1b

Kłsega pomarańczowa TCSEC zawiera poziomy bezp.

D - ochrona minimalna. Wszystkie systemy, które nie mieszczą sie w pozostałych certyfikatach

Cl - ochrona uznaniowa Spotkamy tutaj podstawowe mechanizmy ochronne w systemie wielouzłykowym Rodzideme użytkowników oraz rodzidene procesów Autoryzacja użytkowników Mechanizm spotykany prawie w każdym systemie

C2 - ochrona z kontrola dostępu Coraz wieoej systemów tutaj zaczyna dzailac Jednym z podstawowych wymagań, jest kontrolowane siedzenie działań danego użytkowników. Podsystem autytow (siedzenie uz) Drugim wymaganiem w C2 jest, takie aby hasła uzytkiowrakow były niedostępne, ukryte. System NT posiada klasę C2. ale bez siea Klasa C2 rac nie mówi o siea! Do C2 nie ma rozróżnienia tajności Rozróżnienie jest dopiero poza systemem Zwenetrznie (kraty, drzwi itp.)

BI - ochrona z etykietowaniem B2 - ochrona strukturalna Istnieje konieczność badan penetracyjnych. Prawami dostępu zaizadza jakaś osoba wyznaczona a me właściciel obiektu

B3 - ochrona przez podziaL Następuję fizyczny rodzial informacji Separacja danych

Al - kontrakcja zweryfikowana. Należy zdefiniować matematyczny model systemu oraz matematyczne sprawdzenie bezpieczeństwa systemu. W tym momencie na świeci sa 23 systemy zawierające ten certyfikat

Księga czerwca - zawiera kryteria oceny bezpieczeństwa sieci komputerowych

Księga zielona- zawiera wytyczne dotyczące haseł HACKER - Osoba, której sprawia przyjemność poznawanie szegołowej wiedzy na temat systemów komputerowych i rozszerzanie tej umiejętności, w przeciwieństwie do większości użytkowników komputerów, którzy woła nauczyc sie niezbędnego minimum Kategorie bemieczenalwa:

-    Pufnosc (confidentoahty) - ochrona danych przed odczytaniem i kopiowaniem przez osobę meupowazraana Jest to ochrona me tylko całości danych, ak również ich fragmentów

-    Spojnosc danych (integrity) • ochrona informacji (również programów) przed usunięciem lub jakimkolwiek nieuprawnionymi zmianami Np zapisy systemu rozliczania, kopie zapasowe, atrybuty plików

-    Dostępność (availabibty) • ochrona świadczonych usług przed zniekształceniem i uszkodzeniem Niemozinosc skorzystania z systemu często daje taki sam efekt jak utrata danych.

Prawidłowość (corretness) - zapewnienie pracy systemu zgodnej z oczekiwaniami użytkowników. Dotyczy sprzętu i oprogramowania Można to uważać za prawidłowość danych i programów

PoMtrŁa berałrafałtwa • zbiór zasad, procedur obowiazujacacy przy zbieraniu i wykorzystywaniu informacji w organizacji Dotyczy ona całego procesu korzystania z informacji, niezależnie od sposobu jej gromadzenia i przetwarzania

/■asarłr koastuowanła polłh ki bezekzenstwa

-    inicjatywa w zakresie bezpieczenswa informacji musi wyjsc ze strony kierownictwa

-    istateczna odpowiedzialność za bezp informacji ponosi kierownictwo

-    tylko gdy ber jest zainteresowane bezp zadania w tym zak sa traktowane poważnie

-    wszystkie strategie i procedury' powinny odzwierciedlać potrzeby

ochrony danych niezależnie od przyjmowanej przez rac formy

-    w skład zespołu ds zarzadziania bez musza wejście przestawieciele wszystkich komorek

każdy powinien sobie uswiadomosc sobie własna cdpowiedaalnosc utrzymywanie bezpteczestwa.

Procedura tworzenia pottnkl bezpieczeństwa

PLANOWANIE

1.    Zaporojektowarae polityki bez.

-    określenie pożądanego poziomy bezpieczeństwa

-    powołanie zespołu ds zarządzania bezpieczeństwem

-    opracowanie polityki bezpieczeństwa

2.    Opracowanie koncepcji bezpieczeństwa

Na początku w czasie tego projektowania, jest to zupełnie abstrakcyjnie Nie bierze sie pod uwagę czasu ani srodkow Dopiero później realizuje s»e realnie projekt biorąc pod uwagę środki przeznaczone na to (budżet)

REALIZACJA

-    wdrożenie przedsięwzięć bezpieczeństwa

-    szkolenie personelu w zakresie bezpieczeństwa.

OCENA ANALIZY’ RYZYKA

Będziemy dazyh do stworzenia konkretnej liczby

1.    Szacowanie ryzyka

-    Co chrome?

Lista zasobow To powinny byc sesje typu burza. Kardynalnym błedem mogą byc

odrzucanie pewnych błędów Ktoś powinien to pisać

-    przed czym chrome?

Lista zagrozen

Trzeba rozmawiać z wszystkimi ludzi i zastanawiać sie co może sie dziać,

jakieś ataki Terrorystyczne

-    jaie jest prawdopodobieństwo wystąpienia zagrożenia hib skutków zagrożenia?

bardzo trudny etap npjabe jest prawdopodobieństwo

pożaru

2.    Ocena akceptowalnosci ryzyka (warstwa finansowa)

-    Jaki jest stopień szkodliwości skutków zagrożenia'*

-    jakie sa koszty zabezpieczeń?

-    Czy warto chroruc'’

Audyty bezpieczeństwa (w lym znaczeniu auty! oznacza fotografie obecnego stanu)

-    Rozpoznanie problemu przetwarzania m formacji w organizacji (przede wszystkim określenie podstawy* prawnej)

-    Rozpoznanie rodzajów informacji przetwarzanych w organizacji

Rorzpoznawame to nie jest tylko w interesie firmy, ale również w sensie prawa. Nawet jeśli nam sie to me podoba to tak jest Analiza obiegu poszczególnych grap informacji i rozpoznawanie sys Przetwarzana informacji

Stworzenie znanymi metodami np DFD (diagramy w fermie graficznej) Trzeba narysować jak ta informacja w naszej firmie biega. Czasem wyniki sa zaskakujące Rysuje sie poszczególne komurki, przepływ info miedzy nimi i wtedy widać w prost gdzie widać, ze sa takie komureczło. które nikomu nie sa potizbene. Zyja w pewnym wyimaginowanym swiecie, albo me produkują informacji dla nikogo Co z tego wynika Należy sie zastanowić, czy należy chrome taka chora komprke czy tez może zlikwidować taka chora komporke w firmie. Wkraczają tutaj względy pozamerołeryczne Mozę my sugerujemy, ze trzeba obciac ta chora galaz a pozraej kłos me chce sie zgodzie na wyłączenie tej komodo.

-    Analiza zagrozen i ryzyka przetwarzania u; formacji

Traeba dla informacji chronionych prawem trzeba przeprowadzić audyt, czy sa one w tym momencie chronione.

• Ocena stosowania sys zab

Określenie wymiaru zagrozen

metoda drzewa zdarzeń metoda drzewa błędów

Głównym celem tych metod jest wyznaczenie niebezpieczeństwa Głownie bazujemy na mało prawdopodobnych danych. Wiec ten wynik tez bedzie mało wiarygodny Posługujemy sie miarami typu - mało prawdopodobne, dosc prawdopodobne, średnio, mocno, bardzo itd

-    metoda delficka

To jest metoda, która jest często wykorzystywana w metodach analizy ryzyka. Opiera sie na expertach Zbieramy pewna puk expertow z pewnej dziedziny rzucamy im beste zagrozen i maja wyrazie swoja oponę.

REALIZACJA POLITYKI BEZPIECZEŃSTWA

Co dokument powinien zawierać i jak to powinno wygladac wg licencjonowanej technologii

1.    Jakie informacje beda podlegać ochronie?

2.    Jakie systemy zostana objete polityka bezpieczeństwa?

3.    Jakie zadania realizowane przez w/w systemy maja zzwiazek z informacjami podlegającymi ochronie

4.    Kto jest uprawniony do korzystania z zasobow? - to wyjdzie po analizę zasobow i analizę ryzyka.

Jest kwestia tego kto powinien nuec do czego dostęp

5.    Na czym polega właściwie korzystanie z zasobow?

6.    Kto jest uprawniony do przedzielenia praw dostępu?

Z analizy może wynikać aby prawa dostępu były w sposob centralny. Ak należy rozgraniczyć 2 rzeczy. Kto mówi, jakie prawa koropu przysługują od implementacji w systemie Poznkj sie okazuje w systemie, ze użytkownik ma prawa ustanawiania praw dostępu do własnych zasobow

7.    Kto ma uprawnienia administrator?

TO jest bardzo istotna sprawa w systemie. Rozrue w rożnych firmach to wygłada Pewne grupy użytkowników, beda izadah wiecej uprawnień raz nn jest potrzebne. Niektórzy użytkownicy nie lubią byc ubezwłasnowolnieni Np szef chce nuec uprawnienia administracyjne • w takim wypadku nakzy napisać to w pohfyce i ostateczna odpowiedzialność przejmuje szef 8 Jaki jest zakres uprawnień i odpowiedzialności użytkowników?

TO wszystko musi byc w sposob jawny, czytelny w określonych regulaminach. Naczelna zasada powinno byc. ze wszystko co nie jest zabrnuone jest dozwolone, dłateog tez nakzy bardzo na to uważać 9. Jakie sa uprawnienia administratora w porównaniu do uprawnień zwykłych użytkowników

Jezeh user może zmieniać hasła to nakzy mu powiedzieć, jaki te hasła powinny byc, gdzie nie wolno ich zapisywać

TESTY PENETRACYJNE

Penetrację z gewnafr?

1.    Zbieranie informacji o mstytcjL Trzeba szukać imejscowieraa firmy, siea adresy, zakresy adresowe, o imionach nazwiskach, kontakty. Cała masę takich informacji można znakzc www. Często bywa tak. ze znamy tylko nazwę firmy Czasem mamy juz wszystkie te potrzebne ifhoframcje Te wszystkie informacje wydaja sie mało istotne. Ta faza nazywa sie rekonesans.

2.    Skanowanie przestrzeni adresowej sieci prywatnej - wykrywanie dostępnych serwerów, stacji roboczych, drukarek, routerów i ornych urządzeń Trzeba sie dowiedzieć jakie kompy funkcjonują (skanowanie adresów) W wiekszoso takie pmgowarae nam nie wyjdzie Wszystkie te techniki to sa zbiory narzędzi, których można potencjalnie uzyc Tych dziur w systemie jest większa, te dziury ciągle sa łatane. Chcąc uzyskać informacje trzeba posługiwać sie wieloma techrakaira. Jeden rodzaj nakłuwania. 2,3 az może wreszcie sie uda. To najbardziej czasochłonna czynność.

3.    Skanowanie siea telefonicznej - wykrywanie aktywnych moderoow sieci prywatnej.

Ta technika może byc jednocześnie zawarta w pkt 2 Często jest tak. ze cale wysilb biora w łeb, bo ktoś sobie w pokoju połączy prywatny modem I skanowanie tych nr Jesh mamy jakieś nr firmy istnieje duże prawdopodobieństwo, ze sąsiednie nr nakza do tej samej formy Zazwyczaj po gołdzmach pracy

4.    Skanowanie poctow, serwerów i urządzeń sieciowych - wykrywanie dostępnych usług

5.    Identyfikacja systemu - ustalenie rodzaju i wersji systemu, oprogramowania użytkownika, kont użytkowników Poprzez to oprogramowanie również można wejsc Rozpoznawanie zasobow, które sa udpostepraane Ale czasem bywaja złe zabezpieczone W tej fazie jeszcze nic me niszczymy

Narazie uzyskujemy informacje Po co jest identyfikacja? Najłsabszym elementem jest zawsze człowiek, wiec zdobycie kont użytkowników', zdobywanie ich haseł bedzie znacznie nam ułatwiało

6.    Symulacja włamania - standardowe włamanie, robimy tylko test nie niszczymy w drodze

doświadczenia

7.    Badanie odporności na ataki typu odmowa usługi (dema! of servioe) -uruchamianie exloitow

Jest cala masa takich pigraroow w i-neae Ale nie mesie to radosa. Jest to faza. która występuję bardzo często, to jest taka akt rozpaczy, jak sie nie uda wejsc hib wy ciągnąc informacji to wtedy wab sie taka palka expk?itow

Penetracte z wewnątrz

To sa techniki uniwersalne, czasem można prowadzić taka penetracje wewnątrz. Trzeba zbadać jak bedzie sie zachowywał nasz system w czasie przejmowania sesji. Dziś zajmujemy sie rozponawamem sesji. Technologia, metodytkami ataków będziemy sie zajmowali w połączeniu wykrywania włamań, które beda przędziw działahi

I    faza. - co może zidentyfikować agresor?

-nazwę domeny

-    bloki sieci

-    adresy 1P komputerów osiagłanych poprzez usługi dzialajace na zidentyfikowanych komputerach

-    architekturę i zainstalowany system operacyjny

-    mechanizmy kontrob dostępu i hsty kontroh dostępu.

-    używane protokoły

• numer)' lira telefonicznych

-    mechanizmy autoryzacji dla zdalnego dostępu

faza Analiza siea

-    identyfikacja nazw domen i siea

-    bazy danych whois

Do czego to może prowadzić Do przejmowania domen.

Badanie sied to końcowy etap rekonesansu - chodzi o odkrycie struktury siea Zobaczenia gdzie można dojsc w tej sieci, gdzie sie kończy nasze dojście, tracert

Jak sie bronie przed tym nakłuwaniem? FireWalł-e (istnieje jakaś czesaowa mozbwosc)

II    faza skanowanie.

emp echo -1 oczekiwanie czy uzyska sie odpowiedz Skuteczność tej metody jest coraz mniejsza

Najprostsza metoda, nic nie wymaga Ten sposob skanowania był b. powszechny i jest do tej pory łubiany i pojawiła sie cala masa programów, które polepszają mozbwosa skanowania przy pomocy tego pmga Mozbwosc określenia cyklów czasowych.

-    Tzw skanowanie połączeniowe - opiera sie na wykorz)^,staniu funkcji connect Jest to funkcja, która umożliwia nawiązanie połączenia pomiędzy gniazdem miedzy klientem a gniazdem serwera. Teraz jak ja obudujemy, to juz jest sprawa wtuina Technika bardzo prosta ale zostawia siady Później informacja o takich połączeniach może znalezc sie w logach systemowych

-    Skanowanie poł-otwarte - polega na analizowaniu odpowiedzi serwera na próby wstępnej inicjacji poleczenia TCP z okreslonynu gniazdkami serwera. DLaczego poi • otwarte, bo skaner nie nawiązuje połączenia do końca W pewnym momencie skaner stwierdza czy skaner jest otwarty ale tego połączenia me nawiązuje

Standdardowo do portu jest wysyłany pakiet RST. akceptacja połączenia i później potwierdzenie klienta W pol-otw nie robi sie potwierdzenia, wiec logi systemowe nie notują tego

Standardowy mechanizm może zawiezc

-    Skanowarae-slryie - które na pozer me ma rac wspólnego ze skanowaniem Bazuje na implementacji danego protokołu Pojawiaja sie różnice w pewnych niestandardowych kombinac jach pakietów A co sie stanie jak nastapta odstępstwa. Niektóre z tych odstępstw sa opisane w RFC. ale nie wszystkie.

usług pracuje w obu protokołach a niektóre tylko w poszczegołncyh Jak skanować otwarte porty UDP? Nie ma żadnych zwrotnych sygnałów i nic sie nie pojawia Wysyłając cos rac sie rae pojawia. Jak sprawdzać? Bo tez jest mozbwosc wejścia. Przy pomocy protokołu ICMP (echo to jedna z funkcji tego protokołu) popszez ten protokol można nakłuwać porty UDP.

Określenie systemu operacyjnego

-    telnet

-    badanie zestawu charakterystycznych portow

-    wg .zestawu usług

skład pakietów Windows np czysa pakiety zwracając, a Urax zostawia snuea w pakietach.

-    E-numeracja

Jest to proces wyszukiwania poprawnych kont użytkowników w systemie, oraz zasobow współdzielonych, złe zabezpieczonych Takie, o których roepowmiusmy sie dowiedzieć, ze istnieją. Enumeracja ma to do siebie, ze jest ona mocno zwiazana z systemem operacyjnym Dlatego, ze sposob przechowywania kort. o aplikacjach jest specyficzny dla rożnych systemów

Twarzenie pastel sesji:

net use\\I92 168 L2UPCJ ••/'user,—

Hantei SID (iTrtw» Id) -

identyfikator, który jest definiowany w momencie kiedy instalujemy' system Statystycznie jest on unikalny, jest on generowany Do SID jest doklejony RJD Chodzi nam o zdobycie kont użytkowników Wszystkie konta wbudowane maja pewna regule Można zapytać o identyfikator (domam users) albo. któraś z innych grup. I dostaniemy zwrotny identyfikator tej gr* *y a interesuje nas identufikator SID.

Wysyłając telnet na port 80 albo na ntne zawsze dostaniemy co tam siea (Apache czy cos innego)

W ten sposob każda usługę można odpytac.