-

1 -

METODY

I TECHNIKI

ZABEZPIECZANIA

SIECI

-

2 -

Podstawowe grupy narz

ę

dzi i

technik

G

Log systemowy (syslog) – narz

ędzie pozwalające na zapis

wybranych zdarze

ń z pracy systemu do rejestru. Zdarzenia

mog

ą mieć związek z atakami, eksploatacją systemu oraz

działaniami awaryjnymi.

G

Uwierzytelnianie

w

systemie

–

dobry

system

uwierzytelniania

pozwoli

na

podniesienie

poziomu

bezpiecze

ństwa w elementach podsystemu bezpieczeństwa.

Uzyskuje si

ę to przez zapewnienie odpowiedniego poziomu

bezpiecze

ństwa przy przesyłaniu, przechowywaniu oraz przy

tworzeniu haseł.

G

Odpowiednia architektura systemów

zabezpiecze

ń –

logiczne umiejscowienie elementów systemu ochrony.

G

Hosty bastionowe – systemy komputerowe pracuj

ące w sieci

ochrony.

G

NAT – translacja adresów IP.

G

Filtry pakietów – systemy odpowiedzialne za filtrowanie
przepływaj

ących pakietów, czyli określenie na podstawie

charakterystyki pakietu czy jest on legalny (bezpieczny).

G

Systemy Proxy (pełnomocnik, po

średnik) – ogól systemów

działaj

ących na zasadzie pośredniczenia i przekazywania

usług.

G

Szyfrowane tunelowanie – nazywane równie

ż wirtualnymi

sieciami prywatnymi (VPN – virtual private networks),
szyfrowane kanały ł

ączące sieci prywatne przez Internet.

G

Systemy IDS (Intrusion Detection Systems – systemy
wykrywania intruzów) – ogół systemów, których zadaniem

-

3 -

jest wykrycie nielegalnej działalno

ści na podstawie szeroko

rozumianej analizy pracy chronionego systemu.

G

Inne – do

ść szeroka klasa systemów, narzędzi, metod, które

w r

ękach doświadczonego operatora podniosą poziom

bezpiecze

ństwa systemu.

Podstawowe strategie tworzenia

zabezpiecze

ń

G

Minimalne przywileje – strategia ta okre

śla, że każdy obiekt

(u

żytkownik, aplikacja, system) powinien posiadać tylko te

przywilej,

które

s

ą mu niezbędne do wykonywania

realizowanych przez niego zada

ń.

G

Dogł

ębna obrona – polega to na braku zaufania do jednego

mechanizmu zabezpieczaj

ącego niezależnie od poziomu jego

skuteczno

ści. Dokonuje się instalacji wielu systemów

zabezpiecze

ń tak, aby awaria jednego mechanizmu nie

wył

ączyła wszystkich. Może to się objawiać przez budowę

nadmiarowych zabezpiecze

ń lub dublowania tych samych

zasad na wielu poziomach np. filtru pakietów.

G

W

ąskie przejście - zmusza napastników do używania

kanału, który mo

żna kontrolować i monitorować. W sieci

w

ąskim przejściem jest np. Proxy, który jest jedyną drogą

przej

ścia z Internetu do ośrodka.

G

Najsłabszy punkt – strategia ta wynika z podstawowej
zasady wszelkiego bezpiecze

ństwa: każdy łańcuch jest tak

silny jak najsłabsze jego ogniwo.

G

Bezpiecze

ństwo w razie awarii – kolejna zasada wskazuje,

żeby system był jak najbardziej bezpieczny w razie
uszkodzenia. Oznacza to przyj

ęcie zasady, że zajście awarii

-

4 -

w

systemie

bezpiecze

ństwa uniemożliwi dostęp do

chronionych zasobów nie za

ś otworzy ten dostęp.

G

Powszechna współpraca – mówi nam o konieczno

ści

współpracy (lub nie przeszkadzania) ze strony członków
organizacji, aby system zabezpiecze

ń działał efektywnie.

G

Zró

żnicowana obrona – jest ściśle powiązana z głębokością

obrony. Według tej strategii potrzebne jest nie tylko wiele
warstw obrony, ale równie

ż, aby obrona była różnego

rodzaju.

G

Prostota – wynika to z tego,

że prostsze rzeczy można

łatwiej zrozumie

ć, a jeśli coś jest nie zrozumiałe to nie

wiadomo czy jest bezpieczne.

G

Zabezpieczenie przez utajnienie – polega to na tym,

że

wykorzystujemy kolejn

ą płaszczyznę bezpieczeństwa przez

blokad

ę informacji na temat szczegółów zabezpieczeń ich

typów, topologii, istniej

ących hostów. Jeśli uruchamiamy

nowy host, czy uruchomimy usług

ę ftp na porcie innym niż

standardowy, nie jest konieczne

żeby wszyscy o tym

wiedzieli poza uprawnionymi.

Architektury systemów

zabezpiecze

ń

G

Architektury jednoelementowe:

•

Architektura z routerem ekranuj

ącym – jest to prosta i

tania architektura zbudowana na podstawie routera, który
jednocze

śnie pełni rolę systemu ochrony poprzez

instalacje

w

nim

filtra

pakietów.

Przyj

ęcie takiej

architektury mo

żliwe jest w sieciach o bardzo dobrze

chronionych serwerach i stacjach roboczych, kiedy

-

5 -

potrzeba

jest

maksymalnej

wydajno

ści

lub

nadmiarowo

ści.

Router ekranuj

ą

cy

Serwer

Stacja robocza

Laptop

Drukarka

Stacja robocza

Internet

•

Architektura

dwusieciowego

serwera

dost

ępowego.

Podobnie jak poprzednia architektura jest prosta i tania.
Rol

ę routera pełni tutaj serwer posiadający dwa interfejsy

sieciowe, który mo

że również pełnić role ochronną

poprzez instalacje systemów zabezpiecze

ń. Architektura

ta jest lepsza pod wzgl

ędem bezpieczeństwa, z uwagi na

mo

żliwości implementacji zabezpieczeń w serwerze

dost

ępowym i przy dbałej konfiguracji może zapewnić

stosunkowo dobry system ochrony.

-

6 -

Serwer

Stacja robocza

Laptop

Drukarka

Stacja robocza

Internet

Serwer + oprogramowanie ochronne

•

Architektura ekranowanego hosta – polega na tym,

że host

bastionowy jest umieszczony w sieci wewn

ętrznej i

mo

żliwe są połączenia z Internetu tylko do tego hosta,

który

ma

wył

ączone trasowanie. Stacje w sieci

wewn

ętrznej mogą się łączyć bądź z hostem bastionowym

w celu uzyskania pewnych usług (typu poczta), oraz mog

ą

ł

ączyć się z dowolnym, hostem zewnętrznym.

Architektur

ę tą można modyfikować poprzez zmianę

konfiguracji routera np. mo

żna wymusić by hosty

wewn

ętrzne łączyły się tylko z hostem bastionowym,

który b

ędzie pośredniczył w dozwolonych usługach.

Architektura ta jest do

ść bezpieczna, ale wymaga idealnej

konfiguracji systemów ochronnych, ka

żdy błąd otworzy

sie

ć wewnętrzną na ataki z Internetu.

-

7 -

Serwer

Stacja robocza

Laptop

Stacja robocza

Internet

Host bastionowy

Router

ekranuj

ą

cy

•

Architektura ekranowanej podsieci – tworzona jest dzi

ęki

wykorzystaniu dwóch routerów, tworz

ących miedzy sobą

stref

ę zdemilitaryzowaną DMZ (DeMilitarized Zone).

Strefa DMZ jest sieci

ą peryferyjną i jakiekolwiek

nieuprawnione działanie (nieuprawnione w sensie zasad
obowi

ązujących w danej sieci LAN) jest traktowane jako

wrogie.

Ta architektura nale

ży do bezpieczniejszych oraz pozwala

na implementacje zabezpiecze

ń, co najmniej trzech

miejscach tj. na dwóch routerach i ho

ście bastionowym.

Pozwala na do

ść swobodne i bezpieczne korzystanie z

Internetu z sieci wewn

ętrznej, jednocześnie stanowiąc

du

że wyzwanie dla intruza. Ekranowanie podsieci

umo

żliwia budowę zabezpieczeń według zasad strategii

tworzenia

zabezpiecze

ń. Ten typ architektury jest

punktem wyj

ścia do tworzenia wariacji tej topologii

poprzez ró

żne sposoby zabezpieczania oraz zmiany

ilo

ściowe urządzeń.

-

8 -

Serwer

Stacja robocza

Laptop

Stacja robocza

Internet

Router zewnetrzny

Host bastionowy

DM

Z

Router wewn

ę

trzny

Si

e

ć

wewn

ę

tr

z

n

a

•

Architektura z wielocz

ęściową siecią ekranowaną – ta

architektura

dodaje

jeden

punkt

ochrony

(serwer

dwusieciowy),

który

mo

że być wykorzystany do

permanentnego

monitorowania

ruchu

lub

i

usług

po

średniczących.

Serwer

Stacja robocza

Laptop

Stacja robocza

Internet

Router zewnetrzny

DM

Z

Router wewn

ę

trzny

Si

e

ć

wewn

ę

tr

z

n

a

Serwer dwusieciowy

DM

Z

-

9 -

Hosty bastionowe

G

Hosty bastionowe s

ą systemami, które występują w strefie

DMZ i s

ą z natury dostępne publicznie. Hosty te są

komputerami szczególnie zabezpieczonymi i maj

ącymi za

zadanie realizowa

ć różnego rodzaju usługi dla użytkownika

publicznego jak i wewn

ętrznego.

G

Hosty bastionowe s

ą szczególnie narażone na włamania i

mo

żna założyć, że atak na sieć rozpocznie się od próby

przej

ęcia kontroli, przez intruza, nad takim celem. Dlatego

te

ż systemy te muszą być szczególnie zabezpieczane i

monitorowane oraz musz

ą znajdować się w specjalnej

wydzielonej podsieci nieprzenosz

ącej żadnych poufnych

danych.

G

Hosty bastionowe mo

żna podzielić na kilka rodzajów:

•

Nietrasuj

ące hosty dwusieciowe – ma wiele połączeń

sieciowych, ale nie przekazuje mi

ędzy nimi ruchu, może

natomiast spełnia

ć role pośredniczące lub filtra pakietów.

•

Hosty ofiary – tutaj mamy system „słabo” zabezpieczony,
przez konieczno

ść udostępnienia na nim usług, które z

natury s

ą niebezpieczne. System taki będący skazanym na

cel udanego ataku musi by

ć szczególnie monitorowany i

powinien mie

ć opracowane procedury, które są wstanie

taki atak rozpozna

ć i umożliwić możliwie szybki powrót

do stanu poprzedniego.

•

Hosty pułapki – podobnie jak poprzednio, systemy tego
typu s

ą podatne na ataki z tą różnicą, iż nie są używane do

świadczenia jakichkolwiek usług. Mają za zadanie zwabić
intruza i poinformowa

ć administratora o zaistniałym

fakcie.

-

10 -

•

Wewn

ętrzne hosty bastionowe – są to hosty

umiejscowione w sieci wewn

ętrznej i mogą wchodzić w

interakcje z głównymi hostami bastionowymi np. dla
przekazania poczty do serwera wewn

ętrznego. Komputery

te s

ą faktycznie wtórnymi hostami bastionowymi, więc

powinny by

ć zabezpieczane i konfigurowane w podobny

sposób.

•

Zewn

ętrzne

hosty

usługowe

–

to

systemy

odpowiedzialne za udost

ępnianie usług w Internecie np.

WWW.

Translacja adresów IP

G

Mechanizm maskowania zwanym równie

ż NAT (Network

Address Translation – translacja adresów sieciowych) nie
jest mechanizmem pozwalaj

ącym na jakiś typ aktywnej

ochrony, ale posiada wła

ściwości, które ukrywają wiele

informacji przed potencjalnym intruzem.

Mechanizm ten został oryginalnie zaimplementowany po to,
aby

mo

żna było udostępniać więcej adresów siecią

prywatnym, jednak okazało si

ę, że ma on inny jeszcze aspekt

zwi

ązany z bezpieczeństwem: możliwość ukrywania

wewn

ętrznych hostów. Ukrywa przed intruzem informacje

warstw TCP/IP o hostach wewn

ętrznych, ponieważ cały ruch

wygl

ąda jak by pochodził z pojedynczego adresu IP.

G

Działanie mechanizmu maskowania IP wymaga, aby host
maskuj

ący

(odpowiedzialny

za

translacje

adresów)

przechowywał

tablice

z

przyporz

ądkowanymi sobie

gniazdami wewn

ętrznymi i zewnętrznymi.

Je

śli host z sieci wewnętrznej nawiązuje połączenie z

zewn

ętrznym serwerem, host maskujący zamienia jego port

-

11 -

źródłowy na jeden ze swoich portów zewnętrznych, zamienia
adres IP na swój (lub adres z pewnej puli) dokonuje
odpowiedniego zapisu do tablicy translacji i wysyła pakiet
do hosta docelowego.

Kiedy otrzymywana jest odpowiedz od hosta zewn

ętrznego

poszukiwany jest port w tablicy translacji, zmieniany jest
adres docelowy i port hosta wewn

ętrznego i wysyła do

podsieci wewn

ętrznej. Gdy zapisu w tablicy translacji jest

brak pakiet jest odrzucany.

Host maskuj

ą

cy

Host wew

ę

trzny

Host zewn

ę

trzny

Docelowy IP

192.168.13.15

Ź

ródłowy IP
10.0.0.15

Ź

ródłowy port

1234

Docelowy IP

192.168.13.15

Ź

ródłowy IP

128.110.211.1

Ź

ródłowy port

15465

IP 128.110.211.1

IP 10.0.0.1

Docelowy IP

128.110.211.1

Ź

ródłowy IP

192.168.13.15

Docelowy port

15465

Docelowy IP

10.0.0.15

Ź

ródłowy IP

192.168.13.15

Ź

ródłowy port

1234

G

Translacja mo

że być przeprowadzana na dwa sposoby:

•

translacja dynamiczna – przydział portów odbywa si

ę

niezale

żnie,

•

translacja statyczna – na stałe przypisujemy rekord w
tablicy

translacji

do

danego

poł

ączenia w sieci

-

12 -

wewn

ętrznej, tracąc w ten sposób ochronę hosta

wewn

ętrznego.

G

Mimo wielu zalet maskowanie posiada wad

ę polegającą na

tym, i

ż część protokołów wymagających kanału zwrotnego

nie potrafi z tym mechanizmem współpracowa

ć. Pojawiają

si

ę moduły do tej usługi pozwalające ominąć przeszkody

jednak mo

że się zdarzyć, że protokół potrzebny w danej

organizacji nie b

ędzie potrafił poradzić sobie z tym

mechanizmem

wtedy

nale

ży odrzucić protokół lub

maskowanie adresów IP.

G

NAT

mo

żna zrealizować na różnych urządzeniach,

pozwalaj

ą na to serwery jak i niektóre inne urządzenia takie

jak routery.

Filtry pakietów

G

Działanie podejmowane przez urz

ądzenie, mające na celu

selektywn

ą kontrolę przepływu danych do i z sieci. Filtry

pakietów pozwalaj

ą na przejście lub blokują pakiety

zazwyczaj w czasie przesyłania ich z jednej sieci do innej.

G

Aby

zrealizowa

ć filtrowanie pakietów musi zostać

opracowany zestaw reguł okre

ślających, które rodzaje

pakietów mo

żna przepuszczać, a które należy blokować.

Filtrowanie mo

że odbywać się na moście, routerze lub w

pojedynczym ho

ście, czasami jest nazywane ekranowaniem

G

Patrz

ąc z perspektywy historycznej należy przypomnieć, ze

okre

ślenie firewall było odnoszone tylko do systemów

filtrowania pakietów.

G

Obecnie wyró

żnia się dwa podstawowe typy filtrowania

pakietów:

-

13 -

•

Filtry

standardowe

lub

bezstanowe

(stateless)

–

charakteryzuj

ą się tym, że nie potrafią sprawdzić części z

ładunkiem pakiecie oraz nie pami

ętają stanu połączenia.

Badaj

ą informacje zawarte w nagłówku każdego

indywidualnego pakietu i okre

ślają na tej podstawie czy

pakiet przesła

ć dalej czy też odrzucić. Od strony

teoretycznej mo

żna spowodować, aby filtr korzystał ze

wszystkich

danych

nagłówka,

jednak

w

praktyce

wykorzystywane s

ą pola:

- typ protokołu – opiera si

ę na zawartości pola protokół

nagłówka IP. Pole to pozwala rozró

żniać zestaw usług

takich jak UDP,TCP, ICMP, IGMP. Jednak informacja
w polu nagłówka jest na tyle ogólna,

że trudno ją

wykorzysta

ć do filtrowania.

- filtrowanie adresów IP – pozwala na filtrowanie

adresów do lub z okre

ślonych hostów i sieci w oparciu

o adres IP. Ten typ filtrowania jest do

ść szeroko

stosowany do zezwalania na poł

ączenia z wybranymi

adresami IP (zaufane sieci, zdalni u

żytkownicy). Nie

ma jednak sensu u

żywanie tego filtrowania dla

jakiego

ś szerszego blokowania adresów, chyba ze to

dotyczy zablokowania pojedynczych sieci znanych ze
stwarzania problemów.

- porty TCP/UDP – to pole w filtrowaniu znajduje du

że

zastosowania, poniewa

ż pola te określają najbardziej

szczegółowo

przeznaczenie

pakietu.

Filtrowanie

portów jest cz

ęsto nazywane filtrowaniem protokołów,

poniewa

ż numery portów TCP/UDP identyfikują

protokoły

wy

ższych

warstw.

W

wi

ększości

przypadków

filtry

albo

pozwalaj

ą na przejście

wszystkim protokołom wył

ączając listę protokołów

-

14 -

zabronionych,

lub

te

ż

zabraniaj

ą

wszystkich

pozwalaj

ąc na dostęp tylko zaufanym.

- wybór trasy przez nadawc

ę (source routing) – ta opcja

pozwala okre

ślić dokładną drogę, jaką ma przebyć

pakiet IP do miejsca przeznaczenia. Kiedy

ś było to

u

żywane do celów diagnostycznych obecnie jednak

najcz

ęściej używany jest przez napastników. Dlatego

filtry odrzucaj

ą pakiety ustawionym wyborem trasy.

Start

Wej

ś

cie pakietu do

filtra

Zezwoli

ć

?

Reguły filtra

Odzru

ć

Zezwól na przej

ś

cie

Koniec

Rejestrowa

ć

?

Syslog

Rejestruj

0

1

0

1

•

Filtry z badaniem stanów (Stateful inspection filter) – s

ą

to systemy przechowuj

ące w pamięci dane o stanie całego

ruchu przechodz

ącego przez filtr i oceniają na tej

podstawie czy dany pakiet mo

że być przepuszczony.

-

15 -

Filtry te nie pozwalaj

ą na przejście pakietu żądnej usługi,

która nie została dopuszczona, oraz nie jest realizowana
przez poł

ączenie umieszczone w tablicy stanów. Filtry

tego typu nie rozwi

ązują wszelkich problemów to znaczy

badania

danych

pakietu,

jednak

rozszerzaj

ą swoje

mo

żliwości na analizę flag pakietu IP.

Transmisja przez taki filtr przebiega w ten sposób,

że gdy

zaufany wewn

ętrzny host rozpoczyna połączenie z portem

TCP niezaufanego hosta, wysyła pakiet synchronizacyjny
SYN zwieraj

ący adres IP i numer portu (gniazdo), na

którym oczekuje odpowiedzi.

Filtr zapisuje w tablicy stanów adresy gniazd docelowego
oraz zwrotnego i dopiero wysyła pakiet do sieci
zewn

ętrznej. Nadchodząca odpowiedź jest badana pod

k

ątem gniazda docelowych i źródłowych w tablicy

stanów.

Je

śli jest jakaś niezgodność w porównaniu, pakiet jest

odrzucany, poniewa

ż nie stanowi odpowiedzi na żądanie z

sieci chronionej. Pozycja wpisu w tablicy stanów jest
usuwana po okre

ślonym czasie (w razie zerwania

poł

ączenia) lub po przesłaniu pakietów negocjacji

zamkni

ęcia sesji.

Oczywi

ście poza badaniem stanu w filtrach tego typu

równie

ż są stosowane zbiory reguły związane z analizą

nagłówka IP tak jak realizowane jest to w filtrach
bezstanowych.

-

16 -

Start

Wej

ś

cie pakietu do

filtra

Reguły filtra

Wewn

ę

trzny?

1

0

Prze

ś

lij do celu

Zezwoli

ć

?

Utwórz rekord w

tablicy stanów

Tablica

stanów

Koniec

Zezwoli

ć

?

Koniec

poł

ą

czenia?

Usu

ń

rekord w

tablicy stanów

1

0

Nawi

ą

zanie

poł

ą

czenia?

Isnieje rekord

w tablicy

stanów?

Koniec

poł

ą

czenia?

Prze

ś

lij do celu

SysLog

Rejestrowa

ć

(0 - Koniec)

Rejestruj

0

1

1

0

1

0

0

1

0

1

1

-

17 -

Systemy po

ś

rednicz

ą

ce

G

Systemy po

średniczące, czyli Proxy – służą do regeneracji

żądań klientów sieci prywatnej skierowane do usług warstw
wy

ższych usług sieci zewnętrznej.

G

Historycznie systemy Proxy były wykorzystywane głównie
do buforowania i przechowywania w pami

ęci podręcznej,

cz

ęsto przeglądanych stron WWW.

Sie

ć prywatna

Internet

Bastion

Host

Proxy

Server

Sie

ć prywatna

Internet

W RZECZYWISTO

ŚCI ...

PUNKT WIDZENIA SERWERA

I U

ŻYTKOWNIKA

Sie

ć prywatna

Internet

Bastion

Host

Bastion

Host

Proxy

Server

Sie

ć prywatna

Internet

W RZECZYWISTO

ŚCI ...

PUNKT WIDZENIA SERWERA

I U

ŻYTKOWNIKA

G

Wraz

z

obni

żką

warto

ści

Proxy

jako

system

przechowywania, coraz lepiej wida

ć ich zalety jako elementu

systemu zabezpiecze

ń.

G

Proxy

działa

nasłuchuj

ąc zleceń usługi od klientów

wewn

ętrznych i przesyłaniu ich na zewnątrz w taki sposób

jakby pochodziły od

rzeczywistego

klienta. Podobnie

-

18 -

działaj

ą w drugą stronę przesyłając klientowi dane w sposób

jakby pochodziły od hosta zewn

ętrznego.

G

Serwery Proxy pracuj

ą zwykle jako hosty bastionowe.

G

Host Proxy jest bezpo

średnio podłączony do sieci Internet, i

komunikuje si

ę bezpośrednio z lokalnymi (wewnętrznymi)

oraz

zewn

ętrznymi hostami (jeśli połączenie jest

dozwolone).

Sie

ć prywatna

Internet

Bastion

Host

Proxy

Server

Musz

ą być w stanie

wymusza

ć ruch

pakietów IP
poprzez serwer
proxy

Sie

ć prywatna

Internet

Bastion

Host

Bastion

Host

Proxy

Server

Musz

ą być w stanie

wymusza

ć ruch

pakietów IP
poprzez serwer
proxy

G

Typy serwerów po

średniczących:

•

Obwodowy – po

średnik, który tworzy obwód między

klientem a serwerem bez interpretowania protokołu
aplikacji. To s

ą najprostsze Proxy swoją funkcjonalnością

zbli

żone do filtrów pakietów i są dość łatwe do oszukania.

-

19 -

Ich niezaprzeczaln

ą zaletą jest świadczenie usług dla

wielu ró

żnych protokołów.

•

Aplikacyjny – jest to Proxy, który zna aplikacje, dla której
po

średniczy oraz rozumie i interpretuje polecenia w

protokole aplikacji. Potrafi równie

ż zajrzeć do ładunku

danych

i

je

analizowa

ć. Wadą tych Proxy jest

ograniczenie ich funkcjonalno

ści dla kilku protokołów,

którym mog

ą pośredniczyć i je analizować.

G

Zalety Proxy w kontek

ście zabezpieczeń:

•

Ukrywanie

prywatnego

klienta

przed

światem

zewn

ętrznym – podobnie jak mechanizm NAT

powoduj

ą, że z punktu widzenia zewnętrznego

obserwatora, cała sie

ć wewnętrzna będzie wyglądała jak

jeden host. Mo

żliwe jest to dzięki temu, że Proxy działają

na zasadzie ponownego wygenerowania

żądań warstwy

usługowej.

Dodatkowo

Proxy mo

że multipleksować

poł

ączenie, aby pewna liczba hostów korzystała z jednego

poł

ączenia z Internetem.

•

Blokowanie niebezpiecznych URL (Universal Resource
Lokator – uniwersalny wska

źnik zasobów) – pozwala to

administratorowi zakaza

ć dostępu do stron WWW w

oparciu o URL. Podane adresy s

ą zabronione z tych czy

innych przyczyn i standardowy u

żytkownik nie może

wywoła

ć takiego adresu w swojej przeglądarce. Jednak

system blokad jest łatwo omin

ąć np. stosują liczbową

notacje adresu. Dlatego tego typu blokady s

ą rzadko

stosowane chyba,

że system jest do takich celów

dedykowany i nie jest łatwo go obej

ść.

•

Filtrowanie zawarto

ści – Proxy transmituje cały ładunek

danych oraz jest zwi

ązany z danym protokołem, więc

-

20 -

mo

że być użyty do przeszukiwania danych pod kątem

podejrzanej zawarto

ści np. wirusy, konie trojańskie,

kontrolki ActiveX, binarne zał

ączniki e-maili, treść na

stronie WWW itp. Filtrowanie takie mo

że dość znacznie

podnie

ś bezpieczeństwo naszej sieci dzięki ograniczeniu

ekspansji wirusów.

•

Kontrola spójno

ści – polega na kontroli zgodności

danych z protokołem, czyli sprawdzenie zawarto

ści

danych pod k

ątem ich znaczenia dla protokołu. Może w

ten sposób zapobiega

ć wykorzystaniu nieprawidłowo

sformatowanych

danych

do

wykorzystywania

luk

bezpiecze

ństwa.

•

Blokowanie routingu – systemy po

średniczące nie muszą

wyznacza

ć trasy dla pakietów warstwy transportowej w

zwi

ązku z całkowitą regeneracją żądań.

•

Rejestracja zdarze

ń i alarmowanie – wąskie przejście,

jakim

jest

system

po

średniczący

pozwala

na

przeprowadzenie

gł

ębokiego

monitorowania

przepływaj

ących danych a co za tym idzie wyłapywać

dane zwi

ązane z działalnością nieuprawnioną oraz próby

ataku, które nie koniecznie musz

ą być przeprowadzane na

system Proxy.

G

Wady systemów Proxy:

•

Pojedynczy punkt awarii – z pojedynczym punktem
kontroli zwi

ązany jest pojedynczy punkt awarii. Więc

awaria serwera powoduje odci

ęcie całej sieci, której

po

średniczy, od Internetu.

-

21 -

•

Oprogramowanie klienckie musi współpracowa

ć z

Proxy – dla ka

żdej usługi objętej Proxy musi istnieć

klient, który współpracuje z systemem po

średniczącym.

•

Usługa musi mie

ć swoje Proxy – każda uwzględniony

protokół musi mie

ć swoje Proxy.

•

Proxy

tworz

ą

zatory

–

przeci

ążony

system

po

średniczący może tworzyć zatory w obsłudze klientów.

G

System po

średniczący mimo swoich wad jest dość istotnym

elementem

ściany ogniowej organizacji.

Szyfrowane tunelowanie.

G

Szyfrowane tunelowanie rozwi

ązuje problem bezpiecznego i

bezpo

średniego dostępu do hostów za pośrednictwem sieci

Internet.

G

W

tym

celu

wykorzystuje

si

ę kilka podstawowych

składników zabezpiecze

ń:

•

Kapsułowanie (hermetyzacja) w pakietach protokołu
IP – polega na zawarciu w pakiecie IP innego pakietu
równie

ż IP. Jest to niezbędne do wywołania komputera

znajduj

ącego się w innej sieci, gdy nie istnieje trasa

bezpo

średniego połączenia. Przy takim rozwiązaniu

odległe sieci schowane za systemami firewall mog

ą

komunikowa

ć się między hostami tak, jakby znajdowały

si

ę w tej samej sieci podzielone routerem. Pakiet po

dotarciu na miejsce przeznaczenia, oddaje zaszyfrowany
pakiet, który jest nast

ępnie deszyfrowany i wysyłany do

komputera przeznaczenia.

•

Uwierzytelnienie kryptograficzne – jest u

żywane do

bezpiecznego

sprawdzenia

to

żsamości użytkownika

-

22 -

zdalnego

tak,

aby

system

mógł

dobra

ć system

zabezpiecze

ń dla użytkownika. Ocenia na tej podstawie

czy u

żytkownik może korzystać z szyfrowanego tunelu.

U

żywany jest również do wymiany publicznych i

prywatnych kluczy przez VPN.

-

Szyfrowanie kluczem prywatnym (tajnym) – pracuje w
oparciu o utajnienie warto

ści znanej obu stroną.

Zgłaszaj

ący znający tą wartość jest uznawany za

godnego

zaufania.

Istniej

ą odmiany tej metody

polegaj

ące na używaniu jednorazowego klucza.

-

Szyfrowanie z wykorzystaniem klucza publicznego –
polega na wymianie kluczy sesji, mog

ących być

u

żywanymi tylko do szyfrowania danych. Klucz

deszyfruj

ący jest przechowywany na urządzeniu

odbiorczym i nigdy nie jest transmitowany przez sie

ć

publiczn

ą.

•

Szyfrowanie ładunku danych – jest u

żywane do

kapsułowania

danych

w

przesyłanych

protokołach.

Pozwala to na utajnienie zawarto

ści kapsułowanego

pakietu oraz danych nagłówka, czyli chronimy informacje
o wewn

ętrznej sieci.

Protokół

1

Protokół 2

Firewall

Firewall

Protokół

1

Protokół 2

Protokół

1

Protokół

1

Dane znajduj

ą się

teraz poza firewall

Protokół

1

Protokół 2

Firewall

Firewall

Protokół

1

Protokół 2

Protokół

1

Protokół

1

Dane znajduj

ą się

teraz poza firewall

G

VPN mo

że być realizowane w trzech typach:

•

tunelowanie wykorzystuj

ące serwery,

-

23 -

•

tunelowanie wykorzystuj

ące ściany ogniowe,

•

tunelowanie wykorzystuj

ące routery.

G

Wirtualne sieci prywatne s

ą dobrym rozwiązaniem do

realizacji

swoich

celów polegaj

ącym na bezpiecznym

zdalnym dost

ępie. Nie można oczywiście podchodzić do

nich

bezkrytycznie

wiadomo,

że

s

ą

wolniejszym

rozwi

ązaniem niż sieć WAN i mniej bezpiecznym niż

poł

ączenie kablowe. Ważna jest implementacja tej z uwagi

znane problemy z np. jakie zaistniały z protokołem PPTP
firmy Microsoft.

Systemy wykrywania włama

ń

.

G

Wykrywanie włama

ń jest to proces identyfikowania i

reagowania na szkodliw

ą działalność, skierowaną przeciw

zasobom informatycznym i sieciowym.

G

Zasad

ę działania systemu IDS można opisać jako:

•

monitorowanie

–

czyli

obserwacja

chronionej

infrastruktury,

•

raportowanie

–

tworzenie raportów dla systemów

analitycznych,

•

reakcja – reagowanie na incydenty działaniem lub
alarmem.

G

Systemy IDS staraj

ą się w pewnym stopniu zastąpić część

zada

ń administratora polegających na obserwacji systemu w

poszukaniu anomalii (w miejscach sondowania), czyli
zachowa

ń odbiegających od standardu. Systemy te starają się

wykry

ć anomalię, ocenić jej wagę i zareagować.

-

24 -

G

Wykrywanie anomalii mo

że być przeprowadzana w wielu

miejscach sondowania na podstawie ró

żnych kryteriów oraz

ró

żnych danych wejściowych.

•

Przetwarzanie raportu audytu – metoda ta polega na
zebraniu zapisanych w logach zdarze

ń w systemie, do

dziennika audytu, który nast

ępnie jest poddawany analizie

przez narz

ędzia znające semantykę rekordów dziennika.

Analizie towarzysz

ą techniki algorytmiczne, które dzięki

schematowi przetwarzania audytu wykrywaj

ą pewne

atrybuty rekordów w raporcie. Atrybuty te odpowiadaj

ą

wzorcom działa

ń uznanych za podejrzane. Systemy tego

typu, cho

ć efektywne mają bardzo duże zapotrzebowanie

na moc obliczeniow

ą oraz obarczone są poślizgiem

czasowym zwi

ązanym z gromadzeniem danych.

•

Przetwarzanie na bie

żąco ruchu w sieci – w odróżnieniu

od poprzedniej metody ta realizowana jest w czasie
rzeczywisty. Podstaw

ę stanowią dane o ruchu w sieci.

U

żywa się tu szybszych algorytmów (mniej dokładnych)

maj

ących znaleźć atrybuty ataku w trakcie jego

przeprowadzania.

G

Zebrane informacje z raportu audytu czy te

ż analizy ruchu w

sieci mo

żna poddać różnym metodą analizy.

•

Metoda profilu normalnego zachowania – polega na
przewidywaniu działalno

ści informatycznej użytkownika i

systemu. Metoda profilowania jest o tyle ciekawa,

że

mo

żna ją uogólnić do grupy użytkowników lub systemu.

Polega ona na analizie atrybutów aktywno

ści pracy

obiektów i korekcie profilowanego nowego u

żytkownika

a

ż do maksymalnie precyzyjnej regulacji istniejących

profilów. Oznaczenie warto

ści średnich i możliwych

odchyłkach.

-

25 -

•

Metoda sygnatur nienormalnego zachowania – bardzo
popularna metoda w rzeczywistych realizacjach IDS.
Polegaj

ąca na porównaniu atrybutów rzeczywistych i

sygnatur ataków. Sygnatury wyst

ępują w dwóch typowych

formach:

-

Sygnatury

ataków

–

sygnatury

profilów

dynamicznych

ataków

opisuj

ące dane wzorce

aktywno

ści, które w jakiś sposób mogą stanowić

naruszenie

bezpiecze

ństwa. Wiążą się one z

zale

żnością czasową ciągu aktywności, które mogą być

przeplecione

działaniami

oboj

ętnymi np. pakiet

przychodz

ący na zewnętrzny interfejs o adresie

źródłowym i docelowym wewnętrznym..

-

Wybrane ci

ągi tekstowe – są to sygnatury ciągów

tekstowych, które mo

żna uznać za podejrzane np.

„/etc/passwd”

G

Systemy

IDS

s

ą generalnie połączeniem systemów

monitorowania, z systemami ekspertowymi analizuj

ącymi

odchylenia w sondowanych atrybutach. Przydatno

ść takich

systemów jest do

ść duża, pozwalają one, bowiem wychwycić

do

ść drobne z pozoru zdarzenia mające miejsce w długim

okresie czasu, b

ędące atakiem. Systemy takie są również

do

ść pomocne przy zwykłych próbach ataku, typu

wychwycenie na podstawie prowadzonej transmisji z hosta i
numeru portu mo

żna założyć, że jest tam zainstalowany koń

troja

ński lub inny złośliwy program.

G

Główn

ą wadą systemów tego typu jest generowanie

stosunkowo du

żej ilości fałszywych alarmów, które mogą

znieczuli

ć obsługę, na tyle, że nie zareaguje na prawdziwe

zagro

żenie.

-

26 -

Pobranie

zało

ż

onych danych

Baza

sygnatur

ataku

Porównanie

sygnatur ataku

Przygotowanie

danych do

porównania

Zgodne?

Zgodny?

Alarm

Start

Koniec

Porównanie

profili

Baza profili

Alarm

Poprawi

ć

?

Popraw profil

Prawdziwy?

1

0

1

0

0

1

1

0