- 2 -
Podstawowe grupy narzędzi i
technik
G Log systemowy (syslog) – narzędzie pozwalające na zapis
wybranych zdarzeń z pracy systemu do rejestru. Zdarzenia
mogą mieć związek z atakami, eksploatacją systemu oraz
działaniami awaryjnymi.
G Uwierzytelnianie w systemie – dobry system
uwierzytelniania pozwoli na podniesienie poziomu
bezpieczeństwa w elementach podsystemu bezpieczeństwa.
Uzyskuje się to przez zapewnienie odpowiedniego poziomu
bezpieczeństwa przy przesyłaniu, przechowywaniu oraz przy
tworzeniu haseł.
G Odpowiednia architektura systemów zabezpieczeń –
logiczne umiejscowienie elementów systemu ochrony.
G Hosty bastionowe – systemy komputerowe pracujące w sieci
ochrony.
G NAT – translacja adresów IP.
G Filtry pakietów – systemy odpowiedzialne za filtrowanie
przepływających pakietów, czyli określenie na podstawie
charakterystyki pakietu czy jest on legalny (bezpieczny).
G Systemy Proxy (pełnomocnik, pośrednik) – ogól systemów
działających na zasadzie pośredniczenia i przekazywania
usług.
G Szyfrowane tunelowanie – nazywane równie wirtualnymi
sieciami prywatnymi (VPN – virtual private networks),
szyfrowane kanały łączące sieci prywatne przez Internet.
G Systemy IDS (Intrusion Detection Systems – systemy
wykrywania intruzów) – ogół systemów, których zadaniem
- 3 -
jest wykrycie nielegalnej działalności na podstawie szeroko
rozumianej analizy pracy chronionego systemu.
G Inne – dość szeroka klasa systemów, narzędzi, metod, które
w rękach doświadczonego operatora podniosą poziom
bezpieczeństwa systemu.
Podstawowe strategie tworzenia
zabezpieczeń
G Minimalne przywileje – strategia ta określa, e ka dy obiekt
(u ytkownik, aplikacja, system) powinien posiadać tylko te
przywilej, które są mu niezbędne do wykonywania
realizowanych przez niego zadań.
G Dogłębna obrona – polega to na braku zaufania do jednego
mechanizmu zabezpieczającego niezale nie od poziomu jego
skuteczności. Dokonuje się instalacji wielu systemów
zabezpieczeń tak, aby awaria jednego mechanizmu nie
wyłączyła wszystkich. Mo e to się objawiać przez budowę
nadmiarowych zabezpieczeń lub dublowania tych samych
zasad na wielu poziomach np. filtru pakietów.
G Wąskie przejście - zmusza napastników do u ywania
kanału, który mo na kontrolować i monitorować. W sieci
wąskim przejściem jest np. Proxy, który jest jedyną drogą
przejścia z Internetu do ośrodka.
G Najsłabszy punkt – strategia ta wynika z podstawowej
zasady wszelkiego bezpieczeństwa: ka dy łańcuch jest tak
silny jak najsłabsze jego ogniwo.
G Bezpieczeństwo w razie awarii – kolejna zasada wskazuje,
eby system był jak najbardziej bezpieczny w razie
uszkodzenia. Oznacza to przyjęcie zasady, e zajście awarii
- 4 -
w systemie bezpieczeństwa uniemo liwi dostęp do
chronionych zasobów nie zaś otworzy ten dostęp.
G Powszechna współpraca – mówi nam o konieczności
współpracy (lub nie przeszkadzania) ze strony członków
organizacji, aby system zabezpieczeń działał efektywnie.
G Zró nicowana obrona – jest ściśle powiązana z głębokością
obrony. Według tej strategii potrzebne jest nie tylko wiele
warstw obrony, ale równie , aby obrona była ró nego
rodzaju.
G Prostota – wynika to z tego, e prostsze rzeczy mo na
łatwiej zrozumieć, a jeśli coś jest nie zrozumiałe to nie
wiadomo czy jest bezpieczne.
G Zabezpieczenie przez utajnienie – polega to na tym, e
wykorzystujemy kolejną płaszczyznę bezpieczeństwa przez
blokadę informacji na temat szczegółów zabezpieczeń ich
typów, topologii, istniejących hostów. Jeśli uruchamiamy
nowy host, czy uruchomimy usługę ftp na porcie innym ni
standardowy, nie jest konieczne eby wszyscy o tym
wiedzieli poza uprawnionymi.
Architektury systemów
zabezpieczeń
G Architektury jednoelementowe:
• Architektura z routerem ekranującym – jest to prosta i
tania architektura zbudowana na podstawie routera, który
jednocześnie pełni rolę systemu ochrony poprzez
instalacje w nim filtra pakietów. Przyjęcie takiej
architektury mo liwe jest w sieciach o bardzo dobrze
chronionych serwerach i stacjach roboczych, kiedy
- 5 -
potrzeba jest maksymalnej wydajności lub
nadmiarowości.
Router ekranujący
SerwerStacja roboczaLaptop Drukarka Stacja robocza
Internet
• Architektura dwusieciowego serwera dostępowego.
Podobnie jak poprzednia architektura jest prosta i tania.
Rolę routera pełni tutaj serwer posiadający dwa interfejsy
sieciowe, który mo e równie pełnić role ochronną
poprzez instalacje systemów zabezpieczeń. Architektura
ta jest lepsza pod względem bezpieczeństwa, z uwagi na
mo liwości implementacji zabezpieczeń w serwerze
dostępowym i przy dbałej konfiguracji mo e zapewnić
stosunkowo dobry system ochrony.
- 6 -
SerwerStacja roboczaLaptop Drukarka Stacja robocza
Internet
Serwer + oprogramowanie ochronne
• Architektura ekranowanego hosta – polega na tym, e host
bastionowy jest umieszczony w sieci wewnętrznej i
mo liwe są połączenia z Internetu tylko do tego hosta,
który ma wyłączone trasowanie. Stacje w sieci
wewnętrznej mogą się łączyć bądź z hostem bastionowym
w celu uzyskania pewnych usług (typu poczta), oraz mogą
łączyć się z dowolnym, hostem zewnętrznym.
Architekturę tą mo na modyfikować poprzez zmianę
konfiguracji routera np. mo na wymusić by hosty
wewnętrzne łączyły się tylko z hostem bastionowym,
który będzie pośredniczył w dozwolonych usługach.
Architektura ta jest dość bezpieczna, ale wymaga idealnej
konfiguracji systemów ochronnych, ka dy błąd otworzy
sieć wewnętrzną na ataki z Internetu.
- 7 -
Serwer
Stacja robocza
Laptop
Stacja robocza
Internet
Host bastionowy
Router
ekranujący
• Architektura ekranowanej podsieci – tworzona jest dzięki
wykorzystaniu dwóch routerów, tworzących miedzy sobą
strefę zdemilitaryzowaną DMZ (DeMilitarized Zone).
Strefa DMZ jest siecią peryferyjną i jakiekolwiek
nieuprawnione działanie (nieuprawnione w sensie zasad
obowiązujących w danej sieci LAN) jest traktowane jako
wrogie.
Ta architektura nale y do bezpieczniejszych oraz pozwala
na implementacje zabezpieczeń, co najmniej trzech
miejscach tj. na dwóch routerach i hoście bastionowym.
Pozwala na dość swobodne i bezpieczne korzystanie z
Internetu z sieci wewnętrznej, jednocześnie stanowiąc
du e wyzwanie dla intruza. Ekranowanie podsieci
umo liwia budowę zabezpieczeń według zasad strategii
tworzenia zabezpieczeń. Ten typ architektury jest
punktem wyjścia do tworzenia wariacji tej topologii
poprzez ró ne sposoby zabezpieczania oraz zmiany
ilościowe urządzeń.
- 8 -
Serwer
Stacja robocza
Laptop
Stacja robocza
Internet
Router zewnetrzny
Host bastionowy
DMZ
Router wewnętrzny
Sie
ć
wewn
ę
trzna
• Architektura z wieloczęściową siecią ekranowaną – ta
architektura dodaje jeden punkt ochrony (serwer
dwusieciowy), który mo e być wykorzystany do
permanentnego monitorowania ruchu lub i usług
pośredniczących.
Serwer
Stacja robocza
Laptop
Stacja robocza
Internet
Router zewnetrzny
DMZ
Router wewnętrzny
Sie
ć
wewn
ę
trzna
Serwer dwusieciowy
DMZ
- 9 -
Hosty bastionowe
G Hosty bastionowe są systemami, które występują w strefie
DMZ i są z natury dostępne publicznie. Hosty te są
komputerami szczególnie zabezpieczonymi i mającymi za
zadanie realizować ró nego rodzaju usługi dla u ytkownika
publicznego jak i wewnętrznego.
G Hosty bastionowe są szczególnie nara one na włamania i
mo na zało yć, e atak na sieć rozpocznie się od próby
przejęcia kontroli, przez intruza, nad takim celem. Dlatego
te systemy te muszą być szczególnie zabezpieczane i
monitorowane oraz muszą znajdować się w specjalnej
wydzielonej podsieci nieprzenoszącej adnych poufnych
danych.
G Hosty bastionowe mo na podzielić na kilka rodzajów:
• Nietrasujące hosty dwusieciowe – ma wiele połączeń
sieciowych, ale nie przekazuje między nimi ruchu, mo e
natomiast spełniać role pośredniczące lub filtra pakietów.
• Hosty ofiary – tutaj mamy system „słabo” zabezpieczony,
przez konieczność udostępnienia na nim usług, które z
natury są niebezpieczne. System taki będący skazanym na
cel udanego ataku musi być szczególnie monitorowany i
powinien mieć opracowane procedury, które są wstanie
taki atak rozpoznać i umo liwić mo liwie szybki powrót
do stanu poprzedniego.
• Hosty pułapki – podobnie jak poprzednio, systemy tego
typu są podatne na ataki z tą ró nicą, i nie są u ywane do
świadczenia jakichkolwiek usług. Mają za zadanie zwabić
intruza i poinformować administratora o zaistniałym
fakcie.
- 10 -
• Wewnętrzne hosty bastionowe – są to hosty
umiejscowione w sieci wewnętrznej i mogą wchodzić w
interakcje z głównymi hostami bastionowymi np. dla
przekazania poczty do serwera wewnętrznego. Komputery
te są faktycznie wtórnymi hostami bastionowymi, więc
powinny być zabezpieczane i konfigurowane w podobny
sposób.
• Zewnętrzne hosty usługowe – to systemy
odpowiedzialne za udostępnianie usług w Internecie np.
WWW.
Translacja adresów IP
G Mechanizm maskowania zwanym równie NAT (Network
Address Translation – translacja adresów sieciowych) nie
jest mechanizmem pozwalającym na jakiś typ aktywnej
ochrony, ale posiada właściwości, które ukrywają wiele
informacji przed potencjalnym intruzem.
Mechanizm ten został oryginalnie zaimplementowany po to,
aby mo na było udostępniać więcej adresów siecią
prywatnym, jednak okazało się, e ma on inny jeszcze aspekt
związany z bezpieczeństwem: mo liwość ukrywania
wewnętrznych hostów. Ukrywa przed intruzem informacje
warstw TCP/IP o hostach wewnętrznych, poniewa cały ruch
wygląda jak by pochodził z pojedynczego adresu IP.
G Działanie mechanizmu maskowania IP wymaga, aby host
maskujący (odpowiedzialny za translacje adresów)
przechowywał tablice z przyporządkowanymi sobie
gniazdami wewnętrznymi i zewnętrznymi.
Jeśli host z sieci wewnętrznej nawiązuje połączenie z
zewnętrznym serwerem, host maskujący zamienia jego port
- 11 -
źródłowy na jeden ze swoich portów zewnętrznych, zamienia
adres IP na swój (lub adres z pewnej puli) dokonuje
odpowiedniego zapisu do tablicy translacji i wysyła pakiet
do hosta docelowego.
Kiedy otrzymywana jest odpowiedz od hosta zewnętrznego
poszukiwany jest port w tablicy translacji, zmieniany jest
adres docelowy i port hosta wewnętrznego i wysyła do
podsieci wewnętrznej. Gdy zapisu w tablicy translacji jest
brak pakiet jest odrzucany.
Host maskujący
Host wewętrzny
Host zewnętrzny
Docelowy IP
192.168.13.15
Źródłowy IP
10.0.0.15
Źródłowy port
1234
Docelowy IP
192.168.13.15
Źródłowy IP
128.110.211.1
Źródłowy port
15465
IP 128.110.211.1
IP 10.0.0.1
Docelowy IP
128.110.211.1
Źródłowy IP
192.168.13.15
Docelowy port
15465
Docelowy IP
10.0.0.15
Źródłowy IP
192.168.13.15
Źródłowy port
1234
G Translacja mo e być przeprowadzana na dwa sposoby:
• translacja dynamiczna – przydział portów odbywa się
niezale nie,
• translacja statyczna – na stałe przypisujemy rekord w
tablicy translacji do danego połączenia w sieci
- 12 -
wewnętrznej, tracąc w ten sposób ochronę hosta
wewnętrznego.
G Mimo wielu zalet maskowanie posiada wadę polegającą na
tym, i część protokołów wymagających kanału zwrotnego
nie potrafi z tym mechanizmem współpracować. Pojawiają
się moduły do tej usługi pozwalające ominąć przeszkody
jednak mo e się zdarzyć, e protokół potrzebny w danej
organizacji nie będzie potrafił poradzić sobie z tym
mechanizmem wtedy nale y odrzucić protokół lub
maskowanie adresów IP.
G NAT mo na zrealizować na ró nych urządzeniach,
pozwalają na to serwery jak i niektóre inne urządzenia takie
jak routery.
Filtry pakietów
G Działanie podejmowane przez urządzenie, mające na celu
selektywną kontrolę przepływu danych do i z sieci. Filtry
pakietów pozwalają na przejście lub blokują pakiety
zazwyczaj w czasie przesyłania ich z jednej sieci do innej.
G Aby zrealizować filtrowanie pakietów musi zostać
opracowany zestaw reguł określających, które rodzaje
pakietów mo na przepuszczać, a które nale y blokować.
Filtrowanie mo e odbywać się na moście, routerze lub w
pojedynczym hoście, czasami jest nazywane ekranowaniem
G Patrząc z perspektywy historycznej nale y przypomnieć, ze
określenie firewall było odnoszone tylko do systemów
filtrowania pakietów.
G Obecnie wyró nia się dwa podstawowe typy filtrowania
pakietów:
- 13 -
• Filtry standardowe lub bezstanowe (stateless) –
charakteryzują się tym, e nie potrafią sprawdzić części z
ładunkiem pakiecie oraz nie pamiętają stanu połączenia.
Badają informacje zawarte w nagłówku ka dego
indywidualnego pakietu i określają na tej podstawie czy
pakiet przesłać dalej czy te odrzucić. Od strony
teoretycznej mo na spowodować, aby filtr korzystał ze
wszystkich danych nagłówka, jednak w praktyce
wykorzystywane są pola:
- typ protokołu – opiera się na zawartości pola protokół
nagłówka IP. Pole to pozwala rozró niać zestaw usług
takich jak UDP,TCP, ICMP, IGMP. Jednak informacja
w polu nagłówka jest na tyle ogólna, e trudno ją
wykorzystać do filtrowania.
- filtrowanie adresów IP – pozwala na filtrowanie
adresów do lub z określonych hostów i sieci w oparciu
o adres IP. Ten typ filtrowania jest dość szeroko
stosowany do zezwalania na połączenia z wybranymi
adresami IP (zaufane sieci, zdalni u ytkownicy). Nie
ma jednak sensu u ywanie tego filtrowania dla
jakiegoś szerszego blokowania adresów, chyba ze to
dotyczy zablokowania pojedynczych sieci znanych ze
stwarzania problemów.
- porty TCP/UDP – to pole w filtrowaniu znajduje du e
zastosowania, poniewa pola te określają najbardziej
szczegółowo przeznaczenie pakietu. Filtrowanie
portów jest często nazywane filtrowaniem protokołów,
poniewa numery portów TCP/UDP identyfikują
protokoły wy szych warstw. W większości
przypadków filtry albo pozwalają na przejście
wszystkim protokołom wyłączając listę protokołów
- 14 -
zabronionych, lub te zabraniają wszystkich
pozwalając na dostęp tylko zaufanym.
- wybór trasy przez nadawcę (source routing) – ta opcja
pozwala określić dokładną drogę, jaką ma przebyć
pakiet IP do miejsca przeznaczenia. Kiedyś było to
u ywane do celów diagnostycznych obecnie jednak
najczęściej u ywany jest przez napastników. Dlatego
filtry odrzucają pakiety ustawionym wyborem trasy.
Start
Wejście pakietu do
filtra
Zezwolić?
Reguły filtra
Odzruć
Zezwól na przejście
Koniec
Rejestrować?
Syslog
Rejestruj
0
1
0
1
• Filtry z badaniem stanów (Stateful inspection filter) – są
to systemy przechowujące w pamięci dane o stanie całego
ruchu przechodzącego przez filtr i oceniają na tej
podstawie czy dany pakiet mo e być przepuszczony.
- 15 -
Filtry te nie pozwalają na przejście pakietu ądnej usługi,
która nie została dopuszczona, oraz nie jest realizowana
przez połączenie umieszczone w tablicy stanów. Filtry
tego typu nie rozwiązują wszelkich problemów to znaczy
badania danych pakietu, jednak rozszerzają swoje
mo liwości na analizę flag pakietu IP.
Transmisja przez taki filtr przebiega w ten sposób, e gdy
zaufany wewnętrzny host rozpoczyna połączenie z portem
TCP niezaufanego hosta, wysyła pakiet synchronizacyjny
SYN zwierający adres IP i numer portu (gniazdo), na
którym oczekuje odpowiedzi.
Filtr zapisuje w tablicy stanów adresy gniazd docelowego
oraz zwrotnego i dopiero wysyła pakiet do sieci
zewnętrznej. Nadchodząca odpowiedź jest badana pod
kątem gniazda docelowych i źródłowych w tablicy
stanów.
Jeśli jest jakaś niezgodność w porównaniu, pakiet jest
odrzucany, poniewa nie stanowi odpowiedzi na ądanie z
sieci chronionej. Pozycja wpisu w tablicy stanów jest
usuwana po określonym czasie (w razie zerwania
połączenia) lub po przesłaniu pakietów negocjacji
zamknięcia sesji.
Oczywiście poza badaniem stanu w filtrach tego typu
równie są stosowane zbiory reguły związane z analizą
nagłówka IP tak jak realizowane jest to w filtrach
bezstanowych.
- 16 -
Start
Wejście pakietu do
filtra
Reguły filtra
Wewnętrzny?
1 0
Prześlij do celu
Zezwolić?
Utwórz rekord w
tablicy stanów Tablica
stanów
Koniec
Zezwolić?
Koniec
połączenia?
Usuń rekord w
tablicy stanów
1
0
Nawiązanie
połączenia?
Isnieje rekord
w tablicy
stanów?
Koniec
połączenia?
Prześlij do celu
SysLog
Rejestrować
(0 - Koniec)
Rejestruj
0
1
1
0
1
0
0
1
0
1
1
- 17 -
Systemy pośredniczące
G Systemy pośredniczące, czyli Proxy – słu ą do regeneracji
ądań klientów sieci prywatnej skierowane do usług warstw
wy szych usług sieci zewnętrznej.
G Historycznie systemy Proxy były wykorzystywane głównie
do buforowania i przechowywania w pamięci podręcznej,
często przeglądanych stron WWW.
Sieć prywatna
Internet
Bastion
Host
Proxy
Server
Sieć prywatna
Internet
W RZECZYWISTOŚCI ...
PUNKT WIDZENIA SERWERA
I U YTKOWNIKA
Sieć prywatna
Internet
Bastion
Host
Bastion
Host
Proxy
Server
Sieć prywatna
Internet
W RZECZYWISTOŚCI ...
PUNKT WIDZENIA SERWERA
I U YTKOWNIKA
G Wraz z obni ką wartości Proxy jako system
przechowywania, coraz lepiej widać ich zalety jako elementu
systemu zabezpieczeń.
G Proxy działa nasłuchując zleceń usługi od klientów
wewnętrznych i przesyłaniu ich na zewnątrz w taki sposób
jakby pochodziły od rzeczywistego klienta. Podobnie
- 18 -
działają w drugą stronę przesyłając klientowi dane w sposób
jakby pochodziły od hosta zewnętrznego.
G Serwery Proxy pracują zwykle jako hosty bastionowe.
G Host Proxy jest bezpośrednio podłączony do sieci Internet, i
komunikuje się bezpośrednio z lokalnymi (wewnętrznymi)
oraz zewnętrznymi hostami (jeśli połączenie jest
dozwolone).
Sieć prywatna
Internet
Bastion
Host
Proxy
Server
Muszą być w stanie
wymuszać ruch
pakietów IP
poprzez serwer
proxy
Sieć prywatna
Internet
Bastion
Host
Bastion
Host
Proxy
Server
Muszą być w stanie
wymuszać ruch
pakietów IP
poprzez serwer
proxy
G Typy serwerów pośredniczących:
• Obwodowy – pośrednik, który tworzy obwód między
klientem a serwerem bez interpretowania protokołu
aplikacji. To są najprostsze Proxy swoją funkcjonalnością
zbli one do filtrów pakietów i są dość łatwe do oszukania.
- 19 -
Ich niezaprzeczalną zaletą jest świadczenie usług dla
wielu ró nych protokołów.
• Aplikacyjny – jest to Proxy, który zna aplikacje, dla której
pośredniczy oraz rozumie i interpretuje polecenia w
protokole aplikacji. Potrafi równie zajrzeć do ładunku
danych i je analizować. Wadą tych Proxy jest
ograniczenie ich funkcjonalności dla kilku protokołów,
którym mogą pośredniczyć i je analizować.
G Zalety Proxy w kontekście zabezpieczeń:
• Ukrywanie prywatnego klienta przed światem
zewnętrznym – podobnie jak mechanizm NAT
powodują, e z punktu widzenia zewnętrznego
obserwatora, cała sieć wewnętrzna będzie wyglądała jak
jeden host. Mo liwe jest to dzięki temu, e Proxy działają
na zasadzie ponownego wygenerowania ądań warstwy
usługowej. Dodatkowo Proxy mo e multipleksować
połączenie, aby pewna liczba hostów korzystała z jednego
połączenia z Internetem.
• Blokowanie niebezpiecznych URL (Universal Resource
Lokator – uniwersalny wskaźnik zasobów) – pozwala to
administratorowi zakazać dostępu do stron WWW w
oparciu o URL. Podane adresy są zabronione z tych czy
innych przyczyn i standardowy u ytkownik nie mo e
wywołać takiego adresu w swojej przeglądarce. Jednak
system blokad jest łatwo ominąć np. stosują liczbową
notacje adresu. Dlatego tego typu blokady są rzadko
stosowane chyba, e system jest do takich celów
dedykowany i nie jest łatwo go obejść.
• Filtrowanie zawartości – Proxy transmituje cały ładunek
danych oraz jest związany z danym protokołem, więc
- 20 -
mo e być u yty do przeszukiwania danych pod kątem
podejrzanej zawartości np. wirusy, konie trojańskie,
kontrolki ActiveX, binarne załączniki e-maili, treść na
stronie WWW itp. Filtrowanie takie mo e dość znacznie
podnieś bezpieczeństwo naszej sieci dzięki ograniczeniu
ekspansji wirusów.
• Kontrola spójności – polega na kontroli zgodności
danych z protokołem, czyli sprawdzenie zawartości
danych pod kątem ich znaczenia dla protokołu. Mo e w
ten sposób zapobiegać wykorzystaniu nieprawidłowo
sformatowanych danych do wykorzystywania luk
bezpieczeństwa.
• Blokowanie routingu – systemy pośredniczące nie muszą
wyznaczać trasy dla pakietów warstwy transportowej w
związku z całkowitą regeneracją ądań.
• Rejestracja zdarzeń i alarmowanie – wąskie przejście,
jakim jest system pośredniczący pozwala na
przeprowadzenie głębokiego monitorowania
przepływających danych a co za tym idzie wyłapywać
dane związane z działalnością nieuprawnioną oraz próby
ataku, które nie koniecznie muszą być przeprowadzane na
system Proxy.
G Wady systemów Proxy:
• Pojedynczy punkt awarii – z pojedynczym punktem
kontroli związany jest pojedynczy punkt awarii. Więc
awaria serwera powoduje odcięcie całej sieci, której
pośredniczy, od Internetu.
- 21 -
• Oprogramowanie klienckie musi współpracować z
Proxy – dla ka dej usługi objętej Proxy musi istnieć
klient, który współpracuje z systemem pośredniczącym.
• Usługa musi mieć swoje Proxy – ka da uwzględniony
protokół musi mieć swoje Proxy.
• Proxy tworzą zatory – przecią ony system
pośredniczący mo e tworzyć zatory w obsłudze klientów.
G System pośredniczący mimo swoich wad jest dość istotnym
elementem ściany ogniowej organizacji.
Szyfrowane tunelowanie.
G Szyfrowane tunelowanie rozwiązuje problem bezpiecznego i
bezpośredniego dostępu do hostów za pośrednictwem sieci
Internet.
G W tym celu wykorzystuje się kilka podstawowych
składników zabezpieczeń:
• Kapsułowanie (hermetyzacja) w pakietach protokołu
IP – polega na zawarciu w pakiecie IP innego pakietu
równie IP. Jest to niezbędne do wywołania komputera
znajdującego się w innej sieci, gdy nie istnieje trasa
bezpośredniego połączenia. Przy takim rozwiązaniu
odległe sieci schowane za systemami firewall mogą
komunikować się między hostami tak, jakby znajdowały
się w tej samej sieci podzielone routerem. Pakiet po
dotarciu na miejsce przeznaczenia, oddaje zaszyfrowany
pakiet, który jest następnie deszyfrowany i wysyłany do
komputera przeznaczenia.
• Uwierzytelnienie kryptograficzne – jest u ywane do
bezpiecznego sprawdzenia to samości u ytkownika
- 22 -
zdalnego tak, aby system mógł dobrać system
zabezpieczeń dla u ytkownika. Ocenia na tej podstawie
czy u ytkownik mo e korzystać z szyfrowanego tunelu.
U ywany jest równie do wymiany publicznych i
prywatnych kluczy przez VPN.
- Szyfrowanie kluczem prywatnym (tajnym) – pracuje w
oparciu o utajnienie wartości znanej obu stroną.
Zgłaszający znający tą wartość jest uznawany za
godnego zaufania. Istnieją odmiany tej metody
polegające na u ywaniu jednorazowego klucza.
- Szyfrowanie z wykorzystaniem klucza publicznego –
polega na wymianie kluczy sesji, mogących być
u ywanymi tylko do szyfrowania danych. Klucz
deszyfrujący jest przechowywany na urządzeniu
odbiorczym i nigdy nie jest transmitowany przez sieć
publiczną.
• Szyfrowanie ładunku danych – jest u ywane do
kapsułowania danych w przesyłanych protokołach.
Pozwala to na utajnienie zawartości kapsułowanego
pakietu oraz danych nagłówka, czyli chronimy informacje
o wewnętrznej sieci.
Protokół
1
Protokół 2
FirewallFirewall
Protokół
1
Protokół 2
Protokół
1
Protokół
1
Dane znajdują się
teraz poza firewall
Protokół
1
Protokół 2
FirewallFirewall
Protokół
1
Protokół 2
Protokół
1
Protokół
1
Dane znajdują się
teraz poza firewall
G VPN mo e być realizowane w trzech typach:
• tunelowanie wykorzystujące serwery,
- 23 -
• tunelowanie wykorzystujące ściany ogniowe,
• tunelowanie wykorzystujące routery.
G Wirtualne sieci prywatne są dobrym rozwiązaniem do
realizacji swoich celów polegającym na bezpiecznym
zdalnym dostępie. Nie mo na oczywiście podchodzić do
nich bezkrytycznie wiadomo, e są wolniejszym
rozwiązaniem ni sieć WAN i mniej bezpiecznym ni
połączenie kablowe. Wa na jest implementacja tej z uwagi
znane problemy z np. jakie zaistniały z protokołem PPTP
firmy Microsoft.
Systemy wykrywania włamań.
G Wykrywanie włamań jest to proces identyfikowania i
reagowania na szkodliwą działalność, skierowaną przeciw
zasobom informatycznym i sieciowym.
G Zasadę działania systemu IDS mo na opisać jako:
• monitorowanie – czyli obserwacja chronionej
infrastruktury,
• raportowanie – tworzenie raportów dla systemów
analitycznych,
• reakcja – reagowanie na incydenty działaniem lub
alarmem.
G Systemy IDS starają się w pewnym stopniu zastąpić część
zadań administratora polegających na obserwacji systemu w
poszukaniu anomalii (w miejscach sondowania), czyli
zachowań odbiegających od standardu. Systemy te starają się
wykryć anomalię, ocenić jej wagę i zareagować.
- 24 -
G Wykrywanie anomalii mo e być przeprowadzana w wielu
miejscach sondowania na podstawie ró nych kryteriów oraz
ró nych danych wejściowych.
• Przetwarzanie raportu audytu – metoda ta polega na
zebraniu zapisanych w logach zdarzeń w systemie, do
dziennika audytu, który następnie jest poddawany analizie
przez narzędzia znające semantykę rekordów dziennika.
Analizie towarzyszą techniki algorytmiczne, które dzięki
schematowi przetwarzania audytu wykrywają pewne
atrybuty rekordów w raporcie. Atrybuty te odpowiadają
wzorcom działań uznanych za podejrzane. Systemy tego
typu, choć efektywne mają bardzo du e zapotrzebowanie
na moc obliczeniową oraz obarczone są poślizgiem
czasowym związanym z gromadzeniem danych.
• Przetwarzanie na bie ąco ruchu w sieci – w odró nieniu
od poprzedniej metody ta realizowana jest w czasie
rzeczywisty. Podstawę stanowią dane o ruchu w sieci.
U ywa się tu szybszych algorytmów (mniej dokładnych)
mających znaleźć atrybuty ataku w trakcie jego
przeprowadzania.
G Zebrane informacje z raportu audytu czy te analizy ruchu w
sieci mo na poddać ró nym metodą analizy.
• Metoda profilu normalnego zachowania – polega na
przewidywaniu działalności informatycznej u ytkownika i
systemu. Metoda profilowania jest o tyle ciekawa, e
mo na ją uogólnić do grupy u ytkowników lub systemu.
Polega ona na analizie atrybutów aktywności pracy
obiektów i korekcie profilowanego nowego u ytkownika
a do maksymalnie precyzyjnej regulacji istniejących
profilów. Oznaczenie wartości średnich i mo liwych
odchyłkach.
- 25 -
• Metoda sygnatur nienormalnego zachowania – bardzo
popularna metoda w rzeczywistych realizacjach IDS.
Polegająca na porównaniu atrybutów rzeczywistych i
sygnatur ataków. Sygnatury występują w dwóch typowych
formach:
- Sygnatury ataków – sygnatury profilów
dynamicznych ataków opisujące dane wzorce
aktywności, które w jakiś sposób mogą stanowić
naruszenie bezpieczeństwa. Wią ą się one z
zale nością czasową ciągu aktywności, które mogą być
przeplecione działaniami obojętnymi np. pakiet
przychodzący na zewnętrzny interfejs o adresie
źródłowym i docelowym wewnętrznym..
- Wybrane ciągi tekstowe – są to sygnatury ciągów
tekstowych, które mo na uznać za podejrzane np.
„/etc/passwd”
G Systemy IDS są generalnie połączeniem systemów
monitorowania, z systemami ekspertowymi analizującymi
odchylenia w sondowanych atrybutach. Przydatność takich
systemów jest dość du a, pozwalają one, bowiem wychwycić
dość drobne z pozoru zdarzenia mające miejsce w długim
okresie czasu, będące atakiem. Systemy takie są równie
dość pomocne przy zwykłych próbach ataku, typu
wychwycenie na podstawie prowadzonej transmisji z hosta i
numeru portu mo na zało yć, e jest tam zainstalowany koń
trojański lub inny złośliwy program.
G Główną wadą systemów tego typu jest generowanie
stosunkowo du ej ilości fałszywych alarmów, które mogą
znieczulić obsługę, na tyle, e nie zareaguje na prawdziwe
zagro enie.
- 1 - METODY I TECHNIKI ZABEZPIECZANIA SIECI
- 2 - Podstawowe grupy narzędzi i technik G Log systemowy (syslog) – narzędzie pozwalające na zapis wybranych zdarzeń z pracy systemu do rejestru. Zdarzenia mogą mieć związek z atakami, eksploatacją systemu oraz działaniami awaryjnymi. G Uwierzytelnianie w systemie – dobry system uwierzytelniania pozwoli na podniesienie poziomu bezpieczeństwa w elementach podsystemu bezpieczeństwa. Uzyskuje się to przez zapewnienie odpowiedniego poziomu bezpieczeństwa przy przesyłaniu, przechowywaniu oraz przy tworzeniu haseł. G Odpowiednia architektura systemów zabezpieczeń – logiczne umiejscowienie elementów systemu ochrony. G Hosty bastionowe – systemy komputerowe pracujące w sieci ochrony. G NAT – translacja adresów IP. G Filtry pakietów – systemy odpowiedzialne za filtrowanie przepływających pakietów, czyli określenie na podstawie charakterystyki pakietu czy jest on legalny (bezpieczny). G Systemy Proxy (pełnomocnik, pośrednik) – ogól systemów działających na zasadzie pośredniczenia i przekazywania usług. G Szyfrowane tunelowanie – nazywane równie wirtualnymi sieciami prywatnymi (VPN – virtual private networks), szyfrowane kanały łączące sieci prywatne przez Internet. G Systemy IDS (Intrusion Detection Systems – systemy wykrywania intruzów) – ogół systemów, których zadaniem
- 3 - jest wykrycie nielegalnej działalności na podstawie szeroko rozumianej analizy pracy chronionego systemu. G Inne – dość szeroka klasa systemów, narzędzi, metod, które w rękach doświadczonego operatora podniosą poziom bezpieczeństwa systemu. Podstawowe strategie tworzenia zabezpieczeń G Minimalne przywileje – strategia ta określa, e ka dy obiekt (u ytkownik, aplikacja, system) powinien posiadać tylko te przywilej, które są mu niezbędne do wykonywania realizowanych przez niego zadań. G Dogłębna obrona – polega to na braku zaufania do jednego mechanizmu zabezpieczającego niezale nie od poziomu jego skuteczności. Dokonuje się instalacji wielu systemów zabezpieczeń tak, aby awaria jednego mechanizmu nie wyłączyła wszystkich. Mo e to się objawiać przez budowę nadmiarowych zabezpieczeń lub dublowania tych samych zasad na wielu poziomach np. filtru pakietów. G Wąskie przejście - zmusza napastników do u ywania kanału, który mo na kontrolować i monitorować. W sieci wąskim przejściem jest np. Proxy, który jest jedyną drogą przejścia z Internetu do ośrodka. G Najsłabszy punkt – strategia ta wynika z podstawowej zasady wszelkiego bezpieczeństwa: ka dy łańcuch jest tak silny jak najsłabsze jego ogniwo. G Bezpieczeństwo w razie awarii – kolejna zasada wskazuje, eby system był jak najbardziej bezpieczny w razie uszkodzenia. Oznacza to przyjęcie zasady, e zajście awarii
- 4 - w systemie bezpieczeństwa uniemo liwi dostęp do chronionych zasobów nie zaś otworzy ten dostęp. G Powszechna współpraca – mówi nam o konieczności współpracy (lub nie przeszkadzania) ze strony członków organizacji, aby system zabezpieczeń działał efektywnie. G Zró nicowana obrona – jest ściśle powiązana z głębokością obrony. Według tej strategii potrzebne jest nie tylko wiele warstw obrony, ale równie , aby obrona była ró nego rodzaju. G Prostota – wynika to z tego, e prostsze rzeczy mo na łatwiej zrozumieć, a jeśli coś jest nie zrozumiałe to nie wiadomo czy jest bezpieczne. G Zabezpieczenie przez utajnienie – polega to na tym, e wykorzystujemy kolejną płaszczyznę bezpieczeństwa przez blokadę informacji na temat szczegółów zabezpieczeń ich typów, topologii, istniejących hostów. Jeśli uruchamiamy nowy host, czy uruchomimy usługę ftp na porcie innym ni standardowy, nie jest konieczne eby wszyscy o tym wiedzieli poza uprawnionymi. Architektury systemów zabezpieczeń G Architektury jednoelementowe: • Architektura z routerem ekranującym – jest to prosta i tania architektura zbudowana na podstawie routera, który jednocześnie pełni rolę systemu ochrony poprzez instalacje w nim filtra pakietów. Przyjęcie takiej architektury mo liwe jest w sieciach o bardzo dobrze chronionych serwerach i stacjach roboczych, kiedy
- 5 - potrzeba jest maksymalnej wydajności lub nadmiarowości. Router ekranujący SerwerStacja roboczaLaptop Drukarka Stacja robocza Internet • Architektura dwusieciowego serwera dostępowego. Podobnie jak poprzednia architektura jest prosta i tania. Rolę routera pełni tutaj serwer posiadający dwa interfejsy sieciowe, który mo e równie pełnić role ochronną poprzez instalacje systemów zabezpieczeń. Architektura ta jest lepsza pod względem bezpieczeństwa, z uwagi na mo liwości implementacji zabezpieczeń w serwerze dostępowym i przy dbałej konfiguracji mo e zapewnić stosunkowo dobry system ochrony.
- 6 - SerwerStacja roboczaLaptop Drukarka Stacja robocza Internet Serwer + oprogramowanie ochronne • Architektura ekranowanego hosta – polega na tym, e host bastionowy jest umieszczony w sieci wewnętrznej i mo liwe są połączenia z Internetu tylko do tego hosta, który ma wyłączone trasowanie. Stacje w sieci wewnętrznej mogą się łączyć bądź z hostem bastionowym w celu uzyskania pewnych usług (typu poczta), oraz mogą łączyć się z dowolnym, hostem zewnętrznym. Architekturę tą mo na modyfikować poprzez zmianę konfiguracji routera np. mo na wymusić by hosty wewnętrzne łączyły się tylko z hostem bastionowym, który będzie pośredniczył w dozwolonych usługach. Architektura ta jest dość bezpieczna, ale wymaga idealnej konfiguracji systemów ochronnych, ka dy błąd otworzy sieć wewnętrzną na ataki z Internetu.
- 7 - Serwer Stacja robocza Laptop Stacja robocza Internet Host bastionowy Router ekranujący • Architektura ekranowanej podsieci – tworzona jest dzięki wykorzystaniu dwóch routerów, tworzących miedzy sobą strefę zdemilitaryzowaną DMZ (DeMilitarized Zone). Strefa DMZ jest siecią peryferyjną i jakiekolwiek nieuprawnione działanie (nieuprawnione w sensie zasad obowiązujących w danej sieci LAN) jest traktowane jako wrogie. Ta architektura nale y do bezpieczniejszych oraz pozwala na implementacje zabezpieczeń, co najmniej trzech miejscach tj. na dwóch routerach i hoście bastionowym. Pozwala na dość swobodne i bezpieczne korzystanie z Internetu z sieci wewnętrznej, jednocześnie stanowiąc du e wyzwanie dla intruza. Ekranowanie podsieci umo liwia budowę zabezpieczeń według zasad strategii tworzenia zabezpieczeń. Ten typ architektury jest punktem wyjścia do tworzenia wariacji tej topologii poprzez ró ne sposoby zabezpieczania oraz zmiany ilościowe urządzeń.
- 8 - Serwer Stacja robocza Laptop Stacja robocza Internet Router zewnetrzny Host bastionowy DMZ Router wewnętrzny Sie ć wewn ę trzna • Architektura z wieloczęściową siecią ekranowaną – ta architektura dodaje jeden punkt ochrony (serwer dwusieciowy), który mo e być wykorzystany do permanentnego monitorowania ruchu lub i usług pośredniczących. Serwer Stacja robocza Laptop Stacja robocza Internet Router zewnetrzny DMZ Router wewnętrzny Sie ć wewn ę trzna Serwer dwusieciowy DMZ
- 9 - Hosty bastionowe G Hosty bastionowe są systemami, które występują w strefie DMZ i są z natury dostępne publicznie. Hosty te są komputerami szczególnie zabezpieczonymi i mającymi za zadanie realizować ró nego rodzaju usługi dla u ytkownika publicznego jak i wewnętrznego. G Hosty bastionowe są szczególnie nara one na włamania i mo na zało yć, e atak na sieć rozpocznie się od próby przejęcia kontroli, przez intruza, nad takim celem. Dlatego te systemy te muszą być szczególnie zabezpieczane i monitorowane oraz muszą znajdować się w specjalnej wydzielonej podsieci nieprzenoszącej adnych poufnych danych. G Hosty bastionowe mo na podzielić na kilka rodzajów: • Nietrasujące hosty dwusieciowe – ma wiele połączeń sieciowych, ale nie przekazuje między nimi ruchu, mo e natomiast spełniać role pośredniczące lub filtra pakietów. • Hosty ofiary – tutaj mamy system „słabo” zabezpieczony, przez konieczność udostępnienia na nim usług, które z natury są niebezpieczne. System taki będący skazanym na cel udanego ataku musi być szczególnie monitorowany i powinien mieć opracowane procedury, które są wstanie taki atak rozpoznać i umo liwić mo liwie szybki powrót do stanu poprzedniego. • Hosty pułapki – podobnie jak poprzednio, systemy tego typu są podatne na ataki z tą ró nicą, i nie są u ywane do świadczenia jakichkolwiek usług. Mają za zadanie zwabić intruza i poinformować administratora o zaistniałym fakcie.
- 10 - • Wewnętrzne hosty bastionowe – są to hosty umiejscowione w sieci wewnętrznej i mogą wchodzić w interakcje z głównymi hostami bastionowymi np. dla przekazania poczty do serwera wewnętrznego. Komputery te są faktycznie wtórnymi hostami bastionowymi, więc powinny być zabezpieczane i konfigurowane w podobny sposób. • Zewnętrzne hosty usługowe – to systemy odpowiedzialne za udostępnianie usług w Internecie np. WWW. Translacja adresów IP G Mechanizm maskowania zwanym równie NAT (Network Address Translation – translacja adresów sieciowych) nie jest mechanizmem pozwalającym na jakiś typ aktywnej ochrony, ale posiada właściwości, które ukrywają wiele informacji przed potencjalnym intruzem. Mechanizm ten został oryginalnie zaimplementowany po to, aby mo na było udostępniać więcej adresów siecią prywatnym, jednak okazało się, e ma on inny jeszcze aspekt związany z bezpieczeństwem: mo liwość ukrywania wewnętrznych hostów. Ukrywa przed intruzem informacje warstw TCP/IP o hostach wewnętrznych, poniewa cały ruch wygląda jak by pochodził z pojedynczego adresu IP. G Działanie mechanizmu maskowania IP wymaga, aby host maskujący (odpowiedzialny za translacje adresów) przechowywał tablice z przyporządkowanymi sobie gniazdami wewnętrznymi i zewnętrznymi. Jeśli host z sieci wewnętrznej nawiązuje połączenie z zewnętrznym serwerem, host maskujący zamienia jego port
- 11 - źródłowy na jeden ze swoich portów zewnętrznych, zamienia adres IP na swój (lub adres z pewnej puli) dokonuje odpowiedniego zapisu do tablicy translacji i wysyła pakiet do hosta docelowego. Kiedy otrzymywana jest odpowiedz od hosta zewnętrznego poszukiwany jest port w tablicy translacji, zmieniany jest adres docelowy i port hosta wewnętrznego i wysyła do podsieci wewnętrznej. Gdy zapisu w tablicy translacji jest brak pakiet jest odrzucany. Host maskujący Host wewętrzny Host zewnętrzny Docelowy IP 192.168.13.15 Źródłowy IP 10.0.0.15 Źródłowy port 1234 Docelowy IP 192.168.13.15 Źródłowy IP 128.110.211.1 Źródłowy port 15465 IP 128.110.211.1 IP 10.0.0.1 Docelowy IP 128.110.211.1 Źródłowy IP 192.168.13.15 Docelowy port 15465 Docelowy IP 10.0.0.15 Źródłowy IP 192.168.13.15 Źródłowy port 1234 G Translacja mo e być przeprowadzana na dwa sposoby: • translacja dynamiczna – przydział portów odbywa się niezale nie, • translacja statyczna – na stałe przypisujemy rekord w tablicy translacji do danego połączenia w sieci
- 12 - wewnętrznej, tracąc w ten sposób ochronę hosta wewnętrznego. G Mimo wielu zalet maskowanie posiada wadę polegającą na tym, i część protokołów wymagających kanału zwrotnego nie potrafi z tym mechanizmem współpracować. Pojawiają się moduły do tej usługi pozwalające ominąć przeszkody jednak mo e się zdarzyć, e protokół potrzebny w danej organizacji nie będzie potrafił poradzić sobie z tym mechanizmem wtedy nale y odrzucić protokół lub maskowanie adresów IP. G NAT mo na zrealizować na ró nych urządzeniach, pozwalają na to serwery jak i niektóre inne urządzenia takie jak routery. Filtry pakietów G Działanie podejmowane przez urządzenie, mające na celu selektywną kontrolę przepływu danych do i z sieci. Filtry pakietów pozwalają na przejście lub blokują pakiety zazwyczaj w czasie przesyłania ich z jednej sieci do innej. G Aby zrealizować filtrowanie pakietów musi zostać opracowany zestaw reguł określających, które rodzaje pakietów mo na przepuszczać, a które nale y blokować. Filtrowanie mo e odbywać się na moście, routerze lub w pojedynczym hoście, czasami jest nazywane ekranowaniem G Patrząc z perspektywy historycznej nale y przypomnieć, ze określenie firewall było odnoszone tylko do systemów filtrowania pakietów. G Obecnie wyró nia się dwa podstawowe typy filtrowania pakietów:
- 13 - • Filtry standardowe lub bezstanowe (stateless) – charakteryzują się tym, e nie potrafią sprawdzić części z ładunkiem pakiecie oraz nie pamiętają stanu połączenia. Badają informacje zawarte w nagłówku ka dego indywidualnego pakietu i określają na tej podstawie czy pakiet przesłać dalej czy te odrzucić. Od strony teoretycznej mo na spowodować, aby filtr korzystał ze wszystkich danych nagłówka, jednak w praktyce wykorzystywane są pola: - typ protokołu – opiera się na zawartości pola protokół nagłówka IP. Pole to pozwala rozró niać zestaw usług takich jak UDP,TCP, ICMP, IGMP. Jednak informacja w polu nagłówka jest na tyle ogólna, e trudno ją wykorzystać do filtrowania. - filtrowanie adresów IP – pozwala na filtrowanie adresów do lub z określonych hostów i sieci w oparciu o adres IP. Ten typ filtrowania jest dość szeroko stosowany do zezwalania na połączenia z wybranymi adresami IP (zaufane sieci, zdalni u ytkownicy). Nie ma jednak sensu u ywanie tego filtrowania dla jakiegoś szerszego blokowania adresów, chyba ze to dotyczy zablokowania pojedynczych sieci znanych ze stwarzania problemów. - porty TCP/UDP – to pole w filtrowaniu znajduje du e zastosowania, poniewa pola te określają najbardziej szczegółowo przeznaczenie pakietu. Filtrowanie portów jest często nazywane filtrowaniem protokołów, poniewa numery portów TCP/UDP identyfikują protokoły wy szych warstw. W większości przypadków filtry albo pozwalają na przejście wszystkim protokołom wyłączając listę protokołów
- 14 - zabronionych, lub te zabraniają wszystkich pozwalając na dostęp tylko zaufanym. - wybór trasy przez nadawcę (source routing) – ta opcja pozwala określić dokładną drogę, jaką ma przebyć pakiet IP do miejsca przeznaczenia. Kiedyś było to u ywane do celów diagnostycznych obecnie jednak najczęściej u ywany jest przez napastników. Dlatego filtry odrzucają pakiety ustawionym wyborem trasy. Start Wejście pakietu do filtra Zezwolić? Reguły filtra Odzruć Zezwól na przejście Koniec Rejestrować? Syslog Rejestruj 0 1 0 1 • Filtry z badaniem stanów (Stateful inspection filter) – są to systemy przechowujące w pamięci dane o stanie całego ruchu przechodzącego przez filtr i oceniają na tej podstawie czy dany pakiet mo e być przepuszczony.
- 15 - Filtry te nie pozwalają na przejście pakietu ądnej usługi, która nie została dopuszczona, oraz nie jest realizowana przez połączenie umieszczone w tablicy stanów. Filtry tego typu nie rozwiązują wszelkich problemów to znaczy badania danych pakietu, jednak rozszerzają swoje mo liwości na analizę flag pakietu IP. Transmisja przez taki filtr przebiega w ten sposób, e gdy zaufany wewnętrzny host rozpoczyna połączenie z portem TCP niezaufanego hosta, wysyła pakiet synchronizacyjny SYN zwierający adres IP i numer portu (gniazdo), na którym oczekuje odpowiedzi. Filtr zapisuje w tablicy stanów adresy gniazd docelowego oraz zwrotnego i dopiero wysyła pakiet do sieci zewnętrznej. Nadchodząca odpowiedź jest badana pod kątem gniazda docelowych i źródłowych w tablicy stanów. Jeśli jest jakaś niezgodność w porównaniu, pakiet jest odrzucany, poniewa nie stanowi odpowiedzi na ądanie z sieci chronionej. Pozycja wpisu w tablicy stanów jest usuwana po określonym czasie (w razie zerwania połączenia) lub po przesłaniu pakietów negocjacji zamknięcia sesji. Oczywiście poza badaniem stanu w filtrach tego typu równie są stosowane zbiory reguły związane z analizą nagłówka IP tak jak realizowane jest to w filtrach bezstanowych.
- 16 - Start Wejście pakietu do filtra Reguły filtra Wewnętrzny? 1 0 Prześlij do celu Zezwolić? Utwórz rekord w tablicy stanów Tablica stanów Koniec Zezwolić? Koniec połączenia? Usuń rekord w tablicy stanów 1 0 Nawiązanie połączenia? Isnieje rekord w tablicy stanów? Koniec połączenia? Prześlij do celu SysLog Rejestrować (0 - Koniec) Rejestruj 0 1 1 0 1 0 0 1 0 1 1
- 17 - Systemy pośredniczące G Systemy pośredniczące, czyli Proxy – słu ą do regeneracji ądań klientów sieci prywatnej skierowane do usług warstw wy szych usług sieci zewnętrznej. G Historycznie systemy Proxy były wykorzystywane głównie do buforowania i przechowywania w pamięci podręcznej, często przeglądanych stron WWW. Sieć prywatna Internet Bastion Host Proxy Server Sieć prywatna Internet W RZECZYWISTOŚCI ... PUNKT WIDZENIA SERWERA I U YTKOWNIKA Sieć prywatna Internet Bastion Host Bastion Host Proxy Server Sieć prywatna Internet W RZECZYWISTOŚCI ... PUNKT WIDZENIA SERWERA I U YTKOWNIKA G Wraz z obni ką wartości Proxy jako system przechowywania, coraz lepiej widać ich zalety jako elementu systemu zabezpieczeń. G Proxy działa nasłuchując zleceń usługi od klientów wewnętrznych i przesyłaniu ich na zewnątrz w taki sposób jakby pochodziły od rzeczywistego klienta. Podobnie
- 18 - działają w drugą stronę przesyłając klientowi dane w sposób jakby pochodziły od hosta zewnętrznego. G Serwery Proxy pracują zwykle jako hosty bastionowe. G Host Proxy jest bezpośrednio podłączony do sieci Internet, i komunikuje się bezpośrednio z lokalnymi (wewnętrznymi) oraz zewnętrznymi hostami (jeśli połączenie jest dozwolone). Sieć prywatna Internet Bastion Host Proxy Server Muszą być w stanie wymuszać ruch pakietów IP poprzez serwer proxy Sieć prywatna Internet Bastion Host Bastion Host Proxy Server Muszą być w stanie wymuszać ruch pakietów IP poprzez serwer proxy G Typy serwerów pośredniczących: • Obwodowy – pośrednik, który tworzy obwód między klientem a serwerem bez interpretowania protokołu aplikacji. To są najprostsze Proxy swoją funkcjonalnością zbli one do filtrów pakietów i są dość łatwe do oszukania.
- 19 - Ich niezaprzeczalną zaletą jest świadczenie usług dla wielu ró nych protokołów. • Aplikacyjny – jest to Proxy, który zna aplikacje, dla której pośredniczy oraz rozumie i interpretuje polecenia w protokole aplikacji. Potrafi równie zajrzeć do ładunku danych i je analizować. Wadą tych Proxy jest ograniczenie ich funkcjonalności dla kilku protokołów, którym mogą pośredniczyć i je analizować. G Zalety Proxy w kontekście zabezpieczeń: • Ukrywanie prywatnego klienta przed światem zewnętrznym – podobnie jak mechanizm NAT powodują, e z punktu widzenia zewnętrznego obserwatora, cała sieć wewnętrzna będzie wyglądała jak jeden host. Mo liwe jest to dzięki temu, e Proxy działają na zasadzie ponownego wygenerowania ądań warstwy usługowej. Dodatkowo Proxy mo e multipleksować połączenie, aby pewna liczba hostów korzystała z jednego połączenia z Internetem. • Blokowanie niebezpiecznych URL (Universal Resource Lokator – uniwersalny wskaźnik zasobów) – pozwala to administratorowi zakazać dostępu do stron WWW w oparciu o URL. Podane adresy są zabronione z tych czy innych przyczyn i standardowy u ytkownik nie mo e wywołać takiego adresu w swojej przeglądarce. Jednak system blokad jest łatwo ominąć np. stosują liczbową notacje adresu. Dlatego tego typu blokady są rzadko stosowane chyba, e system jest do takich celów dedykowany i nie jest łatwo go obejść. • Filtrowanie zawartości – Proxy transmituje cały ładunek danych oraz jest związany z danym protokołem, więc
- 20 - mo e być u yty do przeszukiwania danych pod kątem podejrzanej zawartości np. wirusy, konie trojańskie, kontrolki ActiveX, binarne załączniki e-maili, treść na stronie WWW itp. Filtrowanie takie mo e dość znacznie podnieś bezpieczeństwo naszej sieci dzięki ograniczeniu ekspansji wirusów. • Kontrola spójności – polega na kontroli zgodności danych z protokołem, czyli sprawdzenie zawartości danych pod kątem ich znaczenia dla protokołu. Mo e w ten sposób zapobiegać wykorzystaniu nieprawidłowo sformatowanych danych do wykorzystywania luk bezpieczeństwa. • Blokowanie routingu – systemy pośredniczące nie muszą wyznaczać trasy dla pakietów warstwy transportowej w związku z całkowitą regeneracją ądań. • Rejestracja zdarzeń i alarmowanie – wąskie przejście, jakim jest system pośredniczący pozwala na przeprowadzenie głębokiego monitorowania przepływających danych a co za tym idzie wyłapywać dane związane z działalnością nieuprawnioną oraz próby ataku, które nie koniecznie muszą być przeprowadzane na system Proxy. G Wady systemów Proxy: • Pojedynczy punkt awarii – z pojedynczym punktem kontroli związany jest pojedynczy punkt awarii. Więc awaria serwera powoduje odcięcie całej sieci, której pośredniczy, od Internetu.
- 21 - • Oprogramowanie klienckie musi współpracować z Proxy – dla ka dej usługi objętej Proxy musi istnieć klient, który współpracuje z systemem pośredniczącym. • Usługa musi mieć swoje Proxy – ka da uwzględniony protokół musi mieć swoje Proxy. • Proxy tworzą zatory – przecią ony system pośredniczący mo e tworzyć zatory w obsłudze klientów. G System pośredniczący mimo swoich wad jest dość istotnym elementem ściany ogniowej organizacji. Szyfrowane tunelowanie. G Szyfrowane tunelowanie rozwiązuje problem bezpiecznego i bezpośredniego dostępu do hostów za pośrednictwem sieci Internet. G W tym celu wykorzystuje się kilka podstawowych składników zabezpieczeń: • Kapsułowanie (hermetyzacja) w pakietach protokołu IP – polega na zawarciu w pakiecie IP innego pakietu równie IP. Jest to niezbędne do wywołania komputera znajdującego się w innej sieci, gdy nie istnieje trasa bezpośredniego połączenia. Przy takim rozwiązaniu odległe sieci schowane za systemami firewall mogą komunikować się między hostami tak, jakby znajdowały się w tej samej sieci podzielone routerem. Pakiet po dotarciu na miejsce przeznaczenia, oddaje zaszyfrowany pakiet, który jest następnie deszyfrowany i wysyłany do komputera przeznaczenia. • Uwierzytelnienie kryptograficzne – jest u ywane do bezpiecznego sprawdzenia to samości u ytkownika
- 22 - zdalnego tak, aby system mógł dobrać system zabezpieczeń dla u ytkownika. Ocenia na tej podstawie czy u ytkownik mo e korzystać z szyfrowanego tunelu. U ywany jest równie do wymiany publicznych i prywatnych kluczy przez VPN. - Szyfrowanie kluczem prywatnym (tajnym) – pracuje w oparciu o utajnienie wartości znanej obu stroną. Zgłaszający znający tą wartość jest uznawany za godnego zaufania. Istnieją odmiany tej metody polegające na u ywaniu jednorazowego klucza. - Szyfrowanie z wykorzystaniem klucza publicznego – polega na wymianie kluczy sesji, mogących być u ywanymi tylko do szyfrowania danych. Klucz deszyfrujący jest przechowywany na urządzeniu odbiorczym i nigdy nie jest transmitowany przez sieć publiczną. • Szyfrowanie ładunku danych – jest u ywane do kapsułowania danych w przesyłanych protokołach. Pozwala to na utajnienie zawartości kapsułowanego pakietu oraz danych nagłówka, czyli chronimy informacje o wewnętrznej sieci. Protokół 1 Protokół 2 FirewallFirewall Protokół 1 Protokół 2 Protokół 1 Protokół 1 Dane znajdują się teraz poza firewall Protokół 1 Protokół 2 FirewallFirewall Protokół 1 Protokół 2 Protokół 1 Protokół 1 Dane znajdują się teraz poza firewall G VPN mo e być realizowane w trzech typach: • tunelowanie wykorzystujące serwery,
- 23 - • tunelowanie wykorzystujące ściany ogniowe, • tunelowanie wykorzystujące routery. G Wirtualne sieci prywatne są dobrym rozwiązaniem do realizacji swoich celów polegającym na bezpiecznym zdalnym dostępie. Nie mo na oczywiście podchodzić do nich bezkrytycznie wiadomo, e są wolniejszym rozwiązaniem ni sieć WAN i mniej bezpiecznym ni połączenie kablowe. Wa na jest implementacja tej z uwagi znane problemy z np. jakie zaistniały z protokołem PPTP firmy Microsoft. Systemy wykrywania włamań. G Wykrywanie włamań jest to proces identyfikowania i reagowania na szkodliwą działalność, skierowaną przeciw zasobom informatycznym i sieciowym. G Zasadę działania systemu IDS mo na opisać jako: • monitorowanie – czyli obserwacja chronionej infrastruktury, • raportowanie – tworzenie raportów dla systemów analitycznych, • reakcja – reagowanie na incydenty działaniem lub alarmem. G Systemy IDS starają się w pewnym stopniu zastąpić część zadań administratora polegających na obserwacji systemu w poszukaniu anomalii (w miejscach sondowania), czyli zachowań odbiegających od standardu. Systemy te starają się wykryć anomalię, ocenić jej wagę i zareagować.
- 24 - G Wykrywanie anomalii mo e być przeprowadzana w wielu miejscach sondowania na podstawie ró nych kryteriów oraz ró nych danych wejściowych. • Przetwarzanie raportu audytu – metoda ta polega na zebraniu zapisanych w logach zdarzeń w systemie, do dziennika audytu, który następnie jest poddawany analizie przez narzędzia znające semantykę rekordów dziennika. Analizie towarzyszą techniki algorytmiczne, które dzięki schematowi przetwarzania audytu wykrywają pewne atrybuty rekordów w raporcie. Atrybuty te odpowiadają wzorcom działań uznanych za podejrzane. Systemy tego typu, choć efektywne mają bardzo du e zapotrzebowanie na moc obliczeniową oraz obarczone są poślizgiem czasowym związanym z gromadzeniem danych. • Przetwarzanie na bie ąco ruchu w sieci – w odró nieniu od poprzedniej metody ta realizowana jest w czasie rzeczywisty. Podstawę stanowią dane o ruchu w sieci. U ywa się tu szybszych algorytmów (mniej dokładnych) mających znaleźć atrybuty ataku w trakcie jego przeprowadzania. G Zebrane informacje z raportu audytu czy te analizy ruchu w sieci mo na poddać ró nym metodą analizy. • Metoda profilu normalnego zachowania – polega na przewidywaniu działalności informatycznej u ytkownika i systemu. Metoda profilowania jest o tyle ciekawa, e mo na ją uogólnić do grupy u ytkowników lub systemu. Polega ona na analizie atrybutów aktywności pracy obiektów i korekcie profilowanego nowego u ytkownika a do maksymalnie precyzyjnej regulacji istniejących profilów. Oznaczenie wartości średnich i mo liwych odchyłkach.
- 25 - • Metoda sygnatur nienormalnego zachowania – bardzo popularna metoda w rzeczywistych realizacjach IDS. Polegająca na porównaniu atrybutów rzeczywistych i sygnatur ataków. Sygnatury występują w dwóch typowych formach: - Sygnatury ataków – sygnatury profilów dynamicznych ataków opisujące dane wzorce aktywności, które w jakiś sposób mogą stanowić naruszenie bezpieczeństwa. Wią ą się one z zale nością czasową ciągu aktywności, które mogą być przeplecione działaniami obojętnymi np. pakiet przychodzący na zewnętrzny interfejs o adresie źródłowym i docelowym wewnętrznym.. - Wybrane ciągi tekstowe – są to sygnatury ciągów tekstowych, które mo na uznać za podejrzane np. „/etc/passwd” G Systemy IDS są generalnie połączeniem systemów monitorowania, z systemami ekspertowymi analizującymi odchylenia w sondowanych atrybutach. Przydatność takich systemów jest dość du a, pozwalają one, bowiem wychwycić dość drobne z pozoru zdarzenia mające miejsce w długim okresie czasu, będące atakiem. Systemy takie są równie dość pomocne przy zwykłych próbach ataku, typu wychwycenie na podstawie prowadzonej transmisji z hosta i numeru portu mo na zało yć, e jest tam zainstalowany koń trojański lub inny złośliwy program. G Główną wadą systemów tego typu jest generowanie stosunkowo du ej ilości fałszywych alarmów, które mogą znieczulić obsługę, na tyle, e nie zareaguje na prawdziwe zagro enie.