Linux - Metody i techniki zabezpieczania sieci.pdf

- 1 - METODY I TECHNIKI ZABEZPIECZANIA SIECI

- 2 - Podstawowe grupy narzędzi i technik G Log systemowy (syslog) – narzędzie pozwalające na zapis wybranych zdarzeń z pracy systemu do rejestru. Zdarzenia mogą mieć związek z atakami, eksploatacją systemu oraz działaniami awaryjnymi. G Uwierzytelnianie w systemie – dobry system uwierzytelniania pozwoli na podniesienie poziomu bezpieczeństwa w elementach podsystemu bezpieczeństwa. Uzyskuje się to przez zapewnienie odpowiedniego poziomu bezpieczeństwa przy przesyłaniu, przechowywaniu oraz przy tworzeniu haseł. G Odpowiednia architektura systemów zabezpieczeń – logiczne umiejscowienie elementów systemu ochrony. G Hosty bastionowe – systemy komputerowe pracujące w sieci ochrony. G NAT – translacja adresów IP. G Filtry pakietów – systemy odpowiedzialne za filtrowanie przepływających pakietów, czyli określenie na podstawie charakterystyki pakietu czy jest on legalny (bezpieczny). G Systemy Proxy (pełnomocnik, pośrednik) – ogól systemów działających na zasadzie pośredniczenia i przekazywania usług. G Szyfrowane tunelowanie – nazywane równie wirtualnymi sieciami prywatnymi (VPN – virtual private networks), szyfrowane kanały łączące sieci prywatne przez Internet. G Systemy IDS (Intrusion Detection Systems – systemy wykrywania intruzów) – ogół systemów, których zadaniem

- 3 - jest wykrycie nielegalnej działalności na podstawie szeroko rozumianej analizy pracy chronionego systemu. G Inne – dość szeroka klasa systemów, narzędzi, metod, które w rękach doświadczonego operatora podniosą poziom bezpieczeństwa systemu. Podstawowe strategie tworzenia zabezpieczeń G Minimalne przywileje – strategia ta określa, e ka dy obiekt (u ytkownik, aplikacja, system) powinien posiadać tylko te przywilej, które są mu niezbędne do wykonywania realizowanych przez niego zadań. G Dogłębna obrona – polega to na braku zaufania do jednego mechanizmu zabezpieczającego niezale nie od poziomu jego skuteczności. Dokonuje się instalacji wielu systemów zabezpieczeń tak, aby awaria jednego mechanizmu nie wyłączyła wszystkich. Mo e to się objawiać przez budowę nadmiarowych zabezpieczeń lub dublowania tych samych zasad na wielu poziomach np. filtru pakietów. G Wąskie przejście - zmusza napastników do u ywania kanału, który mo na kontrolować i monitorować. W sieci wąskim przejściem jest np. Proxy, który jest jedyną drogą przejścia z Internetu do ośrodka. G Najsłabszy punkt – strategia ta wynika z podstawowej zasady wszelkiego bezpieczeństwa: ka dy łańcuch jest tak silny jak najsłabsze jego ogniwo. G Bezpieczeństwo w razie awarii – kolejna zasada wskazuje, eby system był jak najbardziej bezpieczny w razie uszkodzenia. Oznacza to przyjęcie zasady, e zajście awarii

- 4 - w systemie bezpieczeństwa uniemo liwi dostęp do chronionych zasobów nie zaś otworzy ten dostęp. G Powszechna współpraca – mówi nam o konieczności współpracy (lub nie przeszkadzania) ze strony członków organizacji, aby system zabezpieczeń działał efektywnie. G Zró nicowana obrona – jest ściśle powiązana z głębokością obrony. Według tej strategii potrzebne jest nie tylko wiele warstw obrony, ale równie , aby obrona była ró nego rodzaju. G Prostota – wynika to z tego, e prostsze rzeczy mo na łatwiej zrozumieć, a jeśli coś jest nie zrozumiałe to nie wiadomo czy jest bezpieczne. G Zabezpieczenie przez utajnienie – polega to na tym, e wykorzystujemy kolejną płaszczyznę bezpieczeństwa przez blokadę informacji na temat szczegółów zabezpieczeń ich typów, topologii, istniejących hostów. Jeśli uruchamiamy nowy host, czy uruchomimy usługę ftp na porcie innym ni standardowy, nie jest konieczne eby wszyscy o tym wiedzieli poza uprawnionymi. Architektury systemów zabezpieczeń G Architektury jednoelementowe: • Architektura z routerem ekranującym – jest to prosta i tania architektura zbudowana na podstawie routera, który jednocześnie pełni rolę systemu ochrony poprzez instalacje w nim filtra pakietów. Przyjęcie takiej architektury mo liwe jest w sieciach o bardzo dobrze chronionych serwerach i stacjach roboczych, kiedy

- 5 - potrzeba jest maksymalnej wydajności lub nadmiarowości. Router ekranujący SerwerStacja roboczaLaptop Drukarka Stacja robocza Internet • Architektura dwusieciowego serwera dostępowego. Podobnie jak poprzednia architektura jest prosta i tania. Rolę routera pełni tutaj serwer posiadający dwa interfejsy sieciowe, który mo e równie pełnić role ochronną poprzez instalacje systemów zabezpieczeń. Architektura ta jest lepsza pod względem bezpieczeństwa, z uwagi na mo liwości implementacji zabezpieczeń w serwerze dostępowym i przy dbałej konfiguracji mo e zapewnić stosunkowo dobry system ochrony.

- 6 - SerwerStacja roboczaLaptop Drukarka Stacja robocza Internet Serwer + oprogramowanie ochronne • Architektura ekranowanego hosta – polega na tym, e host bastionowy jest umieszczony w sieci wewnętrznej i mo liwe są połączenia z Internetu tylko do tego hosta, który ma wyłączone trasowanie. Stacje w sieci wewnętrznej mogą się łączyć bądź z hostem bastionowym w celu uzyskania pewnych usług (typu poczta), oraz mogą łączyć się z dowolnym, hostem zewnętrznym. Architekturę tą mo na modyfikować poprzez zmianę konfiguracji routera np. mo na wymusić by hosty wewnętrzne łączyły się tylko z hostem bastionowym, który będzie pośredniczył w dozwolonych usługach. Architektura ta jest dość bezpieczna, ale wymaga idealnej konfiguracji systemów ochronnych, ka dy błąd otworzy sieć wewnętrzną na ataki z Internetu.

- 7 - Serwer Stacja robocza Laptop Stacja robocza Internet Host bastionowy Router ekranujący • Architektura ekranowanej podsieci – tworzona jest dzięki wykorzystaniu dwóch routerów, tworzących miedzy sobą strefę zdemilitaryzowaną DMZ (DeMilitarized Zone). Strefa DMZ jest siecią peryferyjną i jakiekolwiek nieuprawnione działanie (nieuprawnione w sensie zasad obowiązujących w danej sieci LAN) jest traktowane jako wrogie. Ta architektura nale y do bezpieczniejszych oraz pozwala na implementacje zabezpieczeń, co najmniej trzech miejscach tj. na dwóch routerach i hoście bastionowym. Pozwala na dość swobodne i bezpieczne korzystanie z Internetu z sieci wewnętrznej, jednocześnie stanowiąc du e wyzwanie dla intruza. Ekranowanie podsieci umo liwia budowę zabezpieczeń według zasad strategii tworzenia zabezpieczeń. Ten typ architektury jest punktem wyjścia do tworzenia wariacji tej topologii poprzez ró ne sposoby zabezpieczania oraz zmiany ilościowe urządzeń.

- 8 - Serwer Stacja robocza Laptop Stacja robocza Internet Router zewnetrzny Host bastionowy DMZ Router wewnętrzny Sie ć wewn ę trzna • Architektura z wieloczęściową siecią ekranowaną – ta architektura dodaje jeden punkt ochrony (serwer dwusieciowy), który mo e być wykorzystany do permanentnego monitorowania ruchu lub i usług pośredniczących. Serwer Stacja robocza Laptop Stacja robocza Internet Router zewnetrzny DMZ Router wewnętrzny Sie ć wewn ę trzna Serwer dwusieciowy DMZ

- 9 - Hosty bastionowe G Hosty bastionowe są systemami, które występują w strefie DMZ i są z natury dostępne publicznie. Hosty te są komputerami szczególnie zabezpieczonymi i mającymi za zadanie realizować ró nego rodzaju usługi dla u ytkownika publicznego jak i wewnętrznego. G Hosty bastionowe są szczególnie nara one na włamania i mo na zało yć, e atak na sieć rozpocznie się od próby przejęcia kontroli, przez intruza, nad takim celem. Dlatego te systemy te muszą być szczególnie zabezpieczane i monitorowane oraz muszą znajdować się w specjalnej wydzielonej podsieci nieprzenoszącej adnych poufnych danych. G Hosty bastionowe mo na podzielić na kilka rodzajów: • Nietrasujące hosty dwusieciowe – ma wiele połączeń sieciowych, ale nie przekazuje między nimi ruchu, mo e natomiast spełniać role pośredniczące lub filtra pakietów. • Hosty ofiary – tutaj mamy system „słabo” zabezpieczony, przez konieczność udostępnienia na nim usług, które z natury są niebezpieczne. System taki będący skazanym na cel udanego ataku musi być szczególnie monitorowany i powinien mieć opracowane procedury, które są wstanie taki atak rozpoznać i umo liwić mo liwie szybki powrót do stanu poprzedniego. • Hosty pułapki – podobnie jak poprzednio, systemy tego typu są podatne na ataki z tą ró nicą, i nie są u ywane do świadczenia jakichkolwiek usług. Mają za zadanie zwabić intruza i poinformować administratora o zaistniałym fakcie.

- 10 - • Wewnętrzne hosty bastionowe – są to hosty umiejscowione w sieci wewnętrznej i mogą wchodzić w interakcje z głównymi hostami bastionowymi np. dla przekazania poczty do serwera wewnętrznego. Komputery te są faktycznie wtórnymi hostami bastionowymi, więc powinny być zabezpieczane i konfigurowane w podobny sposób. • Zewnętrzne hosty usługowe – to systemy odpowiedzialne za udostępnianie usług w Internecie np. WWW. Translacja adresów IP G Mechanizm maskowania zwanym równie NAT (Network Address Translation – translacja adresów sieciowych) nie jest mechanizmem pozwalającym na jakiś typ aktywnej ochrony, ale posiada właściwości, które ukrywają wiele informacji przed potencjalnym intruzem. Mechanizm ten został oryginalnie zaimplementowany po to, aby mo na było udostępniać więcej adresów siecią prywatnym, jednak okazało się, e ma on inny jeszcze aspekt związany z bezpieczeństwem: mo liwość ukrywania wewnętrznych hostów. Ukrywa przed intruzem informacje warstw TCP/IP o hostach wewnętrznych, poniewa cały ruch wygląda jak by pochodził z pojedynczego adresu IP. G Działanie mechanizmu maskowania IP wymaga, aby host maskujący (odpowiedzialny za translacje adresów) przechowywał tablice z przyporządkowanymi sobie gniazdami wewnętrznymi i zewnętrznymi. Jeśli host z sieci wewnętrznej nawiązuje połączenie z zewnętrznym serwerem, host maskujący zamienia jego port

- 11 - źródłowy na jeden ze swoich portów zewnętrznych, zamienia adres IP na swój (lub adres z pewnej puli) dokonuje odpowiedniego zapisu do tablicy translacji i wysyła pakiet do hosta docelowego. Kiedy otrzymywana jest odpowiedz od hosta zewnętrznego poszukiwany jest port w tablicy translacji, zmieniany jest adres docelowy i port hosta wewnętrznego i wysyła do podsieci wewnętrznej. Gdy zapisu w tablicy translacji jest brak pakiet jest odrzucany. Host maskujący Host wewętrzny Host zewnętrzny Docelowy IP 192.168.13.15 Źródłowy IP 10.0.0.15 Źródłowy port 1234 Docelowy IP 192.168.13.15 Źródłowy IP 128.110.211.1 Źródłowy port 15465 IP 128.110.211.1 IP 10.0.0.1 Docelowy IP 128.110.211.1 Źródłowy IP 192.168.13.15 Docelowy port 15465 Docelowy IP 10.0.0.15 Źródłowy IP 192.168.13.15 Źródłowy port 1234 G Translacja mo e być przeprowadzana na dwa sposoby: • translacja dynamiczna – przydział portów odbywa się niezale nie, • translacja statyczna – na stałe przypisujemy rekord w tablicy translacji do danego połączenia w sieci

- 12 - wewnętrznej, tracąc w ten sposób ochronę hosta wewnętrznego. G Mimo wielu zalet maskowanie posiada wadę polegającą na tym, i część protokołów wymagających kanału zwrotnego nie potrafi z tym mechanizmem współpracować. Pojawiają się moduły do tej usługi pozwalające ominąć przeszkody jednak mo e się zdarzyć, e protokół potrzebny w danej organizacji nie będzie potrafił poradzić sobie z tym mechanizmem wtedy nale y odrzucić protokół lub maskowanie adresów IP. G NAT mo na zrealizować na ró nych urządzeniach, pozwalają na to serwery jak i niektóre inne urządzenia takie jak routery. Filtry pakietów G Działanie podejmowane przez urządzenie, mające na celu selektywną kontrolę przepływu danych do i z sieci. Filtry pakietów pozwalają na przejście lub blokują pakiety zazwyczaj w czasie przesyłania ich z jednej sieci do innej. G Aby zrealizować filtrowanie pakietów musi zostać opracowany zestaw reguł określających, które rodzaje pakietów mo na przepuszczać, a które nale y blokować. Filtrowanie mo e odbywać się na moście, routerze lub w pojedynczym hoście, czasami jest nazywane ekranowaniem G Patrząc z perspektywy historycznej nale y przypomnieć, ze określenie firewall było odnoszone tylko do systemów filtrowania pakietów. G Obecnie wyró nia się dwa podstawowe typy filtrowania pakietów:

- 13 - • Filtry standardowe lub bezstanowe (stateless) – charakteryzują się tym, e nie potrafią sprawdzić części z ładunkiem pakiecie oraz nie pamiętają stanu połączenia. Badają informacje zawarte w nagłówku ka dego indywidualnego pakietu i określają na tej podstawie czy pakiet przesłać dalej czy te odrzucić. Od strony teoretycznej mo na spowodować, aby filtr korzystał ze wszystkich danych nagłówka, jednak w praktyce wykorzystywane są pola: - typ protokołu – opiera się na zawartości pola protokół nagłówka IP. Pole to pozwala rozró niać zestaw usług takich jak UDP,TCP, ICMP, IGMP. Jednak informacja w polu nagłówka jest na tyle ogólna, e trudno ją wykorzystać do filtrowania. - filtrowanie adresów IP – pozwala na filtrowanie adresów do lub z określonych hostów i sieci w oparciu o adres IP. Ten typ filtrowania jest dość szeroko stosowany do zezwalania na połączenia z wybranymi adresami IP (zaufane sieci, zdalni u ytkownicy). Nie ma jednak sensu u ywanie tego filtrowania dla jakiegoś szerszego blokowania adresów, chyba ze to dotyczy zablokowania pojedynczych sieci znanych ze stwarzania problemów. - porty TCP/UDP – to pole w filtrowaniu znajduje du e zastosowania, poniewa pola te określają najbardziej szczegółowo przeznaczenie pakietu. Filtrowanie portów jest często nazywane filtrowaniem protokołów, poniewa numery portów TCP/UDP identyfikują protokoły wy szych warstw. W większości przypadków filtry albo pozwalają na przejście wszystkim protokołom wyłączając listę protokołów

- 14 - zabronionych, lub te zabraniają wszystkich pozwalając na dostęp tylko zaufanym. - wybór trasy przez nadawcę (source routing) – ta opcja pozwala określić dokładną drogę, jaką ma przebyć pakiet IP do miejsca przeznaczenia. Kiedyś było to u ywane do celów diagnostycznych obecnie jednak najczęściej u ywany jest przez napastników. Dlatego filtry odrzucają pakiety ustawionym wyborem trasy. Start Wejście pakietu do filtra Zezwolić? Reguły filtra Odzruć Zezwól na przejście Koniec Rejestrować? Syslog Rejestruj 0 1 0 1 • Filtry z badaniem stanów (Stateful inspection filter) – są to systemy przechowujące w pamięci dane o stanie całego ruchu przechodzącego przez filtr i oceniają na tej podstawie czy dany pakiet mo e być przepuszczony.

- 15 - Filtry te nie pozwalają na przejście pakietu ądnej usługi, która nie została dopuszczona, oraz nie jest realizowana przez połączenie umieszczone w tablicy stanów. Filtry tego typu nie rozwiązują wszelkich problemów to znaczy badania danych pakietu, jednak rozszerzają swoje mo liwości na analizę flag pakietu IP. Transmisja przez taki filtr przebiega w ten sposób, e gdy zaufany wewnętrzny host rozpoczyna połączenie z portem TCP niezaufanego hosta, wysyła pakiet synchronizacyjny SYN zwierający adres IP i numer portu (gniazdo), na którym oczekuje odpowiedzi. Filtr zapisuje w tablicy stanów adresy gniazd docelowego oraz zwrotnego i dopiero wysyła pakiet do sieci zewnętrznej. Nadchodząca odpowiedź jest badana pod kątem gniazda docelowych i źródłowych w tablicy stanów. Jeśli jest jakaś niezgodność w porównaniu, pakiet jest odrzucany, poniewa nie stanowi odpowiedzi na ądanie z sieci chronionej. Pozycja wpisu w tablicy stanów jest usuwana po określonym czasie (w razie zerwania połączenia) lub po przesłaniu pakietów negocjacji zamknięcia sesji. Oczywiście poza badaniem stanu w filtrach tego typu równie są stosowane zbiory reguły związane z analizą nagłówka IP tak jak realizowane jest to w filtrach bezstanowych.

- 16 - Start Wejście pakietu do filtra Reguły filtra Wewnętrzny? 1 0 Prześlij do celu Zezwolić? Utwórz rekord w tablicy stanów Tablica stanów Koniec Zezwolić? Koniec połączenia? Usuń rekord w tablicy stanów 1 0 Nawiązanie połączenia? Isnieje rekord w tablicy stanów? Koniec połączenia? Prześlij do celu SysLog Rejestrować (0 - Koniec) Rejestruj 0 1 1 0 1 0 0 1 0 1 1

- 17 - Systemy pośredniczące G Systemy pośredniczące, czyli Proxy – słu ą do regeneracji ądań klientów sieci prywatnej skierowane do usług warstw wy szych usług sieci zewnętrznej. G Historycznie systemy Proxy były wykorzystywane głównie do buforowania i przechowywania w pamięci podręcznej, często przeglądanych stron WWW. Sieć prywatna Internet Bastion Host Proxy Server Sieć prywatna Internet W RZECZYWISTOŚCI ... PUNKT WIDZENIA SERWERA I U YTKOWNIKA Sieć prywatna Internet Bastion Host Bastion Host Proxy Server Sieć prywatna Internet W RZECZYWISTOŚCI ... PUNKT WIDZENIA SERWERA I U YTKOWNIKA G Wraz z obni ką wartości Proxy jako system przechowywania, coraz lepiej widać ich zalety jako elementu systemu zabezpieczeń. G Proxy działa nasłuchując zleceń usługi od klientów wewnętrznych i przesyłaniu ich na zewnątrz w taki sposób jakby pochodziły od rzeczywistego klienta. Podobnie

- 18 - działają w drugą stronę przesyłając klientowi dane w sposób jakby pochodziły od hosta zewnętrznego. G Serwery Proxy pracują zwykle jako hosty bastionowe. G Host Proxy jest bezpośrednio podłączony do sieci Internet, i komunikuje się bezpośrednio z lokalnymi (wewnętrznymi) oraz zewnętrznymi hostami (jeśli połączenie jest dozwolone). Sieć prywatna Internet Bastion Host Proxy Server Muszą być w stanie wymuszać ruch pakietów IP poprzez serwer proxy Sieć prywatna Internet Bastion Host Bastion Host Proxy Server Muszą być w stanie wymuszać ruch pakietów IP poprzez serwer proxy G Typy serwerów pośredniczących: • Obwodowy – pośrednik, który tworzy obwód między klientem a serwerem bez interpretowania protokołu aplikacji. To są najprostsze Proxy swoją funkcjonalnością zbli one do filtrów pakietów i są dość łatwe do oszukania.

- 19 - Ich niezaprzeczalną zaletą jest świadczenie usług dla wielu ró nych protokołów. • Aplikacyjny – jest to Proxy, który zna aplikacje, dla której pośredniczy oraz rozumie i interpretuje polecenia w protokole aplikacji. Potrafi równie zajrzeć do ładunku danych i je analizować. Wadą tych Proxy jest ograniczenie ich funkcjonalności dla kilku protokołów, którym mogą pośredniczyć i je analizować. G Zalety Proxy w kontekście zabezpieczeń: • Ukrywanie prywatnego klienta przed światem zewnętrznym – podobnie jak mechanizm NAT powodują, e z punktu widzenia zewnętrznego obserwatora, cała sieć wewnętrzna będzie wyglądała jak jeden host. Mo liwe jest to dzięki temu, e Proxy działają na zasadzie ponownego wygenerowania ądań warstwy usługowej. Dodatkowo Proxy mo e multipleksować połączenie, aby pewna liczba hostów korzystała z jednego połączenia z Internetem. • Blokowanie niebezpiecznych URL (Universal Resource Lokator – uniwersalny wskaźnik zasobów) – pozwala to administratorowi zakazać dostępu do stron WWW w oparciu o URL. Podane adresy są zabronione z tych czy innych przyczyn i standardowy u ytkownik nie mo e wywołać takiego adresu w swojej przeglądarce. Jednak system blokad jest łatwo ominąć np. stosują liczbową notacje adresu. Dlatego tego typu blokady są rzadko stosowane chyba, e system jest do takich celów dedykowany i nie jest łatwo go obejść. • Filtrowanie zawartości – Proxy transmituje cały ładunek danych oraz jest związany z danym protokołem, więc

- 20 - mo e być u yty do przeszukiwania danych pod kątem podejrzanej zawartości np. wirusy, konie trojańskie, kontrolki ActiveX, binarne załączniki e-maili, treść na stronie WWW itp. Filtrowanie takie mo e dość znacznie podnieś bezpieczeństwo naszej sieci dzięki ograniczeniu ekspansji wirusów. • Kontrola spójności – polega na kontroli zgodności danych z protokołem, czyli sprawdzenie zawartości danych pod kątem ich znaczenia dla protokołu. Mo e w ten sposób zapobiegać wykorzystaniu nieprawidłowo sformatowanych danych do wykorzystywania luk bezpieczeństwa. • Blokowanie routingu – systemy pośredniczące nie muszą wyznaczać trasy dla pakietów warstwy transportowej w związku z całkowitą regeneracją ądań. • Rejestracja zdarzeń i alarmowanie – wąskie przejście, jakim jest system pośredniczący pozwala na przeprowadzenie głębokiego monitorowania przepływających danych a co za tym idzie wyłapywać dane związane z działalnością nieuprawnioną oraz próby ataku, które nie koniecznie muszą być przeprowadzane na system Proxy. G Wady systemów Proxy: • Pojedynczy punkt awarii – z pojedynczym punktem kontroli związany jest pojedynczy punkt awarii. Więc awaria serwera powoduje odcięcie całej sieci, której pośredniczy, od Internetu.

- 21 - • Oprogramowanie klienckie musi współpracować z Proxy – dla ka dej usługi objętej Proxy musi istnieć klient, który współpracuje z systemem pośredniczącym. • Usługa musi mieć swoje Proxy – ka da uwzględniony protokół musi mieć swoje Proxy. • Proxy tworzą zatory – przecią ony system pośredniczący mo e tworzyć zatory w obsłudze klientów. G System pośredniczący mimo swoich wad jest dość istotnym elementem ściany ogniowej organizacji. Szyfrowane tunelowanie. G Szyfrowane tunelowanie rozwiązuje problem bezpiecznego i bezpośredniego dostępu do hostów za pośrednictwem sieci Internet. G W tym celu wykorzystuje się kilka podstawowych składników zabezpieczeń: • Kapsułowanie (hermetyzacja) w pakietach protokołu IP – polega na zawarciu w pakiecie IP innego pakietu równie IP. Jest to niezbędne do wywołania komputera znajdującego się w innej sieci, gdy nie istnieje trasa bezpośredniego połączenia. Przy takim rozwiązaniu odległe sieci schowane za systemami firewall mogą komunikować się między hostami tak, jakby znajdowały się w tej samej sieci podzielone routerem. Pakiet po dotarciu na miejsce przeznaczenia, oddaje zaszyfrowany pakiet, który jest następnie deszyfrowany i wysyłany do komputera przeznaczenia. • Uwierzytelnienie kryptograficzne – jest u ywane do bezpiecznego sprawdzenia to samości u ytkownika

- 22 - zdalnego tak, aby system mógł dobrać system zabezpieczeń dla u ytkownika. Ocenia na tej podstawie czy u ytkownik mo e korzystać z szyfrowanego tunelu. U ywany jest równie do wymiany publicznych i prywatnych kluczy przez VPN. - Szyfrowanie kluczem prywatnym (tajnym) – pracuje w oparciu o utajnienie wartości znanej obu stroną. Zgłaszający znający tą wartość jest uznawany za godnego zaufania. Istnieją odmiany tej metody polegające na u ywaniu jednorazowego klucza. - Szyfrowanie z wykorzystaniem klucza publicznego – polega na wymianie kluczy sesji, mogących być u ywanymi tylko do szyfrowania danych. Klucz deszyfrujący jest przechowywany na urządzeniu odbiorczym i nigdy nie jest transmitowany przez sieć publiczną. • Szyfrowanie ładunku danych – jest u ywane do kapsułowania danych w przesyłanych protokołach. Pozwala to na utajnienie zawartości kapsułowanego pakietu oraz danych nagłówka, czyli chronimy informacje o wewnętrznej sieci. Protokół 1 Protokół 2 FirewallFirewall Protokół 1 Protokół 2 Protokół 1 Protokół 1 Dane znajdują się teraz poza firewall Protokół 1 Protokół 2 FirewallFirewall Protokół 1 Protokół 2 Protokół 1 Protokół 1 Dane znajdują się teraz poza firewall G VPN mo e być realizowane w trzech typach: • tunelowanie wykorzystujące serwery,

- 23 - • tunelowanie wykorzystujące ściany ogniowe, • tunelowanie wykorzystujące routery. G Wirtualne sieci prywatne są dobrym rozwiązaniem do realizacji swoich celów polegającym na bezpiecznym zdalnym dostępie. Nie mo na oczywiście podchodzić do nich bezkrytycznie wiadomo, e są wolniejszym rozwiązaniem ni sieć WAN i mniej bezpiecznym ni połączenie kablowe. Wa na jest implementacja tej z uwagi znane problemy z np. jakie zaistniały z protokołem PPTP firmy Microsoft. Systemy wykrywania włamań. G Wykrywanie włamań jest to proces identyfikowania i reagowania na szkodliwą działalność, skierowaną przeciw zasobom informatycznym i sieciowym. G Zasadę działania systemu IDS mo na opisać jako: • monitorowanie – czyli obserwacja chronionej infrastruktury, • raportowanie – tworzenie raportów dla systemów analitycznych, • reakcja – reagowanie na incydenty działaniem lub alarmem. G Systemy IDS starają się w pewnym stopniu zastąpić część zadań administratora polegających na obserwacji systemu w poszukaniu anomalii (w miejscach sondowania), czyli zachowań odbiegających od standardu. Systemy te starają się wykryć anomalię, ocenić jej wagę i zareagować.

- 24 - G Wykrywanie anomalii mo e być przeprowadzana w wielu miejscach sondowania na podstawie ró nych kryteriów oraz ró nych danych wejściowych. • Przetwarzanie raportu audytu – metoda ta polega na zebraniu zapisanych w logach zdarzeń w systemie, do dziennika audytu, który następnie jest poddawany analizie przez narzędzia znające semantykę rekordów dziennika. Analizie towarzyszą techniki algorytmiczne, które dzięki schematowi przetwarzania audytu wykrywają pewne atrybuty rekordów w raporcie. Atrybuty te odpowiadają wzorcom działań uznanych za podejrzane. Systemy tego typu, choć efektywne mają bardzo du e zapotrzebowanie na moc obliczeniową oraz obarczone są poślizgiem czasowym związanym z gromadzeniem danych. • Przetwarzanie na bie ąco ruchu w sieci – w odró nieniu od poprzedniej metody ta realizowana jest w czasie rzeczywisty. Podstawę stanowią dane o ruchu w sieci. U ywa się tu szybszych algorytmów (mniej dokładnych) mających znaleźć atrybuty ataku w trakcie jego przeprowadzania. G Zebrane informacje z raportu audytu czy te analizy ruchu w sieci mo na poddać ró nym metodą analizy. • Metoda profilu normalnego zachowania – polega na przewidywaniu działalności informatycznej u ytkownika i systemu. Metoda profilowania jest o tyle ciekawa, e mo na ją uogólnić do grupy u ytkowników lub systemu. Polega ona na analizie atrybutów aktywności pracy obiektów i korekcie profilowanego nowego u ytkownika a do maksymalnie precyzyjnej regulacji istniejących profilów. Oznaczenie wartości średnich i mo liwych odchyłkach.

- 25 - • Metoda sygnatur nienormalnego zachowania – bardzo popularna metoda w rzeczywistych realizacjach IDS. Polegająca na porównaniu atrybutów rzeczywistych i sygnatur ataków. Sygnatury występują w dwóch typowych formach: - Sygnatury ataków – sygnatury profilów dynamicznych ataków opisujące dane wzorce aktywności, które w jakiś sposób mogą stanowić naruszenie bezpieczeństwa. Wią ą się one z zale nością czasową ciągu aktywności, które mogą być przeplecione działaniami obojętnymi np. pakiet przychodzący na zewnętrzny interfejs o adresie źródłowym i docelowym wewnętrznym.. - Wybrane ciągi tekstowe – są to sygnatury ciągów tekstowych, które mo na uznać za podejrzane np. „/etc/passwd” G Systemy IDS są generalnie połączeniem systemów monitorowania, z systemami ekspertowymi analizującymi odchylenia w sondowanych atrybutach. Przydatność takich systemów jest dość du a, pozwalają one, bowiem wychwycić dość drobne z pozoru zdarzenia mające miejsce w długim okresie czasu, będące atakiem. Systemy takie są równie dość pomocne przy zwykłych próbach ataku, typu wychwycenie na podstawie prowadzonej transmisji z hosta i numeru portu mo na zało yć, e jest tam zainstalowany koń trojański lub inny złośliwy program. G Główną wadą systemów tego typu jest generowanie stosunkowo du ej ilości fałszywych alarmów, które mogą znieczulić obsługę, na tyle, e nie zareaguje na prawdziwe zagro enie.