Technologie pro budování bezpe nosti IS – technická opat ení
[email protected]
Obsah Úvod – bezpe nost IS Analýza rizik a Analýza dopad (BIA) Pro po izovat technologie? Eliminace hrozeb technickými prost edky • Firewall • IDS/IPS • VPN • Inspekce obsahu, atd...
Bezpe nost Informa ních systém Ochrana informa ních aktiv v organizaci – D v rnost – Integrita – Dostupnost Bezpe nost jako integrální sou ást innosti organizace Bezpe nost jako stále probíhající proces Princip PDCA
Nástroje prosazování bezpe nosti Pravidla
Vynucování
Sm rnice, politiky
Technické prost edky
Osv ta Školení
Kontrola Sankce
Návrhy protiopat ení Technická Programová Komunika ní Procedurální Fyzická Personální
Vztah úrovn bezpe nosti a náklad
Pro po izovat technologie? Pro eliminaci vysokého rizika zp sobeného: Vysokou hrozbou nebo Vysokým dopadem do organizace
Bezpe nostní aspekty pro po ízení Dostupnost D v rnost Integrita Nízké riziko St ední riziko Vysoké riziko
Antivirové systémy Vysoká úrove hrozby St ední až nízké dopady Vysoká etnost Náklady: Nízké Ú innost: Vysoká Eliminuje hrozbu: • Škodlivé programy
Dostupnost D v rnost Integrita
Co je firewall? Firewall je sí ové za ízení, které slouží k ízení a zabezpe ování sí ového provozu mezi sít mi s r znou úrovní d v ryhodnosti a/nebo zabezpe ení. Slouží jako kontrolní bod, který definuje pravidla pro komunikaci mezi sít mi, které od sebe odd luje. Firewally se opírají p inejmenším o informace o stavu spojení, znalost kontrolovaných protokol a p ípadn prvky IDS. Firewally se b hem svého vývoje adily zhruba do následujících kategorií: • Paketové filtry • Aplika ní brány • Stavové paketové filtry • Stavové paketové filtry s kontrolou známých protokol a pop . kombinované s ··IDS
Firewall St ední úrove hrozby St ední dopady Nízká až st ední etnost Náklady: St ední Ú innost: Vysoká Eliminuje hrozby: • • • •
Dostupnost D v rnost Integrita
Infiltrace komunikací P edstírání identity uživatele cizími osobami P esm rování zpráv Úmyslná škoda zp sobená cizími osobami
Paketové filtry Nejjednodušší a nejstarší forma firewallování, která spo ívá v tom, že pravidla p esn uvád jí, z jaké adresy a portu na jakou adresu a port m že být doru en procházející paket, tj. kontrola se provádí na t etí a tvrté vrstv modelu sí ové komunikace OSI.
Výhodou tohoto ešení je vysoká rychlost zpracování, proto se ješt i dnes používají na místech, kde není pot ebná p esnost nebo d kladn jší analýza procházejících dat, ale spíš jde o vysokorychlostní p enosy velkých množství dat.
Nevýhodou je nízká úrove kontroly procházejících spojení, která zejména u složit jších protokol Mezi typické p edstavitele paketových filtr pat í nap . tzv. ACL (Access Control Lists)
Paketový filtr + NAT
Aplika ní brány Veškerá komunikace p es aplika ní bránu probíhá formou dvou spojení – klient (iniciátor spojení) se p ipojí na aplika ní bránu (proxy), ta p íchozí spojení zpracuje a na základ požadavku klienta otev e nové spojení k serveru, kde klientem je aplika ní brána. Kontrola se provádí na sedmé (aplika ní) vrstv sí ového modelu OSI (proto se t mto firewall m íká aplika ní brány). Výhodou tohoto ešení je pom rn vysoké zabezpe ení známých protokol . Nevýhodou je zejména vysoká náro nost na použitý HW – aplika ní brány jsou schopny zpracovat mnohonásobn nižší množství spojení a rychlosti, než paketové filtry a mají mnohem vyšší latenci. Po nástupu stavových paketových filtr se vývoj v tšiny aplika ních bran postupn zastavil a ty p eživší se dnes používají už jen ve velmi specializovaných nasazeních
Aplika ní kontrola Kontrola aplikací
APLIKA NÍ
IN
PROXY OUT
Stavová inspekce Kontrola hlavi ky paketu
obousm rná bezpe nost odd lené Segmenty sít
interní IP stack
externí IP stack
Dodržení RFC Analýza anomálií P epsání paketového protokolu – ochrana p ed útoky Dodržení délky URL, ovlivn ní Puts, Gets, atd. Scanování vir , erv , spamu, klí ových slov. Blokace necht ného obsahu
Chrán ný server
Stavové paketové filtry Stavové paketové filtry provád jí kontrolu stejn jako jednoduché paketové filtry, navíc si však ukládají informace o povolených spojeních, které pak mohou využít p i rozhodování, zda procházející pakety pat í do již povoleného spojení a mohou být propušt ny, nebo zda musí znovu projít rozhodovacím procesem. Zásadním vylepšením je i možnost vytvá ení tzv. virtuálního stavu spojení pro bezstavové protokoly, jako nap . UDP a ICMP. K nejv tším výhodám stavových paketových filtr pat í jejich vysoká rychlost, pom rn slušná úrove zabezpe ení a ve srovnání s výše zmín nými aplika ními branami a jednoduchými paketovými filtry ádov mnohonásobn snazší konfigurace – a díky zjednodušení konfigurace i nižší pravd podobnost chybného nastavení pravidel obsluhou. Nevýhodou je obecn nižší bezpe nost, než poskytují aplika ní brány.
Stavové paketové filtry s kontrolou protokol a IDS Krom informací o stavu spojení a schopnosti dynamicky otevírat porty pro r zná ídící a datová spojení složit jších známých protokol implementují n co, co se v marketingové terminologii r zných spole ností nazývá nej ast ji Deep Inspection nebo Application Intelligence. Znamená to, že firewally jsou schopny kontrolovat procházející spojení až na úrove korektnosti procházejících dat známých protokol i aplikací. Nejnov ji se do firewall integrují tzv. in-line IDS (Intrusion Detection Systems – systémy pro detekci útok ). Výhodou t chto systém je vysoká úrove bezpe nosti kontroly procházejících protokol p i zachování relativn snadné konfigurace, Nevýhodou je zejména složitost - zvyšují tak pravd podobnost, že v n které ásti jejich kódu bude zneužitelná chyba
Sou asnost Posílení stavové inspekce tak, aby i tento typ firewallu rozum l aplikacím. ALG (Application Level Gateway) tak kombinuje výkon a výhody (nap íklad možnost redundantního zapojení) stavových firewall s porozum ním komunikace i na aplika ní vrstv . Ty nejlepší firewally mají dnes integrovaný systém prevence pr niku p ímo v sob , jedná se o deep packet inspection.
Deep packet inspection
Porovnání typ FW - Zdrojové IP adresy – Cílové IP adresy/portu – Stavu spojení – Stavu aplikace –
Analýzy sí ového spojení
–
Analýzy aplika ních dat
} } }
Paketové filtry Stavové paketové filtry IDS, IPS, Application Intelligence, Deep Inspection
Použití FW
Trendy Vysoká dostupnost Serializace bezpe nostních za ízení Návrat k jednoduchým jednoú elovým ešením Splývání funkcionality firewall a IDS Vzd lávání uživatel Personální firewally
Vysoká dostupnost Vysoká dostupnost je nezbytná ve vnit ních sítích pro hladký a efektivní provoz spole nosti • Aplika ní a databázové servery • Sí ová a bezpe nostní infrastruktura • Vzdálené p ipojení (management, mobilní pracovníci) • ízení výrobních prost edk Vysoká dostupnost služeb na Internetu je nezbytná pro stále rostoucí po et spole ností • Banking, finance • Informa ní zdroje • Vyhledáva e • Obchodní prezentace • Internetové obchody
Serializace Každý SW obsahuje chyby Vývoj v tšiny produkt jde sm rem k zesloži ování, n kdy dokonce ke kompletnímu p epsání celého produktu za ú elem zesložit ní • P ednost mívá uživatelská p ítulnost p ed bezpe ností • Zákazníci nejsou pln informováni o problémech Není vhodné používat pro serializaci výrobky jednoho výrobce • Úto ník m že využít stejné chyby k pr niku p es všechny firewally v ad • Použití r zných systém však m že odstranit • „výhody“ centrální správy Centrální správa pro správu serializovaných systém není vhodná ani pro r zné systémy • Chyby v nastavení se propagují na všechny systémy
Co je VPN (Virtual private network) Bezpe né (autentizované a šifrované) a p itom pro uživatele zcela transparentní spojení mezi dv ma i více sít mi. Pro spojení mezi uživatelem a požadovanou destinací použita ve ejná sí - nej ast ji internet
VPN St ední úrove hrozby Vysoké dopady Nízká etnost Náklady: St ední Ú innost: Vysoká Eliminuje hrozby: • • • •
Dostupnost D v rnost Integrita
Infiltrace komunikací P edstírání identity uživatele cizími osobami Úmyslná škoda zp sobená cizími osobami Zachycení komunikace
Architektonické možnosti
Propojení klient-klient Každá stanice IP adresu bez nutnosti p ekladu Zdrojovou ani cílovou adresu nemusíme pozm ovat
Propojení klient-brána Mobilní ú astník obdrží ve ejnou (dynamickou) adresu Pro p ipojení do sít ale používá adresu z vnit ní sít Jeho ve ejná adresa a adresa protistrany je tak využita pouze pro navázání spojení – tunel Tunelem jsou posílány pakety vnit ní sít
Propojení brána-brána Propojení dvou sítí s odlišným adresním plánem p es t etí „tranzitní“ sí B žn je požadováno šifrování a ov ování autenticity Brány na adresách tranzitní sít navážou tunel, skrze který zasílají pakety, jež adresn odpovídají sítím které propojují
VPN na sí ové vrstv IPoverIP • P enášené pakety IP protokolu jsou zabalené do jiných IP paket
GRE
• Cílem umožnit vytvá ení tunel , které budou uzp sobené pro p enos paket jednoho protokolu skrze jiný protokol
PPTP • Využívá pro svou innost protokolu PPP (point-to-point protocol)
L2TP • L2TP pln podporuje IPSec • P enáší PPP skrz sít , které nejsou PPP
VPN na sí ové vrstv IPSEC – Umí vytvo it oby ejný tunel mezi dv ma stanicemi i branami – Umí tento tunel zabezpe it jak ve smyslu ov ení autenticity obou komunikujících uzl , tak ve smyslu utajení p enášených dat šifrováním – Povinná sou ást protokolu IPv6, v IPv4 dodate n implementován – Dnes nejrozší en jší standard na budování VPN sítí – hash funkce u AHP protokolu je vypo ítávána práv i z n kterých "statických" ástí samotného IP transportního paketu, ímž je bohužel znemožn no provozu IPSecu na sítích, kde dochází k p ekladu adres (NAT)
VPN na transportní a aplika ní vrstv SSL
– SSL = Secure Socket Layer, resp. dnes používaný protokol TLS = Transport Layer Security , který je vlastn pouze protokolem SSL verze 3.1. – Protokol definující zp sob šifrování a autentifikace p enášených dat na úrovni vyšší vrstvy v OSI modelu – Šifrováná pouze data p enášených samotnou aplikací, která SSL implementuje – SSL využívá pro po áte ní vým nu klí pro komunikaci asymetrické kryptografie, p ípadn kryptografie založené na ve ejném a privátním klí i - asto se hovo í o použití certifikát
Základní bezpe nost Bezpe nost VPN šifrování • nej ast jší technologie pro VPN – IPSec (p íp. jeho proprietární variace) • základem kvalitní šifra – obvykle 3DES / AES (DES v sou asnosti již není považován za dostate ný) • význam autentizace • doporu ujeme RSA – x.509 certifikáty • tzv.„pre-shared“ passwords nejsou obecn považovány za zcela vhodné • existující standardy nabízí možnost velmi vysoké úrovn zajišt ní integrity a d v rnosti p enášených dat (praxe m že být r zná)
Bezpe nostní kritéria Zakon ení VPN • obvykle router (p íp. firewall) Obvyklé problémy • aktualizace/patche – použité SW vybavení je pom rn komplikované (kryptografie), nelze vylou it výskyt chyb • praxe: neaktualizovaný SW – riziko DoS útok , znep ístupn ní i jiné negativní ovlivn ní funk nosti • neodborným zásahem do nastavení lze jednoduše degradovat veškeré bezpe nostní vlastnosti VPN • vysoké nároky na údržbu za ízení • kvalifikované lidské zdroje • znalosti (sledování aktuálního vývoje)
Jak p ipojit VPN do vnit ní infrastruktury? Vzdálený konec/konce VPN je vhodné vnímat do jisté míry jako vn jší prost edí • zakon ení VPN p ímo ve vnit ní LAN – ne zcela dobrá praxe (by astá) • praxe: ší ení problém mezi lokalitami skrze VPN Ideální je p ipojení VPN do vnit ního prost edí p es prvek schopný ídit komunikaci probíhající p es VPN • firewall p íp. router se základními funkcemi firewallu • op t zvýšené nároky na správu
IPSec a SSL SSL webové aplikace, sdílení soubor a elektronická pošta aplikace zn silné v závislosti na webovém prohlíže i šifrování zn silná (jednosm rná nebo obousm rná, za použití hesel, tokenu nebo autentizace certifikát ) bezpe nost celkov st edn silná
IPSec
všechny aplikace TCP/IP konzistentn silné, závisí na dané implementace
silná (obousm rná, za použití tokenu nebo certifikát ) velmi silná
Co je Content Monitoring? Ochrana http, ftp proxy (antivir, content filtering, blokování nevhodného obsahu) Antispam poštovního serveru
Active Content Monitoring St ední úrove hrozby St ední dopady Vysoká etnost Eliminuje hrozby: • • • •
Dostupnost D v rnost Integrita
Infiltrace komunikací Škodlivé programy Úmyslná škoda zp sobená cizími osobami Zachycení komunikace
Úkoly pro ACM Nedisciplinovaní uživatelé Viry Viry ší ené protokolem HTTP/SMTP/FTP Spam Nevhodný obsah stránek Neproduktivní stránky Vulgární výrazy Hoax
Co je IDS / IPS Systémy pro detekci neoprávn ného pr niku umo ují zvýšit zabezpe ení informa ních systém p ed útoky ze sít internet i z vnit ních sítí organizace, a jsou tak vhodným dopl kem k firewallové ochran . Je tvo en kombinací softwarového a hardwarového vybavení vhodn zakomponovaného do po íta ové sít , která je schopna odhalit neoprávn né, nesprávné nebo anomální aktivity v síti. IDS detekuje útoky na aktivní prvky po íta ové sít nebo na servery. Krom samotné detekce útok poskytuje IPS také r zné možnosti odezvy na útoky.
IDS / IPS Vysoká úrove hrozby Vysoké dopady Nízká etnost Náklady: Vysoké Ú innost: St ední až vysoká Eliminuje hrozby: • • • •
Dostupnost D v rnost Integrita
Infiltrace komunikací P edstírání identity uživatele cizími osobami Úmyslná škoda zp sobená cizími osobami Zachycení komunikace
Host-based systémy Nasazují se p ímo na jednotlivé servery nebo uživatelské stanice Softwarové produkty, nasazení je limitováno podporou OS Monitorují systémová volání, logy, chybová hlášení a podobn . Chrání p ed útoky na opera ní systém a aplikace provozované na po íta i.
Network-based systémy Specializovaná za ízení monitorující sí ový provoz Za ízení tak dokáže chránit po íta e v celé síti, respektive segmentu sít Tyto systémy monitorují všechny pakety v síti pomocí NIC (Network Interface Card) rozhraní v promiskuitním módu a porovnáním t chto paket se signaturami detekují útoky.
Detek ní metody Detekce vzoru provozu(signatury) – V sí ovém provozu jsou hledány p edem definované vzorky. Sofistikovan jší varianta této metody dovoluje rekonstruovat celou vým nu dat. Systém je pak schopen nalézt útoky, které vyžadují datovou vým nu nebo jsou rozd leny do více paket práv kv li snížení pravd podobnosti odhalení. Detekce odchylek od protokolových norem – Metoda vychází z definic jednotlivých protokol daných standardy RFC. Odchylky od norem jsou detekovány a dále analyzovány. Detekce anomálií v sí ovém provozu – Systém na základ statistických metod odhaluje sí ový provoz, který se vymyká dosud b žnému provozu. Heuristická analýza – Tato metoda využívá statistické vyhodnocování parametr monitorovaného provozu. Takto se dají nap íklad snadno detekovat útoky typu port sweep
IDS vs IPS Systém detekce narušení (IDS) slouží k odhalování
pokus o narušení integrity, utajení a dostupnosti dat v chrán né síti. Jedná se o pasivní systém, který pouze upozor uje a sám ne iní aktivní protiopat ení. Prost ednictvím upozorn ní a statistik poskytuje obsluze informace o zaznamenaných útocích. Naproti tomu systém prevence narušení (IPS) nejen detekuje pokusy o útok jako IDS, ale zárove je schopen dle nastavené konfigurace aktivn reagovat, tzn. útoku zabránit, pop ípad jej p erušit. Zamezit útoku lze zablokováním jednotlivého spojení, p ípadn celého provozu ze zdrojové IP adresy.
Blokování útoku Nežádoucí provoz je správn detekován jako útok. Nežádoucí provoz není detekován a útok je úsp šný. ádný provoz je nesprávn ozna en jako útok. ádný provoz je ov en jako dobrý.
Statefull signature Protocol/trafic anomally detection Backdoor detection Honey pot
Blokování útok
Statefull signature
IDS
IPS
IDS + IPS
Další prost edky zabezpe ení ipové karty a PKI Elektronický podpis Kryptování Zálohování + Archivace Ochrana periferií Fyzická ochrana Organiza ní opat ení Bezpenostní politika
Zvyšování zabezpe ení Kombinace r zných typ technologií Kombinace r zných dodavatel Serializace ochran Centrální správa vs jednoú elová za ízení
P ípadová studie Modelový p íklad IS Výstupy Analýzy rizik Návrh protiopat ení technického zam ení Posouzení adekvátních protiopat ení Návrh implementace technických opat ení
D kuji za pozornost
http://www.proit.cz
[email protected]