Wykład 14:
Wykład 14:
“Bezpieczeństwo
“Bezpieczeństwo
systemów
systemów
teleinformatycznych”
teleinformatycznych”
Mikołaj Leszczuk
Spis treści
Bezpieczeństwo sieci:
– Ściana ogniowa
(ang. firewall)
– Strefa
zdemilitaryzowana
– Zasilanie w prąd
– Pomieszczenie z
serwerami
(„serwerownia”)
Bezpieczeństwo stacji
roboczych:
– Logowanie
– Wirusy
– Kopie
bezpieczeństwa
Bezpieczne usługi:
– Praca zdalna:
• TELNET
• SSH
• Zmiany haseł
• Prawa dostępu do
plików
– WWW i transfer
plików
Co to jest bezpieczeństwo?
Sieć
Usługi
Komputery
Bezpieczne
Bezpieczeństwo sieci: firewall
Istota firewalla?
• Filtr pakietów, najczęściej
jednostronny, tj.:
– Pakiety wychodzą bez ograniczeń
– Wchodzą tylko określone pakiety
• Filtrowanie według
– Adresu IP
– Numeru portu TCP
– Innych cech
• Nazwa – z terminologii strażackiej
• Inne możliwości firewalla:
– Bardziej szczegółowa analiza pakietów
– Filtrowanie treści poczty.
Bezpieczeństwo sieci: firewall
Działanie firewalla?
• Separacja sieci wewnętrznej od
sieci Internet
• Często używana możliwość
pełnienia roli rutera
Bezpieczeństwo sieci: firewall
Rodzaje
Firewall
Osobisty
Korporacyjny
Programowy Programowy Sprzętowy
Bezpieczeństwo sieci: firewall
Klasyczne podłączenie
• Dowolny ruch
wchodzący
• Komputery i serwery
podpięte bezpośrednio
do sieci
• Mała odporność na
atak
• Zastosowanie:
– Bardzo małe firmy
– Instytucje z fizycznie
odseparowaną siecią
wewnętrzną
– Młode instytucje, nie
posiadające wsparcia
informatycznego
Bezpieczeństwo sieci:
firewall
Podłączenie przez firewall
• Ruch wchodzący
filtrowany
• Komputery i
serwery
przyłączone do sieci
przez firewall
• Zwiększona
odporność na atak,
• Niebezpieczeństwo
związane z atakami
na serwer poczty i
WWW
• Zastosowanie:
średniej wielkości
instytucje i firmy
Bezpieczeństwo sieci: DMZ
Strefa zdemilitaryzowana
• Ruch wchodzący
podwójnie filtrowany
• Komputery i serwery
podpięte do sieci przez
dwa firewalle
• Maksymalna odporność
na atak
• Brak zagrożenia dla
całej sieci wewnętrznej
przy zaatakowaniu
serwerów poczty i
WWW,
• Zastosowanie:
– Banki
– Instytucje kluczowe
– Archiwa danych
Bezpieczeństwo sieci:
firewall
Osobisty firewall
• Ruch wchodzący do
konkretnego PC
filtrowany
• Pozostałe maszyny
podpięte bezpośrednio
do Internetu
• Mała odporność na atak
na chroniony PC, reszta
maszyn nie jest
chroniona
• Możliwość kontroli co
wysyłają aplikacje
• Zastosowanie: sytuacja
gdy kluczowa jest
ochrona jednej maszyny
Bezpieczeństwo sieci:
firewall
Co jeszcze potrafi firewall?
• Wykryć nowe lub nielegalne protokoły i węzły sieci
• Przeprowadzać regularne badania haseł sieciowych
• Wyśledzić nieudane próby zalogowania się do usług
sieciowych
• Zidentyfikować nielegalne dostępy do adresów URL i grup
Newsgroup
• Zbierać komunikaty zawierające pytania o hasło
• Przefiltrować komunikaty żądania połączenia z
serwerami:
– Obsługującymi dużą liczbę transakcji
– Przechowującymi dane o wyższym poziomie tajności
– Pochodzące od nieupoważnionych grup adresów w różnych
protokołach
• Zidentyfikować określone działania „hackerskie” w sieci
• Zidentyfikować określone adresy IP na podstawie logów
systemowych dokumentujących ruch pomiędzy
„zaufanymi”, a „nie-zaufanymi” zasobami sieciowymi
• Wykonać procedurę autokontroli
Bezpieczeństwo sieci:
firewall
Cisco PIX Firewall
• Dobrej klasy firewall sprzętowy:
– Filtrowanie usług (portów) TCP
– Filtrowanie adresów IP
– Usuwanie niebezpiecznych elementów z e-maili
• Zastosowanie: Katedra Telekomunikacji AGH
Bezpieczeństwo sieci: prąd
Zagrożenia
• Utrata zasilania:
– Błędy w otwartych
plikach
– Niewłaściwie
zamknięty system
operacyjny
– Uszkodzenia sprzętu:
• Płyty główne
• Twarde dyski
• Przykład: uszkodzenie
płyty głównej serwera
studenckiego
„Sunum”
spowodowane
spadkiem zasilania!
• Nieprzerywalne źródło napięcia: UPS (ang.
Uninterruptible Power Supply)
• Zalety:
– Podtrzymanie napięcia
– Informacja o zaniku napięcia
– Zapisanie danych aplikacji
– Zamknięcie systemów operacyjnych
• Przykład: APC Symmetra Power Array 16kW
Bezpieczeństwo sieci: prąd
UPS
Bezpieczeństwo sieci: prąd
UPS
• Każde niepokojące
zdarzenie
związane ze
zmianami napięcia
jest:
– Monitorowane
– Zapisywane
• Odpowiednie
informacje są
rozsyłane do stacji
roboczych
poprzez:
– Kable szeregowe
– Sieć lokalną
Zasilanie
Serwer
PC
PC
UPS
Sieć
TCP/I P
Kabel
szeregowy
Bezpieczeństwo sieci: prąd
Generatory
• Ostatnia deska ratunku: generator
prądu (silnik Diesla)
• Raczej nie jest stosowane w
klasycznych, firmowych sieciach
komputerowych
• Zastosowanie:
– Centrale telefoniczne
– Operatorzy internetowi
– Firmy ASP (Application Service Provider)
– Inne instytucje, gdzie kluczowym jest
zadbanie o ciągłość zasilania
Bezpieczeństwo sieci: pokój
„Serwerownia”
• „Serwerownia” – pokój w
którym znajdują się serwery,
centrale i osprzęt sieciowy
• Wbrew pozorom konieczna
ochrona przed intruzami,
którzy mogą:
– Rozłączyć kable
– Wyłączyć zasilanie
– Logować się z konsoli na serwery
– Logować się portami
szeregowymi na osprzęt sieciowy
– Zmienić temperaturę powietrza
Bezpieczeństwo sieci: pokój
Ochrona
• Dostęp do
serwerowni
powinny mieć tylko
osoby upoważnione
• Konieczne jest
utrzymywanie
stałej temperatury:
– Urządzenia grzeją
się
– Zbytnie przegrzanie
może prowadzić do
uszkodzeń
– Konieczność
instalacji
klimatyzatorów
Bezpieczne usługi: praca
TELNET - niebezpieczeństwa
• TELNET – najpopularniejszy sposób
pracy zdalnej
• Jednocześnie – najmniej bezpieczny
• Transmisja nie jest szyfrowana
• Niebezpieczeństwa:
– Hasło logowania
przesyłane jawnie
– Możliwość
„podglądnięcia”
całości sesji
– Zero prywatności!
Bezpieczne usługi: praca
SSH - zalety
• SSH® = Secure
Shell™ (z ang.
„bezpieczna
powłoka”
• Kodowanie
transmisji: RSA
• Zalety:
– Całość transmisji –
szyfrowana
– Wysokie
bezpieczeństwo
pracy
– Możliwość tzw.
„tunelowania”
Bezpieczne usługi: praca
SSH - RSA
• RSA, pochodzący z 1978, chroniony
patentem standard szyfrowania
(skrót pochodzi od nazwisk autorów:
R. Rivesta, A. Shamira i L.
Adlemana, założycieli firmy RSA
Data Security Inc.) umożliwiający
szyfrowanie z kluczem jawnym.
• Bloki tekstu są szyfrowane za
pomocą liczb całkowitych z
przedziału od 0 do n dla pewnego n.
Bezpieczne usługi: praca
SSH - RSA
• Algorytm RSA w
sposób praktycznie
bezkonkurencyjny jest
powszechnie uważany
za bezpieczny i
praktyczny do
szyfrowania.
• Złamanie klucza RSA
jest równoznaczne ze
znalezieniem
stucyfrowych liczb
pierwszych, których
iloczyn jest dany;
realne próby zostały
podjęte w Internecie.
Bezpieczne usługi: praca
Okresowe zmiany haseł
• Ochrona haseł (angielskie password protection),
hasła użytkowników są zazwyczaj przechowywane
w pliku o ograniczonym dostępie, a ponadto
przechowuje się je w formie zaszyfrowanej, przy
czym w celu porównania wprowadzanego hasła z
pamiętanym wzorem system operacyjny szyfruje
również hasło wprowadzane.
• Hasła nie powinny być zapisywane, należy je
pamiętać. Co pewien czas hasła powinny być
zmieniane. Nie należy stosować jednego hasła do
ochrony wszystkich zasobów.
Bezpieczne usługi: praca
Okresowe zmiany haseł
• Dobre hasło powinno
zawierać:
– co najmniej jedną
wielką literę, np.: „A”
– co najmniej jedną
małą literę, np.: „b”
– co najmniej jedną
cyfrę, np.: „1”
– co najmniej jeden
znak nie
alfanumeryczny, np.:
„;”
– co najmniej osiem
znaków
• Dobre hasło
nie
powinno zawierać
części lub całości:
– imienia lub nazwiska:
• własnego
• dziewczyny
• chłopaka
• żony
• męża
• psa
– daty urodzenia (osób
wymienionych
powyżej)
– imienia ulubionego
bohatera książkowego
czy filmowego
– numeru telefonu
Bezpieczne usługi: praca
Prawa dostępu do plików
• W systemie UNIX można wyodrębnić
następujące typy użytkowników
– Użytkowników zwykłych
– Użytkownika uprzywilejowanego
(najczęściej jednego: root)
• Generalne zasady:
– Użytkownicy zwykli mają dostęp
tylko
do
plików własnych i do tych plików, do
których inni użytkownicy zezwolili im na
dostęp
– Użytkownik uprzywilejowany ma dostęp
do
wszystkich
plików
Bezpieczne usługi: WWW
S-HTTP
• S-HTTP (HTTPS), wersja protokołu
HTTP wyposażona w zabezpieczenia:
– uwierzytelnianie serwera,
– sprawdzanie aktualności:
• certyfikatów serwera,
• podpisów cyfrowych w komunikatach,
– negocjowanie przez aplikację poziomu
bezpieczeństwa,
– bezpieczna komunikacja przez istniejące
firewalle – zapory ogniowe,
• opracowana przez firmę EIT w 1994 r.
Bezpieczne usługi: WWW
SSL
• SSL (angielskie Secure Socket Layer) – warstwa
bezpiecznych gniazd spełniająca wymogi
bezpieczeństwa przesyłanych informacji między
protokołem TCP/IP a interfejsem gniazd,
• SSL:
– prywatna, szyfrowana wymiana informacji między
klientem a serwerem,
– uwierzytelnianie serwerów,
– wykrywanie prób naruszania integralności wymiany
komunikatów,
• przezroczystość istnienia SSL dla poczty
elektronicznej lub usług HTTP,
• SSL – produkt firmy Netscape stosowany w
przeglądarkach Netscape Navigator.
Bezpieczny PC: logowanie
Bezpieczeństwo zasobów
• konta użytkowników,
• ochrona danych (plików),
• ochrona przed niepowołanym
dostępem,
• uwaga
– zastosowanie jedynie w
bardziej zaawansowanych systemach:
– Windows NT/2000 (nie 9X/Me),
– UNIX:
• Linux,
• Solaris.
Bezpieczny PC: dane
Kopie bezpieczeństwa
• dyski wciąż są zawodne!
• niektórych rzeczy, jak na
przykład błędy, wypadki,
klęski żywiołowe i ataki
na system nie da się
przewidzieć.
• ostatnio też: ataki
terrorystyczne
• często mimo najlepszych
starań nie można im
zaradzić.
• nawet jeśli cały komputer
zostanie zniszczony, na
przykład z powodu
pożaru, mając dobry
zestaw kopii zapasowych,
możemy odtworzyć
system na pożyczonym
lub nowym komputerze.
Storage Area Networks
• Storage Area Network (SAN) – sieć
komputerowa zaprojektowana dla celów
łączenia serwerów z komputerwymi
urządzeniami składującymi dane:
– Disk Array Controllers
– Tape Silos
• Ostatnio uznane za najlepszy sposób transmisji
danych przeznaczonych do backupu.
• Główne techniki transmisyjne:
– Fibre Channel
– iSCSI
Fibre Channel
• Fibre Channel – szeregowa magistrala
komputerowa przeznaczona do
łączenia szybkich urządzeń
składujących dane z komputerami
• Początkowo używana w
superkomputerach, obecnie jako
standardowa technika transmisyjna w
Storage Area Networks.
• Wbrew nazwie, może pracować na:
– skrętce przewodów,
– kablu światłowodowym.
iSCSI
• Internet SCSI (iSCSI) – rozszerzenie
funkcjonalności SCSI o pracę na TCP/IP.
• Umożliwienie każdej maszynie
pracującej w sieci IP (klientowi)
kontaktu z każdą inną maszyną
(dedykowanym hostem-serwerem) w
celu dokonywania blokowych operacji
(transferów) I/O, tak jakby były
dokonywane na lokalnym dysku
twardym.
Disk Array Controller
• Disk Array Controller – urządzenie komputerowe
umożliwiające dokonywanie kopii
bezpieczeństwa (mirror) dużych systemów
serwerowych.
• Disk Array Controller to zwykle zbiór dysków
twardych zorganizowanych w grupy zwane
RAIDami.
• Zwykle to coś więcej nić same RAIDy:
– Bufor odczytu
– Bufor zapisu
– Wsparcie kopiowania
• Brak ustalonego standardu
Jak się zabezpieczać?
Zabezpieczenia
Sieć
Usługi
PC
WWW
FTP
Praca zdalna
Poczta
SSL
Skaner
HTTPS
Wirusy
Skaner
SSH
Włamania
Firewall
DMZ
SFTP
Certyfikat
Szyfrowanie
Włamania
Hasła
Na zakończenie:
O czym jeszcze pamiętać?
• nie ma zabezpieczeń, nie do
ominięcia!
• prawie każde dodatkowe
zabezpieczenie, powoduje wzrost
niewygody pracy użytkowników
• nie należy więc przesadzać!
• zbyt duża ilość procedur
bezpieczeństwa, powoduje ich
omijanie przez samych użytkowników!
Koniec
Dziękuję za uwagę!