-
1 -
METODY
I TECHNIKI
ZABEZPIECZANIA
SIECI
-
2 -
Podstawowe grupy narz
ę
dzi i
technik
G
Log systemowy (syslog) – narz
ędzie pozwalające na zapis
wybranych zdarze
ń z pracy systemu do rejestru. Zdarzenia
mog
ą mieć związek z atakami, eksploatacją systemu oraz
działaniami awaryjnymi.
G
Uwierzytelnianie
w
systemie
–
dobry
system
uwierzytelniania
pozwoli
na
podniesienie
poziomu
bezpiecze
ństwa w elementach podsystemu bezpieczeństwa.
Uzyskuje si
ę to przez zapewnienie odpowiedniego poziomu
bezpiecze
ństwa przy przesyłaniu, przechowywaniu oraz przy
tworzeniu haseł.
G
Odpowiednia architektura systemów
zabezpiecze
ń –
logiczne umiejscowienie elementów systemu ochrony.
G
Hosty bastionowe – systemy komputerowe pracuj
ące w sieci
ochrony.
G
NAT – translacja adresów IP.
G
Filtry pakietów – systemy odpowiedzialne za filtrowanie
przepływaj
ących pakietów, czyli określenie na podstawie
charakterystyki pakietu czy jest on legalny (bezpieczny).
G
Systemy Proxy (pełnomocnik, po
średnik) – ogól systemów
działaj
ących na zasadzie pośredniczenia i przekazywania
usług.
G
Szyfrowane tunelowanie – nazywane równie
ż wirtualnymi
sieciami prywatnymi (VPN – virtual private networks),
szyfrowane kanały ł
ączące sieci prywatne przez Internet.
G
Systemy IDS (Intrusion Detection Systems – systemy
wykrywania intruzów) – ogół systemów, których zadaniem
-
3 -
jest wykrycie nielegalnej działalno
ści na podstawie szeroko
rozumianej analizy pracy chronionego systemu.
G
Inne – do
ść szeroka klasa systemów, narzędzi, metod, które
w r
ękach doświadczonego operatora podniosą poziom
bezpiecze
ństwa systemu.
Podstawowe strategie tworzenia
zabezpiecze
ń
G
Minimalne przywileje – strategia ta okre
śla, że każdy obiekt
(u
żytkownik, aplikacja, system) powinien posiadać tylko te
przywilej,
które
s
ą mu niezbędne do wykonywania
realizowanych przez niego zada
ń.
G
Dogł
ębna obrona – polega to na braku zaufania do jednego
mechanizmu zabezpieczaj
ącego niezależnie od poziomu jego
skuteczno
ści. Dokonuje się instalacji wielu systemów
zabezpiecze
ń tak, aby awaria jednego mechanizmu nie
wył
ączyła wszystkich. Może to się objawiać przez budowę
nadmiarowych zabezpiecze
ń lub dublowania tych samych
zasad na wielu poziomach np. filtru pakietów.
G
W
ąskie przejście - zmusza napastników do używania
kanału, który mo
żna kontrolować i monitorować. W sieci
w
ąskim przejściem jest np. Proxy, który jest jedyną drogą
przej
ścia z Internetu do ośrodka.
G
Najsłabszy punkt – strategia ta wynika z podstawowej
zasady wszelkiego bezpiecze
ństwa: każdy łańcuch jest tak
silny jak najsłabsze jego ogniwo.
G
Bezpiecze
ństwo w razie awarii – kolejna zasada wskazuje,
żeby system był jak najbardziej bezpieczny w razie
uszkodzenia. Oznacza to przyj
ęcie zasady, że zajście awarii
-
4 -
w
systemie
bezpiecze
ństwa uniemożliwi dostęp do
chronionych zasobów nie za
ś otworzy ten dostęp.
G
Powszechna współpraca – mówi nam o konieczno
ści
współpracy (lub nie przeszkadzania) ze strony członków
organizacji, aby system zabezpiecze
ń działał efektywnie.
G
Zró
żnicowana obrona – jest ściśle powiązana z głębokością
obrony. Według tej strategii potrzebne jest nie tylko wiele
warstw obrony, ale równie
ż, aby obrona była różnego
rodzaju.
G
Prostota – wynika to z tego,
że prostsze rzeczy można
łatwiej zrozumie
ć, a jeśli coś jest nie zrozumiałe to nie
wiadomo czy jest bezpieczne.
G
Zabezpieczenie przez utajnienie – polega to na tym,
że
wykorzystujemy kolejn
ą płaszczyznę bezpieczeństwa przez
blokad
ę informacji na temat szczegółów zabezpieczeń ich
typów, topologii, istniej
ących hostów. Jeśli uruchamiamy
nowy host, czy uruchomimy usług
ę ftp na porcie innym niż
standardowy, nie jest konieczne
żeby wszyscy o tym
wiedzieli poza uprawnionymi.
Architektury systemów
zabezpiecze
ń
G
Architektury jednoelementowe:
•
Architektura z routerem ekranuj
ącym – jest to prosta i
tania architektura zbudowana na podstawie routera, który
jednocze
śnie pełni rolę systemu ochrony poprzez
instalacje
w
nim
filtra
pakietów.
Przyj
ęcie takiej
architektury mo
żliwe jest w sieciach o bardzo dobrze
chronionych serwerach i stacjach roboczych, kiedy
-
5 -
potrzeba
jest
maksymalnej
wydajno
ści
lub
nadmiarowo
ści.
Router ekranuj
ą
cy
Serwer
Stacja robocza
Laptop
Drukarka
Stacja robocza
Internet
•
Architektura
dwusieciowego
serwera
dost
ępowego.
Podobnie jak poprzednia architektura jest prosta i tania.
Rol
ę routera pełni tutaj serwer posiadający dwa interfejsy
sieciowe, który mo
że również pełnić role ochronną
poprzez instalacje systemów zabezpiecze
ń. Architektura
ta jest lepsza pod wzgl
ędem bezpieczeństwa, z uwagi na
mo
żliwości implementacji zabezpieczeń w serwerze
dost
ępowym i przy dbałej konfiguracji może zapewnić
stosunkowo dobry system ochrony.
-
6 -
Serwer
Stacja robocza
Laptop
Drukarka
Stacja robocza
Internet
Serwer + oprogramowanie ochronne
•
Architektura ekranowanego hosta – polega na tym,
że host
bastionowy jest umieszczony w sieci wewn
ętrznej i
mo
żliwe są połączenia z Internetu tylko do tego hosta,
który
ma
wył
ączone trasowanie. Stacje w sieci
wewn
ętrznej mogą się łączyć bądź z hostem bastionowym
w celu uzyskania pewnych usług (typu poczta), oraz mog
ą
ł
ączyć się z dowolnym, hostem zewnętrznym.
Architektur
ę tą można modyfikować poprzez zmianę
konfiguracji routera np. mo
żna wymusić by hosty
wewn
ętrzne łączyły się tylko z hostem bastionowym,
który b
ędzie pośredniczył w dozwolonych usługach.
Architektura ta jest do
ść bezpieczna, ale wymaga idealnej
konfiguracji systemów ochronnych, ka
żdy błąd otworzy
sie
ć wewnętrzną na ataki z Internetu.
-
7 -
Serwer
Stacja robocza
Laptop
Stacja robocza
Internet
Host bastionowy
Router
ekranuj
ą
cy
•
Architektura ekranowanej podsieci – tworzona jest dzi
ęki
wykorzystaniu dwóch routerów, tworz
ących miedzy sobą
stref
ę zdemilitaryzowaną DMZ (DeMilitarized Zone).
Strefa DMZ jest sieci
ą peryferyjną i jakiekolwiek
nieuprawnione działanie (nieuprawnione w sensie zasad
obowi
ązujących w danej sieci LAN) jest traktowane jako
wrogie.
Ta architektura nale
ży do bezpieczniejszych oraz pozwala
na implementacje zabezpiecze
ń, co najmniej trzech
miejscach tj. na dwóch routerach i ho
ście bastionowym.
Pozwala na do
ść swobodne i bezpieczne korzystanie z
Internetu z sieci wewn
ętrznej, jednocześnie stanowiąc
du
że wyzwanie dla intruza. Ekranowanie podsieci
umo
żliwia budowę zabezpieczeń według zasad strategii
tworzenia
zabezpiecze
ń. Ten typ architektury jest
punktem wyj
ścia do tworzenia wariacji tej topologii
poprzez ró
żne sposoby zabezpieczania oraz zmiany
ilo
ściowe urządzeń.
-
8 -
Serwer
Stacja robocza
Laptop
Stacja robocza
Internet
Router zewnetrzny
Host bastionowy
DM
Z
Router wewn
ę
trzny
Si
e
ć
wewn
ę
tr
z
n
a
•
Architektura z wielocz
ęściową siecią ekranowaną – ta
architektura
dodaje
jeden
punkt
ochrony
(serwer
dwusieciowy),
który
mo
że być wykorzystany do
permanentnego
monitorowania
ruchu
lub
i
usług
po
średniczących.
Serwer
Stacja robocza
Laptop
Stacja robocza
Internet
Router zewnetrzny
DM
Z
Router wewn
ę
trzny
Si
e
ć
wewn
ę
tr
z
n
a
Serwer dwusieciowy
DM
Z
-
9 -
Hosty bastionowe
G
Hosty bastionowe s
ą systemami, które występują w strefie
DMZ i s
ą z natury dostępne publicznie. Hosty te są
komputerami szczególnie zabezpieczonymi i maj
ącymi za
zadanie realizowa
ć różnego rodzaju usługi dla użytkownika
publicznego jak i wewn
ętrznego.
G
Hosty bastionowe s
ą szczególnie narażone na włamania i
mo
żna założyć, że atak na sieć rozpocznie się od próby
przej
ęcia kontroli, przez intruza, nad takim celem. Dlatego
te
ż systemy te muszą być szczególnie zabezpieczane i
monitorowane oraz musz
ą znajdować się w specjalnej
wydzielonej podsieci nieprzenosz
ącej żadnych poufnych
danych.
G
Hosty bastionowe mo
żna podzielić na kilka rodzajów:
•
Nietrasuj
ące hosty dwusieciowe – ma wiele połączeń
sieciowych, ale nie przekazuje mi
ędzy nimi ruchu, może
natomiast spełnia
ć role pośredniczące lub filtra pakietów.
•
Hosty ofiary – tutaj mamy system „słabo” zabezpieczony,
przez konieczno
ść udostępnienia na nim usług, które z
natury s
ą niebezpieczne. System taki będący skazanym na
cel udanego ataku musi by
ć szczególnie monitorowany i
powinien mie
ć opracowane procedury, które są wstanie
taki atak rozpozna
ć i umożliwić możliwie szybki powrót
do stanu poprzedniego.
•
Hosty pułapki – podobnie jak poprzednio, systemy tego
typu s
ą podatne na ataki z tą różnicą, iż nie są używane do
świadczenia jakichkolwiek usług. Mają za zadanie zwabić
intruza i poinformowa
ć administratora o zaistniałym
fakcie.
-
10 -
•
Wewn
ętrzne hosty bastionowe – są to hosty
umiejscowione w sieci wewn
ętrznej i mogą wchodzić w
interakcje z głównymi hostami bastionowymi np. dla
przekazania poczty do serwera wewn
ętrznego. Komputery
te s
ą faktycznie wtórnymi hostami bastionowymi, więc
powinny by
ć zabezpieczane i konfigurowane w podobny
sposób.
•
Zewn
ętrzne
hosty
usługowe
–
to
systemy
odpowiedzialne za udost
ępnianie usług w Internecie np.
WWW.
Translacja adresów IP
G
Mechanizm maskowania zwanym równie
ż NAT (Network
Address Translation – translacja adresów sieciowych) nie
jest mechanizmem pozwalaj
ącym na jakiś typ aktywnej
ochrony, ale posiada wła
ściwości, które ukrywają wiele
informacji przed potencjalnym intruzem.
Mechanizm ten został oryginalnie zaimplementowany po to,
aby
mo
żna było udostępniać więcej adresów siecią
prywatnym, jednak okazało si
ę, że ma on inny jeszcze aspekt
zwi
ązany z bezpieczeństwem: możliwość ukrywania
wewn
ętrznych hostów. Ukrywa przed intruzem informacje
warstw TCP/IP o hostach wewn
ętrznych, ponieważ cały ruch
wygl
ąda jak by pochodził z pojedynczego adresu IP.
G
Działanie mechanizmu maskowania IP wymaga, aby host
maskuj
ący
(odpowiedzialny
za
translacje
adresów)
przechowywał
tablice
z
przyporz
ądkowanymi sobie
gniazdami wewn
ętrznymi i zewnętrznymi.
Je
śli host z sieci wewnętrznej nawiązuje połączenie z
zewn
ętrznym serwerem, host maskujący zamienia jego port
-
11 -
źródłowy na jeden ze swoich portów zewnętrznych, zamienia
adres IP na swój (lub adres z pewnej puli) dokonuje
odpowiedniego zapisu do tablicy translacji i wysyła pakiet
do hosta docelowego.
Kiedy otrzymywana jest odpowiedz od hosta zewn
ętrznego
poszukiwany jest port w tablicy translacji, zmieniany jest
adres docelowy i port hosta wewn
ętrznego i wysyła do
podsieci wewn
ętrznej. Gdy zapisu w tablicy translacji jest
brak pakiet jest odrzucany.
Host maskuj
ą
cy
Host wew
ę
trzny
Host zewn
ę
trzny
Docelowy IP
192.168.13.15
Ź
ródłowy IP
10.0.0.15
Ź
ródłowy port
1234
Docelowy IP
192.168.13.15
Ź
ródłowy IP
128.110.211.1
Ź
ródłowy port
15465
IP 128.110.211.1
IP 10.0.0.1
Docelowy IP
128.110.211.1
Ź
ródłowy IP
192.168.13.15
Docelowy port
15465
Docelowy IP
10.0.0.15
Ź
ródłowy IP
192.168.13.15
Ź
ródłowy port
1234
G
Translacja mo
że być przeprowadzana na dwa sposoby:
•
translacja dynamiczna – przydział portów odbywa si
ę
niezale
żnie,
•
translacja statyczna – na stałe przypisujemy rekord w
tablicy
translacji
do
danego
poł
ączenia w sieci
-
12 -
wewn
ętrznej, tracąc w ten sposób ochronę hosta
wewn
ętrznego.
G
Mimo wielu zalet maskowanie posiada wad
ę polegającą na
tym, i
ż część protokołów wymagających kanału zwrotnego
nie potrafi z tym mechanizmem współpracowa
ć. Pojawiają
si
ę moduły do tej usługi pozwalające ominąć przeszkody
jednak mo
że się zdarzyć, że protokół potrzebny w danej
organizacji nie b
ędzie potrafił poradzić sobie z tym
mechanizmem
wtedy
nale
ży odrzucić protokół lub
maskowanie adresów IP.
G
NAT
mo
żna zrealizować na różnych urządzeniach,
pozwalaj
ą na to serwery jak i niektóre inne urządzenia takie
jak routery.
Filtry pakietów
G
Działanie podejmowane przez urz
ądzenie, mające na celu
selektywn
ą kontrolę przepływu danych do i z sieci. Filtry
pakietów pozwalaj
ą na przejście lub blokują pakiety
zazwyczaj w czasie przesyłania ich z jednej sieci do innej.
G
Aby
zrealizowa
ć filtrowanie pakietów musi zostać
opracowany zestaw reguł okre
ślających, które rodzaje
pakietów mo
żna przepuszczać, a które należy blokować.
Filtrowanie mo
że odbywać się na moście, routerze lub w
pojedynczym ho
ście, czasami jest nazywane ekranowaniem
G
Patrz
ąc z perspektywy historycznej należy przypomnieć, ze
okre
ślenie firewall było odnoszone tylko do systemów
filtrowania pakietów.
G
Obecnie wyró
żnia się dwa podstawowe typy filtrowania
pakietów:
-
13 -
•
Filtry
standardowe
lub
bezstanowe
(stateless)
–
charakteryzuj
ą się tym, że nie potrafią sprawdzić części z
ładunkiem pakiecie oraz nie pami
ętają stanu połączenia.
Badaj
ą informacje zawarte w nagłówku każdego
indywidualnego pakietu i okre
ślają na tej podstawie czy
pakiet przesła
ć dalej czy też odrzucić. Od strony
teoretycznej mo
żna spowodować, aby filtr korzystał ze
wszystkich
danych
nagłówka,
jednak
w
praktyce
wykorzystywane s
ą pola:
- typ protokołu – opiera si
ę na zawartości pola protokół
nagłówka IP. Pole to pozwala rozró
żniać zestaw usług
takich jak UDP,TCP, ICMP, IGMP. Jednak informacja
w polu nagłówka jest na tyle ogólna,
że trudno ją
wykorzysta
ć do filtrowania.
- filtrowanie adresów IP – pozwala na filtrowanie
adresów do lub z okre
ślonych hostów i sieci w oparciu
o adres IP. Ten typ filtrowania jest do
ść szeroko
stosowany do zezwalania na poł
ączenia z wybranymi
adresami IP (zaufane sieci, zdalni u
żytkownicy). Nie
ma jednak sensu u
żywanie tego filtrowania dla
jakiego
ś szerszego blokowania adresów, chyba ze to
dotyczy zablokowania pojedynczych sieci znanych ze
stwarzania problemów.
- porty TCP/UDP – to pole w filtrowaniu znajduje du
że
zastosowania, poniewa
ż pola te określają najbardziej
szczegółowo
przeznaczenie
pakietu.
Filtrowanie
portów jest cz
ęsto nazywane filtrowaniem protokołów,
poniewa
ż numery portów TCP/UDP identyfikują
protokoły
wy
ższych
warstw.
W
wi
ększości
przypadków
filtry
albo
pozwalaj
ą na przejście
wszystkim protokołom wył
ączając listę protokołów
-
14 -
zabronionych,
lub
te
ż
zabraniaj
ą
wszystkich
pozwalaj
ąc na dostęp tylko zaufanym.
- wybór trasy przez nadawc
ę (source routing) – ta opcja
pozwala okre
ślić dokładną drogę, jaką ma przebyć
pakiet IP do miejsca przeznaczenia. Kiedy
ś było to
u
żywane do celów diagnostycznych obecnie jednak
najcz
ęściej używany jest przez napastników. Dlatego
filtry odrzucaj
ą pakiety ustawionym wyborem trasy.
Start
Wej
ś
cie pakietu do
filtra
Zezwoli
ć
?
Reguły filtra
Odzru
ć
Zezwól na przej
ś
cie
Koniec
Rejestrowa
ć
?
Syslog
Rejestruj
0
1
0
1
•
Filtry z badaniem stanów (Stateful inspection filter) – s
ą
to systemy przechowuj
ące w pamięci dane o stanie całego
ruchu przechodz
ącego przez filtr i oceniają na tej
podstawie czy dany pakiet mo
że być przepuszczony.
-
15 -
Filtry te nie pozwalaj
ą na przejście pakietu żądnej usługi,
która nie została dopuszczona, oraz nie jest realizowana
przez poł
ączenie umieszczone w tablicy stanów. Filtry
tego typu nie rozwi
ązują wszelkich problemów to znaczy
badania
danych
pakietu,
jednak
rozszerzaj
ą swoje
mo
żliwości na analizę flag pakietu IP.
Transmisja przez taki filtr przebiega w ten sposób,
że gdy
zaufany wewn
ętrzny host rozpoczyna połączenie z portem
TCP niezaufanego hosta, wysyła pakiet synchronizacyjny
SYN zwieraj
ący adres IP i numer portu (gniazdo), na
którym oczekuje odpowiedzi.
Filtr zapisuje w tablicy stanów adresy gniazd docelowego
oraz zwrotnego i dopiero wysyła pakiet do sieci
zewn
ętrznej. Nadchodząca odpowiedź jest badana pod
k
ątem gniazda docelowych i źródłowych w tablicy
stanów.
Je
śli jest jakaś niezgodność w porównaniu, pakiet jest
odrzucany, poniewa
ż nie stanowi odpowiedzi na żądanie z
sieci chronionej. Pozycja wpisu w tablicy stanów jest
usuwana po okre
ślonym czasie (w razie zerwania
poł
ączenia) lub po przesłaniu pakietów negocjacji
zamkni
ęcia sesji.
Oczywi
ście poza badaniem stanu w filtrach tego typu
równie
ż są stosowane zbiory reguły związane z analizą
nagłówka IP tak jak realizowane jest to w filtrach
bezstanowych.
-
16 -
Start
Wej
ś
cie pakietu do
filtra
Reguły filtra
Wewn
ę
trzny?
1
0
Prze
ś
lij do celu
Zezwoli
ć
?
Utwórz rekord w
tablicy stanów
Tablica
stanów
Koniec
Zezwoli
ć
?
Koniec
poł
ą
czenia?
Usu
ń
rekord w
tablicy stanów
1
0
Nawi
ą
zanie
poł
ą
czenia?
Isnieje rekord
w tablicy
stanów?
Koniec
poł
ą
czenia?
Prze
ś
lij do celu
SysLog
Rejestrowa
ć
(0 - Koniec)
Rejestruj
0
1
1
0
1
0
0
1
0
1
1
-
17 -
Systemy po
ś
rednicz
ą
ce
G
Systemy po
średniczące, czyli Proxy – służą do regeneracji
żądań klientów sieci prywatnej skierowane do usług warstw
wy
ższych usług sieci zewnętrznej.
G
Historycznie systemy Proxy były wykorzystywane głównie
do buforowania i przechowywania w pami
ęci podręcznej,
cz
ęsto przeglądanych stron WWW.
Sie
ć prywatna
Internet
Bastion
Host
Proxy
Server
Sie
ć prywatna
Internet
W RZECZYWISTO
ŚCI ...
PUNKT WIDZENIA SERWERA
I U
ŻYTKOWNIKA
Sie
ć prywatna
Internet
Bastion
Host
Bastion
Host
Proxy
Server
Sie
ć prywatna
Internet
W RZECZYWISTO
ŚCI ...
PUNKT WIDZENIA SERWERA
I U
ŻYTKOWNIKA
G
Wraz
z
obni
żką
warto
ści
Proxy
jako
system
przechowywania, coraz lepiej wida
ć ich zalety jako elementu
systemu zabezpiecze
ń.
G
Proxy
działa
nasłuchuj
ąc zleceń usługi od klientów
wewn
ętrznych i przesyłaniu ich na zewnątrz w taki sposób
jakby pochodziły od
rzeczywistego
klienta. Podobnie
-
18 -
działaj
ą w drugą stronę przesyłając klientowi dane w sposób
jakby pochodziły od hosta zewn
ętrznego.
G
Serwery Proxy pracuj
ą zwykle jako hosty bastionowe.
G
Host Proxy jest bezpo
średnio podłączony do sieci Internet, i
komunikuje si
ę bezpośrednio z lokalnymi (wewnętrznymi)
oraz
zewn
ętrznymi hostami (jeśli połączenie jest
dozwolone).
Sie
ć prywatna
Internet
Bastion
Host
Proxy
Server
Musz
ą być w stanie
wymusza
ć ruch
pakietów IP
poprzez serwer
proxy
Sie
ć prywatna
Internet
Bastion
Host
Bastion
Host
Proxy
Server
Musz
ą być w stanie
wymusza
ć ruch
pakietów IP
poprzez serwer
proxy
G
Typy serwerów po
średniczących:
•
Obwodowy – po
średnik, który tworzy obwód między
klientem a serwerem bez interpretowania protokołu
aplikacji. To s
ą najprostsze Proxy swoją funkcjonalnością
zbli
żone do filtrów pakietów i są dość łatwe do oszukania.
-
19 -
Ich niezaprzeczaln
ą zaletą jest świadczenie usług dla
wielu ró
żnych protokołów.
•
Aplikacyjny – jest to Proxy, który zna aplikacje, dla której
po
średniczy oraz rozumie i interpretuje polecenia w
protokole aplikacji. Potrafi równie
ż zajrzeć do ładunku
danych
i
je
analizowa
ć. Wadą tych Proxy jest
ograniczenie ich funkcjonalno
ści dla kilku protokołów,
którym mog
ą pośredniczyć i je analizować.
G
Zalety Proxy w kontek
ście zabezpieczeń:
•
Ukrywanie
prywatnego
klienta
przed
światem
zewn
ętrznym – podobnie jak mechanizm NAT
powoduj
ą, że z punktu widzenia zewnętrznego
obserwatora, cała sie
ć wewnętrzna będzie wyglądała jak
jeden host. Mo
żliwe jest to dzięki temu, że Proxy działają
na zasadzie ponownego wygenerowania
żądań warstwy
usługowej.
Dodatkowo
Proxy mo
że multipleksować
poł
ączenie, aby pewna liczba hostów korzystała z jednego
poł
ączenia z Internetem.
•
Blokowanie niebezpiecznych URL (Universal Resource
Lokator – uniwersalny wska
źnik zasobów) – pozwala to
administratorowi zakaza
ć dostępu do stron WWW w
oparciu o URL. Podane adresy s
ą zabronione z tych czy
innych przyczyn i standardowy u
żytkownik nie może
wywoła
ć takiego adresu w swojej przeglądarce. Jednak
system blokad jest łatwo omin
ąć np. stosują liczbową
notacje adresu. Dlatego tego typu blokady s
ą rzadko
stosowane chyba,
że system jest do takich celów
dedykowany i nie jest łatwo go obej
ść.
•
Filtrowanie zawarto
ści – Proxy transmituje cały ładunek
danych oraz jest zwi
ązany z danym protokołem, więc
-
20 -
mo
że być użyty do przeszukiwania danych pod kątem
podejrzanej zawarto
ści np. wirusy, konie trojańskie,
kontrolki ActiveX, binarne zał
ączniki e-maili, treść na
stronie WWW itp. Filtrowanie takie mo
że dość znacznie
podnie
ś bezpieczeństwo naszej sieci dzięki ograniczeniu
ekspansji wirusów.
•
Kontrola spójno
ści – polega na kontroli zgodności
danych z protokołem, czyli sprawdzenie zawarto
ści
danych pod k
ątem ich znaczenia dla protokołu. Może w
ten sposób zapobiega
ć wykorzystaniu nieprawidłowo
sformatowanych
danych
do
wykorzystywania
luk
bezpiecze
ństwa.
•
Blokowanie routingu – systemy po
średniczące nie muszą
wyznacza
ć trasy dla pakietów warstwy transportowej w
zwi
ązku z całkowitą regeneracją żądań.
•
Rejestracja zdarze
ń i alarmowanie – wąskie przejście,
jakim
jest
system
po
średniczący
pozwala
na
przeprowadzenie
gł
ębokiego
monitorowania
przepływaj
ących danych a co za tym idzie wyłapywać
dane zwi
ązane z działalnością nieuprawnioną oraz próby
ataku, które nie koniecznie musz
ą być przeprowadzane na
system Proxy.
G
Wady systemów Proxy:
•
Pojedynczy punkt awarii – z pojedynczym punktem
kontroli zwi
ązany jest pojedynczy punkt awarii. Więc
awaria serwera powoduje odci
ęcie całej sieci, której
po
średniczy, od Internetu.
-
21 -
•
Oprogramowanie klienckie musi współpracowa
ć z
Proxy – dla ka
żdej usługi objętej Proxy musi istnieć
klient, który współpracuje z systemem po
średniczącym.
•
Usługa musi mie
ć swoje Proxy – każda uwzględniony
protokół musi mie
ć swoje Proxy.
•
Proxy
tworz
ą
zatory
–
przeci
ążony
system
po
średniczący może tworzyć zatory w obsłudze klientów.
G
System po
średniczący mimo swoich wad jest dość istotnym
elementem
ściany ogniowej organizacji.
Szyfrowane tunelowanie.
G
Szyfrowane tunelowanie rozwi
ązuje problem bezpiecznego i
bezpo
średniego dostępu do hostów za pośrednictwem sieci
Internet.
G
W
tym
celu
wykorzystuje
si
ę kilka podstawowych
składników zabezpiecze
ń:
•
Kapsułowanie (hermetyzacja) w pakietach protokołu
IP – polega na zawarciu w pakiecie IP innego pakietu
równie
ż IP. Jest to niezbędne do wywołania komputera
znajduj
ącego się w innej sieci, gdy nie istnieje trasa
bezpo
średniego połączenia. Przy takim rozwiązaniu
odległe sieci schowane za systemami firewall mog
ą
komunikowa
ć się między hostami tak, jakby znajdowały
si
ę w tej samej sieci podzielone routerem. Pakiet po
dotarciu na miejsce przeznaczenia, oddaje zaszyfrowany
pakiet, który jest nast
ępnie deszyfrowany i wysyłany do
komputera przeznaczenia.
•
Uwierzytelnienie kryptograficzne – jest u
żywane do
bezpiecznego
sprawdzenia
to
żsamości użytkownika
-
22 -
zdalnego
tak,
aby
system
mógł
dobra
ć system
zabezpiecze
ń dla użytkownika. Ocenia na tej podstawie
czy u
żytkownik może korzystać z szyfrowanego tunelu.
U
żywany jest również do wymiany publicznych i
prywatnych kluczy przez VPN.
-
Szyfrowanie kluczem prywatnym (tajnym) – pracuje w
oparciu o utajnienie warto
ści znanej obu stroną.
Zgłaszaj
ący znający tą wartość jest uznawany za
godnego
zaufania.
Istniej
ą odmiany tej metody
polegaj
ące na używaniu jednorazowego klucza.
-
Szyfrowanie z wykorzystaniem klucza publicznego –
polega na wymianie kluczy sesji, mog
ących być
u
żywanymi tylko do szyfrowania danych. Klucz
deszyfruj
ący jest przechowywany na urządzeniu
odbiorczym i nigdy nie jest transmitowany przez sie
ć
publiczn
ą.
•
Szyfrowanie ładunku danych – jest u
żywane do
kapsułowania
danych
w
przesyłanych
protokołach.
Pozwala to na utajnienie zawarto
ści kapsułowanego
pakietu oraz danych nagłówka, czyli chronimy informacje
o wewn
ętrznej sieci.
Protokół
1
Protokół 2
Firewall
Firewall
Protokół
1
Protokół 2
Protokół
1
Protokół
1
Dane znajduj
ą się
teraz poza firewall
Protokół
1
Protokół 2
Firewall
Firewall
Protokół
1
Protokół 2
Protokół
1
Protokół
1
Dane znajduj
ą się
teraz poza firewall
G
VPN mo
że być realizowane w trzech typach:
•
tunelowanie wykorzystuj
ące serwery,
-
23 -
•
tunelowanie wykorzystuj
ące ściany ogniowe,
•
tunelowanie wykorzystuj
ące routery.
G
Wirtualne sieci prywatne s
ą dobrym rozwiązaniem do
realizacji
swoich
celów polegaj
ącym na bezpiecznym
zdalnym dost
ępie. Nie można oczywiście podchodzić do
nich
bezkrytycznie
wiadomo,
że
s
ą
wolniejszym
rozwi
ązaniem niż sieć WAN i mniej bezpiecznym niż
poł
ączenie kablowe. Ważna jest implementacja tej z uwagi
znane problemy z np. jakie zaistniały z protokołem PPTP
firmy Microsoft.
Systemy wykrywania włama
ń
.
G
Wykrywanie włama
ń jest to proces identyfikowania i
reagowania na szkodliw
ą działalność, skierowaną przeciw
zasobom informatycznym i sieciowym.
G
Zasad
ę działania systemu IDS można opisać jako:
•
monitorowanie
–
czyli
obserwacja
chronionej
infrastruktury,
•
raportowanie
–
tworzenie raportów dla systemów
analitycznych,
•
reakcja – reagowanie na incydenty działaniem lub
alarmem.
G
Systemy IDS staraj
ą się w pewnym stopniu zastąpić część
zada
ń administratora polegających na obserwacji systemu w
poszukaniu anomalii (w miejscach sondowania), czyli
zachowa
ń odbiegających od standardu. Systemy te starają się
wykry
ć anomalię, ocenić jej wagę i zareagować.
-
24 -
G
Wykrywanie anomalii mo
że być przeprowadzana w wielu
miejscach sondowania na podstawie ró
żnych kryteriów oraz
ró
żnych danych wejściowych.
•
Przetwarzanie raportu audytu – metoda ta polega na
zebraniu zapisanych w logach zdarze
ń w systemie, do
dziennika audytu, który nast
ępnie jest poddawany analizie
przez narz
ędzia znające semantykę rekordów dziennika.
Analizie towarzysz
ą techniki algorytmiczne, które dzięki
schematowi przetwarzania audytu wykrywaj
ą pewne
atrybuty rekordów w raporcie. Atrybuty te odpowiadaj
ą
wzorcom działa
ń uznanych za podejrzane. Systemy tego
typu, cho
ć efektywne mają bardzo duże zapotrzebowanie
na moc obliczeniow
ą oraz obarczone są poślizgiem
czasowym zwi
ązanym z gromadzeniem danych.
•
Przetwarzanie na bie
żąco ruchu w sieci – w odróżnieniu
od poprzedniej metody ta realizowana jest w czasie
rzeczywisty. Podstaw
ę stanowią dane o ruchu w sieci.
U
żywa się tu szybszych algorytmów (mniej dokładnych)
maj
ących znaleźć atrybuty ataku w trakcie jego
przeprowadzania.
G
Zebrane informacje z raportu audytu czy te
ż analizy ruchu w
sieci mo
żna poddać różnym metodą analizy.
•
Metoda profilu normalnego zachowania – polega na
przewidywaniu działalno
ści informatycznej użytkownika i
systemu. Metoda profilowania jest o tyle ciekawa,
że
mo
żna ją uogólnić do grupy użytkowników lub systemu.
Polega ona na analizie atrybutów aktywno
ści pracy
obiektów i korekcie profilowanego nowego u
żytkownika
a
ż do maksymalnie precyzyjnej regulacji istniejących
profilów. Oznaczenie warto
ści średnich i możliwych
odchyłkach.
-
25 -
•
Metoda sygnatur nienormalnego zachowania – bardzo
popularna metoda w rzeczywistych realizacjach IDS.
Polegaj
ąca na porównaniu atrybutów rzeczywistych i
sygnatur ataków. Sygnatury wyst
ępują w dwóch typowych
formach:
-
Sygnatury
ataków
–
sygnatury
profilów
dynamicznych
ataków
opisuj
ące dane wzorce
aktywno
ści, które w jakiś sposób mogą stanowić
naruszenie
bezpiecze
ństwa. Wiążą się one z
zale
żnością czasową ciągu aktywności, które mogą być
przeplecione
działaniami
oboj
ętnymi np. pakiet
przychodz
ący na zewnętrzny interfejs o adresie
źródłowym i docelowym wewnętrznym..
-
Wybrane ci
ągi tekstowe – są to sygnatury ciągów
tekstowych, które mo
żna uznać za podejrzane np.
„/etc/passwd”
G
Systemy
IDS
s
ą generalnie połączeniem systemów
monitorowania, z systemami ekspertowymi analizuj
ącymi
odchylenia w sondowanych atrybutach. Przydatno
ść takich
systemów jest do
ść duża, pozwalają one, bowiem wychwycić
do
ść drobne z pozoru zdarzenia mające miejsce w długim
okresie czasu, b
ędące atakiem. Systemy takie są również
do
ść pomocne przy zwykłych próbach ataku, typu
wychwycenie na podstawie prowadzonej transmisji z hosta i
numeru portu mo
żna założyć, że jest tam zainstalowany koń
troja
ński lub inny złośliwy program.
G
Główn
ą wadą systemów tego typu jest generowanie
stosunkowo du
żej ilości fałszywych alarmów, które mogą
znieczuli
ć obsługę, na tyle, że nie zareaguje na prawdziwe
zagro
żenie.
-
26 -
Pobranie
zało
ż
onych danych
Baza
sygnatur
ataku
Porównanie
sygnatur ataku
Przygotowanie
danych do
porównania
Zgodne?
Zgodny?
Alarm
Start
Koniec
Porównanie
profili
Baza profili
Alarm
Poprawi
ć
?
Popraw profil
Prawdziwy?
1
0
1
0
0
1
1
0