VI –Bezpečnost podnikové infrastruktury 2. 5. 2014 – VIKMA07 - IM Potencionální nebezpečí uFormy ohrožení bezpečnosti: odposlech, modifikace přenášených dat, neoprávněný přístup do lokální sítě uOblast ochrany: udata (zajistit, aby je nemohl někdo získat, měnit či mazat) uvýpočetní kapacity jednotlivých uzlů v síti uomezování funkčnosti či narušování provozu některých služeb Formy útoku uPasivní útoky u„odposlouchávání “ dat - cílem získat nezveřejňované informace, které lze zneužít umonitorování provozu - analýzy takto provozovaných kontaktů uAktivní útoky umodifikace dat uvytváření falešných dat uaktivním útokům nelze zcela zabránit, ale lze je na rozdíl od pasivních útoků snadněji detekovat Rámcové oblasti zabezpečení podnikové sítě uzajištění důvěrnosti dat - pomocí šifrování celého komunikačního kanálu nebo jen vybraných citlivých dat uzajištění autentizace uživatelů sítě uzajištění integrity dat uzajištění neodmítnutelnosti zpráv - zajistit, aby odesílatel nemohl popřít odeslání zprávy a příjemce nemohl popřít přijetí zprávy upřiřazování přístupových práv - cílem je omezit (a řídit) přístup k počítači, datům a aplikacím, součástí je identifikace a autentizace toho, kdo žádá o přístup uzabezpečení dostupnosti síťových služeb - útokům na dostupnost služeb lze zabránit autentizací a šifrováním HW útoky ufyzické útoky ucílem je fyzické poškození síťového HW – přerušení kabeláže, vyřazení aktivních prvků, poškození HDD apod. uzáležitost zejména lokálních sítí LAN urušení signálu upomocí silného elektromagnetického zářiče blízko síťových rozvodů unarušení mikrovlnného spoje unemusí být úmyslné, o to hůře odhalitelné HW útoky uodposlechy ufyzické odposlechy (např. modemu nebo teoreticky i signálu v kabelu) uSW odposlech Ethernetu – sdílené médium doručí signál každému, kdo je připojen; postačí přepnout kartu do tzv. promiskuitního režimu (přijímá všechna data, nejen ta, která jí patří); přepínače komplikují tuto možnost uvyužívá se i při řešení problémů se sítí u SW útoky upomocí chyb v programech upřetečení zásobníku (stack overflow) – aplikace zapíše do paměti, kam normálně nemá přístup; vede k provedení útočníkova programu ochrana: aktualizace aplikace ubackdoor – přístup, který si vytvořil autor programu pro ladění aplikace; může později posloužit útočníkovi ochrana: může odhalit scanování SW útoky uútoky proti WWW uRozšířená forma útoku uDíky dostupnosti skriptovacích jazyků dnes web programuje „skoro každý“ uČasto pouze orientace na funkčnost, nedostatečné zabezpečení u uPodvržení identity uIP spoofing – do odchozích paketů je vkládána falešná (cizí nebo podvržená) IP adresa usource routing – varianta, útočník se vydává za důvěryhodný počítač, který předtím vyřadil pomocí DoS útoku u u DoS (Denial of Service) útoky uCíl útoku je vyřazen z provozu často formou zahlcení uMůže jít pouze o součást útoku či jeho zamaskování u uDoS útok pomocí nedokonalostí TCP/IP: uSYN flooding uútočník zahájí navázání TCP spojení (pošle paket SYN) ucíl potvrdí (SYN ACK) a alokuje pro otevírané spojení zdroje uútočník ale nedokončí navázání spojení, místo toho zahajuje otevírání dalších a dalších spojení ucíl postupně vyčerpá své zdroje a přestane přijímat žádosti o spojení od regulérních klientů uřešení: zkrátit dobu čekání na potvrzení navázaného spojení od klienta, alokovat pro ně zdroje až po potvrzení DoS (Denial of Service) útoky uLand attack – varianta SYN útoku, v žádosti o spojení je jako adresát i odesilatel uveden cílový stroj, ten se zahltí zasíláním potvrzení sám sobě uSmurf – zahlcení cíle ICMP pakety (ping), jejich zpracování mívá někdy přednost před běžným provozem; útočník pošle žádost o ping všem (broadcast) a jako odesilatele uvede cíl útoku uDNS útok – podobný předchozímu, jen místo ICMP používá DNS dotazy a odpovědi DoS (Denial of Service) útoky uDoS pomocí chyb v implementaci IP uPingOfDeath – odeslání příliš velkého paketu pomocí ping, nekontrolující příjemce se zhroutil uTeardrops – využívá chyby při skládání fragmentovaných paketů (posílá nekorektní fragmenty) DDoS – Distributed Denial of Service uDoS útok vedený souběžně z mnoha stanic una nezabezpečené počítače je distribuován útočný program (označován jako zombie), např. virem uv určitý čas útočník vzbudí zombie a pošle je současně na cíl umnoho různých variant, zejména v přístupu k synchronizaci zombie uobtížně se blokuje – zdrojů je příliš mnoho Útoky na servery DNS a směrovače uotrávení informace v cache – ukládání falešných informací do paměti serveru vede k tomu, že útočník může přesměrovat provoz na server pod správou útočníka uzměna dat – útočníci mohou využít slabiny některých verzí a pro uživatele DNS pozměnit některá data uodmítnutí služby – tento útok může znamenat problém v rámci celého internetu (nedostupnost) uúnos domény – útočníci mohou neoprávněně převzít registrační proces a tak unést legitimní domény Útoky na servery DNS a směrovače uKromě DNS jsou častými cíly útoků směrovače. Pokud nejsou zabezpečeny proti útokům zvenčí představují pro útočníky potenciální platformu pro vedení útoku. Při realizaci směrování je nutné zvážit všechny požadavky zabezpečení jednotlivých směrovačů a použít prvky s vhodnou hardwarovou podporou zabezpečení. Možná ochrana před útoky uautentizace uživatelů sítě uzabezpečení stanic – ochrana dat zbytku sítě (napadená stanice se stává nástrojem dalšího útoku) uzabezpečení provozu – sledování provozu sítě, vnitřní filtrování; nejnebezpečnější útoky jsou zevnitř uzabezpečení LAN – ochrana LAN před útoky z Internetu uzabezpečení na úrovni poskytovatele Firewall uTvoří ho ochranné složky jak hardwarové, tak softwarové, které dohromady tvoří ochrannou zeď mezi Internetem a podnikovou sítí. Firewall usměrovače – mezi podnikovou sítí a vnějším světem filtrují provoz, minimalizují možnost vnějších útoků udemilitarizovaná zóna – server nebo síť serverů přístupná zevnitř podnikové sítě i zvenku z Internetu – obsahuje potřebné servery WWW, SMTP, FTP a další. uNAT – překlad síťových IP adres privátních na veřejné a opačně v závislosti na směru komunikace Demilitarizovaná zóna je oddělena minimálně jedním směrovačem od veřejné sítě internet a minimálně jedním směrovačem od privátní podnikové sítě. Prvky v této oblasti mají veřejné IP adresy a jsou dostupné z obou stran Internetu i privátní sítě. Funkce firewall ufiltrace paketů – na úrovni síťové vrstvy, na základě zdrojové a cílové IP adresy uaplikační brána – zadržuje všechny pakety pro specifikované aplikace a chová se jako zástupný server (TELNET, FTP, SMTP…..), zjistí nejprve autentizaci zvnějšku a teprve potom povolí komunikaci se serverem v demilitarizované zóně uzástupný server – (proxy), ověřuje pakety z hlediska platnosti dat na aplikační úrovni před otevřením spojení. Zástupné servery mohou také ověřovat hesla a požadavky na služby uřízení přístupu – autentizační mechanismus pro ověření totožnosti uživatele na základě hesla a jeho autorizace pro užívání požadovaných služeb ušifrování zpráv – zabezpečení přenosu informací (jmen, hesel, dat …) Proxy uDruhá generace obranných zdí ve formě zástupných serverů dokáže využít filtrace na základě IP i na základě některých aplikací. Včlenění mezi klienta a server však značně zpomaluje komunikaci. Zástupný server stojí mezi klientem a reálným světem v síti. Klient vysílá požadavky směrem k cílovému serveru, ale požadavek se dostává k proxy. Ten požadavek zváží a rozhodne zda je oprávněný nebo ne a zda jej pošle k cíli. Řízení přístupu uAutentizace uJe ověřování a potvrzování totožnosti uživatelů komunikujících stran. Autentizace může vést k jednoznačné identifikaci – kdo je?, nebo verifikaci – je ten, kdo tvrdí, že je? na základě zadaných údajů do autentizačního systému. uMožnosti ověření totožnosti: ukdo jsou – jednoznačné ukazatel jako otisky prstů, dlaní atd., jsou sice jednoznačné ovšem velmi nákladné uco mají – identifikace podle předmětů – karty, klíče atd., jednodušší možnost ověření, náchylnost ke ztrátám, krádežím … uco znají – identifikace podle hesel, číselných kombinací, osobních identifikačních čísel atd. Řízení přístupu uAutorizace uPo úspěšné autentizaci může být udělena autorizace pro používání zdrojů a služeb. Autorizace specifikuje jaké operace se mohou prováděl a jaká data jsou dostupná uÚčtování uZodpovídá za záznam všech činností uživatele v systému.