1

Bezpieczeństwo Systemów Sieciowych

dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/

dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl

BSS - v2013

Organizacja zajęć

Wykład: 2godz. / tydzień (1 semestr)

Laboratorium: 2godz. / tydzień (1 semestru)

2 BSS - v2013

Rozliczenie zajęć

Wykład:

test wyboru, 24 pytania, ZAL >= 60%

2 punkty za 2 obecności na wykładzie

Laboratorium:

ćwiczenia zgodne z:

MACIEJ SZMIT (RED.), SŁAWOMIR ADAMUS, SEBASTIAN BUGAŁA

ĆWICZENIA LABORATORYJNE Z BEZPIECZEŃSTWA SYSTEMÓW

SIECIOWYCH DLA STUDENTÓW STUDIÓW I STOPNIA KIERUNKU

INFORMATYKA

WYDAWNICTWO POLITECHNIKI ŁÓDZKIEJ 2011

3 BSS - v2013

Plan zajęć laboratoryjnych

Flooding (MAC)

Spoofing (ARP, DNS)

DHCP snooping

Zapory sieciowe – techniki, filozofia

Ataki na SSL (+ kryptografia, przeglądarki WWW)

PKI + certyfikaty

VPN

IDS, IPS

DoS

Ataki na DNS

Testy penetracyjne

SQL Injection, Cross Site Scripting

Watering Hole, Drive-by download

Sandbox, Honeypot

Botnet

Sieć TOR

4 BSS - v2013

Plan wykładu

Zagadnienia: Systemy informatyczne vs Systemy sieciowe

Normy, standardy, raporty techniczne (w tym ISO i OSI)

Zagrożenia bezpieczeństwa

Metody przeciwdziałania zagrożeniom:

Dedykowane urządzenia,

Oprogramowanie,

Protokoły i standardy,

Kryptografia,

Polityka bezpieczeństwa,

Inne (pomysły, koncepcje, rozwiązania kompleksowe).

5 BSS - v2013

Plan wykładu

Omawianie zagadnień: Poziom zagrożenia

Rodzaj / Typ zagrożenia

Warstwa modelu OSI

Od ogólnej filozofii firmy / instytucji, poprzez politykę bezpieczeństwa po szczegółowe rozwiązania pozwalające ją realizować.

6 BSS - v2013

warstwa aplikacji

warstwa prezentacji

warstwa sesji

warstwa transportowa

warstwa sieciowa

warstwa łącza danych

warstwa fizyczna

Normy, standardy, raporty techniczne

Normy, standardy, raporty techniczne: ISO 27001 Wymagania

ISO 17799 (ISO 27002) Wytyczne

ISO TR 13355 Wytyczne IT

BS 7799-3 Ocena ryzyka

BS 25999 Ciągłość działania

PAS 56 Ciągłość działania

ISO/IEC 18028 IT Network Security

BSS - v2013 7

8

Zarządzanie sieciami komputerowymi

Kluczowe obszary zastosowania systemów zarządzania sieciami określone przez OSI:

Zarządzanie wydajnością

Zarządzanie uszkodzeniami,

nieprawidłowościami

Zarządzanie kosztami

Zarządzanie konfiguracją i oznaczeniami

Zarządzanie bezpieczeństwem

BSS - v2013

BSS - v2013

Internet w statystykach

http://www.internetworldstats.com/stats.htm

9

BSS - v2013

Internet w statystykach

http://www.internetworldstats.com/stats.htm

10

BSS - v2013

Czy jest potrzeba edukacji w zakresie BSS?

Podstawowe zagadnienia związane z bezpieczeństwem sieci

komputerowych są ważne nie tylko dla osób pracujących w tej

specjalności.

Pracownik musi być świadomy zagrożeń.

http://www.bezpiecznypracownik.pl/

Systemy sieciowe (informatyczne) są powszechne stąd dla

pracownika działu IT konieczność zrozumienia:

zasad działania,

zagrożeń,

metod przeciwdziałania zagrożeniom.

11

BSS - v2013 12

Zagrożenia danych

Przechwycenie

Internet

BSS - v2013 13

Zagrożenia danych

Przerwanie

Internet

BSS - v2013 14

Zagrożenia danych

Fabrykacja

Internet

BSS - v2013 15

Zagrożenia danych

Usunięcie, zniszczenie

Internet

BSS - v2013 16

Zagrożenia danych

Modyfikacja

Internet

Typy sieci

BSS - v2013 17

Zamknięte

Otwarte

Zróżnicowanie zagrożeń

BSS - v2013 18

Advanced Persistent Threat

Modele bezpieczeństwa sieci

BSS - v2013 19

Otwarty Restrykcyjny Zamknięty

BSS - v2013 20

Najistotniejsze cechy bezpiecznej transmisji danych

Poufność.

Uwierzytelnianie (i autoryzacja).

Autentyczność wiadomości.

Integralność wiadomości.

Czy ataki są popularne? (wymagana wiedza intruza)

BSS - v2013 21

„Cyber attacks have become common occurrences. The companies in our study experienced

41 successful attacks per week or 1.1 successful attacks per organisation per week.”

2012 Cost of Cyber Crime Study, Sponsored by HP Enterprise Security Independently conducted by Ponemon Institute LLC, Publication Date: October 2012

Cisco CCNA Security

Czy ataki są groźne / kosztowne?

BSS - v2013 22

2012 Cost of Cyber Crime Study, Sponsored by HP Enterprise Security Independently conducted by Ponemon Institute LLC, Publication Date: October 2012

(more than 1,000 enterprise seats)

Czy ataki są groźne / kosztowne?

BSS - v2013 23

2012 Cost of Cyber Crime Study, Sponsored by HP Enterprise Security Independently conducted by Ponemon Institute LLC, Publication Date: October 2012

(more than 1,000 enterprise seats)

Kto i kogo atakuje?

BSS - v2013 24

Kto może być zagrożony?

Kto stoi za atakami?

Przykłady (10-najbardziej-kosztownych-atakow-hakerskich)

2011 Citigroup Inc. traci numery rachunków ponad 360 tys. Amerykanów. Niepełne dane kart kredytowych. Straty oszacowano na 2,7 mln dolarów.

2005 Titan Rain atakuje amerykańskie wojsko. Informacje dotyczące budowy samolotów, oprogramowanie do planowania tras przelotu.

2008 Heartland Payment Systems - 100 mln kart kredytowych zagrożonych przez cyberprzestępców. 175 tys. sklepów i restauracji w Stanach Zjednoczonych. Straty oceniono na 140 mln dolarów.

2007 Sieć supermarketów Hannaford Brothers straciła ponad 250 mln USD. Straciła numery ok. 4,2 mln kart kredytowych i debetowych należących do klientów sklepów.

2007 TJX - właściciel TJ Maxx i Marshalls na łasce hakerów przez półroku Przychwytywanie przepływających przez sieć danych (numery i hasła kart kredytowych). Wykradziono dane prawie 45 milionów osób. Straty wg firmy to 256 milionów dolarów. Łączne straty mogły wynieść nawet 4.5 miliarda dolarów.

BSS - v2013 25

Przykłady (10-najbardziej-kosztownych-atakow-hakerskich)

Sven Jaschan - nastoletni Niemiec komputerowym sabotażystą

2004, 17-letni Niemiec Sven tworzy wirusa Sasser. Oprogramowanie wykorzystało dziurę w usłudze Local Security Authority Subsystem Service systemu Windows. Straty oceniono na 0,5 mld dolarów.

Michael Calce - Mafiaboy atakuje wielkie koncerny

2000, Amazon, eBay, Yahoo, Dell, E-trade oraz CNN atak DoS, Michael Calce, nastolatek o pseudonimie Mafiaboy z okolic Montrealu. Straty - 1,2 mld dolarów.

PlayStation Network traci nawet 2 mld USD

2012, Dane kart kredytowych, informacje personalne i kontaktowe blisko 77 mln użytkowników, loginy i hasła, atak na sieć PlayStation Network. Straty mogły sięgnąć od 1 do 2 mld dolarów.

Atak na Epsilon - utrata danych klientów ponad 50 firm

2011, Epsilon kampanie reklamowe, Epsilon, utrata danych klientów ponad 50 firm: sklepy Target i Best Buy, hotele Mariot i Hilton oraz telewizja kablowa TiVo. Straty od 225 mln do 4 mld USD.

BSS - v2013 26

Przykłady (10-najbardziej-kosztownych-atakow-hakerskich)

Wysadzenie przez CIA syberyjskiego gazociągu w 1982 roku.

CIA jest odpowiedzialna za potężną eksplozję gazociągu na Syberii w 1982 roku. Swego czasu "The Washington Post" informował, że amerykańska agencja, wykorzystując dążenia ZSRR do pozyskania zachodniej technologii, wysłała do Moskwy uszkodzone oprogramowanie komputerowe, które w efekcie doprowadziło do eksplozji. W wyniku wybuchu nikt nie zginął, jednak zachwiał on radziecką gospodarką. Plan CIA został zatwierdzony przez ówczesnego prezydenta Ronalda Raegana i był częścią "gospodarczej zimnej wojny". Amerykanie stworzyli komputerowy program, który miał kierować pracą pomp i turbin, by w efekcie doprowadzić do wzrostu ciśnienia i uszkodzić cały gazociąg.

BSS - v2013 27

http://www.biznes.banzaj.pl/10-najbardziej-kosztownych-atakow-hakerskich-34040.html

Kategorie ataków

BSS - v2013 28

Rekonesans (rozpoznanie)

BSS - v2013 29

• Informacje o firmie,

korporacji:

nslookup, whois

• Detekcja działających

jednostek.

• Skanowanie portów.

• Detekcja systemu i usług.

• Przechwycenie pakietów.

Dostęp

Atak typu „dostęp” wykorzystuje wykryte podatności do przejęcia kontroli nad wybranym zasobem, usługą, systemem:

Hasła.

Wykorzystanie zaufania (poprzez zaufane, słabiej chronione jednostki do zasobów silniej chronionych).

Man-in-the-middle.

Inżynieria społeczna, w tym:

Phishing

BSS - v2013 30

Dostęp - Wykorzystanie zaufania

BSS - v2013 31

subinterfaces, trunk

OUTSIDE

212.191.89.128 / 25

172.18.0.0 / 16

79.96.21.160 / 28

outside

security-level 0

dmz

security-level 50

10.10.0.0 / 16

VLAN Dyrekcja

sec.lev.8510.20.0.0 / 16

VLAN Pracownicy

sec.lev.80

10.2.0.0 / 16

VLAN Admin

sec.lev.95

DoS

Zablokowanie usług poprzez:

Łącza transmisyjne (przerwanie, przeciążenie)

Urządzenia sieciowe (konfiguracja, przeciążenie)

Systemy operacyjne (przepełnienie buforów)

Serwery (przeciążenie)

Usługi (przeciążenie, przepełnienie buforów)

BSS - v2013 32

DDoS (Distributed Denial of Service)

BSS - v2013 33

Atak DDoS = DoS z wielu punktów sieci.

Szkodniki (Malware)

Robaki

Wirusy

Konie trojańskie

BSS - v2013 34

Szkodniki (Malware)

viruse

worm

trojan horse

ransomware

rootkit

exploit

keylogger

dialer

spyware

adware

malicious BHOs

backdoor

rogue security software

BSS - v2013 35

Typy ataków

BSS - v2013 36

(more than 1,000 enterprise seats)

2012 Cost of Cyber Crime Study, Sponsored by HP Enterprise Security Independently conducted by Ponemon Institute LLC, Publication Date: October 2012

2012 Cost of Cyber Crime Study, Sponsored by HP Enterprise Security Independently conducted by Ponemon Institute LLC, Publication Date: October 2012

Typy ataków / koszty

BSS - v2013 37

(more than 1,000 enterprise seats)

Konsekwencje ataków

BSS - v2013 38

• Zakłócenie działalności

• Spadek wydajności

• Utrata prywatności

• Kradzież informacji

• Odpowiedzialność karna

• Utrata reputacji i zaufania klientów

Dziedziny bezpieczeństwa systemów informatycznych

BSS - v2013 39

• Określenie istotnych aktywów / zasobów

• Ocena ryzyka

• Polityka bezpieczeństwa

• Organizacja bezpieczeństwa informacji

• Zarządzanie kapitałem

• Bezpieczeństwo zasobów ludzkich

• Bezpieczeństwo fizyczne i środowiskowe

• Bezpieczeństwo komunikacji i operacji

• Kontrola dostępu

• Bezpieczeństwo systemów informatycznych (tworzenie i utrzymanie)

• Zarządzanie incydentami

• Zarządzanie ciągłością działania

• Weryfikacja zgodności z PB, standardami i prawem

Kto zaangażowany w ochronę?

BSS - v2013 40

Zagrożone obszary IT

Sprzęt

Oprogramowanie

Sieć komputerowa

System operacyjny

Bazy danych

Serwery i hosty

BSS - v2013 41

http://www.brandonline.pl/2010/04/

Polityka Bezpieczeństwa

Aby przygotować PB należy:

Określić cele bezpieczeństwa korporacji / organizacji (co jest ważne, cenne, kluczowe dla korporacji / organizacji).

Udokumentować zasoby, które mają być chronione (identyfikacja aktywów).

Określić infrastrukturę sieciowa z obecnymi mapami i wyposażeniem (identyfikacja aktywów).

Określić krytyczne zasoby, które mają być chronione (np. badania i rozwój, finanse, zasoby ludzkie) i przed czym - ocena / analiza ryzyka (analiza podatności, zagrożeń, stopień ryzyka).

BSS - v2013 42

Polityka bezpieczeństwa

Co chronić,

przed czym chronić,

(szacowanie ryzyka)

BSS - v2013 43

BSS – proces ciągły!

BSS - v2013 44

Security policy

Security Wheel

BSS – proces ciągły!

Po opracowaniu PB można na niej oprzeć

(ustawiając ją w centrum) czteroetapowe koło

bezpieczeństwa:

Zabezpiecz

Monitoruj

Testuj

Popraw / usprawnij

BSS - v2013 45

Zabezpiecz

Zabezpiecz system używając przede wszystkich poniższych rozwiązań:

Obrona przed zagrożeniami: Stateful Inspection i packet filtering

Intrusion Detection Systems

Intrusion Prevention Systems

Vulnerability patching (łatanie podatności)

Ochrona połączeń: Virtual Private Networks (VPNs)

Zaufanie i uwierzytelnianie: Authentication (uwierzytelnianie)

Policy enforcement (egzekwowanie PB)

BSS - v2013 46

IDS vs IPS

BSS - v2013 47

Monitoruj

Monitoruj bezpieczeństwo za pomocą: metod aktywnych (np. analiza log’ów),

pasywnych (IDS)

Sprawdzasz czy wdrożony system działa prawidłowo!

BSS - v2013 48

Testuj

Szukaj, testuj podatności, słabych punktów

Prowadzać audyt bezpieczeństwa

BSS - v2013 49

Popraw / usprawnij

Analiza danych z fazy Monitoruj i Testuj.

Opracuj udoskonalenia, które trafia do PB oraz fazy Zabezpiecz.

Opracuj nowe rozwiązania, które trafia do PB oraz fazy Zabezpiecz.

Proce ciągły! Codziennie nowe zagrożenia.

BSS - v2013 50

51

KONIEC

BSS

BSS - v2013