Bezpieczeństwo

sieci LAN

Usługi ochrony



Poufność danych

(ang. confidentiality)

usługa przekształca dane w taki sposób, że są

one niemożliwe do odczytania przez inną

osobę poza właściwym odbiorcą



Kontrola dostępu

(ang. access control) -

usługa polega na zapewnieniu, by dostęp do

źródła informacji był kontrolowany, w ten

sposób, aby tylko uprawnieni użytkownicy

mogli korzystać z tej informacji



Uwierzytelnianie

(ang. authentication) -

usługa zapewnia możliwość sprawdzenia, czy

użytkownicy komunikujący się ze sobą są

rzeczywiście tymi, za których się podają

Usługi ochrony cd.



Integralność

(ang. integrity)- usługa zapewnia,

że dane zawarte w systemie lub przesyłane

przez sieć nie będą zmienione lub przekłamane



Niezaprzeczalność

(ang. nonrepudiation) -

usługa dostarcza dowody, że dane przesyłane

zostały faktycznie nadane przez nadawcę bądź

też odebrane przez odbiorcę



Dystrybucja kluczy

(ang. key management) -

usługa zapewnia poprawną dystrybucję kluczy

oraz gwarantuje, że klucze, jakie posiadają

użytkownicy są ważne



Dyspozycyjność

(ang. availability) - usługa

zapewnia uprawnionym osobom możliwość

ciągłego korzystania z zasobów systemu w

dowolnym czasie

Klasyfikacja zagrożeń w

systemach komputerowych



Zamierzone

, związane z działaniami

wykonywanymi z premedytacją, świadomie

wykraczające poza obowiązki, szpiegostwo,

wandalizm, terroryzm, itd.



Losowe wewnętrzne

, to niezamierzone błędy

ludzi, zaniedbania użytkowników, defekty

sprzętu i oprogramowania, zniekształcania lub

zagubienie informacji, itd.



Losowe zewnętrzne

, to skutki działania

temperatury, wilgotności, zanieczyszczenia

powietrza, zakłócenia źródła zasilania,

wyładowania atmosferyczne, klęski żywiołowe

Ryzyko w sieciach LAN z

podziałem na klasy

Klasa zagrożenia

Ryzyko

pasywne

Ryzyko

aktywne

Farma serwerów,

centrum

informatyczne

Kataklizmy (pożar,

powódź)

Awaria

infrastruktury

technicznej

Podpalenie

Sabotaż

Sieć

komunikacyjne,

infrastruktura

teleinformatyczna

Błędy przesyłania

lub adresowania

Zniszczenie

elementów sieci

teleinformatycznej

Podsłuch linii

Modyfikacja

przesyłanych

danych

Celowe

uszkodzenie

Korzystanie z

oprogramowania

Korzystanie z

nieaktualnej wersji

oprogramowania

Kopiowanie

oprogramowania

Wprowadzanie

wirusa

Łamanie

zabezpieczeń

Ryzyko w sieciach LAN z

podziałem na klasy cd.

Klasa zagrożenia

Ryzyko

pasywne

Ryzyko

aktywne

Interfejs z

użytkownikiem

Błąd przy

wprowadzaniu

danych

Zniszczenie danych

przez nieuwagę

Świadomy błąd

przy wprowadzaniu

danych

Kopiowanie,

podmiana lub

niszczenie plików

Wykonywanie

niedozwolonych

operacji

Nośniki danych

Uszkodzenie

nośnika danych

Zniszczenie danych

elektrycznością

statyczną lub

polem

magnetycznym

Kradzież nośników

Podmiana nośnika

Kopiowanie

nośnika w celu

analizy danych

Zagrożenia związane ze

stratami finansowymi



Bezpośrednie straty finansowe, np.

dominującej technologii



Pośrednie straty finansowe, np. koszty sądowe



Strata klientów i kontrahentów



Konieczność wymiany oferowanych produktów



Konieczność zmiany konfiguracji systemu

komputerowego



Przerwa w pracy, utrata sprzętu, załamanie

działalności



Wzrost składek ubezpieczeniowych

Zagrożenia związane ze

stratami niefinansowymi



Utrata prestiżu, wiarygodności, klientów i

kontrahentów



Sankcje prawne (np. ustawa o ochronie

danych osobowych)



Włamania do systemu powodujące

dezorganizację



Ucieczka kadry

Zagrożenia bezpieczeństwa

w sieciach komputerowych



Przerwanie



Przechwycenie



Modyfikacja



Podrobienie

Ź r ó d ł o

i n f o r m a c j i

M i e j s c e

p r z e z n a c z e n i a

i n f o r m a c j i

Ź r ó d ł o

i n f o r m a c j i

M i e j s c e

p r z e z n a c z e n i a

i n f o r m a c j i

Ź r ó d ł o

i n f o r m a c j i

M i e j s c e

p r z e z n a c z e n i a

i n f o r m a c j i

Ź r ó d ł o

i n f o r m a c j i

M i e j s c e

p r z e z n a c z e n i a

i n f o r m a c j i

Model ochrony danych w

sieci komputerowej

P o d m i o t A

P o d m i o t B

P r z e t w o r z e n i e

o c h a r a k t e r z e

o c h r o n n y m

K o m u n i k a t

T a j n a

i n f o r m a c j a

T a j n a

i n f o r m a c j a

K o m u n i k a t

P r z e t w o r z e n i e

o c h a r a k t e r z e

o c h r o n n y m

I n t r u z

K a n a ł i n f o r m a c y j n y

Z a u f a n a s t r o n a t r z e c i a

Model obrony dostępu do

sieci komputerowej

S y s t e m i n f o r m a t y c z n y

Z a s o b y o b l i c z e n i o w e , D a n e ,

P r o c e s y , O p r o g r a m o w a n i e ,

Z a b e z p i e c z e n i a w e w n ę tr z n e

F u n k c j a

b r a m k u j ą c a

I n t r u z

C z ł o w i e k ( n p . h a k e r )

P r o g r a m ( n p . w i r u s , w o r m )

K a n a ł d o s tę p u

Bezpieczeństwo systemów

kryptograficznych



Schemat szyfrujący jest

bezwarunkowo

bezpieczny

, jeżeli generowany tekst

zaszyfrowany nie zawiera wystarczająco dużo

informacji, by jednoznacznie określić

odpowiadający mu tekst jawny, niezależnie od

ilości dostępnego tekstu zaszyfrowanego



Schemat szyfrujący jest

obliczeniowo

bezpieczny

, jeżeli koszt złamania szyfru

przewyższa wartość informacji zaszyfrowanej

oraz/lub czas potrzebny do złamania szyfru

przekracza użyteczny „czas życia” informacji

Zagrożenia poufności w

sieciach LAN



Serwery



Stacje robocze



Urządzenia sieci LAN



Urządzenia łączące sieć LAN z WAN (router,

modem, łącze).

P S T N

L A N

W A N

Mechanizmy zapewniające

poufność



Stosowanie jako medium transmisyjnego

światłowodu

zamiast skrętki, dane

przesyłane światłowodem są praktycznie

niemożliwe do podsłuchania



Szyfrowanie

przesyłanych danych za pomocą

narzędzi kryptograficznych z zastosowaniem

algorytmów symetrycznych i asymetrycznych,

sieci

VPN



Segmentacja

sieci lokalnych, stosowanie

przełączników

zamiast koncentratorów, w

celu uniknięcia podsłuchiwania danych

powielanych przez koncentratory

Mechanizmy zapewniające

poufność cd.



Stosowanie sieci

VLAN

, pozwalających na

ograniczenie ruchu rozgłoszeniowego w sieciach

LAN



Nowe wersje

standardowych usług sieciowych, np.

SSH, SSL PGP



Nie podłączanie

do sieci komputerowej systemów

przechowujących najistotniejsze informacje



Ochrona prawna

zabraniająca podsłuchiwania

łączy



Polityka bezpieczeństwa, szkolenie

pracowników

Zagrożenia bezpieczeństwa

w warstwie 2



Podsłuchiwanie ramek typu broadcast

(ang.

sniffing). W przełącznikach warstwy 2 ramki

rozgłoszeniowe są wysyłane na wszystkie porty,

co umożliwia odkrycie treści tych ramek dla

innych stacji z tej samej domeny

rozgłoszeniowej. Można temu przeciwdziałać

ograniczając rozmiar domeny rozgłoszeniowej



Ataki typu DoS

polegające na generowaniu

dużego ruchu (typu unicast lub broadcast), co

ogranicza dostęp do zasobów sieci innym

użytkownikom. Zabezpieczeniem może być

funkcja ograniczania pasma dla poszczególnych

portów, systemy IDS

Zagrożenia bezpieczeństwa

w warstwie 2 cd.



Przepełnienie tablic adresowych

przełącznika

(ang. MAC flooding).

Przełączniki sieciowe przechowują tablice

kojarzące adresy MAC na portach z

sieciami VLAN i innymi parametrami.

Tablice mają ograniczony rozmiar,

generując ramki z różnymi adresami

można doprowadzić do ich przepełnienia.

Atakowi można zaradzić, ograniczając

liczbę adresów MAC dla danego portu lub

wdrażając 802.1x

Zagrożenia bezpieczeństwa

w warstwie 2 cd.



Nadużywanie protokołów trunkingu

VLAN

Gdy konfiguracja portu

dostępowego, zezwala na zestawienie

traktu 802.1Q, umożliwia to

włamywaczowi obserwację i wysyłanie

ramek do wszystkich sieci VLAN w

ramach traktu (ang. VLAN leaking). Ataki

wykorzystujące trunking VLAN można

ograniczyć, wyłączając trunking na

wszystkich portach, na których nie będzie

świadomie wykorzystywany.

Zagrożenia bezpieczeństwa

w warstwie 2 cd.



ARP spoofing

W protokole ARP możliwe jest

samorzutne wysyłanie rozgłoszeniowej

odpowiedzi tzw. Gratuitous ARP. Inne systemy,

które wcześniej zarejestrowały w swojej tablicy

(ARP Cache) odwzorowanie adresów IP-MAC

dla tego systemu, zmienią je na nowe. Protokół

ARP nie ma żadnych mechanizmów

uwierzytelniania. Działający w złej wierze

użytkownik (intruz) może podszyć się pod inny

system, a nawet przechwycić całość

komunikacji w danej sieci VLAN lub domenie

rozgłoszeniowej. Możliwy jest atak typu

Man

In The Middle

. Możliwe zabezpieczenia przed

atakiem : funkcja ARP Inspection (Cisco),

stosowanie Private VLAN, systemy IDS.

Zagrożenia bezpieczeństwa

związane z DHCP



Atak DoS na serwer DHCP.

Atak typu

DoS powoduje przez generowanie serii

zapytań przydzielenie wszystkich wolnych

adresów IP uniemożliwiając dołączenie

kolejnych użytkowników.



Inny atak związany z DHCP polega na

tym, że intruz może

podszyć się pod

serwer DHCP

, nadając użytkownikom

adresy IP i skierować cały ruchu do siebie

podając się za bramę w danej sieci.

Jest to

atak typu

Man In The Middle

Zagrożenia bezpieczeństwa

związane z STP



Stacja, którą dysponuje włamywacz, dołączona do sieci

co najmniej dwoma łączami, może wymusić - przez

zwiększenie priorytetu - desygnowanie jej na

Root

Bridge



W takiej sytuacji duża część ruchu zacznie

płynąć

poprzez system włamywacza

, może to zmniejszyć

wydajność sieci, np. gdy atakujący jest dołączony

portami 10 Mb/s, a rdzeń sieci wykorzystuje Gigabit

Ethernet



Jeśli włamywacz zacznie generować ramki

TC BPDU

(Topology Change BPDU), generowana w sytuacji, gdy

topologia sieci L2 zmienia się, np. poprzez odłączenie

lub dołączenie segmentu lub przełącznika), spowoduje to

zaburzenia w pracy sieci spowodowane ciągłym

oczyszczaniem tablic CAM i blokowaniem portów



Ograniczenie ataków

wykorzystujących STP polega

przede wszystkim na braku akceptacji ramek BPDU na

zwykłych portach dostępowych przełącznika.

Zapora ogniowa



Zaporą ogniową (ang.

firewall

) nazywamy

punkt przejścia w systemie komunikacyjnym

między siecią LAN lub siecią korporacyjną, a

światem zewnętrznym, czyli siecią rozległą



Zapora ogniowa może być utworzona z

jednego lub wielu

urządzeń

i/lub

specjalistycznego

oprogramowania

Unix,

Windows, Linux, Novell NetWare



Podstawowa zasada działanie zapory

ogniowej to

kontrola i analizowanie ruchu

przychodzącego z zewnątrz i wychodzącego

na zewnątrz oraz ruchu przesyłanego

wewnątrz chronionej sieci lokalnej

Technologie kontroli

ruchu



Filtrowanie pakietów

- selekcja i odrzucanie

pakietów z nieautoryzowanych hostów oraz

zapobieganie próbom połączenia z

nieautoryzowanych hostów



Translacja

(maskowanie, maskarada) adresów

sieciowych (ang.

Network Address Translation

NAT

Polega na zmianie adresu hosta

wewnętrznego w celu ukrycia go



Brama warstwy aplikacyjnej

(ang. Proxy

Service) - informacje przechodzą przez

specjalną aplikację, która obsługuje wybrane

przez administratora aplikacje TCP

Bezstanowy filtr

pakietów



Zadanie filtra bezstanowego (ang.

Stateless

)

polega na analizie informacji zawartej w

nagłówku każdego pakietu oraz podjęciu decyzji

o przepuszczeniu bądź odrzuceniu badanego

pakietu



Filtrowanie w oparciu o następujące

pola

nagłówka

: adres IP, typ protokołu, port

TCP/UDP, informacji dotyczącej wyboru trasy,

znacznik fragmentu



Nie są w stanie zbadać części z ładunkiem

danych pakietu pod kątem zawierania

niebezpiecznych

lub

źle sformatowanych

danych



Nie zapamiętują stanu połączenia

, ponieważ

nie przechowują informacji o porcie usługi

związanej z przesyłanymi pakietami

Filtr z badaniem stanów



Zasada działania filtra z badaniem stanów (ang.

Stateful Inspection

), polega na bieżącym

analizowaniu przechodzących przez dany węzeł

połączeń, co pozwala na skuteczniejszą kontrolę

ich legalności



Przechowuje informacje o stanie

całego

przechodzącego ruchu pakietów na poziomie

warstwy sieciowej oraz transportowej, wiedząc

jakie kolejne stany zostały dozwolone z punktu

widzenia protokołu, jak i polityki bezpieczeństwa



Pozwala na określenie możliwości

zrealizowania

danego połączenia bez

konieczności operowania stanami TCP

Filtr z badaniem stanów

cd.



Automatycznie

weryfikuje

kolejne etapy

nawiązania oraz późniejszy przebieg połączenia.

Pozwala to na odrzucanie pakietów, które nie

należą do danej sesji, co w praktyce przekłada

się na skuteczne blokowanie ataku poprzez

wprowadzanie sfałszowanych pakietów (ang.

Spoofing

) oraz pozwala na blokowanie prób

skanowania portów



Pozwala

wykryć

próby niepoprawnych połączeń

i planowanych

ataków na sieć lokalną

oraz

nie zezwala na przejście przez zaporę ogniową

usług, które nie zostały zaakceptowane i nie są

realizowane przez połączenia umieszczone w

tablicy stanów

Usługa NAT



Usługa

NAT

(ang. Network Address

Translation) polega na

modyfikowaniu

adresów w nagłówku pakietu IP w taki

sposób, że adres docelowy, źródłowy lub

oba są zastępowane innymi adresami



Usługa NAT zazwyczaj działa na obrzeżu

sieci lokalnej

na styku

z siecią globalną



Usługa NAT często jest

połączona

zaporą ogniową (ang. firewall)

Rodzaje NAT



Statyczny

– adresy są tłumaczone

według

ustalonego

schematu w

konfiguracji

1 do n

lub

n do n



Dynamiczny

– adresy są tłumaczone

bez ustalonego schematu w

konfiguracji

1 do n

lub

n do n

Przykład dla NAT

N A T

1 9 2 .1 6 8 .1 .2

1 9 2 .1 6 8 .1 .2 /2 4

1 9 2 .1 6 8 .1 .3 /2 4

1 9 2 .1 6 8 .1 .3

1 5 6 .1 7 .4 0 .1 0

1 5 6 .1 7 .4 0 .2 0

L A N

Tablica NAT

Adres IP w sieci lokalnej

Adres IP w sieci globalnej

192.168.1.2

156.17.40.10

192.168.1.3

156.17.40.20

Poziom aplikacji - bramy

i proxy



Proxy początkowo służyły do

przechowywania

pamięci podręcznej często przeglądanych stron

WWW



Obecnie używa się ich do

filtrowania

oraz

ukrywania użytkowników sieci za pojedynczym

komputerem



Proxy jest

przeźroczystym interfejsem

między

siecią LAN i WAN kontrolującym ruch do warstwy

siódmej



Usługa pośredniczenia, jest

efektywna

dopiero

połączeniu

z filtrami pakietów, odpowiedzialnymi za

ograniczenie bezpośredniej komunikacji pomiędzy

zewnętrznymi i wewnętrznymi komputerami

Architektura

bezpiecznego proxy



Proxy należy stosować w połączeniu z

zaporą

ogniową



Dodatkowo stosuje się

proxy odwrotne

(ang.

Reverse Proxy)



Jeśli proxy ma stanowić podstawową ochronę

przed atakiem z sieci zewnętrznej,

routing

poprzez proxy

musi zostać wyłączony



Brak tego zabezpieczenia,

umożliwi dostęp

Internetu do wewnętrznych zasobów sieci

lokalnej.



Jeśli dana usługa lub protokół nie są

obsługiwane przez proxy,

nie powinno

się z

nich korzystać

Lokalizacja proxy

Ś c i a n a

o g n i o w a

C h r o n i o n a s i e ć p u b l i c z n a

O d w r o t n e p r o x y

S i e ć p r y w a t n a

P r o x y k l i e n c k i e

I n te r n e t

S e r w e r

W W W

S e r w e r

W W W

S e r w e r

W W W

Zalety serwera proxy



Ukrywa wewnętrznego użytkownika przed

dostępem z Internetu



Blokuje dostęp do wybranych adresów WWW

w oparciu o ich adres URL



Filtruje dane pod kątem podejrzanej

zawartości, wyszukując wirusy i konie

trojańskie, niechciane treści



Bada spójność przesyłanej informacji pod

kątem nieprawidłowo sformatowanych danych



Zapewnia pojedynczy punkt dostępu,

nadzorowania oraz rejestrowania zdarzeń

Wady serwera proxy



Proxy stanowi pojedynczy punkt w sieci

lokalnej, który w każdej chwili może ulec awarii



Oprogramowanie klienta musi współpracować z

proxy



Proxy nie chroni podstawowego systemu

operacyjnego



Konfiguracje domyślne są często

optymalizowane z punktu widzenia wydajności,

a nie bezpieczeństwa



Serwery proxy tworzą zatory

Elementy składowe zapory

ogniowej



Router filtrujący (ekranujący)

(ang.

Screening

router SR

)

podstawowy element zapory

ogniowej, który zazwyczaj jest wbudowany do

zwykłego routera, jego zadaniem jest filtrowanie

pakietów



Bastion

(ang. bastion host) - to wewnętrzny

serwer, który potrafi monitorować i analizować

najważniejsze obszary bezpieczeństwa sieci.

Powinien posiadać funkcję zgłaszania wykrytych

zagrożeń



Brama aplikacyjna

(ang. application level

gateway)

to rozszerzona wersja bastionu.

Dodatkowo zaimplementowana jest funkcja proxy

aplikacyjnego. Jego główną wadą jest złożoność

konfiguracji, czas działania i wysoki koszt

Zapora ogniowa zbudowana

z routera filtrującego

I n te r n e t

S i e ć w e w n ę t r z n a

P r z e p u s z c z a n i e l u b b l o k o w a n i e

p a k i e t ó w , z a l e ż n i e o d

s tr a t e g i i b e z p i e c z e ń s tw a

Zapora ogniowa zbudowana

z routera filtrującego cd.

Przedstawione rozwiązanie jest

funkcjonalne pod warunkiem gdy:



Hosty umieszczone w chronionej sieci są

dobrze zabezpieczone



Używana jak niewielka ilości protokołów o

niskiej złożoności



Priorytetową cechą zapory ma być wysoka

wydajność

Zapora ogniowa zbudowana

z routera filtrującego cd.

Na routerze należy:



Zablokować wszystkie pakiety nieużywanych

usług



Zablokować wszystkie pakiety z opcją

routingu źródłowego



Zezwalać na połączenia TCP przychodzące z

określonych serwerów sieciowych oraz

blokować pozostałe połączenia



W razie konieczności zezwalać hostom z sieci

lokalnej na połączenia TCP na zewnątrz do

dowolnego hosta w Internecie

Host z dwoma kartami

sieciowymi

S i e ć w e w n ę t r z n a

Ś c i a n a

o g n i o w a

H o s t z d w o m a

i n te r f e j s a m i

I n t e r n e t

Host z dwoma kartami

sieciowymi cd.

Host z dwoma kartami sieciowymi (ang.

Dual-homed Host) służył jako pierwsza

zapora zbudowana na platformie UNIX.

Może pełnić jednocześnie funkcje rutera

oraz bramy (ang.

Gateway

) i nadaje się na

zaporę sieciową gdy:



Użytkownikom Internetu nie są

udostępniane żadne usługi



Chroniona sieć nie przechowuje

wartościowych informacji



Ruch z chronionej sieci lokalnej do

Internetu jest niewielki

Ekranowany host

I n t e r n e t

S i e ć w e w n ę t r z n a

Z a p o r a

o g n i o w a

B r a m a

Ekranowany host cd.

Zadania routera:



Blokowanie usług nie wykorzystywanych w

wewnętrznej sieci



Blokowanie pakietów przesyłanych z

routingiem źródłowym



Blokowanie pakietów, których miejscem

przeznaczenia jest sieć wewnętrzna, a

przepuszczanie tych pakietów, których

źródłowym bądź docelowym adresem IP jest

adres bramy

Zadania bramy:



W bramie działa serwer poczty oraz serwery

proxy

Ekranowany host cd.



Intruz, który złamał zabezpieczenia

hosta bastionowego uzyskuje łatwy dostęp

do wszystkich wewnętrznych hostów



Sieć jest dostępna, gdy intruz złamie

zabezpieczenia routera



W bastionie nie należy uruchamiać

ryzykownych usług

Ekranowana podsieć

I n te r n e t

S i e ć w e w n ę t r z n a

Z a p o r a

o g n i o w a

S i e ć o b w o d o w a

B r a m a

R o u t e r

z e w n ę t r z n y

R o u t e r

w e w n ę tr z n y

Ekranowana podsieć

Nowe zadania routera zewnętrznego:



Blokowanie pakietów adresowanych do

rutera wewnętrznego

Zadania routera wewnętrznego:



Blokowanie usług niewykorzystywanych w

sieci wewnętrznej



Blokowanie pakietów przesyłanych z

routingiem źródłowym



Blokowanie pakietów adresowanych do

rutera zewnętrznego



Przepuszczanie pakietów, których

źródłowym bądź docelowym adresem IP jest

adres bramy

Architektura z użyciem

większej liczby bram

I n te r n e t

S i e ć w e w n ę t r z n a

Z a p o r a

o g n i o w a

D N S

S M T P

R o u te r

z e w n ę t r z n y

R o u t e r

w e w n ę tr z n y

S i e ć p e r y f e r y j n a - s t r e f a z d e m i l i t a r y z o w a n a

F T P

W W W

Zespolony router

zewnętrzny i wewnętrzny

I n te r n e t

S i e ć w e w n ę t r z n a

Z a p o r a o g n i o w a

B r a m a

R o u t e r

w e w n ę tr z n y

S i e ć p e r y f e r y j n a - s t r e f a z d e m i l i ta r y z o w a n a

R o u t e r

w e w n ę tr z n y /

z e w n ę tr z n y

Strefa zdemilitaryzowana

DMZ

I n te r n e t

S i e ć w e w n ę tr z n a

S M T P

R o u te r

z e w n ę t r z n y

R o u t e r

w e w n ę tr z n y

F T P

W W W

B r a m a

B a z a

d a n y c h

D M Z - s tr e f a

z d e m i l i ta r y z o w a n a

Z a p o r a

o g n i o w a

Strefa zdemilitaryzowana

DMZ cd.



Strefa zdemilitaryzowana

DMZ

(ang. De-

Militarized Zone) zwana również siecią

peryferyjną (ang.

perimeter network

) to sieć

utworzona między siecią chronioną a zewnętrzną

w celu zapewnienia dodatkowej warstwy

zabezpieczeń



W tej strefie często umieszczane są serwery

zawierające usługi

udostępniane publicznie

użytkownikom

z zewnątrz

, np. serwer WWW, bazy

danych



Strefa DMZ jest

słabiej chroniona

niż strefa LAN

Wewnętrzne zapory

sieciowe

I n te r n e t

S i e ć l a b o r a t o r y j n a

Z a p o r a

o g n i o w a

S i e ć w e w n ę tr z n a

Z a p o r a

o g n i o w a

Wewnętrzne zapory

sieciowe



Zastosowanie komputerów pełniących rolę

wewnętrznej zapory sieciowej oraz ich

odpowiednia konfiguracja, może pozytywnie

wpłynąć na ograniczenie szkód wyrządzonych w

sieci lokalnej



Ograniczają skutki fizycznych awarii w sieci

wewnętrznej do mniejszej liczby komputerów



Ograniczają liczbę hostów, które mogą być

podatne na ataki przez uniemożliwienie

działania



Tworzą bariery dla włamywaczy z zewnątrz (z

Internetu) jak i z wewnątrz (z sieci lokalnej)

Projektowanie systemu

ściany ogniowej

Analiza i zaprojektowanie konkretnego

systemu zapory ogniowej powinna

uwzględniać:



skalę zagrożenia systemu



stopień złożoności konfiguracji systemu



wykorzystywane usługi



niezawodność systemu



wykrywanie zagrożeń



ograniczenia budżetu firmy

Złożone konfiguracje zapór

ogniowych



Dla bardziej złożonych środowisk, w wieloma

zaporami ogniowymi sieciami LAN istnieje

możliwość

kaskadowania

firewalli, czyli

tworzenia zagnieżdżonych w sobie stref

bezpieczeństwa chronionych przez kolejne

zapory



W tym celu można stosować konfiguracje

zawierające

wiele ekranowanych sieci,

routerów zewnętrznych bądź wewnętrznych,

hostów bastionownych, stref DMZ

Zapory ogniowe -

podsumowanie



Cały ruch w obu kierunkach do i z chronionej

sieci LAN

musi przechodzić

przez zaporę

ogniową



Zapora zezwala na przejście tylko tych danych,

które są

autoryzowane

przez lokalne zasady

bezpieczeństwa



Zapora musi być

odporna

na penetrację z

zewnątrz i z wewnątrz



Firewall

nie rozwiązuje całkowicie

problemu

bezpieczeństwa, jest tylko jednym z elementów

systemu

Zapory ogniowe –

podsumowanie cd.



Pełny firewall to nie tylko filtrowanie ruchu

sieciowego, ale także

współpraca

systemami indentyfikacyjnymi, szyfrującymi i

monitorującymi (IDS, IPS)



Firewall wymaga prawidłowej

konfiguracji,

zarządzania i aktualizacji

, inaczej nie

będzie spełniał swoich zadań



Do poprawnej implementacji i konfiguracji

zapory ogniowej niezbędna jest jasna

polityka bezpieczeństwa



Na rynku oferowanych jest

wiele różnych

firewalli: sprzętowe, programowe,

indywidualne, itd

Zarządzanie ryzykiem



Projekty dotyczące ochrony informacji

elektronicznej powinny być oparte na

zarządzaniu ryzykiem



Najważniejsze jest poprawne określenie

zagrożeń

i prawdopodobieństwa ich wystąpienia

oraz oszacowanie związanego z tym ryzyka



Wynik tych obliczeń należy weryfikować

okresowo



Określenie wartości informacji to bardzo trudne

zadanie, ale niezbędne w celu dokonania

oceny

inwestycyjnej

porównującej koszt inwestycji

związanych z zabezpieczeniem danych oraz koszt

ewentualnych strat

Czynniki określające

wartość informacji



Koszty związane z czasową jej

niedostępnością



Koszty wynikające z utraty informacji



Koszty wynikające z zafałszowania

informacji lub wystąpienia ukrytych

błędów



Koszty ponownego pozyskania i

wprowadzenia danych



Koszty korekty błędnych danych

Mechanizmy podwyższenie

bezpieczeństwa informacji



Archiwizacja, backup danych, kopie

zapasowe



Technologie SAN, NAS



Kompresja danych



Bezpieczne zasilanie



Rozwiązania klastrowe



Disaster recovery



Polityka bezpieczeństwa oraz

odpowiednie procedury

Document Outline

Slide 1
Slide 2
Slide 3
Slide 4
Slide 5
Slide 6
Slide 7
Slide 8
Slide 9
Slide 10
Slide 11
Slide 12
Slide 13
Slide 14
Slide 15
Slide 16
Slide 17
Slide 18
Slide 19
Slide 20
Slide 21
Slide 22
Slide 23
Slide 24
Slide 25
Slide 26
Slide 27
Slide 28
Slide 29
Slide 30
Slide 31
Slide 32
Slide 33
Slide 34
Slide 35
Slide 36
Slide 37
Slide 38
Slide 39
Slide 40
Slide 41
Slide 42
Slide 43
Slide 44
Slide 45
Slide 46
Slide 47
Slide 48
Slide 49
Slide 50
Slide 51
Slide 52
Slide 53
Slide 54
Slide 55
Slide 56
Slide 57
Slide 58

Wyszukiwarka

Podobne podstrony:
09 LAN Bezpieczenstwo
Bezpieczeństwo bezprzewodowych sieci LAN
Bezpieczeństwo bezprzewodowych sieci LAN
Ebook 100 Sposobów Na Bezpieczeństwo Sieci, Network, Lan, Wan, Man, Wifi, Security, Hacking, Intern
Bezpieczeństwo bezprzewodowych sieci LAN
Wirtualne sieci LAN
w8 VLAN oraz IP w sieciach LAN
Bezpieczenstwo na lekcji wf
bezpieczeństwo1
Systemy bezpieczeństwa narodowego 2
Bezpieczenstwo w sieci SD
BEZPIECZE STWO SYSTEM W INF
bezpieczny 4
1 1 bezpiecz definicjeid 8843 ppt

więcej podobnych podstron