami, opcjonalny podpis cyfrowy, kompresja, opcjonalne szyfrowanie i kodowanie do transmisji; IDEA – szyfrowanie danych; RSA – zarzšdzanie kluczami; MD5 i RSA – spójnoœć i podpisy cyfrowe)

-         PEM ((poufnoœć, uwierzytelnianie Ÿródła, integralnoœć wiadomoœci, niezaprzeczalnoœć nadania, zarzšdzanie kluczami, standaryzacja, zapewnienie integralnoœci i wstawianie podpisu, opcjonalne szyfrowanie i kodowanie do transmisji; Typy wiadomoœci: MIC-CLEAR, MIC-ONLY, ENCRYPTED)

 

 

13.                        Mechanizmy inspekcji (audytu) i jego implementacja

  

·        Podstawowe dane zapisywane w plikach systemu rozliczeń

-Nazwa, -czas wykorzystania procesora (oddzielnie dla użytkowników i systemu),

-czas działania, -czas uaktywnienia procesów, -ID użytkownika i grupy procesów,

-wykorzystanie pamięci, -liczba odczytanych i zapisanych znaków, -liczba odczytanych i zapisanych bloków dyskowych, -terminal z którego zainicjowano proces, -stan wskaŸników procesu (łšcznie ze statusem wyjœcia)

 

·        Linux – program sa

·        WINNT: polityki audytu (zdarzeń, zasobów, drukarek)

-         użycie plików/ katalogów

-         logowanie, uruchomienie, zatrzymanie systemu

-         zmiany w definicji grup/ użytkowników

-         zmiany w polityce bezpieczeństwa

-         statystyki o wykorzystaniu poszczególnych zasobów

-         próby złamania zabezpieczeń

-         plan archiwizacji kronik

 

·        Implementacja w WINNT

-         Inspekcja zdarzeń: zalogowanie i wylogowanie  = porażka

-         Inspekcja plików i katalogów: Użytkownicy: usunięcie = porażka

-         Inspekcja drukarek: Wszyscy: usuń = porażka

 

Nadmierny audyt powoduje duże obcišżenie systemu i duże zużycie zasobów