Bezpieczeństwo w sieci

- zagrożenia wewnętrzne

- zagrożenia zewnętrzne

Scenariusze ataków:

• ataki DoS (Denial of Service)

Składają z serii żądań dostarczenia usług, których intensywność i l

iczba j

est t

ak w

k i

w elka, ż

, e bl

okuje nor

ma

m lną

n pracę s

ystemu

m

prowadząc do wyczerpania zasobów (np. pamięci). Przykłady:

-- atak SYN flood – tworzenie na wpół otwartych połączeń TCP

poprzez wysyłanie tysięcy próśb o nawiązanie połączenia.

EB

IIS PWr

1

EB

IIS PWr

2

Zabezpieczenia

• włamania do systemu

- rekonesans (zbieranie informacji)

1. Zabezpieczenie kont

-- sięganie do publicznych źródeł informacji (serwery DNS, WWW)

- usunąć konta anonimowe (Guest, Anonymous)

-- skanowanie sieci (adresów IP, portów)

- zmienić nazwy kont administratorów

-- omiatanie sieci

- zarządzanie hasłami

Wysyłanie pewnych pakietów próbnych, zaadresowanych na

-- długość haseł

każdy z adresów sieci-ofiary i analiza uzyskanych informacji

-- wymuszanie okresowych zmian

-- zbieranie i

nfor

nf ma

m cji o konf

i

o konf guracji s

ieci

-- niemo

m ż

o noś

no ć powt

pow órnego u

go życia

- określenie słabych punktów i wybór celu

- restrykcje kalendarzowe logowania

-- niepoprawna konfiguracja

- restrykcje adresowe logowania

-- błędy w oprogramowaniu

-- domyślne ustawienia lub furtki pozostawione przez programistów 2. Prawa dostępu do plików i folderów

-- słabe hasła

- tylko do odczytu

- zdobycie kontroli nad systemem

- tylko do tworzenia

- odczyt i zapis

- pełne prawa

EB

IIS PWr

3

EB

IIS PWr

4

Zabezpieczenia

Protokoły bezpieczeństwa

3. Systemy wykrywania włamań (IDS–Intrusion Detection Systems) Stworzono wiele nowych standardów, których głównym zadaniem Podstawowe funkcje systemów IDS:

było zwiększenie poziomu bezpieczeństwa Internetu. Przewidywały

- monitorowanie pakietów w segmentach sieci

one bądź całkowite zastąpienie starych protokołów, bądź ich

- monitorowanie atrybutów plików (praw dostępu, własności itp.) uzupełnienie.

- monitorowanie dzienników zdarzeń systemowych

• protokoły wirtualnych sieci prywatnych

- monitorowanie ważniejszych plików konfiguracyjnych

- IPsec (IP Security)

- moni

m

torowa

ow nie pow

s

pow tawa

w nia now

yc

now

h procesów

Pods

P

tawow

w

y

ow protokół be

zpieczeńs

ń twa

w w

a

w rstwy s

w

ieciowe

ow j

- monitorowanie ruchu sieciowego

- PPTP (Point-to-Point Tunneling Protocol)

Tunelowanie PPTP polega na kapsułkowaniu pakietów

przesyłanych za pośrednictwem PPP

- L2TP (Layer 2 Tunneling Protocol)

Tunelowanie protokołów PPP lub SLIP

EB

IIS PWr

5

EB

IIS PWr

6

Protokoły bezpieczeństwa

Szyfrowanie

Kryptografia – dziedzina wiedzy zajmująca się zapisywaniem tekstu w sposób

• SSL (Secure Socket Layer)

utajniony.

Pomiędzy warstwą transportową i aplikacji.

Kryptogram – tekst zapisany w sposób utajniony.

Zapewnia mechanizmy szyfrujące dla różnych protokołów.

Wykorzystuje certyfikaty uwierzytelniające zgodne ze standardem X.509.

Szyfrowanie – metoda umożliwiająca zamianę tekstu jawnego na utajniony.

Certyfikaty te służą jednoznacznej identyfikacji klienta i/lub serwera.

Deszyfrowanie – operacja odwrotna do szyfrowania.

Powstało wiele aplikacji w różny sposób wykorzystujących protokół SSL.

Zapewnia stworzenie szyfrowanego kanału transmisji.

Parametrem szyfrowania i deszyfrowania jest klucz (szyfr).

• HTTPS

Podział systemów szyfrowania:

Ulepszona wersja protokołu HTTP

- symetryczne (systemy klucza sekretnego) Tylko nadawca i odbiorca posiadają klucz szyfrujący.

• SSH (Secure Shell Host)

- bezpieczne uwierzytelnianie

- asymetryczne (systemy klucza publicznego)

- tunelowanie połączeń TCP

Każdy użytkownik generuje parę kluczy: szyfrujący zwany kluczem SSH pozwala na bezpieczne uwierzytelnianie z wykorzystaniem algorytmów publicznym i deszyfrujący zwany kluczem prywatnym.

DSA/RSA. Działanie SSH opiera się na konieczności dwóch kluczy: Klucz publiczny jest udostępniany wszystkim, natomiast klucz prywatny prywatnego i publicznego.

pozostaje tajemnicą każdego użytkownika EB

IIS PWr

7

EB

IIS PWr

8

Algorytmy szyfrowania

Algorytmy szyfrowania

1. Szyfry przestawieniowe

Permutacja danych wejściowych wg ustalonego klucza B E Z P I E C Z E Ń S T W O

E B P Z E I Z C Ń E T S O W

3. Szyfr DES (Data Encryption Standard)

2. Szyfry podstawieniowe

DES jest szyfrem przestawieniowo-podstawieniowym.

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Jest szyfrem blokowym o długości bloków danych równej 64 bity.

D E F G H I J K L M N O P Q R S T U V W X Y Z A B C - klucz Klucz służący do szyfrowania ma 56 bitów.

S Y

Y S

T

T E

E M

Algorytm szyfrowania jest symetryczny.

V B V W H P

Szyfrowanie polega na zamianie znaku z alfabetu na znak mu odpowiadający w kluczu.

M I K R O P R O C E S O R

U N I X U N I X U N I X U

H WT P I D A M X S B L K

Szyfrowanie polega na sumowaniu modulo poszczególnych elementów tekstu jawnego i klucza (M –13, U – 21, H – 8, (13+21) mod 26=8

EB

IIS PWr

9

EB

IIS PWr

10

Algorytmy szyfrowania

Podpis cyfrowy

4. Szyfr RSA

Podpis cyfrowy jest wykorzystywany do sprawdzenia tożsamości nadawcy.

Podpis cyfrowy (inaczej niż to jest ze zwykłym podpisem) zależy od zawartości Szyfr RSA należy do szyfrów wykładniczych i asymetrycznych.

dokumentu.

Szyfrowanie i deszyfrowanie odbywa się w następujący sposób:

• nadawca szyfruje komunikat za pomocą swojego klucza prywatnego C = M e mod n

M = zaszyfruj(pkr-u1,K)

• odbiorca odszyfrowuje komunikat za pomocą publicznego klucza nadawcy M = C d mod n

K =

= o

dszy

z fru

r j(kpub-

b u1

u ,M

,

)

k

= (n, e) k

= (n, d)

pub

pr

Ponieważ tylko nadawca zna swój klucz prywatny, tylko on mógł

zaszyfrować komunikat.

n = pq iloczyn dwóch dużych liczb pierwszych p i q Można użyć dwóch poziomów szyfrowania, aby zagwarantować, że komunikat de = 1 mod (p-1)(q-1)

jest zarówno autentyczny (podpis), jak i poufny (zaszyfrowany).

Bezpieczeństwo szyfru RSA opiera się na problemie złożoności X = zaszyfruj(kpub-u2,zaszyfruj(kpr-u1,K)

obliczenia czynników pierwszych dużej liczby.

K = odszyfruj(kpub-u1,odszyfruj(kpr-u2,X)

EB

IIS PWr

11

EB

IIS PWr

12

Podpis elektroniczny - podpisywanie

Podpis elektroniczny - weryfikacja

List

send

hash

wynik

List

List

hash

wynik

sign

podpis

podpis

wer

tak/nie

kpr

Kpub

Zapory sieciowe

Wirusy

Firewall (ściana ogniowa) – urządzenie sieciowe i programy zabezpieczające Wirus komputerowy (łac. "virus" - trucizna) to krótki program, który posiada sieć przed atakami z zewnątrz.

zdolność samoczynnego powielania się i przenoszenia z jednego komputera na drugi (poza kontrolą użytkownika). Do przenoszenia się potrzebuje nosiciela w postaci innego programu.

LAN

Internet

FW

Robak (ang. worm) – program, który rozprzestrzenia się poprzez wysyłanie kopii siebie do innych komputerów, które uruchamiają go i wysyłają dalej. Do przeno -

Główne funkcje zapory ogniowej:

szenia się nie potrzebuje nosiciela.

• fil

i t

l ro

r wa

w nie

i

e r

u

r ch

c u s

ie

i c

e i

c o

i we

w g

e o n

a p

odstawi

w e

i :

e

- adresu źródła

Koń trojań ski (ang. trojan horse) - program, który udaje pracę innego legalnego

- adresu przeznaczenia

programu, a w międzyczasie wykonuje szereg niepożądanych czynności (np.

- protokołu

fałszywy program login kradnie hasło użytkownika).

- usługi

Pomocnicze funkcje zapory:

- ochrona przed atakami typu DoS - uwierzytelnianie

- skanowanie antywirusowe - translacja adresów (NAT)

- system wykrywania włamań - bramy aplikacyjne

- tunelowanie ruchu sieciowego (VPN)

EB

IIS PWr

15

EB

IIS PWr

16

Wirusy

Typowe objawy zarażenia wirusem

Bomba logiczna (ang. logic bomb) – fragmenty kodu wstawione w normalne programy i uruchamiane po spełnieniu określonych warunków. Najczęściej są

• Wolniejsze wczytywanie się programów,

umieszczane przez autorów programów.

• Pojawiające się lub znikające pliki,

• Zmiana rozmiaru pliku wykonywalnego lub programu,

Bakteria (ang. bacteria), "królik" (ang. rabbit) - program wielokrotnie kopiujący i uruchamiający swój własny kod źródłowy celem pełnego zagarnięcia zasobów

• Nadmierna praca dysków twardych,

komputera (czasu procesora, pamięci operacyjnej, przestrzeni dyskowej) i

• Pojaw

a ia

i j

a ąc

ą e

c

e s

ię

i

ę n

a

a e

k

e ran

a ie

i

e n

ie

i z

e n

z an

a e

e n

ap

a is

i y

y l

u

l b o

bie

i k

e ty

t ,

y

doprowa

w d

a ze

z n

e i

n a

i

a d

o u

pad

a ku s

ys

y te

t m

e u

m ,

• Zmniejszenie się wolnej przestrzeni na dysku,

• Zmiana nazwy plików,

• Niedostępność dysku twardego,

• Polecenie Scandisk wskazuje niepoprawne wartości.

EB

IIS PWr

17

EB

IIS PWr

18

Podział wirusów

Inne efekty działania wirusów

• wirusy rekordu startowego (dyskowe)

Atakują programy używane do uruchamiania komputera, programy

• kasowanie i niszczenie danych

rekordów FBR, PBR, MBR.

Wirusy te instalują się w pamięci komputera i podwieszają się pod różne

• rozsyłanie spamu

usługi systemowe. Były bardzo rozpowszechnione „w epoce” dyskietek.

• dokonywanie ataków na serwery internetowe

• kradzież danych (hasła, numery kart płatniczych, dane osobowe)

• wirusy plików programów (wirusy plikowe)

• wył

y

Wi

W r

i us p

li

l k

i owy

y r

ep

e li

l k

i uje

e s

ię

i

ę d

ołą

ł c

ą z

c a

z j

a ąc

ą

c k

opię

i

ę s

am

a e

m g

e o s

ie

i b

e ie

i

e d

o z

d

z roweg

e o

ą

ł c

ą z

c e

z n

e ie

i

e k

omp

m ute

t r

e a

programu wykonywalnego. Następnie modyfikuje program tak, aby przy

• wyświetlanie grafiki lub odgrywanie dźwięków

uruchamianiu wirus był wykonywany pierwszy.

• uniemo

Zainfekowane pliki są nieszkodliwe dopóty, dopóki nie są uruchomione.

żliwienie pracy na komputerze

Wirusy plikowe są najpowszechniejszym, obok makrowirusów, typem

• umożliwienie przejęcia kontroli nad komputerem osobie

wirusów.

nieupoważnionej

EB

IIS PWr

19

EB

IIS PWr

20

Podział wirusów

Wirusy

Inny podział:

• wirusy makr (makrowirusy)

Makrowirusy nie zarażają programów uruchamialnych lecz dokonują destrukcji

• wirusy rezydentne (dyskowe lub plikowe) dzięki wykonywaniu swojego kodu zapisanego w plikach dokumentów Word, Instalują się w pamięci operacyjnej komputera i przejmują odwołania do Excel. Podobnie jak i inne wirusy mogą niszczyć programy lub dane w systemu w sposób podobny do tego jak to robią programy TSR (terminate komputerze. Jednak sama infekcja nie powoduje żadnych nie zamierzonych and stay resident). Mają możliwość pełnego kontrolowania systemu oraz skutków ubocznych.

skutecznego maskowania swojej obecności.

Mogą infekcję rozłożyć w czasie i przeprowadzić ją o wiele skuteczniej

• wirusy skryptowe

od wirusów nierezydentnych. Zawładnięcia systemem dokonuje poprzez Używają języki skryptowe i wykorzystują pliki o rozszerzeniu .bat, .js, .vbs, prze

z j

e ęc

ę i

c e

i

e o

dpowie

i d

e ni

n c

i h

c

h p

rze

z r

e wań

a s

przę

z t

ę o

t wyc

y h

c i

i f

unkcj

c i

i o

bsłu

ł giw

i an

a yc

y h

c

h p

rze

z z

e

.htm

t l

m ,

l

.cs

c s, .

php

i

i i

n

i ne.

e D

opis

i ują

ą s

ię

i

ę d

o p

rogram

a u

m n

ap

a is

i an

a eg

e o w

j

ęz

ę y

z k

y u

ogólnie dostępne przerwania programowe

skryptowym lub powielają się samodzielnie, a po spełnieniu określonych warunków, uaktywniają się.

• wirusy nierezydentne (plikowe)

Zarażają pliki wykonywalne. Są aktywne tylko wtedy, gdy jest wykonywany zainfekowany program. Po uruchomieniu pliku nosiciela wirus poszukuje kolejnego obiektu, który może zarazić. Jeśli takowego nie znajdzie, sterowanie oddawane jest do nosiciela, a jeśli znajdzie to kolejny obiekt jest infekowany.

Sposób poszukiwania ofiary może być różny. Zwykle przeszukiwany jest bieżący katalog oraz podkatalogi bieżącego katalogu, a także katalog główny oraz katalogi określone w ścieżce poszukiwań.

EB

IIS PWr

21

EB

IIS PWr

22

Wirusy

Wirusy

Techniki wykorzystywane przez wirusy:

Sposób traktowania kodu nosiciela przez wirus:

• część odpowiedzialna za replikację

• wirusy nie zamazują ce

- wyszukanie z ofiary

Doklejają się do atakowanego programu, uprzednio dokonując odpowied-

- sprawdzenie, czy nadaje się do zainfekowania

niej jego modyfikacji.

- powielenie kodu

• wirusy zamazują ce

• część z zaimplementowaną funkcją dodatkową Nakładają się na kod infekowanego programu.

- sprawdza, czy spełnione są określone warunki uaktywnienia

-- okreś

e lo

l ny

y c

z

c a

z s

a l

u

l b d

at

a a

t

program

wirus

-- określony stan lub konfiguracja systemu

-- osiągnięcie określonej wartości przez licznik zarażeń

wirus

program

- realizacja funkcji dodatkowej

-- kasowanie plików

-- zamazywanie obszarów systemowych

wirus

reszta programu

-- wywoływanie nieoczekiwanych efektów wizualnych

-- spowolnienie pracy komputera

cz.1wirus

cz.1 progr

cz.2 wirus

cz.2 program

-- wytwarzanie efektów dźwiękowych

EB

IIS PWr

23

EB

IIS PWr

24

Programy antywirusowe

Sposoby zapobiegania wirusom:

Skanery wirusowe – wyszukują wirusy Przeszukują pamięć komputera oraz pliki programów i rekordy startowe w poszukiwaniu sekwencji bajtów, o których wiadomo, że znajdują się

• instalacja firewalla,

w określonych wirusach. Wykorzystują bazę danych o wirusach.

• instalacja programów antywirusowych,

Testery integralnoś ci

Pobierają i przechowują w bazie informacje o plikach programów (suma

• używanie legalnego oraz sprawdzonego oprogramowania,

kontrolna, rozmiar, pierwsze instrukcje kodu maszynowego, data i czas

• sprawdzanie plików i programów nieznanego pochodzenia,

ostatniej modyfikacji). Informacje te są wykorzystywane do weryfikacji in

i te

t g

e ral

a n

l oś

o ci

c

i p

li

l k

i u p

rogram

a o

m weg

e o.

• skanowanie

i d

ys

y ków n

ie

i znanego p

ochodzenia

i ,

,

Blokady – rezydentne programy, które instalują się w pamięci jako procedury

• nie otwieranie niewiadomego pochodzenia poczty e-mail

usługowe i informują użytkownika o podejrzanym zachowaniu

oraz stron internetowych.

systemu.

Skaner może:

- usunąć wirus

- zaznaczyć zawirusowane pliki (np. przemianowując je)

- skasować zainfekowany plik

EB

IIS PWr

25

EB

IIS PWr

26

K O N I E C

EB

IIS PWr

27