METODY
I TECHNIKI
ZABEZPIECZANIA
SIECI
- 1 -
Podstawowe grupy narzędzi i
technik
Log systemowy (syslog) narzędzie pozwalające na zapis
wybranych zdarzeń z pracy systemu do rejestru. Zdarzenia
mogą mieć związek z atakami, eksploatacją systemu oraz
działaniami awaryjnymi.
Uwierzytelnianie w systemie dobry system
uwierzytelniania pozwoli na podniesienie poziomu
bezpieczeństwa w elementach podsystemu bezpieczeństwa.
Uzyskuje się to przez zapewnienie odpowiedniego poziomu
bezpieczeństwa przy przesyłaniu, przechowywaniu oraz przy
tworzeniu haseł.
Odpowiednia architektura systemów zabezpieczeń
logiczne umiejscowienie elementów systemu ochrony.
Hosty bastionowe systemy komputerowe pracujące w sieci
ochrony.
NAT translacja adresów IP.
Filtry pakietów systemy odpowiedzialne za filtrowanie
przepływających pakietów, czyli określenie na podstawie
charakterystyki pakietu czy jest on legalny (bezpieczny).
Systemy Proxy (pełnomocnik, pośrednik) ogól systemów
działających na zasadzie pośredniczenia i przekazywania
usług.
Szyfrowane tunelowanie nazywane również wirtualnymi
sieciami prywatnymi (VPN virtual private networks),
szyfrowane kanały łączące sieci prywatne przez Internet.
Systemy IDS (Intrusion Detection Systems systemy
wykrywania intruzów) ogół systemów, których zadaniem
- 2 -
jest wykrycie nielegalnej działalności na podstawie szeroko
rozumianej analizy pracy chronionego systemu.
Inne dość szeroka klasa systemów, narzędzi, metod, które
w rękach doświadczonego operatora podniosą poziom
bezpieczeństwa systemu.
Podstawowe strategie tworzenia
zabezpieczeń
Minimalne przywileje strategia ta określa, że każdy obiekt
(użytkownik, aplikacja, system) powinien posiadać tylko te
przywilej, które są mu niezbędne do wykonywania
realizowanych przez niego zadań.
Dogłębna obrona polega to na braku zaufania do jednego
mechanizmu zabezpieczającego niezależnie od poziomu jego
skuteczności. Dokonuje się instalacji wielu systemów
zabezpieczeń tak, aby awaria jednego mechanizmu nie
wyłączyła wszystkich. Może to się objawiać przez budowę
nadmiarowych zabezpieczeń lub dublowania tych samych
zasad na wielu poziomach np. filtru pakietów.
Wąskie przejście - zmusza napastników do używania
kanału, który można kontrolować i monitorować. W sieci
wąskim przejściem jest np. Proxy, który jest jedyną drogą
przejścia z Internetu do ośrodka.
Najsłabszy punkt strategia ta wynika z podstawowej
zasady wszelkiego bezpieczeństwa: każdy łańcuch jest tak
silny jak najsłabsze jego ogniwo.
Bezpieczeństwo w razie awarii kolejna zasada wskazuje,
żeby system był jak najbardziej bezpieczny w razie
uszkodzenia. Oznacza to przyjęcie zasady, że zajście awarii
- 3 -
w systemie bezpieczeństwa uniemożliwi dostęp do
chronionych zasobów nie zaś otworzy ten dostęp.
Powszechna współpraca mówi nam o konieczności
współpracy (lub nie przeszkadzania) ze strony członków
organizacji, aby system zabezpieczeń działał efektywnie.
Zróżnicowana obrona jest ściśle powiązana z głębokością
obrony. Według tej strategii potrzebne jest nie tylko wiele
warstw obrony, ale również, aby obrona była różnego
rodzaju.
Prostota wynika to z tego, że prostsze rzeczy można
łatwiej zrozumieć, a jeśli coś jest nie zrozumiałe to nie
wiadomo czy jest bezpieczne.
Zabezpieczenie przez utajnienie polega to na tym, że
wykorzystujemy kolejną płaszczyznę bezpieczeństwa przez
blokadę informacji na temat szczegółów zabezpieczeń ich
typów, topologii, istniejących hostów. Jeśli uruchamiamy
nowy host, czy uruchomimy usługę ftp na porcie innym niż
standardowy, nie jest konieczne żeby wszyscy o tym
wiedzieli poza uprawnionymi.
Architektury systemów
zabezpieczeń
Architektury jednoelementowe:
" Architektura z routerem ekranującym jest to prosta i
tania architektura zbudowana na podstawie routera, który
jednocześnie pełni rolę systemu ochrony poprzez
instalacje w nim filtra pakietów. Przyjęcie takiej
architektury możliwe jest w sieciach o bardzo dobrze
chronionych serwerach i stacjach roboczych, kiedy
- 4 -
potrzeba jest maksymalnej wydajności lub
nadmiarowości.
Internet
Router ekranujący
Laptop Stacja robocza Serwer Drukarka Stacja robocza
" Architektura dwusieciowego serwera dostępowego.
Podobnie jak poprzednia architektura jest prosta i tania.
Rolę routera pełni tutaj serwer posiadający dwa interfejsy
sieciowe, który może również pełnić role ochronną
poprzez instalacje systemów zabezpieczeń. Architektura
ta jest lepsza pod względem bezpieczeństwa, z uwagi na
możliwości implementacji zabezpieczeń w serwerze
dostępowym i przy dbałej konfiguracji może zapewnić
stosunkowo dobry system ochrony.
- 5 -
Internet
Serwer + oprogramowanie ochronne
Laptop Stacja robocza Serwer Drukarka Stacja robocza
" Architektura ekranowanego hosta polega na tym, że host
bastionowy jest umieszczony w sieci wewnętrznej i
możliwe są połączenia z Internetu tylko do tego hosta,
który ma wyłączone trasowanie. Stacje w sieci
wewnętrznej mogą się łączyć bądz z hostem bastionowym
w celu uzyskania pewnych usług (typu poczta), oraz mogą
łączyć się z dowolnym, hostem zewnętrznym.
Architekturę tą można modyfikować poprzez zmianę
konfiguracji routera np. można wymusić by hosty
wewnętrzne łączyły się tylko z hostem bastionowym,
który będzie pośredniczył w dozwolonych usługach.
Architektura ta jest dość bezpieczna, ale wymaga idealnej
konfiguracji systemów ochronnych, każdy błąd otworzy
sieć wewnętrzną na ataki z Internetu.
- 6 -
Laptop
Stacja robocza
Host bastionowy
Router
Internet
ekranujący
Serwer
Stacja robocza
" Architektura ekranowanej podsieci tworzona jest dzięki
wykorzystaniu dwóch routerów, tworzących miedzy sobą
strefę zdemilitaryzowaną DMZ (DeMilitarized Zone).
Strefa DMZ jest siecią peryferyjną i jakiekolwiek
nieuprawnione działanie (nieuprawnione w sensie zasad
obowiązujących w danej sieci LAN) jest traktowane jako
wrogie.
Ta architektura należy do bezpieczniejszych oraz pozwala
na implementacje zabezpieczeń, co najmniej trzech
miejscach tj. na dwóch routerach i hoście bastionowym.
Pozwala na dość swobodne i bezpieczne korzystanie z
Internetu z sieci wewnętrznej, jednocześnie stanowiąc
duże wyzwanie dla intruza. Ekranowanie podsieci
umożliwia budowę zabezpieczeń według zasad strategii
tworzenia zabezpieczeń. Ten typ architektury jest
punktem wyjścia do tworzenia wariacji tej topologii
poprzez różne sposoby zabezpieczania oraz zmiany
ilościowe urządzeń.
- 7 -
Laptop
Stacja robocza
Host bastionowy
ę
Internet
ć
Router zewnetrzny
Serwer
Router wewnętrzny
Stacja robocza
" Architektura z wieloczęściową siecią ekranowaną ta
architektura dodaje jeden punkt ochrony (serwer
dwusieciowy), który może być wykorzystany do
permanentnego monitorowania ruchu lub i usług
pośredniczących.
Laptop
Internet
Router zewnetrzny
Stacja robocza
ę
Serwer dwusieciowy
ć
Serwer
Router wewnętrzny
Stacja robocza
- 8 -
DMZ
Sie
wewn
trzna
DM Z
Sie
wewn
trzna
DMZ
Hosty bastionowe
Hosty bastionowe są systemami, które występują w strefie
DMZ i są z natury dostępne publicznie. Hosty te są
komputerami szczególnie zabezpieczonymi i mającymi za
zadanie realizować różnego rodzaju usługi dla użytkownika
publicznego jak i wewnętrznego.
Hosty bastionowe są szczególnie narażone na włamania i
można założyć, że atak na sieć rozpocznie się od próby
przejęcia kontroli, przez intruza, nad takim celem. Dlatego
też systemy te muszą być szczególnie zabezpieczane i
monitorowane oraz muszą znajdować się w specjalnej
wydzielonej podsieci nieprzenoszącej żadnych poufnych
danych.
Hosty bastionowe można podzielić na kilka rodzajów:
" Nietrasujące hosty dwusieciowe ma wiele połączeń
sieciowych, ale nie przekazuje między nimi ruchu, może
natomiast spełniać role pośredniczące lub filtra pakietów.
" Hosty ofiary tutaj mamy system słabo zabezpieczony,
przez konieczność udostępnienia na nim usług, które z
natury są niebezpieczne. System taki będący skazanym na
cel udanego ataku musi być szczególnie monitorowany i
powinien mieć opracowane procedury, które są wstanie
taki atak rozpoznać i umożliwić możliwie szybki powrót
do stanu poprzedniego.
" Hosty pułapki podobnie jak poprzednio, systemy tego
typu są podatne na ataki z tą różnicą, iż nie są używane do
świadczenia jakichkolwiek usług. Mają za zadanie zwabić
intruza i poinformować administratora o zaistniałym
fakcie.
- 9 -
" Wewnętrzne hosty bastionowe są to hosty
umiejscowione w sieci wewnętrznej i mogą wchodzić w
interakcje z głównymi hostami bastionowymi np. dla
przekazania poczty do serwera wewnętrznego. Komputery
te są faktycznie wtórnymi hostami bastionowymi, więc
powinny być zabezpieczane i konfigurowane w podobny
sposób.
" Zewnętrzne hosty usługowe to systemy
odpowiedzialne za udostępnianie usług w Internecie np.
WWW.
Translacja adresów IP
Mechanizm maskowania zwanym również NAT (Network
Address Translation translacja adresów sieciowych) nie
jest mechanizmem pozwalającym na jakiś typ aktywnej
ochrony, ale posiada właściwości, które ukrywają wiele
informacji przed potencjalnym intruzem.
Mechanizm ten został oryginalnie zaimplementowany po to,
aby można było udostępniać więcej adresów siecią
prywatnym, jednak okazało się, że ma on inny jeszcze aspekt
związany z bezpieczeństwem: możliwość ukrywania
wewnętrznych hostów. Ukrywa przed intruzem informacje
warstw TCP/IP o hostach wewnętrznych, ponieważ całyruch
wygląda jak by pochodził z pojedynczego adresu IP.
Działanie mechanizmu maskowania IP wymaga, aby host
maskujący (odpowiedzialny za translacje adresów)
przechowywał tablice z przyporządkowanymi sobie
gniazdami wewnętrznymi i zewnętrznymi.
Jeśli host z sieci wewnętrznej nawiązuje połączenie z
zewnętrznym serwerem, host maskujący zamienia jego port
- 10 -
zródłowy na jeden ze swoich portów zewnętrznych, zamienia
adres IP na swój (lub adres z pewnej puli) dokonuje
odpowiedniego zapisu do tablicy translacji i wysyła pakiet
do hosta docelowego.
Kiedy otrzymywana jest odpowiedz od hosta zewnętrznego
poszukiwany jest port w tablicy translacji, zmieniany jest
adres docelowy i port hosta wewnętrznego i wysyła do
podsieci wewnętrznej. Gdy zapisu w tablicy translacji jest
brak pakiet jest odrzucany.
Host zewnętrzny
Docelowy IP yródłowy IP Docelowy port Docelowy IP yródłowy IP yródłowy port
128.110.211.1 192.168.13.15 15465 192.168.13.15 128.110.211.1 15465
IP 128.110.211.1
Host maskujący
IP 10.0.0.1
Docelowy IP yródłowy IP yródłowy port Docelowy IP yródłowy IP yródłowy port
10.0.0.15 192.168.13.15 1234 192.168.13.15 10.0.0.15 1234
Host wewętrzny
Translacja może być przeprowadzana na dwa sposoby:
" translacja dynamiczna przydział portów odbywa się
niezależnie,
" translacja statyczna na stałe przypisujemy rekord w
tablicy translacji do danego połączenia w sieci
- 11 -
wewnętrznej, tracąc w ten sposób ochronę hosta
wewnętrznego.
Mimo wielu zalet maskowanie posiada wadę polegającą na
tym, iż część protokołów wymagających kanału zwrotnego
nie potrafi z tym mechanizmem współpracować. Pojawiają
się moduły do tej usługi pozwalające ominąć przeszkody
jednak może się zdarzyć, że protokół potrzebny w danej
organizacji nie będzie potrafił poradzić sobie z tym
mechanizmem wtedy należy odrzucić protokół lub
maskowanie adresówIP.
NAT można zrealizować na różnych urządzeniach,
pozwalają na to serwery jak i niektóre inne urządzenia takie
jak routery.
Filtry pakietów
Działanie podejmowane przez urządzenie, mające na celu
selektywną kontrolę przepływu danych do i z sieci. Filtry
pakietów pozwalają na przejście lub blokują pakiety
zazwyczaj w czasie przesyłania ich z jednej sieci do innej.
Aby zrealizować filtrowanie pakietów musi zostać
opracowany zestaw reguł określających, które rodzaje
pakietów można przepuszczać, a które należy blokować.
Filtrowanie może odbywać się na moście, routerze lub w
pojedynczym hoście, czasami jest nazywane ekranowaniem
Patrząc z perspektywy historycznej należy przypomnieć, ze
określenie firewall było odnoszone tylko do systemów
filtrowania pakietów.
Obecnie wyróżnia się dwa podstawowe typy filtrowania
pakietów:
- 12 -
" Filtry standardowe lub bezstanowe (stateless)
charakteryzują się tym, że nie potrafią sprawdzić części z
ładunkiem pakiecie oraz nie pamiętają stanu połączenia.
Badają informacje zawarte w nagłówku każdego
indywidualnego pakietu i określają na tej podstawie czy
pakiet przesłać dalej czy też odrzucić. Od strony
teoretycznej można spowodować, aby filtr korzystał ze
wszystkich danych nagłówka, jednak w praktyce
wykorzystywane są pola:
- typ protokołu opiera się na zawartości pola protokół
nagłówka IP. Pole to pozwala rozróżniać zestaw usług
takich jak UDP,TCP, ICMP, IGMP. Jednak informacja
w polu nagłówka jest na tyle ogólna, że trudno ją
wykorzystać do filtrowania.
- filtrowanie adresów IP pozwala na filtrowanie
adresówdo lub z określonych hostów i sieci w oparciu
o adres IP. Ten typ filtrowania jest dość szeroko
stosowany do zezwalania na połączenia z wybranymi
adresami IP (zaufane sieci, zdalni użytkownicy). Nie
ma jednak sensu używanie tego filtrowania dla
jakiegoś szerszego blokowania adresów, chyba ze to
dotyczy zablokowania pojedynczych sieci znanych ze
stwarzania problemów.
- porty TCP/UDP to pole w filtrowaniu znajduje duże
zastosowania, ponieważ pola te określają najbardziej
szczegółowo przeznaczenie pakietu. Filtrowanie
portówjest często nazywane filtrowaniem protokołów,
ponieważ numery portów TCP/UDP identyfikują
protokoły wyższych warstw. W większości
przypadków filtry albo pozwalają na przejście
wszystkim protokołom wyłączając listę protokołów
- 13 -
zabronionych, lub też zabraniają wszystkich
pozwalając na dostęp tylko zaufanym.
- wybór trasy przez nadawcę (source routing) ta opcja
pozwala określić dokładną drogę, jaką ma przebyć
pakiet IP do miejsca przeznaczenia. Kiedyś było to
używane do celów diagnostycznych obecnie jednak
najczęściej używany jest przez napastników. Dlatego
filtry odrzucają pakiety ustawionym wyborem trasy.
Start
Wejście pakietu do
filtra
0
Zezwolić?
Reguły filtra
Syslog
1
Odzruć
1
Rejestruj Rejestrować?
Zezwól na przejście
0
Koniec
" Filtry z badaniem stanów (Stateful inspection filter) są
to systemy przechowujące w pamięci dane o stanie całego
ruchu przechodzącego przez filtr i oceniają na tej
podstawie czy dany pakiet może być przepuszczony.
- 14 -
Filtry te nie pozwalają na przejście pakietu żądnej usługi,
która nie została dopuszczona, oraz nie jest realizowana
przez połączenie umieszczone w tablicy stanów. Filtry
tego typu nie rozwiązują wszelkich problemów to znaczy
badania danych pakietu, jednak rozszerzają swoje
możliwości na analizę flag pakietu IP.
Transmisja przez taki filtr przebiega w ten sposób, że gdy
zaufany wewnętrzny host rozpoczyna połączenie z portem
TCP niezaufanego hosta, wysyła pakiet synchronizacyjny
SYN zwierający adres IP i numer portu (gniazdo), na
którym oczekuje odpowiedzi.
Filtr zapisuje w tablicy stanów adresy gniazd docelowego
oraz zwrotnego i dopiero wysyła pakiet do sieci
zewnętrznej. Nadchodząca odpowiedz jest badana pod
kątem gniazda docelowych i zródłowych w tablicy
stanów.
Jeśli jest jakaś niezgodność w porównaniu, pakiet jest
odrzucany, ponieważ nie stanowi odpowiedzi na żądanie z
sieci chronionej. Pozycja wpisu w tablicy stanów jest
usuwana po określonym czasie (w razie zerwania
połączenia) lub po przesłaniu pakietów negocjacji
zamknięcia sesji.
Oczywiście poza badaniem stanu w filtrach tego typu
również są stosowane zbiory reguły związane z analizą
nagłówka IP tak jak realizowane jest to w filtrach
bezstanowych.
- 15 -
Start
Wejście pakietu do
filtra
Wewnętrzny?
10
0
0
Zezwolić?
Zezwolić?
Regułyfiltra
1
1
Rejestrować
(0 - Koniec)
1
1
Nawiązanie
połączenia?
Rejestruj
SysLog
0
0
Isnieje rekord
Utwórz rekord w
wtablicy
Tablica
tablicy stanów
stanów?
stanów
1
1
1
Koniec Usuń rekord w Koniec
połączenia? tablicy stanów połączenia?
0
0
Prześlij do celu
Prześlij do celu
Koniec
- 16 -
Systemy pośredniczące
Systemy pośredniczące, czyli Proxy służą do regeneracji
żądań klientów sieci prywatnej skierowane do usług warstw
wyższych usług sieci zewnętrznej.
Historycznie systemy Proxy były wykorzystywane głównie
do buforowania i przechowywania w pamięci podręcznej,
często przeglądanych stron WWW.
PUNKT WIDZENIA SERWERA
PUNKT WIDZENIA SERWERA
WRZECZYWISTOŚCI ...
WRZECZYWISTOŚCI ...
I UŻYTKOWNIKA
I UŻYTKOWNIKA
Sieć prywatna Sieć prywatna
Sieć prywatna Sieć prywatna
Bastion
Bastion
Bastion
Host
Host
Host
Proxy
Proxy
Server
Server
Internet Internet
Internet Internet
Wraz z obniżką wartości Proxy jako system
przechowywania, coraz lepiej widać ich zalety jako elementu
systemu zabezpieczeń.
Proxy działa nasłuchując zleceń usługi od klientów
wewnętrznych i przesyłaniu ich na zewnątrz w taki sposób
jakby pochodziły od rzeczywistego klienta. Podobnie
- 17 -
działają wdrugą stronę przesyłając klientowi dane w sposób
jakby pochodziły od hosta zewnętrznego.
Serwery Proxy pracują zwykle jako hosty bastionowe.
Host Proxy jest bezpośrednio podłączony do sieci Internet, i
komunikuje się bezpośrednio z lokalnymi (wewnętrznymi)
oraz zewnętrznymi hostami (jeśli połączenie jest
dozwolone).
Sieć prywatna
Sieć prywatna
Bastion
Bastion
Bastion
Host
Host
Host
Proxy
Proxy
Muszą być wstanie
Muszą być wstanie
Server
Server
wymuszać ruch
wymuszać ruch
pakietów IP
pakietów IP
poprzez serwer
poprzez serwer
proxy
proxy
Internet
Internet
Typy serwerówpośredniczących:
" Obwodowy pośrednik, który tworzy obwód między
klientem a serwerem bez interpretowania protokołu
aplikacji. To są najprostsze Proxy swoją funkcjonalnością
zbliżone do filtrówpakietówi są dość łatwe do oszukania.
- 18 -
Ich niezaprzeczalną zaletą jest świadczenie usług dla
wielu różnych protokołów.
" Aplikacyjny jest to Proxy, który zna aplikacje, dla której
pośredniczy oraz rozumie i interpretuje polecenia w
protokole aplikacji. Potrafi również zajrzeć do ładunku
danych i je analizować. Wadą tych Proxy jest
ograniczenie ich funkcjonalności dla kilku protokołów,
którym mogą pośredniczyć i je analizować.
Zalety Proxy w kontekście zabezpieczeń:
" Ukrywanie prywatnego klienta przed światem
zewnętrznym podobnie jak mechanizm NAT
powodują, że z punktu widzenia zewnętrznego
obserwatora, cała sieć wewnętrzna będzie wyglądała jak
jeden host. Możliwe jest to dzięki temu, że Proxy działają
na zasadzie ponownego wygenerowania żądań warstwy
usługowej. Dodatkowo Proxy może multipleksować
połączenie, aby pewna liczba hostówkorzystała z jednego
połączenia z Internetem.
" Blokowanie niebezpiecznych URL (Universal Resource
Lokator uniwersalny wskaznik zasobów) pozwala to
administratorowi zakazać dostępu do stron WWW w
oparciu o URL. Podane adresy są zabronione z tych czy
innych przyczyn i standardowy użytkownik nie może
wywołać takiego adresu w swojej przeglądarce. Jednak
system blokad jest łatwo ominąć np. stosują liczbową
notacje adresu. Dlatego tego typu blokady są rzadko
stosowane chyba, że system jest do takich celów
dedykowany i nie jest łatwo go obejść.
" Filtrowanie zawartości Proxy transmituje cały ładunek
danych oraz jest związany z danym protokołem, więc
- 19 -
może być użyty do przeszukiwania danych pod kątem
podejrzanej zawartości np. wirusy, konie trojańskie,
kontrolki ActiveX, binarne załączniki e-maili, treść na
stronie WWW itp. Filtrowanie takie może dość znacznie
podnieś bezpieczeństwo naszej sieci dzięki ograniczeniu
ekspansji wirusów.
" Kontrola spójności polega na kontroli zgodności
danych z protokołem, czyli sprawdzenie zawartości
danych pod kątem ich znaczenia dla protokołu. Może w
ten sposób zapobiegać wykorzystaniu nieprawidłowo
sformatowanych danych do wykorzystywania luk
bezpieczeństwa.
" Blokowanie routingu systemy pośredniczące nie muszą
wyznaczać trasy dla pakietów warstwy transportowej w
związku z całkowitą regeneracjążądań.
" Rejestracja zdarzeń i alarmowanie wąskie przejście,
jakim jest system pośredniczący pozwala na
przeprowadzenie głębokiego monitorowania
przepływających danych a co za tym idzie wyłapywać
dane związane z działalnością nieuprawnioną oraz próby
ataku, które nie koniecznie muszą być przeprowadzane na
system Proxy.
Wady systemówProxy:
" Pojedynczy punkt awarii z pojedynczym punktem
kontroli związany jest pojedynczy punkt awarii. Więc
awaria serwera powoduje odcięcie całej sieci, której
pośredniczy, od Internetu.
- 20 -
" Oprogramowanie klienckie musi współpracować z
Proxy dla każdej usługi objętej Proxy musi istnieć
klient, który współpracuje z systemem pośredniczącym.
" Usługa musi mieć swoje Proxy każda uwzględniony
protokół musi mieć swoje Proxy.
" Proxy tworzą zatory przeciążony system
pośredniczący może tworzyć zatory w obsłudze klientów.
System pośredniczący mimo swoich wad jest dość istotnym
elementem ściany ogniowej organizacji.
Szyfrowane tunelowanie.
Szyfrowane tunelowanie rozwiązuje problem bezpiecznego i
bezpośredniego dostępu do hostów za pośrednictwem sieci
Internet.
W tym celu wykorzystuje się kilka podstawowych
składników zabezpieczeń:
" Kapsułowanie (hermetyzacja) w pakietach protokołu
IP polega na zawarciu w pakiecie IP innego pakietu
również IP. Jest to niezbędne do wywołania komputera
znajdującego się w innej sieci, gdy nie istnieje trasa
bezpośredniego połączenia. Przy takim rozwiązaniu
odległe sieci schowane za systemami firewall mogą
komunikować się między hostami tak, jakby znajdowały
się w tej samej sieci podzielone routerem. Pakiet po
dotarciu na miejsce przeznaczenia, oddaje zaszyfrowany
pakiet, który jest następnie deszyfrowany i wysyłany do
komputera przeznaczenia.
" Uwierzytelnienie kryptograficzne jest używane do
bezpiecznego sprawdzenia tożsamości użytkownika
- 21 -
zdalnego tak, aby system mógł dobrać system
zabezpieczeń dla użytkownika. Ocenia na tej podstawie
czy użytkownik może korzystać z szyfrowanego tunelu.
Używany jest również do wymiany publicznych i
prywatnych kluczy przez VPN.
- Szyfrowanie kluczem prywatnym (tajnym) pracuje w
oparciu o utajnienie wartości znanej obu stroną.
Zgłaszający znający tą wartość jest uznawany za
godnego zaufania. Istnieją odmiany tej metody
polegające na używaniu jednorazowego klucza.
- Szyfrowanie z wykorzystaniem klucza publicznego
polega na wymianie kluczy sesji, mogących być
używanymi tylko do szyfrowania danych. Klucz
deszyfrujący jest przechowywany na urządzeniu
odbiorczym i nigdy nie jest transmitowany przez sieć
publiczną.
" Szyfrowanie ładunku danych jest używane do
kapsułowania danych w przesyłanych protokołach.
Pozwala to na utajnienie zawartości kapsułowanego
pakietu oraz danych nagłówka, czyli chronimy informacje
o wewnętrznej sieci.
Protokół 2
Protokół 2
Protokół
Protokół
Protokół 2
Protokół 2
1
1
Protokół
Protokół
Firewall
Firewall
1 Firewall
1 Firewall
Dane znajdują się
Dane znajdują się
Protokół
Protokół
Protokół
Protokół
teraz poza firewall
teraz poza firewall
11
11
VPN może być realizowane w trzech typach:
" tunelowanie wykorzystujące serwery,
- 22 -
" tunelowanie wykorzystujące ściany ogniowe,
" tunelowanie wykorzystujące routery.
Wirtualne sieci prywatne są dobrym rozwiązaniem do
realizacji swoich celów polegającym na bezpiecznym
zdalnym dostępie. Nie można oczywiście podchodzić do
nich bezkrytycznie wiadomo, że są wolniejszym
rozwiązaniem niż sieć WAN i mniej bezpiecznym niż
połączenie kablowe. Ważna jest implementacja tej z uwagi
znane problemy z np. jakie zaistniały z protokołem PPTP
firmy Microsoft.
Systemy wykrywania włamań.
Wykrywanie włamań jest to proces identyfikowania i
reagowania na szkodliwą działalność, skierowaną przeciw
zasobom informatycznym i sieciowym.
Zasadę działania systemu IDS można opisać jako:
" monitorowanie czyli obserwacja chronionej
infrastruktury,
" raportowanie tworzenie raportów dla systemów
analitycznych,
" reakcja reagowanie na incydenty działaniem lub
alarmem.
Systemy IDS starają się w pewnym stopniu zastąpić część
zadań administratora polegających na obserwacji systemu w
poszukaniu anomalii (w miejscach sondowania), czyli
zachowań odbiegających od standardu. Systemy te starają się
wykryć anomalię, ocenić jej wagę i zareagować.
- 23 -
Wykrywanie anomalii może być przeprowadzana w wielu
miejscach sondowania na podstawie różnych kryterióworaz
różnych danych wejściowych.
" Przetwarzanie raportu audytu metoda ta polega na
zebraniu zapisanych w logach zdarzeń w systemie, do
dziennika audytu, który następnie jest poddawany analizie
przez narzędzia znające semantykę rekordów dziennika.
Analizie towarzyszą techniki algorytmiczne, które dzięki
schematowi przetwarzania audytu wykrywają pewne
atrybuty rekordów w raporcie. Atrybuty te odpowiadają
wzorcom działań uznanych za podejrzane. Systemy tego
typu, choć efektywne mają bardzo duże zapotrzebowanie
na moc obliczeniową oraz obarczone są poślizgiem
czasowym związanym z gromadzeniem danych.
" Przetwarzanie na bieżąco ruchu w sieci w odróżnieniu
od poprzedniej metody ta realizowana jest w czasie
rzeczywisty. Podstawę stanowią dane o ruchu w sieci.
Używa się tu szybszych algorytmów (mniej dokładnych)
mających znalezć atrybuty ataku w trakcie jego
przeprowadzania.
Zebrane informacje z raportu audytu czy też analizy ruchu w
sieci można poddać różnym metodą analizy.
" Metoda profilu normalnego zachowania polega na
przewidywaniu działalności informatycznej użytkownika i
systemu. Metoda profilowania jest o tyle ciekawa, że
można ją uogólnić do grupy użytkowników lub systemu.
Polega ona na analizie atrybutów aktywności pracy
obiektów i korekcie profilowanego nowego użytkownika
aż do maksymalnie precyzyjnej regulacji istniejących
profilów. Oznaczenie wartości średnich i możliwych
odchyłkach.
- 24 -
" Metoda sygnatur nienormalnego zachowania bardzo
popularna metoda w rzeczywistych realizacjach IDS.
Polegająca na porównaniu atrybutów rzeczywistych i
sygnatur ataków. Sygnatury występują wdwóch typowych
formach:
- Sygnatury ataków sygnatury profilów
dynamicznych ataków opisujące dane wzorce
aktywności, które w jakiś sposób mogą stanowić
naruszenie bezpieczeństwa. Wiążą się one z
zależnością czasową ciągu aktywności, które mogą być
przeplecione działaniami obojętnymi np. pakiet
przychodzący na zewnętrzny interfejs o adresie
zródłowym i docelowym wewnętrznym..
- Wybrane ciągi tekstowe są to sygnatury ciągów
tekstowych, które można uznać za podejrzane np.
/etc/passwd
Systemy IDS są generalnie połączeniem systemów
monitorowania, z systemami ekspertowymi analizującymi
odchylenia w sondowanych atrybutach. Przydatność takich
systemówjest dość duża, pozwalają one, bowiem wychwycić
dość drobne z pozoru zdarzenia mające miejsce w długim
okresie czasu, będące atakiem. Systemy takie są również
dość pomocne przy zwykłych próbach ataku, typu
wychwycenie na podstawie prowadzonej transmisji z hosta i
numeru portu można założyć, że jest tam zainstalowany koń
trojański lub inny złośliwy program.
Główną wadą systemów tego typu jest generowanie
stosunkowo dużej ilości fałszywych alarmów, które mogą
znieczulić obsługę, na tyle, że nie zareaguje na prawdziwe
zagrożenie.
- 25 -
Start
Pobranie
założonych danych
Przygotowanie
danych do
porównania
Porównanie
Porównanie
Baza
sygnatur ataku
profili
sygnatur
Baza profili
ataku
1
Popraw profil
Zgodne?
1
1
Alarm
Zgodny?
0
0
Poprawić?
0
Alarm
0 1
Prawdziwy?
Koniec
- 26 -
Wyszukiwarka
Podobne podstrony:
Metody i techniki stosowane w biologii molekularnej32 zabezpieczenia siecimetody i techniki terapeutyczneMetody i techniki pobudzania kreatywnosci w organizacji i zarzadzaniumetody i techniki reklamy?ukacja 1Metody, techniki i narzedziaRozmowy telefoniczne Metody i technikimetody i techniki zarzadzaniawięcej podobnych podstron