1 / 18

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ III

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ III. Β. Μάγκλαρης maglaris@netmode.ntua.gr www.netmode.ntua.gr 18/12/2009. ΕΠΑΝΑΛΗΨΗ Κακόβουλο Λογισμικό (1) malware. Ιοί, Δούρειοι ίπποι ( trojans – προγράμματα "σε απόκρυψη" ) Έχουν αργή μετάδοση, προσκείμενοι σε εκτελέσιμα προγράμματα

gage-myers
Download Presentation

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ III

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ III Β. Μάγκλαρης maglaris@netmode.ntua.gr www.netmode.ntua.gr 18/12/2009

  2. ΕΠΑΝΑΛΗΨΗΚακόβουλο Λογισμικό (1)malware • Ιοί, Δούρειοι ίπποι (trojans – προγράμματα "σε απόκρυψη") • Έχουν αργή μετάδοση, προσκείμενοι σε εκτελέσιμα προγράμματα • Αυτόματα διαδιδόμενοι ιοί (worms) • Εκμεταλλεύονται συνήθως προβλήματα λογισμικού σε Λ.Σ. ή εφαρμογές για να μεταδοθούν στο Διαδίκτυο • Διαδίδονται σε υπολογιστές με κοντινές σε τιμή διευθύνσεις IP και το ίδιο πρόβλημα ή από προκαθορισμένη λίστα διευθύνσεων • Σε ορισμένες περιπτώσεις χρησιμοποιούνται παραπλανητικά μηνύματα email που παρασύρουν το χρήστη στο να εκτελέσει συγκεκριμένες ενέργειες στον υπολογιστή του • Μέσω e-mail χρησιμοποιούν τον κατάλογο διευθύνσεων του χρήστη για τη μετάδοση τους σε νέους χρήστες • Εφόσον χρησιμοποιήσουν ιδιαίτερα διαδεδομένο πρόβλημα είναι δυνατόν να εξαπλωθούν με μεγάλη ταχύτητα σε ολόκληρο το Διαδίκτυο • Οι Δούρειοι Ίπποι πολλές φορές χρησιμοποιούν worms για τη μετάδοση τους

  3. ΕΠΑΝΑΛΗΨΗΚακόβουλο Λογισμικό (2)malware • Ιοί (viruses), Δούρειοι ίπποι (trojans) • Αυτόματα διαδιδόμενοι ιοί (worms) Διαδίδονται εκμεταλλευόμενα προβλήματα λογισμικού (vulnerabilities) ή παραπλανώντας χρήστες

  4. Κίνδυνοι – Ιστορικό (1)

  5. Κίνδυνοι – Ιστορικό (2)

  6. Συστήματα Δικτυακής Προστασίας (1)Firewalls • Τι είναι ένα Firewall: • "Ένα σύστημα ή συνδυασμός συστημάτων που ελέγχουν την πρόσβαση και παρέχουν έναν βαθμό ασφάλειας μεταξύ δικτύων" Marcus J. Ranum, δημιουργός του πρώτου firewall • Λειτουργία • Δρομολογητής που ελέγχει την κίνηση (Screening router / Bastion Host). Μπορεί να συνδυαστεί με την ύπαρξη ιδιωτικών εσωτερικών διευθύνσεων και μετάφραση στο σύνορο (Network Address Translation). • Ο πιο απλός Firewall είναι ο δρομολογητής με σωστά στημένες ACLs • Για να χρησιμοποιήσουμε Firewall χρειάζεται να σχεδιαστεί κατάλληλα το δίκτυο, σύμφωνα με τις πολιτικές ασφαλείας

  7. Συστήματα Δικτυακής Προστασίας (2)Firewalls • Βασικοί κανόνες <RuleGroup> <Action>Deny ή Allow <Protocol>IP, TCP, UDP, ICMP, κ.λπ. <SrcPort> <DstPort> <SrcIP> <SrcMask>Πηγή - Ξεχωριστές διευθύνσεις IP ή ομαδοποιήσεις τους <DstIP> <DstMask> Προορισμός Παράδειγμα (από δρομολογητή Cisco): access-list 100permittcpanyhost 171.16.23.1eq 80 • Οι σύγχρονοι Firewall έχουν πολλά επιπλέον χρήσιμα χαρακτηριστικά • Γραφικό περιβάλλον • Ορισμό ομάδων κανόνων • Ορισμό περιοχών προστασίας και ομάδων χρηστών • Διαδικασία ενημέρωσης κανόνων μέσω εξυπηρετητών και σύμφωνα με τις εταιρικές πολιτικές ασφαλείας κ.λπ.

  8. Συστήματα Δικτυακής Προστασίας (3) Firewalls • Πολιτικές πρόσβασης • Απαγόρευση όλων των συνδέσεων πλην εξαιρέσεων ("Deny unless allowed") – χρησιμοποιείται για ισχυρή προστασία, συνήθως στην εισερχόμενη κίνηση ενός δικτύου. • Διέλευση όλων πλην εξαιρέσεων ("Allow unless denied") – δίνει μεγαλύτερη ελευθερία • Επιπλέον: • Διέλευση κίνησης που έχει ήδη ολοκληρώσει το TCPThree Way Handshake (Established) • Απαγόρευση πακέτων που δεν έχουν τις προβλεπόμενες διευθύνσεις προέλευσης (προστασία από το spoofing)

  9. Firewalls - Παραδείγματα Χρήσης (1)

  10. Firewalls - Παραδείγματα Χρήσης (2) ΤοFirewall αποτελεί το σημείο υλοποίησης της πολιτικής ασφάλειας του οργανισμού: • Έλεγχος συνδέσεων • Έλεγχος πρόσβασης ανά περιοχή "Αποστρατικοποιημένη Ζώνη" Demilitarized Zone -DMZ • Παρέχει αυξημένη πρόσβαση σε κάποια συστήματα του δικτύου χωρίς να θέτει σε κίνδυνο το υπόλοιπο

  11. Firewalls - Παραδείγματα Χρήσης (3) Το Firewall υλοποιεί πολιτικές πρόσβασης ανάμεσα στα διάφορα τμήματα του οργανισμού X

  12. Συστήματα Ανίχνευσης Επιθέσεων (1)Intrusion Detection Systems – IDS • Τα υπολογιστικά συστήματα, ασχέτως κατασκευαστή και λειτουργίας, είναι ευάλωτα σε πολλαπλές απειλές, η δε πλήρης εξασφάλιση τους είναι τεχνικά δύσκολη και οικονομικά ασύμφορη. • Ένα IDS παρακολουθεί το περιβάλλον στο οποίο είναι εγκατεστημένο • Υπολογιστικό σύστημα (Host based IDS) • Δίκτυο (Network Based IDS) • Μεθοδολογίες ανίχνευσης • Σύγκριση των στοιχείων που συλλέγονται με συγκεκριμένες "υπογραφές" ("signatures") γνωστών περιστατικών ασφαλείας – Misuse Detection • Στατιστική ανάλυση κάποιων παραμέτρων ώστε να αναγνωριστεί η απόκλιση από τις συνηθισμένες τιμές τους – Anomaly Detection

  13. Συστήματα Ανίχνευσης Επιθέσεων (2)Το IDS Snort • Σύστημα IDS που παρακολουθεί την κίνηση στο δίκτυο αναζητώντας υπογραφές γνωστών επιθέσεων στα πακέτα που παρακολουθεί. • Εγκατάσταση σε σημείο απ' όπου διέρχεται η κίνηση του δικτύου • Οι υπογραφές περιγράφονται με κανόνες που εισάγονται στο σύστημα • Σύστημα ανοιχτού κώδικα (Open Source Project) • Υποστήριξη επεκτάσεων (plugins) για πρόσθετη λειτουργικότητα Παράδειγμα κανόνα (προσπάθεια παράνομης εκτέλεσης εντολών με το cmd.exe στον εξυπηρετητή WEB-IIS): alert tcp$EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd.exe access"; flow:to_server,established; uricontent:"cmd.exe"; classtype:web-application-attack;)

  14. Συστήματα Ανίχνευσης Επιθέσεων (3)Βασική Αρχιτεκτονική IDS

  15. Συστήματα Ανίχνευσης Επιθέσεων (4)Παράμετροι Αποτίμησης Ποιότητας IDS • Ακρίβεια: Τί συχνότητα εμφάνισης έχουν οι εσφαλμένα θετικές ανιχνεύσεις (false positives) δηλαδή η θεώρηση νόμιμων λειτουργιών ως επιθέσεις • Απόδοση. Πόσο γρήγορα μπορεί να συλλέξει στοιχεία και να επεξεργαστεί αναφορές. Ειδικά σε περιπτώσεις όπου υπάρχει μεγάλη ροή πληροφορίας (π.χ. συστήματα NIDS που παρακολουθούν δικτυακές συνδέσεις υψηλής ταχύτητας) • Πληρότητα Ανίχνευσης: Το ποσοστό επιθέσεων που θα καταφέρει να ανιχνεύσει. • Αντοχή σε επιθέσεις προς το ίδιο το σύστημα IDS • Ταχύτητα κατάληξης σε συμπεράσματα

  16. Ειδικά Θέματα:Αντιμετώπιση Επιθέσεων DDoS

  17. Ειδικά Θέματα:Πηγές Πληροφοριών για τη Κατάσταση Δικτύου Υπάρχουσες τεχνικέςπαθητικής παρακολούθησης δικτύων: • Packet capture • SNMP • Netflow • Διάφοροι περιορισμοί: ευκολία χρήσης, χρονική ακρίβεια, δυνατότητες μέτρησης, απαιτούμενοι πόροι (υπολογιστική ισχύς, μνήμη)

  18. Ειδικά Θέματα: Ανίχνευση Επίθεσης TCP SYN Τα μετρικά bps, pps δεν είναι πάντα αποτελεσματικά. Καλό μετρικό είναι SFR (μέτρηση με packet capture) και πλήθος flows με μόνο SYN flag (μέτρηση με Netflow) λόγω συμμετρίας του TCP.

More Related