NETWORKING tworzenie połączeń sieciowych · gniazda UDP, TCP · klasy transportowe
Not Almanach short-cut within Networking (in Polish)
-
Upload
tomaszpelczar -
Category
Education
-
view
133 -
download
0
Transcript of Not Almanach short-cut within Networking (in Polish)
Wydział Fizyki, Astronomii i Informatyki Stosowanej
Praca magisterska
Badanie bezpieczeństwa informacji i usług dla sieci w instytucji
Tomasz Stanisław Pelczar
Kraków 2012
Plan wystąpienia:
1. Wprowadzenie
2. Bezpieczeństwo a Internet
3. Systemy firewall i ich zastosowanie
4. Zabezpieczenia przed uszkodzeniami i utratą danych
5. Eksperyment obliczeniowy zrealizowany przy użyciu autorskiego
narzędzia programowego
6. Wnioski i podsumowanie
1. Wprowadzenie
Bezpieczeństwo jest fundamentalnym aspektem korzystania z wszelkiego typu usług związanych z komputerem (edycja tekstu, przetwarzanie danych, komunikacja itp.).
Utrata danych może być nie tylko koniecznością powtarzania wielu prac programistycznych, planistycznych, inżynierskich, prototypowych, modelowych, walidacyjnych, statutowych czy organizacyjnych, ale nawet przyczyną upadku firmy i wielką stratą finansową.
Włamanie do systemu komputerowego jest utożsamiane z kradzieżą danych lub uszkodzeniem portalu, które mogą na długo zablokować lub uniemożliwiać rozwój gospodarczo-ekonomiczny w danym sektorze produkcyjnym.
Zarówno włamania, jak i utraty danych, są przyczyną utraty klientów przedsiębiorstwa a co za tym idzie mogą doprowadzić do bankructwa oraz utraty ogromnej ilości czasu dla wszystkich.
1. Wprowadzenie
Celem pracy była:
- prezentacja podstawowych metod zabezpieczenia systemów komputerowych,
- charakterystyka przybliżająca kluczowych kwestii z punktu widzenia całej infrastruktury sieciowej modelu ISO/OSI (TCP/IP),
- prezentacja technik ochrony danych dla poszczególnej warstwy,
- napisanie programu, pozwalającego na ocenę zabezpieczenia systemów sieciowych dla całego danego systemu autonomicznego dowolnego typu instytucji,
- sprawdzenie poprawności oceny bezpieczeństwa przy użyciu tego programu.
2. Bezpieczeństwo a Internet
Internet jest jednym z głównych współczesnych mediów,
służących do wymiany danych, sprzedaży, kupna, informowania itp.
Stąd też bezpieczeństwo Internetu jest podstawą jego działania.
Podstawowe zagrożenia to:
włamanie do systemu komputerowego,
kradzież komputera wraz z danymi czy kopii zapasowej,
utrata niejawności informacji, zwłaszcza informacji sklasyfikowanych wynikających z zaniedbań w przekazywaniu haseł czy materiałów zużytych i uszkodzonych,
utrata integralności informacji na drodze nielegalnej modyfikacji danych poprzez np. szkodliwe oprogramowanie, podmianę sprzętu, spoofing czy monitorowanie sieci zdalnej,
utrata dostępności do usług systemu i do informacji.
2. Bezpieczeństwo a Internet
Dla bezpieczeństwa połączeń sieci lokalnych z Internetem
można stosować na przykład systemy typu firewall (tzw. ściany
ogniowe) sprzętowe lub programowe. Stosowane są też różne
metody szyfrowania danych przy pomocy współczesnych
algorytmów (DES, IDEA, RSA, DSA, RC2,RC4 etc) czy PGP.
Bezpieczeństwo połączeń sieci lokalnych z Internetem
może też być zagwarantowane przy użyciu specjalnych
protokołów sieciowych, takich jak: SSH (ang. Secure Shell),
OpenSSH, SHTTP (ang. Secure HTTP), PCT (ang. Private
Communication Technology), SSL (ang. Secure Socket Layer),
TSL (ang. Transport Layer Security) czy DNSsec.
Przykładowe zastosowanie systemu typu Firewall :
3. Systemy Firewall i ich zastosowanie
3. Systemy Firewall i ich zastosowanie
Zasada działania systemów Firewall polega na filtrowaniu
wszystkich datagramów IP, segmentów TCP, UDP, DNS, FTP,
HTTP, ICMP, TFTP, Telnet, SNMP, IGMP (etc) wchodzących oraz
wychodzących do/z lokalnych sieci komputerowych przyłączanych
do Internetu. Filtrowane są następujące dane:
- nagłówki pakietów,
- dane, które są w treści pakietów (szukanie wirusów, spamu itp.),
- adresy pochodzenia danych oraz zmierzania danych,
- porty sesji i aplikacji, używanych do przesyłania danych.
3. Systemy Firewall i ich zastosowanie
Przykład bardziej zaawansowanego zastosowania systemu
Firewall możliwy do stosowania dla sieci mobilnych i zdalnych :
4. Zabezpieczenia przed uszkodzeniami i utratą danych
Dla zabezpieczenia przed uszkodzeniami i utratą danych
stosuje się:
zabezpieczenia kryptograficzne jak na przykład standard blokowego szyfrowania danych DES, FEAL czy RC5, algorytmy z kluczem publicznym jak RSA, Pohlinga-Hellmana czy ElGamala czy też algorytmy wymiany kluczy Diffiego-Hellmana,
certyfikaty bezpieczeństwa jak protokół X.509 łączący stosowanie kryptografii z kluczem publicznym czy Verisign działający na zasadzie podpisu elektronicznego,
systemy backup, które zabezpieczają przed utratą danych np. pożaru czy mechanicznego uszkodzenia automatycznie zapisując dane na taśmach, płytach czy dyskach zewnętrznych,
macierze RAID (ang. Redundant Array of Independent Disks) czyli współpraca dwóch lub więcej dysków dla efektów IT.
5. Eksperyment obliczeniowy zrealizowany przy użyciu autorskiego narzędzia programowego
W ramach eksperymentu obliczeniowego został napisany
system w języku C++, którego celem była ocena istniejącej sieci
lokalnej pod kątem zabezpieczeń informacji i usług ważnych z
punktu widzenia każdego typu wielkości systemu autonomicznego
czyli systemów firewall, logowania do systemu i komunikacji
telefonicznej, systemu przeciwpożarowego oraz monitoringu etc.
Na podstawie danych udzielanych przez administratora można
dokonać praktycznej oceny bezpieczeństwa sieci i zaproponować
metodę zwiększenia bezpieczeństwa systemu.
5. Eksperyment obliczeniowy zrealizowany przy użyciu autorskiego narzędzia programowego
Przykładowe określanie jakości systemu przeciwpożarowego w
budynku z sieciami lokalnymi :
5. Eksperyment obliczeniowy zrealizowany przy użyciu autorskiego narzędzia programowego
Przykładowe badanie jakości systemu firewalla sprzętowego dla
sieci lokalnych :
5. Eksperyment obliczeniowy zrealizowany przy użyciu autorskiego narzędzia programowego
Przykładowe badanie jakości systemu firewalla programowego dla
sieci lokalnych :
5. Eksperyment obliczeniowy zrealizowany przy użyciu autorskiego narzędzia programowego
Przykładowe badanie jakości systemu haseł i passwordów dla sieci
lokalnych :
5. Eksperyment obliczeniowy zrealizowany przy użyciu autorskiego narzędzia programowego
Przykładowe badanie jakości zdalnego logowania do systemu
dla sieci lokalnych :
5. Eksperyment obliczeniowy zrealizowany przy użyciu autorskiego narzędzia programowego
Przykładowe badanie jakości wykonywania bezpiecznego
telefonu do systemu :
5. Eksperyment obliczeniowy zrealizowany przy użyciu autorskiego narzędzia programowego
Przykładowe badanie jakości wykonywania monitoringu
systemowego budynku i okolic :
5. Eksperyment obliczeniowy zrealizowany przy użyciu autorskiego narzędzia programowego
W ramach eksperymentu zostały przeprowadzone badania
zabezpieczeń 3 instytucji:
1) szkoły ponadpodstawowej (gimnazjum)
2) wyższej szkoły w Krakowie
3) małej firmy produkcyjnej zatrudniającej 200 osób.
Ad 1) Przyjęto, że szkoła posiada 2 sale po 20 stanowisk, sieć
WiFi, dwa przełączniki 24 portowe oraz router WiFi. Uzyskane
wyniki dla szkoły przedstawiono na poniższym slajdzie.
5. Eksperyment obliczeniowy zrealizowany przy użyciu autorskiego narzędzia programowego
Uzyskane wyniki dla szkoły ponadpodstawowej :
- stwierdzono, że system jest dość dobrze zabezpieczony.
5. Eksperyment obliczeniowy zrealizowany przy użyciu autorskiego narzędzia programowego
Ad 2) W przypadku wyższej uczelni przyjęto, że system posiada:
kilka sal po 24 komputery, 6 przełączników, 1 router firmy
Linksys, firewall sprzętowy firmy Cisco, system monitorowania
sal ćwiczeniowych.
Stwierdzono, że system jest zabezpieczony w 81%, co oznacza,
że system dobrze zabezpieczony. Tym niemniej można
poprawić jego stopień bezpieczeństwa przez integrację
obydwóch firewalli.
5. Eksperyment obliczeniowy zrealizowany przy użyciu autorskiego narzędzia programowego
Uzyskane wyniki estymacji obliczeniowej na podstawie
przeliczenia wszystkich parametrów dla wyższej uczelni
5. Eksperyment obliczeniowy zrealizowany przy użyciu autorskiego narzędzia programowego
Ad 3) W przypadku małej firmy produkcyjnej liczącej 200
pracowników sieć posiada: 120 komputerów, 8 przełączników, 3
routery. System nie posiadał żadnych firewalli programowych.
Stwierdzono, że system jest zabezpieczony w 91%. Może być
poprawione bezpieczeństwo systemu poprzez instalację (lub
reinstalację) systemów firewalli sprzętowego i programowego.
.
.
5. Eksperyment obliczeniowy zrealizowany przy użyciu autorskiego narzędzia programowego
Uzyskane wyniki obliczeniowe dla małej firmy produkcyjnej
zatrudniającej około 200 osób :
.
.
5. Wnioski i podsumowanie
Bezpieczeństwo w sieciach komputerowych można zamknąć
na zasadzie optymalizacji, automatyzacji, elastyczności i precyzji
działania oraz zastosowania kryptografii, algorytmów szyfrowania z
kluczami symetrycznymi i publicznymi, podpisem cyfrowym,
zarządzaniem kluczami publicznymi, bezpieczeństwem
komunikacji (Ipsec, ściany ogniowe etc), protokołami
uwierzytelniania, bezpiecznej poczcie elektronicznej, bezpiecznym
stronom WWW ze szczególna uwaga na ruchomy kod i wysokiej
jakości baz danych.
5. Wnioski i podsumowanie
Najbezpieczniejszym zachowaniem i profilaktyką jest standardowy
certyfikowany firewall, brak dostępu dla podmiotów z zewnątrz ze
zdalnymi urządzeniami, zasłony dymne dla kluczowych informacji lub
urządzeń, sprawdzone oprogramowanie, znane strony i pośrednicy
usługi WWW oraz regularne kopie zapasowe na wytrzymałych
nośnikach jakie są możliwe na przykład dzięki zastosowaniu materiałów
grafenowych, który zachowuje przy tym cechy doskonałego medium.
Napisane narzędzie programowe pozwala w sposób mierzalny na
podstawie analizy sieci na stwierdzenie, w jakim stopniu jest on
zabezpieczony. System umożliwia przeprowadzenie ulepszenie systemu
poprzez dokonanie zmian, które podnoszą jego bezpieczeństwo.
Dziękuję za uwagę