Wykład 14:

Wykład 14:

“Bezpieczeństwo

“Bezpieczeństwo

systemów

systemów

teleinformatycznych”

teleinformatycznych”

Mikołaj Leszczuk

Spis treści

Bezpieczeństwo sieci:

– Ściana ogniowa

(ang. firewall)

– Strefa

zdemilitaryzowana

– Zasilanie w prąd

– Pomieszczenie z

serwerami

(„serwerownia”)

Bezpieczeństwo stacji

roboczych:

– Logowanie

– Wirusy

– Kopie

bezpieczeństwa

Bezpieczne usługi:

– Praca zdalna:

• TELNET

• SSH

• Zmiany haseł

• Prawa dostępu do

plików

– WWW i transfer

plików

Co to jest bezpieczeństwo?

Sieć

Usługi

Komputery

Bezpieczne

Bezpieczeństwo sieci: firewall

Istota firewalla?

• Filtr pakietów, najczęściej

jednostronny, tj.:

– Pakiety wychodzą bez ograniczeń

– Wchodzą tylko określone pakiety

• Filtrowanie według

– Adresu IP

– Numeru portu TCP

– Innych cech

• Nazwa – z terminologii strażackiej

• Inne możliwości firewalla:

– Bardziej szczegółowa analiza pakietów

– Filtrowanie treści poczty.

Bezpieczeństwo sieci: firewall

Działanie firewalla?

• Separacja sieci wewnętrznej od

sieci Internet

• Często używana możliwość

pełnienia roli rutera

Bezpieczeństwo sieci: firewall

Rodzaje

Firewall

Osobisty

Korporacyjny

Programowy Programowy Sprzętowy

Bezpieczeństwo sieci: firewall

Klasyczne podłączenie

• Dowolny ruch

wchodzący

• Komputery i serwery

podpięte bezpośrednio

do sieci

• Mała odporność na

atak

• Zastosowanie:

– Bardzo małe firmy
– Instytucje z fizycznie

odseparowaną siecią

wewnętrzną

– Młode instytucje, nie

posiadające wsparcia

informatycznego

Bezpieczeństwo sieci:

firewall

Podłączenie przez firewall

• Ruch wchodzący

filtrowany

• Komputery i

serwery

przyłączone do sieci

przez firewall

• Zwiększona

odporność na atak,

• Niebezpieczeństwo

związane z atakami

na serwer poczty i

WWW

• Zastosowanie:

średniej wielkości

instytucje i firmy

Bezpieczeństwo sieci: DMZ

Strefa zdemilitaryzowana

• Ruch wchodzący

podwójnie filtrowany

• Komputery i serwery

podpięte do sieci przez

dwa firewalle

• Maksymalna odporność

na atak

• Brak zagrożenia dla

całej sieci wewnętrznej

przy zaatakowaniu

serwerów poczty i

WWW,

• Zastosowanie:

– Banki
– Instytucje kluczowe
– Archiwa danych

Bezpieczeństwo sieci:

firewall

Osobisty firewall

• Ruch wchodzący do

konkretnego PC

filtrowany

• Pozostałe maszyny

podpięte bezpośrednio

do Internetu

• Mała odporność na atak

na chroniony PC, reszta

maszyn nie jest

chroniona

• Możliwość kontroli co

wysyłają aplikacje

• Zastosowanie: sytuacja

gdy kluczowa jest

ochrona jednej maszyny

Bezpieczeństwo sieci:

firewall

Co jeszcze potrafi firewall?

• Wykryć nowe lub nielegalne protokoły i węzły sieci

• Przeprowadzać regularne badania haseł sieciowych

• Wyśledzić nieudane próby zalogowania się do usług

sieciowych

• Zidentyfikować nielegalne dostępy do adresów URL i grup

Newsgroup

• Zbierać komunikaty zawierające pytania o hasło

• Przefiltrować komunikaty żądania połączenia z

serwerami:

– Obsługującymi dużą liczbę transakcji

– Przechowującymi dane o wyższym poziomie tajności

– Pochodzące od nieupoważnionych grup adresów w różnych

protokołach

• Zidentyfikować określone działania „hackerskie” w sieci

• Zidentyfikować określone adresy IP na podstawie logów

systemowych dokumentujących ruch pomiędzy

„zaufanymi”, a „nie-zaufanymi” zasobami sieciowymi

• Wykonać procedurę autokontroli

Bezpieczeństwo sieci:

firewall

Cisco PIX Firewall

• Dobrej klasy firewall sprzętowy:

– Filtrowanie usług (portów) TCP
– Filtrowanie adresów IP
– Usuwanie niebezpiecznych elementów z e-maili

• Zastosowanie: Katedra Telekomunikacji AGH

Bezpieczeństwo sieci: prąd

Zagrożenia

• Utrata zasilania:

– Błędy w otwartych

plikach

– Niewłaściwie

zamknięty system

operacyjny

– Uszkodzenia sprzętu:

• Płyty główne
• Twarde dyski

• Przykład: uszkodzenie

płyty głównej serwera

studenckiego

„Sunum”

spowodowane

spadkiem zasilania!

• Nieprzerywalne źródło napięcia: UPS (ang.

Uninterruptible Power Supply)

• Zalety:

– Podtrzymanie napięcia

– Informacja o zaniku napięcia

– Zapisanie danych aplikacji

– Zamknięcie systemów operacyjnych

• Przykład: APC Symmetra Power Array 16kW

Bezpieczeństwo sieci: prąd

UPS

Bezpieczeństwo sieci: prąd

UPS

• Każde niepokojące

zdarzenie

związane ze

zmianami napięcia

jest:

– Monitorowane

– Zapisywane

• Odpowiednie

informacje są

rozsyłane do stacji

roboczych

poprzez:

– Kable szeregowe

– Sieć lokalną

Zasilanie

Serwer

PC

PC

UPS

Sieć
TCP/I P

Kabel

szeregowy

Bezpieczeństwo sieci: prąd

Generatory

• Ostatnia deska ratunku: generator

prądu (silnik Diesla)

• Raczej nie jest stosowane w

klasycznych, firmowych sieciach

komputerowych

• Zastosowanie:

– Centrale telefoniczne

– Operatorzy internetowi

– Firmy ASP (Application Service Provider)

– Inne instytucje, gdzie kluczowym jest

zadbanie o ciągłość zasilania

Bezpieczeństwo sieci: pokój

„Serwerownia”

• „Serwerownia” – pokój w

którym znajdują się serwery,

centrale i osprzęt sieciowy

• Wbrew pozorom konieczna

ochrona przed intruzami,

którzy mogą:

– Rozłączyć kable
– Wyłączyć zasilanie
– Logować się z konsoli na serwery
– Logować się portami

szeregowymi na osprzęt sieciowy

– Zmienić temperaturę powietrza

Bezpieczeństwo sieci: pokój

Ochrona

• Dostęp do

serwerowni

powinny mieć tylko

osoby upoważnione

• Konieczne jest

utrzymywanie

stałej temperatury:

– Urządzenia grzeją

się

– Zbytnie przegrzanie

może prowadzić do

uszkodzeń

– Konieczność

instalacji

klimatyzatorów

Bezpieczne usługi: praca

TELNET - niebezpieczeństwa

• TELNET – najpopularniejszy sposób

pracy zdalnej

• Jednocześnie – najmniej bezpieczny

• Transmisja nie jest szyfrowana

• Niebezpieczeństwa:

– Hasło logowania

przesyłane jawnie

– Możliwość

„podglądnięcia”

całości sesji

– Zero prywatności!

Bezpieczne usługi: praca

SSH - zalety

• SSH® = Secure

Shell™ (z ang.

„bezpieczna

powłoka”

• Kodowanie

transmisji: RSA

• Zalety:

– Całość transmisji –

szyfrowana

– Wysokie

bezpieczeństwo

pracy

– Możliwość tzw.

„tunelowania”

Bezpieczne usługi: praca

SSH - RSA

• RSA, pochodzący z 1978, chroniony

patentem standard szyfrowania

(skrót pochodzi od nazwisk autorów:

R. Rivesta, A. Shamira i L.

Adlemana, założycieli firmy RSA

Data Security Inc.) umożliwiający

szyfrowanie z kluczem jawnym.

• Bloki tekstu są szyfrowane za

pomocą liczb całkowitych z

przedziału od 0 do n dla pewnego n.

Bezpieczne usługi: praca

SSH - RSA

• Algorytm RSA w

sposób praktycznie

bezkonkurencyjny jest

powszechnie uważany

za bezpieczny i

praktyczny do

szyfrowania.

• Złamanie klucza RSA

jest równoznaczne ze

znalezieniem

stucyfrowych liczb

pierwszych, których

iloczyn jest dany;

realne próby zostały

podjęte w Internecie.

Bezpieczne usługi: praca

Okresowe zmiany haseł

• Ochrona haseł (angielskie password protection),

hasła użytkowników są zazwyczaj przechowywane

w pliku o ograniczonym dostępie, a ponadto

przechowuje się je w formie zaszyfrowanej, przy

czym w celu porównania wprowadzanego hasła z

pamiętanym wzorem system operacyjny szyfruje

również hasło wprowadzane.

• Hasła nie powinny być zapisywane, należy je

pamiętać. Co pewien czas hasła powinny być

zmieniane. Nie należy stosować jednego hasła do

ochrony wszystkich zasobów.

Bezpieczne usługi: praca

Okresowe zmiany haseł

• Dobre hasło powinno

zawierać:

– co najmniej jedną

wielką literę, np.: „A”

– co najmniej jedną

małą literę, np.: „b”

– co najmniej jedną

cyfrę, np.: „1”

– co najmniej jeden

znak nie

alfanumeryczny, np.:

„;”

– co najmniej osiem

znaków

• Dobre hasło

nie

powinno zawierać

części lub całości:

– imienia lub nazwiska:

• własnego

• dziewczyny

• chłopaka

• żony

• męża

• psa

– daty urodzenia (osób

wymienionych

powyżej)

– imienia ulubionego

bohatera książkowego

czy filmowego

– numeru telefonu

Bezpieczne usługi: praca

Prawa dostępu do plików

• W systemie UNIX można wyodrębnić

następujące typy użytkowników

– Użytkowników zwykłych
– Użytkownika uprzywilejowanego

(najczęściej jednego: root)

• Generalne zasady:

– Użytkownicy zwykli mają dostęp

tylko

do

plików własnych i do tych plików, do

których inni użytkownicy zezwolili im na

dostęp

– Użytkownik uprzywilejowany ma dostęp

do

wszystkich

plików

Bezpieczne usługi: WWW

S-HTTP

• S-HTTP (HTTPS), wersja protokołu

HTTP wyposażona w zabezpieczenia:

– uwierzytelnianie serwera,
– sprawdzanie aktualności:

• certyfikatów serwera,
• podpisów cyfrowych w komunikatach,

– negocjowanie przez aplikację poziomu

bezpieczeństwa,

– bezpieczna komunikacja przez istniejące

firewalle – zapory ogniowe,

• opracowana przez firmę EIT w 1994 r.

Bezpieczne usługi: WWW

SSL

• SSL (angielskie Secure Socket Layer) – warstwa

bezpiecznych gniazd spełniająca wymogi

bezpieczeństwa przesyłanych informacji między

protokołem TCP/IP a interfejsem gniazd,

• SSL:

– prywatna, szyfrowana wymiana informacji między

klientem a serwerem,

– uwierzytelnianie serwerów,

– wykrywanie prób naruszania integralności wymiany

komunikatów,

• przezroczystość istnienia SSL dla poczty

elektronicznej lub usług HTTP,

• SSL – produkt firmy Netscape stosowany w

przeglądarkach Netscape Navigator.

Bezpieczny PC: logowanie

Bezpieczeństwo zasobów

• konta użytkowników,
• ochrona danych (plików),
• ochrona przed niepowołanym

dostępem,

• uwaga

– zastosowanie jedynie w

bardziej zaawansowanych systemach:

– Windows NT/2000 (nie 9X/Me),
– UNIX:

• Linux,
• Solaris.

Bezpieczny PC: dane

Kopie bezpieczeństwa

• dyski wciąż są zawodne!

• niektórych rzeczy, jak na

przykład błędy, wypadki,

klęski żywiołowe i ataki

na system nie da się

przewidzieć.

• ostatnio też: ataki

terrorystyczne

• często mimo najlepszych

starań nie można im

zaradzić.

• nawet jeśli cały komputer

zostanie zniszczony, na

przykład z powodu

pożaru, mając dobry

zestaw kopii zapasowych,

możemy odtworzyć

system na pożyczonym

lub nowym komputerze.

Storage Area Networks

• Storage Area Network (SAN) – sieć

komputerowa zaprojektowana dla celów
łączenia serwerów z komputerwymi
urządzeniami składującymi dane:

– Disk Array Controllers
– Tape Silos

• Ostatnio uznane za najlepszy sposób transmisji

danych przeznaczonych do backupu.

• Główne techniki transmisyjne:

– Fibre Channel
– iSCSI

Fibre Channel

• Fibre Channel – szeregowa magistrala

komputerowa przeznaczona do

łączenia szybkich urządzeń

składujących dane z komputerami

• Początkowo używana w

superkomputerach, obecnie jako

standardowa technika transmisyjna w

Storage Area Networks.

• Wbrew nazwie, może pracować na:

– skrętce przewodów,
– kablu światłowodowym.

iSCSI

• Internet SCSI (iSCSI) – rozszerzenie

funkcjonalności SCSI o pracę na TCP/IP.

• Umożliwienie każdej maszynie

pracującej w sieci IP (klientowi)
kontaktu z każdą inną maszyną
(dedykowanym hostem-serwerem) w
celu dokonywania blokowych operacji
(transferów) I/O, tak jakby były
dokonywane na lokalnym dysku
twardym.

Disk Array Controller

• Disk Array Controller – urządzenie komputerowe

umożliwiające dokonywanie kopii
bezpieczeństwa (mirror) dużych systemów
serwerowych.

• Disk Array Controller to zwykle zbiór dysków

twardych zorganizowanych w grupy zwane
RAIDami.

• Zwykle to coś więcej nić same RAIDy:

– Bufor odczytu
– Bufor zapisu
– Wsparcie kopiowania

• Brak ustalonego standardu

Jak się zabezpieczać?

Zabezpieczenia

Sieć

Usługi

PC

WWW

FTP

Praca zdalna

Poczta

SSL

Skaner

HTTPS

Wirusy

Skaner

SSH

Włamania

Firewall

DMZ

SFTP

Certyfikat

Szyfrowanie

Włamania

Hasła

Na zakończenie:

O czym jeszcze pamiętać?

• nie ma zabezpieczeń, nie do

ominięcia!

• prawie każde dodatkowe

zabezpieczenie, powoduje wzrost
niewygody pracy użytkowników

• nie należy więc przesadzać!
• zbyt duża ilość procedur

bezpieczeństwa, powoduje ich
omijanie przez samych użytkowników!

Koniec

Dziękuję za uwagę!