Not Almanach short-cut within Networking (in Polish)

Wydział Fizyki, Astronomii i Informatyki Stosowanej

Praca magisterska

Badanie bezpieczeństwa informacji i usług dla sieci w instytucji

Tomasz Stanisław Pelczar

Kraków 2012

Plan wystąpienia:

1. Wprowadzenie

2. Bezpieczeństwo a Internet

3. Systemy firewall i ich zastosowanie

4. Zabezpieczenia przed uszkodzeniami i utratą danych

5. Eksperyment obliczeniowy zrealizowany przy użyciu autorskiego

narzędzia programowego

6. Wnioski i podsumowanie

1. Wprowadzenie

Bezpieczeństwo jest fundamentalnym aspektem korzystania z wszelkiego typu usług związanych z komputerem (edycja tekstu, przetwarzanie danych, komunikacja itp.).

Utrata danych może być nie tylko koniecznością powtarzania wielu prac programistycznych, planistycznych, inżynierskich, prototypowych, modelowych, walidacyjnych, statutowych czy organizacyjnych, ale nawet przyczyną upadku firmy i wielką stratą finansową.

Włamanie do systemu komputerowego jest utożsamiane z kradzieżą danych lub uszkodzeniem portalu, które mogą na długo zablokować lub uniemożliwiać rozwój gospodarczo-ekonomiczny w danym sektorze produkcyjnym.

Zarówno włamania, jak i utraty danych, są przyczyną utraty klientów przedsiębiorstwa a co za tym idzie mogą doprowadzić do bankructwa oraz utraty ogromnej ilości czasu dla wszystkich.

1. Wprowadzenie

Celem pracy była:

- prezentacja podstawowych metod zabezpieczenia systemów komputerowych,

- charakterystyka przybliżająca kluczowych kwestii z punktu widzenia całej infrastruktury sieciowej modelu ISO/OSI (TCP/IP),

- prezentacja technik ochrony danych dla poszczególnej warstwy,

- napisanie programu, pozwalającego na ocenę zabezpieczenia systemów sieciowych dla całego danego systemu autonomicznego dowolnego typu instytucji,

- sprawdzenie poprawności oceny bezpieczeństwa przy użyciu tego programu.


Internet jest jednym z głównych współczesnych mediów,

służących do wymiany danych, sprzedaży, kupna, informowania itp.

Stąd też bezpieczeństwo Internetu jest podstawą jego działania.

Podstawowe zagrożenia to:

włamanie do systemu komputerowego,

kradzież komputera wraz z danymi czy kopii zapasowej,

utrata niejawności informacji, zwłaszcza informacji sklasyfikowanych wynikających z zaniedbań w przekazywaniu haseł czy materiałów zużytych i uszkodzonych,

utrata integralności informacji na drodze nielegalnej modyfikacji danych poprzez np. szkodliwe oprogramowanie, podmianę sprzętu, spoofing czy monitorowanie sieci zdalnej,

utrata dostępności do usług systemu i do informacji.


Dla bezpieczeństwa połączeń sieci lokalnych z Internetem

można stosować na przykład systemy typu firewall (tzw. ściany

ogniowe) sprzętowe lub programowe. Stosowane są też różne

metody szyfrowania danych przy pomocy współczesnych

algorytmów (DES, IDEA, RSA, DSA, RC2,RC4 etc) czy PGP.

Bezpieczeństwo połączeń sieci lokalnych z Internetem

może też być zagwarantowane przy użyciu specjalnych

protokołów sieciowych, takich jak: SSH (ang. Secure Shell),

OpenSSH, SHTTP (ang. Secure HTTP), PCT (ang. Private

Communication Technology), SSL (ang. Secure Socket Layer),

TSL (ang. Transport Layer Security) czy DNSsec.

Przykładowe zastosowanie systemu typu Firewall :

3. Systemy Firewall i ich zastosowanie


Zasada działania systemów Firewall polega na filtrowaniu

wszystkich datagramów IP, segmentów TCP, UDP, DNS, FTP,

HTTP, ICMP, TFTP, Telnet, SNMP, IGMP (etc) wchodzących oraz

wychodzących do/z lokalnych sieci komputerowych przyłączanych

do Internetu. Filtrowane są następujące dane:

- nagłówki pakietów,

- dane, które są w treści pakietów (szukanie wirusów, spamu itp.),

- adresy pochodzenia danych oraz zmierzania danych,

- porty sesji i aplikacji, używanych do przesyłania danych.


Przykład bardziej zaawansowanego zastosowania systemu

Firewall możliwy do stosowania dla sieci mobilnych i zdalnych :

4. Zabezpieczenia przed uszkodzeniami i utratą danych

Dla zabezpieczenia przed uszkodzeniami i utratą danych

stosuje się:

zabezpieczenia kryptograficzne jak na przykład standard blokowego szyfrowania danych DES, FEAL czy RC5, algorytmy z kluczem publicznym jak RSA, Pohlinga-Hellmana czy ElGamala czy też algorytmy wymiany kluczy Diffiego-Hellmana,

certyfikaty bezpieczeństwa jak protokół X.509 łączący stosowanie kryptografii z kluczem publicznym czy Verisign działający na zasadzie podpisu elektronicznego,

systemy backup, które zabezpieczają przed utratą danych np. pożaru czy mechanicznego uszkodzenia automatycznie zapisując dane na taśmach, płytach czy dyskach zewnętrznych,

macierze RAID (ang. Redundant Array of Independent Disks) czyli współpraca dwóch lub więcej dysków dla efektów IT.

5. Eksperyment obliczeniowy zrealizowany przy użyciu autorskiego narzędzia programowego

W ramach eksperymentu obliczeniowego został napisany

system w języku C++, którego celem była ocena istniejącej sieci

lokalnej pod kątem zabezpieczeń informacji i usług ważnych z

punktu widzenia każdego typu wielkości systemu autonomicznego

czyli systemów firewall, logowania do systemu i komunikacji

telefonicznej, systemu przeciwpożarowego oraz monitoringu etc.

Na podstawie danych udzielanych przez administratora można

dokonać praktycznej oceny bezpieczeństwa sieci i zaproponować

metodę zwiększenia bezpieczeństwa systemu.


Przykładowe określanie jakości systemu przeciwpożarowego w

budynku z sieciami lokalnymi :

Jerzy Martyna


Przykładowe badanie jakości systemu firewalla sprzętowego dla

sieci lokalnych :


Przykładowe badanie jakości systemu firewalla programowego dla

sieci lokalnych :


Przykładowe badanie jakości systemu haseł i passwordów dla sieci

lokalnych :


Przykładowe badanie jakości zdalnego logowania do systemu

dla sieci lokalnych :


Przykładowe badanie jakości wykonywania bezpiecznego

telefonu do systemu :


Przykładowe badanie jakości wykonywania monitoringu

systemowego budynku i okolic :


W ramach eksperymentu zostały przeprowadzone badania

zabezpieczeń 3 instytucji:

1) szkoły ponadpodstawowej (gimnazjum)

2) wyższej szkoły w Krakowie

3) małej firmy produkcyjnej zatrudniającej 200 osób.

Ad 1) Przyjęto, że szkoła posiada 2 sale po 20 stanowisk, sieć

WiFi, dwa przełączniki 24 portowe oraz router WiFi. Uzyskane

wyniki dla szkoły przedstawiono na poniższym slajdzie.


Uzyskane wyniki dla szkoły ponadpodstawowej :

- stwierdzono, że system jest dość dobrze zabezpieczony.


Ad 2) W przypadku wyższej uczelni przyjęto, że system posiada:

kilka sal po 24 komputery, 6 przełączników, 1 router firmy

Linksys, firewall sprzętowy firmy Cisco, system monitorowania

sal ćwiczeniowych.

Stwierdzono, że system jest zabezpieczony w 81%, co oznacza,

że system dobrze zabezpieczony. Tym niemniej można

poprawić jego stopień bezpieczeństwa przez integrację

obydwóch firewalli.


Uzyskane wyniki estymacji obliczeniowej na podstawie

przeliczenia wszystkich parametrów dla wyższej uczelni


Ad 3) W przypadku małej firmy produkcyjnej liczącej 200

pracowników sieć posiada: 120 komputerów, 8 przełączników, 3

routery. System nie posiadał żadnych firewalli programowych.

Stwierdzono, że system jest zabezpieczony w 91%. Może być

poprawione bezpieczeństwo systemu poprzez instalację (lub

reinstalację) systemów firewalli sprzętowego i programowego.

.

.


Uzyskane wyniki obliczeniowe dla małej firmy produkcyjnej

zatrudniającej około 200 osób :

.

.


Bezpieczeństwo w sieciach komputerowych można zamknąć

na zasadzie optymalizacji, automatyzacji, elastyczności i precyzji

działania oraz zastosowania kryptografii, algorytmów szyfrowania z

kluczami symetrycznymi i publicznymi, podpisem cyfrowym,

zarządzaniem kluczami publicznymi, bezpieczeństwem

komunikacji (Ipsec, ściany ogniowe etc), protokołami

uwierzytelniania, bezpiecznej poczcie elektronicznej, bezpiecznym

stronom WWW ze szczególna uwaga na ruchomy kod i wysokiej

jakości baz danych.


Najbezpieczniejszym zachowaniem i profilaktyką jest standardowy

certyfikowany firewall, brak dostępu dla podmiotów z zewnątrz ze

zdalnymi urządzeniami, zasłony dymne dla kluczowych informacji lub

urządzeń, sprawdzone oprogramowanie, znane strony i pośrednicy

usługi WWW oraz regularne kopie zapasowe na wytrzymałych

nośnikach jakie są możliwe na przykład dzięki zastosowaniu materiałów

grafenowych, który zachowuje przy tym cechy doskonałego medium.

Napisane narzędzie programowe pozwala w sposób mierzalny na

podstawie analizy sieci na stwierdzenie, w jakim stopniu jest on

zabezpieczony. System umożliwia przeprowadzenie ulepszenie systemu

poprzez dokonanie zmian, które podnoszą jego bezpieczeństwo.

Dziękuję za uwagę

Not Almanach short-cut within Networking (in Polish)

Education

Transcript of Not Almanach short-cut within Networking (in Polish)