Úvod do bezpečnosti IS Obsah modulu „Kybernetická bezpečnost“ • Základní pojmy a principy informační bezpečnosti • Systém řízení informační bezpečnosti – ISMS • Standardy a normy – Série standardů 27k, OSI – Security Architecture – Kritéria pro hodnocení bezpečnosti IT – Kybernetická bezpečnost - legislativa • Nástroje pro implementaci informační bezpečnosti – Kryptografie v informační bezpečnosti – Elektronický podpis a certifikace – Penetrační testování 1
Úvod do bezpečnosti IS Základní principy a pojmy • „Informační bezpečnost“ – zabezpečení informací ve všech formách • „Kybernetická bezpečnost“ – zabezpečení informací v digitálních (elektronických) formátech (asi 90 % všech podnikových informací) • Význam kybernetické bezpečnosti: – Klíčová složka informačních systémů (IS) podniků a organizací – Součást podnikové bezpečnostní politiky – Řada strategických rozhodnutí managementu podniku přímo či nepřímo s informační (kybernetickou) bezpečností souvisí
2
Úvod do bezpečnosti IS • Informační bezpečnost – ochrana informace a uchování bezpečnostních atributů informace – – – – –
Důvěrnost (the confidentiality) Integrita (the integrity) Dostupnost (the availability) Autentičnost (the authenticity) Spolehlivost (the reliability)
CIA
3
Úvod do bezpečnosti IS • Informace představují majetek s určitou hodnotou (assets). Informace musí být proto chráněna – Před neoprávněným přístupem – Před zcizením, zfalšováním a zneužitím – Před vyzrazením – Před zablokováním přístupu oprávněným subjektům • Informace je chráněna v souladu s informační bezpečnostní politikou (BP) organizace, jejímž je majetkem. 4
Úvod do bezpečnosti IS • Podnikové informace existují převážně v podnikových informačních systémech (IS) • IS poskytuje – vstup dat (vstup informace) – zpracování a vyhodnocování dat – přenosy a uložení dat – výstup dat (výstup informace) • Manipulace s informacemi/daty v IS se provádí prostřednictvím informačních technologií (IT) - pojem
„kybernetická bezpečnost“ 5
Úvod do bezpečnosti IS Bezpečnostní politika • „Bezpečnostní politika IS/IT“ (BP) - základní dokument informační bezpečnosti • BP je soubor technických, administrativních opatření a postupů, sloužící k udržení definovaného zabezpečení. Zpracovává se na základě analýzy rizik • Složky IS, na které se vztahuje BP (the IS facility – the assets) – IT (HW tj. počítače, servery, tiskárny, SW tj. operační systémy, programové vybavení, telekomunikační a síťová zařízení tj. směrovače, přepínače, kabeláž …..) – lidé (zaměstnanci včetně správců systémů a sítě, zákazníci nebo klienti, obchodní partneři atd.) – data (tj. podnikové informace v různých fázích zpracování – vstupní sestavy, databáze, přenášené datové pakety, výstupní sestavy…) 6
Úvod do bezpečnosti IS • Řešení informační bezpečnosti je kontinuální proces, jehož jednotlivé aktivity se opakují. • Systém řízení informační bezpečnosti (ISMS - Information Security Management System). • ISMS je nedílnou složkou informačního systému v podniku a celkového bezpečnostního systému podniku • ISMS je dokumentovaný systém, ve kterém: – jsou chráněna definovaná informační aktiva, – jsou řízena rizika bezpečnosti informací – zavedená opatření jsou kontrolována.
• ISMS zajistí dosažení bezpečnostních cílů stanovených v bezpečnostní politice prostřednictvím managementu rizik (MR). 7
Úvod do bezpečnosti IS • • • • • •
Základní fáze řešení bezpečnosti IS Určení základních cílů a strategie BP Provedení analýzy rizik (AR) Ustavení celkové bezpečnostní politiky (CPB) Vytvoření prováděcích směrnic, bezpečnostních norem („systémová bezpečnostní politika“ - SBP) Implementace bezpečnostního systému Provádění monitoringu a auditu
8
Úvod do bezpečnosti IS Výstavba ISMS
9
Úvod do bezpečnosti IS ISMS • Pojem ISMS primárně zavedla norma ISO/IEC 17799 (mezinárodní norma převzatá z Britského standardu BS 77991:1999, publikovaná Mezinárodní organizací pro normalizaci (ISO) v roce 2000. • Novější revidovaná verze je součástí nové řady norem týkající se bezpečnosti informací ISO 27000 (ISO 27k) • Související pojmy: hrozba, zranitelné místo, riziko, útok, bezpečnostní cíl, dopad, analýza rizik, řízení rizik, protiopatření, přijatelné riziko …. Normalizací v oblasti informační bezpečnosti se budeme podrobněji zabývat v následující kapitole. 10
Úvod do bezpečnosti IS Analýza rizik (AR) • AR je klíčovým krokem ve výstavbě ISMS • AR odpovídá na otázky: 1. Co nastane, když nebudou informace chráněny? (dopad na IS) 2. Jak může být bezpečnost informací porušena? (možnost využití zranitelného místa hrozbou – uskutečnění útoku) 3. Jaká je pravděpodobnost, že to nastane? (míra rizika)
• Termíny, s kterými se v kontextu s AR setkáme: – – – – – –
Bezpečnostní cíl Zranitelné místo Hrozba Riziko Útok Dopad
11
Úvod do bezpečnosti IS Základní bezpečnostní cíle • Zachování důvěrnosti informace • Zachování integrity informace • Zachování dostupnosti informace • Zajištění autenticity informace • Zajištění spolehlivosti informace • Zajištění prokazatelnosti původu informace • Zajištění prokazatelnosti příjmu informace Informace musí mít zajištěnu ochranu v kontextu základních bezpečnostních cílů na definované úrovni
12
Úvod do bezpečnosti IS Zranitelné místo • Zranitelné místo je vlastnost IS (nedokonalost IS nebo jeho komponent). • Zásada: neexistuje IS bez zranitelných míst. • Výskyt zranitelných míst: – v HW – v SW – v provozním prostředí – v lidech
• Cíl AR: – odhalení zranitelných míst – určení přijatelné míry rizik vyplývajících z existence zranitelných míst – určení způsobu, jak rizika na přijatelné úrovni udržet 13
Úvod do bezpečnosti IS Hrozba – primární, neodvozený fenomén - možnost využít zranitelné místo Riziko – pravděpodobnost využití zranitelného místa (pravděpodobnost uskutečnění hrozby) Útok – úmyslné (subjektivní útok) nebo neúmyslné (objektivní útok) využití zranitelného místa. Základní typy útoků: • Přerušení • Odposlech • Změna • Padělání - zfalšování
14
Úvod do bezpečnosti IS Typy útoků
15
Úvod do bezpečnosti IS
16
Úvod do bezpečnosti IS Dopad – důsledek útoku vyjádřený v určité hodnotě (zpravidla finanční) Další termíny: – Objekt IS – pasivní entita IS, obsahuje nebo přijímá informace, používají ji autorizované subjekty – Subjekt IS – aktivní entita IS autorizovaná k manipulaci s informací v rámci určitého objektu – Bezpečnostní funkce – opatření k dosažení bezpečnostního cíle – Bezpečnostní mechanismus – prostředek nebo nástroj k dosažení bezpečnostního cíle – implementace bezpečnostní funkce 17
Úvod do bezpečnosti IS • K dosažení bezpečnostního cíle je nutné zvolit vhodnou bezpečnostní funkci • Bezpečnostní funkci lze zajistit vhodným bezpečnostním mechanismem • Jedna bezpečnostní funkce může být pokryta jedním nebo několika bezpečnostními mechanismy • Jeden bezpečnostní mechanismus může pokrýt jednu nebo více bezpečnostních funkcí (tzn. přispět k dosažení více bezpečnostních cílů) 18
Úvod do bezpečnosti IS • Typy bezpečnostních funkcí (BF) – bezpečnostních opatření (BM) – podle času uplatnění • • • • •
preventivní BM – vytváří preventivní bezpečnostní subsystémy detekční BM – IDS (Intrussion Detection System) opravné BM – zálohy .. kontrolní BM – monitoring, auditní systémy zastrašovací BM – podniková ustanovení, zákonná opatření ….
– podle způsobu implementace • fyzické BM – zámky, trezory, mříže … • hardwarové BM – identifikační karty, archivní média … • softwarové BM – SW řízení přístupu, aplikace pro digitální podpisování …. • administrativní BM – směrnice, předpisy 19
Úvod do BIS Příklady bezpečnostních mechanismů • • • • • • • • • •
Kryptografické systémy Firewally Systémy IDS Systémy I&A – tzv. AAA technologie Monitorovací a auditní systémy Digitální podpis Biometrické systémy Čipové karty Antivirové systémy ………
20
Úvod do bezpečnosti IS
21
Úvod do bezpečnosti IS Postup při provádění analýzy rizik Stanovení rozsahu AR Identifikace a ocenění aktiv Nalezení zranitelných míst – kritických oblastí Odhad rizik Stanovení nepřijatelných a přijatelných rizik Stanovení očekávaných ročních ztrát Identifikace použitelných bezpečnostních opatření (BM) ke snížení rizik na přijatelnou míru 8. Odhad ročních úspor po zavedení bezpečnostních opatření do IS 1. 2. 3. 4. 5. 6. 7.
22
Úvod do bezpečnosti IS Návaznost základní BP na další bezpečnostní dokumenty organizace
23
Úvod do bezpečnosti IS • Systémová bezpečnostní politika (SBP) – vychází z celkové bezpečnostní politiky, zahrnuje technickou složku (popis technických řešení a postupů) a administrativní složku (směrnice a předpisy, určení pravomocí a zodpovědnosti, plán bezpečnostních školení, atd.). • Součástí SBP je – „Plán obnovy“ – „Havarijní plán“ • Implementace bezpečnostního systému – realizace SBP v konkrétním prostředí • Monitoring a audit – průběžné a následné sledování účinnosti informačního bezpečnostního systému 24
Úvod do bezpečnosti IS Standardy a normy v oblasti informační bezpečnosti • Standardy návrhu, implementace a provozu systému managementu informační bezpečnosti (ISMS) • Standardy pro hodnocení bezpečnostních záruk informačních technologií (komponenty a subsystémy informačních systémů) • Standardy kryptografických algoritmů, certifikátů, …..
25
BIS - standardy a normy
Kde standardy vznikají • Mezinárodní úroveň - International Organization for Standardization (ISO) a International Electrotechnical Commission (IEC) – ISO/IEC • Státní úroveň - Úřad pro technickou normalizaci, metrologii a státní zkušebnictví - ÚNMZ • Evropská agentura pro informační bezpečnost – ENISA Pro koho jsou standardy a normy určeny • Pro provozovatele IS • Pro hodnotitele bezpečnosti IS • Pro návrhy a vývoj IS, pro výrobu a prodej HW a SW komponent informačních systémů 26
BIS - standardy a normy 27000 Series of Standards - (ISO 27k) • Řada ISO/IEC 27k – výsledek snahy o jednotnou koncepci normalizace informační bezpečnosti • Vychází z BS 7799 (později ISO/IEC 27001:2005) • Řada 27k obsahuje několik desítek standardů, další postupně vznikají: – ISO/IEC 27000:2009 Část normy ISO 27000 “Fundamentals and Vocabulary” podává přehled a jednotný úvod ke standardům ISO 27k a ke speciálnímu slovníku certifikační normy ISO 27001. – ISO/IEC 27001:2013 - Information technology – Security techniques – Information security management systems – Requirements – ISO/IEC 27002:2013 - Code of practice for information security management 27
BIS - standardy a normy K čemu slouží standardy 27k? • Národní bezpečnostní úřad považuje ISO/IEC 27002 za základní normu pro hodnocení a certifikaci informačních systémů, které zpracovávají informace podléhající zákonu č. 148/1998 Sb. – Zákon o ochraně utajovaných skutečností • V komerční sféře je standard využíván jako základ pro hodnocení informační bezpečnosti podnikových IS – Podmínka obchodních kontraktů – Podmínka pro zavádění elektronických technologií do obchodních transakcí – e-commerce – Zvyšování prestiže, konkurenceschopnosti, důvěryhodnosti ....)
28
BIS - standardy a normy Některé souvisící ČSN • ČSN ISO/IEC 20000-1 Informační technologie – Management služeb – Část 1: Požadavky na systém managementu služeb • ČSN ISO/IEC 20000-2 Informační technologie – Management služeb – Část 2: Pokyny pro použití systémů managementu služeb • ČSN ISO/IEC 27001 (36 9790) Informační technologie – Bezpečnostní techniky – Systémy managementu bezpečnosti informací – Požadavky • ČSN ISO/IEC 27002 Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Požadavky • ČSN ISO/IEC 27005 Informační technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti informací • ČSN ISO/IEC 27007 Informační technologie – Bezpečnostní techniky – Směrnice pro audit systémů řízení bezpečnosti informací
29
Struktura knihovny standardů 27k
30
Návaznost norem
31
BIS - standardy a normy Schéma postupu výstavby ISMS podle standardu ČSN ISO/IEC 27002– (Soubor postupů pro řízení bezpečnosti informací)
32
BIS - standardy a normy Standard ISO/IEC 27001 (Systémy managementu bezpečnostních informací – Požadavky) Podpora pro ustavení, zavádění, provozování, monitorování, udržování a zlepšování ISMS
Je založen na cyklu PDCA
33
PDCA model aplikovaný na procesy ISMS
34
Management informační bezpečnosti
• • • • • • • • • • • •
ČSN ISO/IEC 27002: 2006 (dříve ČSN ISO/IEC 17799:2001) – Informační technologie- Soubor postupů pro management informační bezpečnosti Hodnocení rizik Bezpečnostní politika Organizace bezpečnosti Klasifikace a řízení aktiv Bezpečnost lidských zdrojů Fyzická bezpečnost a bezpečnost prostředí Bezpečnostní Řízení komunikací a řízení provozu domény Řízení přístupu Vývoj, údržba a rozšíření informačního systému Zvládání bezpečnostních incidentů Řízení kontinuity činností organizace Soulad s požadavky 35
ČSN ISO/IEC 27002 a ČSN ISO/IEC 27001
Bezpečnostní domény 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.
Bezpečnostní politika Organizace bezpečnosti Klasifikace a řízení aktiv Personální bezpečnost Fyzická bezpečnost a bezpečnost prostředí Řízení komunikací a řízení provozu Řízení přístupu Vývoj a údržba systému Management bezpečnostních událostí Řízení kontinuity činnosti organizace Soulad s požadavky (právní normy, předpisy…) 36
Struktura bezpečnostních domén
37
38
Řízení přístupu - kategorie 1. 2. 3. 4. 5. 6. 7. 8.
Požadavky na řízení přístupu Řízení přístupu uživatelů Odpovědnosti uživatelů Řízení přístupu k síti Řízení přístupu k OS Řízení přístupu k aplikacím Monitorování přístupu k systému a jeho použití Mobilní výpočetní prostředky a práce na dálku 39
1. Požadavky na řízení přístupu Cíl: Řídit přístup k informacím Přístup k informacím a procesům organizace by měl být řízen na základě provozních a bezpečnostních požadavků. V úvahu by se měla brát pravidla organizace pro šíření informací a pravidla, podle nichž probíhá schvalování.
• Politika řízení přístupu – Politika a provozní požadavky – Pravidla řízení přístupu
40
2. Řízení přístupu uživatelů Cíl: Předcházet neoprávněnému přístupu k informačním systémům. Měly by existovat formální postupy pro přidělování uživatelských práv k informačním systémům a službám. Postupy by měly pokrývat všechny fáze životního cyklu přístupu uživatele, od prvotní registrace nového uživatele až po konečné zrušení registrace uživatele, který přístup k informačním systémům a službám již dále nepotřebuje. V případě nutnosti by měla být věnována zvláštní pozornost potřebě řídit přidělování privilegovaných přístupových oprávnění, která umožňují uživatelů překonat kontroly v systému.
• • • •
Registrace uživatele Řízení privilegovaného přístupu Správa uživatelských hesel Kontrola přístupových práv uživatelů 41
3. Odpovědnosti uživatelů Cíl: Předcházet neoprávněnému uživatelskému přístupu. Pro účinnou bezpečnost je nezbytná spolupráce oprávněných uživatelů. Uživatelé by si měli být vědomi odpovědnosti za dodržování účinných opatření kontroly přístupu, zejména s ohledem na používání hesel, a bezpečnosti prostředků jim náležejících.
• Používání hesel • Neobsluhovaná uživatelská zařízení • Politika „čistého stolu a prázdné obrazovky“
42
4. Řízení přístupu k síti • • • • • • • • •
Politika užívání síťových služeb Vynucená cesta Autentizace uživatele externího připojení Autentizace uzlů Ochrana portů pro vzdálenou diagnostiku Princip oddělení v sítích Řízení síťových spojení Řízení směrování sítě Bezpečnost síťových služeb 43
5. Řízení přístupu k OS • • • • • • • •
Automatická identifikace terminálu Terminálové přihlašovací postupy Identifikace a autentizace uživatelů Systém správy hesel Použití systémových nástrojů Indikace přihlášení pod nátlakem Časové zablokování terminálu Časové omezení spojení 44
6. Řízení přístupu k aplikací • Omezení přístupu k informací • Oddělení citlivých systémů
7. Monitorování přístupu k systému a jeho použití • Zaznamenávání událostí • Monitorování používání systému • Synchronizace času 45
8. Mobilní výpočetní prostředky a práce na dálku Cíl: Zajistit bezpečnost informací při použití mobilní výpočetní techniky a při využití prostředků pro práci na dálku. Požadovaná ochrana by měla odpovídat rizikovosti těchto specifických způsobů práce. Při použití mobilních výpočetních prostředků by mělo být zváženo riziko práce v nechráněném prostředí a měla by být zajištěna vhodná ochrana. V případě práce na dálku by měla být zavedena ochrana na místě výkonu práce a měly by být zajištěny vhodné podmínky pro tento způsob práce.
• Mobilní výpočetní prostředky • Práce na dálku
46
Bezpečnost produktů informačních technologií ČSN ISO/IEC 15408-(1- 3) Kritéria pro hodnocení bezpečnosti IT (tzv. Common Criteria) Obsah normy • ČSN ISO/IEC15408-1 – Úvod a obecný model • ČSN ISO/IEC15408-2 – Katalog požadavků na bezpečnostní funkce (např. pro identifikaci a autentizaci: FIA - Identification and Authentication) • ČSN ISO/IEC15408-3 – Katalog požadavků na bezpečnostní záruky – Speciální účelová sada – úrovně hodnocení záruk 47
Klíčové koncepty • TOE (Target of Evaluation) – předmět hodnocení • PP (Protection Profile) – bezpečnostní profil • ST (Security Target) – dokument identifikující bezpečnostní vlastnosti TOE • SFR (Security Functional Requirements) – identifikuje jednotlivé bezpečnostní funkce, které by měl TOE zajistit (podle katalogu funkcí CC) • SAR (Security Assurance Requirements) – udává míru zajištění souladu s požadovanými bezpečnostními požadavky (podle katalogu požadavků na bezpečnostní záruky CC) • EAL (Evaluation Assurance Level) – vyjádření stupně hloubky a rozsahu evaluace 48
Common Criteria modular component hierarchy 49
Úrovně záruk EAL1 – EAL4 1. Funkčně testováno, poskytuje jistou míru důvěry na základě funkční specifikace, vymezení rozhraní a zpracování dokumentace 2. Strukturovaně testováno - nezávislé testování. Vývoj rozšířen o neformální popis architektury a popis ošetření běžných útoků. 3. Metodicky testováno a kontrolováno. Maximální záruky na základě osvědčeného svědomitého přístupu k vývojovému procesu (bez navýšení náročnosti) 4. Metodicky navrženo, testováno a kontrolováno. Vyžaduje velmi kvalitní vývojové praktiky, které ale nevyžadují speciální znalosti a zdroje. Detailní popis návrhu s doložením odolnosti proti útoků s omezenými zdroji. EAL4 je nejvyšší úrovní na komerční únosnosti. 50
Úrovně záruk EAL5 – EAL7 5. Poloformálně navrženo a testováno. Vyžaduje zapojení specializovaných metod vývoje (formální model). Vyžaduje strukturovaný návrh a základní analýzu skrytých kanálů. 6. Poloformálně ověřený a testovaný návrh, vychází z modulárního vrstveného návrhu. Vývoj v max. řízeném prostředí. Vysoká odolnost proti útokům. 7. Formálně ověřený a testovaný návrh, vychází z plně formálního návrhu. Vývoj vyžaduje nesmírné náklady prakticky nepoužitelné
51
52
• Web site - http://www.commoncriteriaportal.org/ • Potection Profiles http://www.commoncriteriaportal.org/pps/ • Certifikované produkty http://www.commoncriteriaportal.org/products/ • Příklady: – PP pro operační systémy – Certifikační zpráva (RedHat Enterprise Linux) – Popis certifikovaného OS 53
54
Bezpečnost sítí Kontext problematiky bezpečnosti sítí ve standardu ČSN ISO/IEC 27002: 2006 – bezpečnostní doména „Řízení komunikací a provozu“
55
Bezpečnost sítí Normy a standardy zaměřené na bezpečnost sítí • ISO 7498-2 ISO/OSI Security Architecture (http://en.wikipedia.org/wiki/Security_service_%28t elecommunication%29) • Standardy ISO/IEC 18028 1-5:2006, ISO/IEC TR 13335-1 až 5 (Guidelines for the Management of IT Security) a ISO/IEC 17799:2005 dále pokračují ve vývoji společně v řadě ISO/IEC 27k • Současná verze ISO 27033-1:2009 Information technology - Security techniques - Network security 56
Bezpečnost sítí • Pojem „distribuované systémy“ – IS jsou provozovány v síťové infrastruktuře na autonomních systémech • Bezpečnost DIS = bezpečnost komunikačních procesů • Problém komunikační bezpečnosti řeší mezinárodní standard ISO 7498-2 ISO/OSI Security Architecture (dodatek normy „RM OSI“) • Standard pokrývá problémy: – Bezpečnostní incidenty vztahující se k "otevřeným systémům" (OSI) – Obecné prvky bezpečnostní architektury použitelné pro ochranu proti těmto incidentům – Okolnosti a podmínky, za kterých lze tyto bezpečnostní prvky použít 57
Bezpečnost sítí
58
Bezpečnost sítí Uživatelé DIS • Osoby – Lokální uživatelé – Vzdálení uživatelé • Externí entity IT – Důvěryhodné – Nedůvěryhodné 59
Bezpečnost sítí Pojmy • Lokální uživatel – interakce s produktem prostřednictvím jeho vlastních prostředků • Vzdálený uživatel – interakce s produktem prostřednictvím jiného produktu • Relace uživatele – časový interval interakce (vytvoření relace je podmíněno různými okolnostmi a podmínkami, např. autentizací) • Autorizovaný uživatel – uživatel s oprávněním provést určitou operaci • Role – předdefinovaná sada pravidel určující povolené interakce pro jejich zabezpečení, produkt může podporovat libovolný počet rolí (uživatel, správce účtů, správce auditu….) 60
Bezpečnost sítí Referenční model OSI 7. vrstva (aplikační) poskytuje aplikacím přístup ke komunikačně zaměřeným službám 6. vrstva (prezentační) zajišťuje transformaci syntaxe přenášených dat 5. vrstva (relační) synchronizuje a řídí dialog mezi komunikujícími entitami 4. vrstva (transportní) zajišťuje transparentní a dostatečně kvalitní přenos dat mezi komunikujícími otevřenými systémy 3. vrstva (síťová) poskytuje síťové spojení komunikujícím systémům potřebné k přenosu dat 2. vrstva (vrstva datových spojů) organizuje a řídí provoz na datovém spoji 1. vrstva (fyzická) přenáší signál prostřednictvím přenosového média 61
Bezpečnost sítí
Distribuovaný systém zahrnuje: –
Aplikační složky informačního systému, které využívají ke komunikačním procesům služby transportní, relační, prezentační a aplikační vrstvy. – Telekomunikační složky informačního systému, které využívají k telekomunikaci služby síťové, spojové a fyzické vrstvy Bezpečnostní normy podle ISO 7498-2 dělí bezpečnostní funkce („bezpečnostní služby“) , které mohou být implementovány v různých vrstvách OSI modelu do 5 skupin: – Autentizace (autentizace entity a autentizace zdroje), – Řízení přístupu, – Důvěrnost dat, – Integritu dat, – Non-repudiation. 62
Bezpečnost sítí Bezpečnostní služby 1. Služby pro autentizace - ověřují identitu jedné nebo obou stran komunikace. Dále se dělí na: a. služby autentizace odesílatele (neeliminují útoky duplikace zpráv) b. služby autentizace spojení (provádějí autentizaci všech přenášených zpráv a eliminují útoky duplikace zpráv) 2. Služby pro řízení přístupu - ochrana před neautorizovaným přístupem k prostředku distribuovaného systémy (nejobvyklejší je implementace v operačním systému nebo v aplikačním programu) 63
Bezpečnost sítí 3. Služby pro zajištění důvěrnosti - ochrana informace před neutorizovaným odhalením informace. Dělí se na: a. služby pro důvěrnost přenosu zpráv (vhodné pro bezstavové aplikace) b. služby pro důvěrnost spojení - ochrana důvěrnosti v rámci navázaného spojení c. služby pro důvěrnost toku dat (chrání informace na základě atributů toku dat) d. služby selektivní důvěrnosti - ochrana pouze určených částí informace 64
Bezpečnost sítí 4. Služby pro zajištění integrity - ochrana přenášené
informace proti neautorizované modifikaci. Dělí se na: a. služby integrity přenosu zpráv (ochrana integrity všech přenášených zpráv) b. služba integrity spojení (ochrana přenosů v rámci určitého navázaného spojení) c. služby selektivní integrity spojení a selektivní integrity zpráv d. služba integrity bez oprav (detekce porušení integrity) e. služba integrity s opravami – obnova integrity po detekci ztráty integrity
65
Bezpečnost sítí Pojmy:
„slabá“ integrita – pro objektivní útoky (modifikace zprávy šumem, náhodná změna pořadí paketů, náhodná duplicita…) – aplikace kontrolních součtů, CRC, pořadová čísla paketů apod. „silná“ integrita – subjektivní (úmyslné, aktivní útoky) – 5. Služby pro nepopiratelnost - ochrana podvržené zprávy, úmyslnězodpovědnosti pozměněné zprávy – prostředky pro zajištění slabé prokázat integrity druhé + kryptografické prostředky zajišťující možnost straně odeslání/příjem zprávy, tzn. znemožnit jí popření odeslání/příjmu zprávy a. prokázání původu (příjemce/odesílatel) b. prokázání doručení (odeslání/přijetí) Autentizace a nepopiratelnost : • autentizace – vím s kým komunikuji • nepopiratelnost – vím s kým komunikuji a lze mu to dokázat 66
Bezpečnost sítí Implementace bezpečnostních funkcí ve vrstvách RM OSI • Pro implementaci bezpečnostní funkce je nejvhodnější: – 7. vrstva – aplikační protokoly – 4. vrstva – transport dat – 3. vrstva - směrování • Bezpečnostní mechanismy jsou zpravidla zabudovány do: – aplikačních programů a operačních systémů (7. a 4. vrstva) – propojovacích zařízení 3. vrstvy (směrovače) 67
Vrstva OSI, kde může být služba zajištěna
Bezpečnostní služba
3
4
Autentizace spojení
A
A
A
Autentizace odesilatele
A
A
A
Řízení přístupu
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
Důvěrnost spojení
1
A
Důvěrnost přenosu zpráv
2
Selektivní důvěrnost Důvěrnost toku dat
A
A
Integrita spojení s opravou Integrita spojení bez opravy
A
6
7
A
A
A
A
A
Selektivní integrita spojení
Integrita přenosu zpráv
5
A
A
A
A
Selektivní integrita zpráv
A
Nepopiratelnost odesílatele
A
Nepopiratelnost doručení
A 68
Bezpečnost sítí • • • • • • • •
Bezpečnostní mechanismy vhodné pro implementaci bezpečnostních funkcí podle ISO 7498-2 Kryptografická ochrana důvěrnosti (šifrování) – „Šifr.“ Kryptografická ochrana integrity – „Int. mech.“ Systémy řízení přístupu – „Ř. příst.“ Kryptografická autentizace – „Aut.“ Elektronický podpis – „EP“ Řízení přenosů zpráv – „Ř. přen.“ Zarovnávání zpráv – „padding“ (připojení dohodnutých dat pro utajení vlastních dat) – „Zar.“ Notářské služby (potvrzení „třetí stranou“) – „Not. sl.“ 69
Bezpečnostní mechanismy Bezpečnostní služba
Šifr.
EP
Autentizace spojení
A
A
Autentizace odesilatele
A
A
Řízení přístupu
Ř. příst.
Int. mech.
Aut.
Zar.
Ř. přen.
Not. sl.
A
A
Důvěrnost spojení
A
Důvěrnost přenosu zpráv
A
A
Selektivní důvěrnost
A
A
Důvěrnost toku dat
A
A
A
Integrita spojení s opravou
A
A
Integrita spojení bez opravy
A
A
Selektivní integrita spojení
A
A
Integrita přenosu zpráv
A
A
A
Selektivní integrita zpráv
A
A
A
Nepopiratelnost odesílatele
A
A
A
A
Nepopiratelnost doručení
A
A
A
A 70
Bezpečnost sítí Role kryptografických systémů v implementaci bezpečnostních funkcí podle ISO 7498-2
71
Bezpečnost sítí Definice pojmů podle standardu ISO 7498-2 Bezpečná komunikace • Oba komunikující partneři věří na základě vzájemné autentizace, že komunikují s oznámeným partnerem nebo že přijali zprávu z autentizovaného zdroje • Přenášená informace nemůže být odposlouchána, neboť je zajištěna její důvěrnost • Přenášená informace není změněna, neboť je zajištěna její integrita • Komunikace je umožněna pouze autorizované straně, neboť je uplatněno řízení přístupu • Komunikace nemůže být popřena, neboť je zajištěna nepopiratelnost odeslání i příjmu zpráv. 72
Bezpečnost sítí Bezpečná spojovaná relace zahrnuje kroky 1. Navázání spojení s autentizací prostřednictvím asymetrického kryptografického algoritmu. 2. Výměna symetrických klíčů pro zajištění integrity a důvěrnosti následné výměny zpráv. 3. Bezpečná výměna zpráv. 4. Zrušení spojení včetně všech zbytkových informací. 5. Ověření autenticity, integrity a důvěrnosti přijaté informace. 73
Bezpečnost sítí • Správa bezpečnosti DIS podle ISO 7498-2 zahrnuje: – Implementace bezpečnostních funkcí a bezpečnostních mechanismů (bezpečnostních služeb). – Generování zpráv o bezpečnostních funkcích a bezpečnostních mechanismech – Generování zpráv o dalších událostech souvisejících s informační bezpečností • Zavádí pojem SMIB (Security Management Information Base) (součást báze MIB) – spravované objekty z oblastí: – Správa systémové bezpečnosti (BP, reakce na události, audit, recovery…) – Bezpečnost správy sítě podle OSI – Správa bezpečnostních funkcí a mechanismů 74
Bezpečnost sítí Implementace bezpečnostních mechanismů v síťové infrastruktuře a v síťových aplikacích
75
Bezpečnost sítí ISO/IEC 27033 Information technology - Security techniques - Network security (1/2) • ISO/IEC 27033-1:2009 Network security overview and concepts - revize normy ISO/IEC 18028-1, poskytovat celkový přehled principů a přístupů ostatních norem sady • ISO/IEC 27033-2:2012 Guidelines for the design and implementation of network security - revize normy ISO/IEC 18028-2, definuje bezpečnostní architekturu sítí • ISO/IEC 27033-3:2010 Reference networking scenarios - Risks, design techniques and control issues - definuje rizika, techniky návrhu a řešení problému spjatých se správou sítí • ISO/IEC 27033-4:2014 Securing communications across networks using Virtual Private Networks (VPNs) - definice rizik, techniky návrhu a řešení problémů spjatých se zabezpečením datových toků mezi sítěmi; 76
Bezpečnost sítí ISO/IEC 27033 Information technology Security techniques - Network security (2/2) • ISO/IEC 27033-5:2013 Securing Virtual Private Networks - Risks, design techniques and control issues - revize normy ISO/IEC 180285, definice rizika, techniky návrhu a řešení problémů spjatých se spojením pomocí VPN; • ISO/IEC 27033-6 (Draft) IP convergence - norma se bude týkat zabezpečení IP konvergence; • ISO/IEC 27033-7 (Proposal) Guidelines for securing wireless networking - Risks, design techniques and control issues - definice rizik, techniky návrhu a řešení problémů spjatých se zabezpečením bezdrátových a radiových sítí 77
Bezpečnost sítí Standardy ISO/IEC 18028 1-5 • ISO/IEC 18028-1:2006 Information technology - Security techniques - IT network security - Part 1: Network security management • ISO/IEC 18028-2:2006 Information technology -- Security techniques IT network security - Part 2: Network security architecture • ISO/IEC 18028-3:2005 Information technology — Security techniques — IT network security — Part 3: Securing communications between networks using security gateways • ISO/IEC 18028-4:2005 Information technology. Security techniques - IT network security - Part 4: Securing remote access • ISO/IEC 18028-5:2006 Information technology - Security techniques - IT network security - Part 5: Securing communications across networks using virtual private networks 78
Bezpečnost sítí Standardy ISO/IEC 18028 1-5
79
Network security architecture
80
Securing communications between networks using security gateways
81
ISO/IEC 18028 – 4 Information technology — Security techniques — IT network security — Securing remote access
Types of remote access connection
82
Securing communications across networks using virtual private networks
Site-to-site connection
83
Bezpečnost sítí Služby důvěryhodných třetích stran Trusted Third Party – TTP • Poskytují bezpečnostní služby, kterým lze v rámci těchto služeb důvěřovat • Požadované vlastnosti TTP: – – – – –
TTP provádí činnosti v právním rámci TTP musí být pod dohledem dozorového orgánu TTP musí dodržovat vlastní odpovídající bezpečnostní politiku TTP má mít akreditaci kvality procesů a operací TTP musí poskytovat záruky za dostupnost a kvalitu svých služeb – …. 84
Bezpečnost sítí Klíčové koncepty TTP • Průkazná existence a dodržování odpovídající BP • Implementace vhodných bezpečnostních procedur mechanismů • Průkazně vhodná komunikační rozhraní a procedury pro komunikaci s uživateli • Průkazně provedená akreditace kvality operací a procesů • Zaměstnanci průkazně dodržují směrnice a podnik dodržuje smluvní závazky • Průkazná definice záruk a zodpovědnosti TTP včetně auditů v právním rámci • Průkazné provádění pravidelné revize a vyhodnocování AR 85
Bezpečnost sítí Typy důvěryhodných třetích stran
• In-line TTP - leží přímo v komunikačním kanále mezi dvěma entitami. Jestliže entity neleží v jedné bezpečnostní doméně nemohou spolu bezpečně komunikovat. TTP je společný bezpečnostní mechanismus (pro autentizaci, řízení přístupu, důvěrnost, integritu, nepopiratelnost)
86
Bezpečnost sítí • On-line TTP - neleží přímo v komunikačním kanále, poskytuje bezpečnostní službu na základě požadavků jedné nebo obou komunikujících stran vyslaných v průběhu komunikace. Na poskytnutí služby a jejím výsledku závisí komunikační proces. Příklady: autentizace, řízení přístupu, distribuce kryptografických klíčů, atd.
87
Bezpečnost sítí • Off-line TTP - nezúčastní se transakce, své služby poskytuje před uskutečněním komunikace. Buď komunikuje přímo se stranami, nebo komunikuje s jinou třetí stranou účastnící se komunikačního procesu, která pro tento není dostatečně důvěryhodná. Příklady služeb: autentizace (generování certifikátů pro komunikující strany nebo pro on-line adresářovou službu), nepopiratelnost.
88
Bezpečnost sítí Konkrétní služby důvěryhodných třetích stran • • • • • •
Služby správy klíčů (PKI) Služby nepopiratelnosti Certifikační služby Časová razítka Notářské služby Adresářové služby (LDAP) 89
Technologie AAA • Autentizace (authentication) • Autorizace (authorization) • Účtovatelnost (accounting) - zodpovědnost (accountability) • Omezení rizika – neoprávněných přístupů do podnikové sítě (k OS, k databázím, aplikacím, službám) – překročení přidělených oprávnění („rolí“)
• Sběr informací k účtování (za služby, přenosy dat apod.) nebo k auditům 90
Technologie AAA • Autentizace (ověření totožnosti) – preventivní bezpečnostní funkce – řízené povolení k přihlášení, připojení • Metody autentizace – Uživatelské jméno a heslo • statické (velmi slabá autentizace) • s omezenou dobou platnosti – Jednorázová hesla (one-time passwords - OTP) – např. metoda S/Key (silná autentizace) – Identifikační tokeny – např. smartcards (velmi silná autentizace) – Biometrické prostředky 91
Technologie AAA • Implementace autentizace - protokoly PAP a CHAP – součást specifikace PPP – PAP (Password Authentication Protocol) – dvoucestná autentizace – „slabá“ (přenáší se nezašifrované heslo). Request (autentizační data) – response (potvrzení/odmítnutí). – CHAP (Challenge Handshake Authentication Protocol) – třícestná autentizace (výzva – odpověď – přijetí/zamítnutí), ověřování periodické v průběhu relace. • Výzva – řetězec zaslaný přístupovým serverem (může se během relace měnit) • Odpověď – hash („společné tajemství“ + ID + „výzva“) • Přijetí/odmítnutí – generuje přístupový server na základě shody/neshody odpovědi s výsledkem vlastního výpočtu 92
Technologie AAA • Princip OTP – vytváří řadu hesel f(s), f(f(s)), f(f(f(s))), ... poslední se uloží na serveru • s – tajná přístupová fráze (initial seed), f – jednosměrná šifra (hash function) • uživatel pro autentizaci používá postupně hesla ze seznamu v obráceném pořadí • server si spočítá algoritmem hash hodnotu ze zaslaného hesla a porovnává ji s hodnotou, kterou má uloženu z minulé relace atd. až do vyčerpání seznamu 93
Technologie AAA S/key Implementace OTP pro unixové platformy na SSL (v PAM Pluggable Authentication Module)
94
Technologie AAA • Autorizace – omezení uživatelských přístupů k službám (přístup do VPN, k síťovým službám, k tiskovým službám, k souborům, spouštění aplikací….) • Na základě provedené autentizace zjistí přístupový server autorizační informace z příslušné databáze (seznam rolí) • Účtovatelnost – sledování přístupu k síťovým prostředkům – vytváření záznamů do příslušné databáze (obdoba syslog – možnost exportu k dalšímu zpracování - např. účetní aplikaci) 95
Technologie AAA • Podpora mechanizmu AAA – databáze zabezpečení • Lokální databáze zabezpečení – pro lokální autentizaci, autorizaci a účtovatelnost (dostačující pro malé sítě). • Vzdálená databáze zabezpečení – podpora centralizovaného systému AAA – přístupová zařízení (servery, routery, switche) získají informace ze společné databáze. (vhodné pro střední a velké sítě). • Protokoly TACACS+ a RADIUS. 96
Technologie AAA • Protokol TACACS (Terminal Access Controller Access Controller System) – fy. CISCO – aplikační protokol sady TCP/IP (Transportní protokoly TCP/UDP port 49 a 65 pro databázové služby) • Vývoj: TACACS – XTACACS – TACACS+ • Implementace – server (aplikace pro platformu UNIX, Windows NT typu démon + databáze), klient běží na přístupových serverech, směrovačích, přepínačích. • Komunikace: klient (request) – server (response) • Procesy: autentizace, autorizace, účtování 97
Technologie AAA • Charakteristika protokolu TACACS+ • Formát paketů – záhlaví + data • 3 typy paketů: pole „packet type“ – 0x01 (Authentication) – 0x02 (Authorization) – 0x03 (Accounting)
• Pakety TACACS+ se přenášejí zašifrované • Autentizace prostřednictvím mechanismů PAP a CHAP • Podpora zpětného volání (reverze účtování) 98
Technologie AAA • Protokol RADIUS (Remote Authentization Dial-In User Service) - aplikační protokol sady TCP/IP
(Transportní protokoly TCP/UDP port 1812 a 1813 pro účetní služby) • Procesy: autentizace a autorizace (port 1812) a účtování (port 1813) – technologie AAA • Autentizace a autorizace – Autentizace: klient – přístupový server (OTP, PAP, CHAP, EAP) – Autorizace: RADIUS server – přístupový server (na výzvu - princip sdíleného tajemství) 99
RADIUS • Pojmy – NAS (Network Access Server) implementuje RADIUS client stranu – komunikuje s RADIUS serverem • Zajišťuje user-end systému přístup do sítě (autentizace + autorizace) • Po připojení spouští proces accounting – Roaming umožňuje mobilitu user-end systému mezi IPS sítěmi (viz Eduroam) – pojem „realm“ • Proxy RADIUS servery • Identifikace uživatele user@ realm 100
RADIUS Dialog autentizace a autorizace
101
RADIUS Dialog accounting
102
RADIUS • Proxy RADIUS servis
103
RADIUS • Formát paketů – záhlaví + data (atributy) typ, délka, hodnota (formát TLV) • Typy paketů: – 0x01 (kód Access-Request) – 0x02 (kód Access- Accepted) – 0x03 (kód Access-Reject) – 0x04 (kód Accounting-Request) – 0x05 (kód Accounting-Response) – 0x11 (kód Access-Challenge) • Autentizace PAP, CHAP, EAP • Podpora zpětného volání 104
RADIUS Formát zprávy protokolu RADIUS
105
RADIUS • RADIUS data – AVP (Attribute Value Pairs) • Formát TLV • Několik desítek typů AVP, např. 1 User-Name 7 Framed-Protocol 2 User-Password 8 Framed-IP-Address 3 CHAP-Password 9 Framed-IP-Netmask 4 NAS-IP-Address 10 Framed-Routing 5 NAS-Port 11 Filter-Id 6 Service-Type 12 Framed-MTU 18 Reply-Message 19 Callback-Number 20 Callback-Id 106
RADIUS
107
RADIUS • Implementace RADIUS – Nekomerční (GPL) • • • •
FreeRADIUS GNU Radius OpenRADIUS BSDRadius
• Komerční – IAS (Internet Authentication Servervices) – MS Windows – Podpora v Cisco IOS (AAA) – routery, switche 108
Úvod do kryptografie Příklady standardů pro kryptografické systémy: – Kryptografické moduly • FIPS PUB 140-2 : 2000 (Federal Information Proccessing Standards) – Security Requirements for Cryptographic Modules – Cerifikáty • X.509 – Public Key Infrastructure
109
Úvod do kryptografie • Kryptografické systémy – nejpoužívanější bezpečnostní mechanismy současnosti • Pojmy kryptografie, kryptoanalýza, kryptologie • Kryptografické algoritmy symetrické – výhody, nevýhody – AES (Advanced Encryption Standard) – DES (Data Encryption Standard) – IDEA (International Data Encryption Algorithm) – RC2 a RC4 (Rivest Cipher) • Kryptografické algoritmy asymetrické – výhody, nevýhody – RSA (Rivest Shamir Adleman) – DSS (Digital Signature Standard) – EC (Eliptic Curve) 110
Úvod do kryptografie • Hash funkce – Vstupní data libovolné délky jsou transformována do výstupních dat pevné délky (128, 160, 256, 512 bitů) – Jednocestná funkce s klíčem nebo bez klíče – Principy jednocestné funkce y = F(x) : 1. pro dané x lze snadno spočítat y = F(x) 2. pro dané y je výpočetně nezvládnutelné nalézt x, aby platilo y = F(x) 3. pro dané x je výpočetně nezvládnutelné nalézt takové x´ (x´≠ x), aby platilo F(x) = F (x´) 111
Úvod do kryptografie • Nejrozšířenější hash algoritmy: – MAC (Message Authentication Code) - jednocestná funkce s klíčem (heslem) - výstup algoritmu přiložený ke zprávě ověřuje její autenticitu (heslo) a integritu (hash) – MD5 (Message Digest 5) - autor Ronald Rivest. Výstup 128 b., vstupní bloky 512 b. – SHA-1 (Secure Hash Algorithm) FIPS PUB180 - výstup 160 b., vstupní bloky 512 b. – Srovnání funkcionality MD5 a SHA-1: MD5 má neomezenou délku vstupní zprávy (SHA-1 má limit 2**64 - 1 bitů) a výpočetně asi dvakrát rychlejší než SHA-1. 112
Úvod do kryptografie
113
Úvod do kryptografie Princip hash funkce
114
Úvod do kryptografie Princip symetrické kryptografie
115
Úvod do kryptografie Princip asymetrické kryptografie
116
Úvod do kryptografie Princip asymetrické kryptografie Šifrování veřejným klíčem příjemce
117
Úvod do kryptografie Srovnání implementace symetrických a asymetrických kryptografických systémů • Symetrická kryptografie: menší výpočetní náročnost - vyšší výpočetní rychlost, problematické šíření klíče, dvě kopie tajemství (obě strany), pro komunikaci s n partnery je třeba mít n klíčů, pro komunikaci s neznámým partnerem je obtížné ověřit jeho identitu • Asymetrická kryptografie: značná výpočetní náročnost - až 1000 x nižší výpočetní rychlost než u předchozího, pouze jedna kopie tajemství (pod vlastní kontrolou), snadné šíření klíčů (možnost uložit VK na veřejně dostupném místě), při komunikaci s neznámým partnerem lze poměrně snadno ověřit jeho identitu. 118
Úvod do kryptografie Distribuce tajného klíče pro symetrickou kryptografii • Symetrické systémy – Důvěrnost informace – šifrované přenosy – Snadná implementace SW i HW – Problém – výměna tajného klíče • Diffie - Hellman - algoritmus – výměna tajného klíče TK (session key) – založen na obtížnosti výpočtu diskrétních logaritmů – nejpoužívanější způsob generování session key v současných SW implementacích. 119
Úvod do kryptografie 1/3
120
Úvod do kryptografie 2/3
121
Úvod do kryptografie 3/3
122
Úvod do kryptografie Digitální podpis • Digitální podpis zabezpečuje – integritu podepsané zprávy – autentičnost podepsané zprávy – neodmítnutelnost zodpovědnosti podepsaného subjektu
• Kryptografické složky zajišťující digitální podpis – – – –
asymetrické kryptografické systémy hash funkce správa veřejných klíčů – PKI (Public Key Infrastructure) certifikát veřejného klíče – certifikační autorita (CA)
123
Úvod do kryptografie Digitální podpis
certifikát
124
Úvod do kryptografie Digitální podpis • Důvěryhodnost DP na principu asymetrického kryptografického systému s veřejným klíčem je podmíněna silným autentizačním mechanismem • Jednoznačné spojení podepisujícího subjektu s veřejným klíčem, o kterém prohlašuje, že je jeho vlastníkem • Řešení – autenticitu VK ověřuje nezávislá třetí strana – certifikační autorita (CA) • CA je důvěryhodná infrastruktura pod správou důvěryhodného provozovatele, který svým kreditem a certifikační politikou poskytuje dostatečnou bezpečnostní a funkční záruku • Elektronický certifikát – datová struktura obsahující kromě veřejného klíče údaje o vlastníkovi veřejného klíče a o CA, která 125 certifikát vydala
Úvod do kryptografie Digitální podpis • Automatizovanou správou veřejných klíčů zajišťuje PKI (Public Key Infrastructure) • PKI se opírá se o řadu standardů a doporučení sjednocujících přístupy různých poskytovatelů těchto služeb – zákonná opatření a obecné normy informační bezpečnosti – ISO/IEC 9594-8:1999 /ITU-T X.509 – formát certifikátu – LDAP/ X.500 (Lightweight Directory Access Protocol ) podpora správy úložišť klíčů a certifikátů platných i zbavených platnosti – PKCS #6 – formát rozšířeného certifikátu – PKCS #10 – syntaxe žádosti o certifikát – ISO/IEC 11770-1 až 3 – správa klíčů 126
Úvod do kryptografie Princip certifikace veřejného klíče
127
Úvod do kryptografie Postup certifikace veřejného klíče
128
Úvod do kryptografie Funkce CA – – – – – –
registrace uživatelů certifikátů vydávání certifikátů k veřejným klíčům odvolávání platnosti certifikátů vytváření a zveřejňování seznamu certifikátů odebírání platnosti certifikátům zveřejňování zneplatněných certifikátů v seznamu CRL (Certificate Revocation List) – správa klíčů po dobu jejich platnosti (životního cyklu) – dodatkové služby – např. poskytování časových známek (timestamping) 129
Úvod do kryptografie Registrační autorita (RA) • nepovinná složka PKI • vytváří vazbu mezi klientem a CA v souladu s CPS – přijímá žádosti o certifikace – ověřuje pravdivost uvedených údajů – předává certifikát CA k podpisu – podepsaný certifikát předá klientovi
130
Úvod do kryptografie Hierarchie CA • Problém - vzájemné ověření certifikátů, které jsou vydány různými CA. • Cíl – vytvoření jediné struktury CA s kořenovou (globální) CA • Řešení - vzájemné propojení CA – Kořenová hierarchie CA - primární CA pro vydávání certifikátů podřízeným CA – Křížové ověření CA (tzv. mesh PKI architektura) - na úrovní kořenových CA nebo primárních CA – Ověření CA přes brány - při nekompatibilních implementacích CA
131
Úvod do kryptografie Hierarchie CA s kořenovou CA
132
Úvod do kryptografie Hierarchie CA s více kořenovými CA
133
Úvod do kryptografie Certifikát veřejného klíče • Formát certifikátu je popsán normou RFC2459 a doporučením ITU X.509 • Certifikát je datová struktura popsaná v jazyce ASN.1 a pro přenos je kódovaná podle specifikace DER (Distinguished Encoding Rules). • Obsah certifikátu – Jméno vlastníka certifikátu – Sériové číslo certifikátu – Doba platnosti certifikátu – Kopie veřejného klíče vlastníka certifikátu – Jméno CA 134 – Digitální podpis CA
Úvod do kryptografie Zákon o elektronickém podpisu • Digitální podpis ve státní správě ČR – podpora elektronická komunikace – mezi občany a útvary státní správy – uvnitř státní správy (mezi jednotlivými útvary) • Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), který současně upravuje kontrolu povinností stanovených tímto zákonem a sankce za jejich porušení. • Prováděcím předpisem k tomuto zákonu je nařízení vlády č. 304/2001 Sb. a vyhláška č. 366/2001 Sb. 135
Zákon o elektronickém podpisu Pro účely tohoto zákona se rozumí: elektronickým podpisem (EP) údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které umožňují ověření totožnosti podepsané osoby ve vztahu k datové zprávě, zaručeným elektronickým podpisem elektronický podpis, který splňuje následující požadavky: • je jednoznačně spojen s podepisující osobou, • umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě, EP byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou, • je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat; • datovou zprávou elektronická data, která lze přenášet prostředky pro elektronickou komunikaci a uchovávat na záznamových médiích, používaných při zpracování a přenosu dat elektronickou formou, 136
Zákon o elektronickém podpisu • Podepisující osobou fyzická osoba, která má prostředek pro vytváření podpisu a jedná jménem svým nebo v zastoupení jiné fyzické či právnické osoby, • Poskytovatelem certifikačních služeb subjekt, který vydává certifikáty a vede jejich evidenci, případně poskytuje další služby spojené s elektronickými podpisy, • Akreditovaným poskytovatelem certifikačních služeb poskytovatel certifikačních služeb, jemuž byla udělena akreditace podle tohoto zákona, • Certifikátem datová zpráva, která je vydána poskytovatelem certifikačních služeb, spojuje data pro ověřování podpisů s podepisující osobou a umožňuje ověřit její totožnost, • Kvalifikovaným certifikátem certifikát, který má náležitosti stanovené tímto zákonem a byl vydán poskytovatelem certifikačních služeb, splňujícím podmínky, stanovené tímto zákonem pro poskytovatele certifikačních služeb vydávající kvalifikované certifikáty, 137
Úvod do kryptografie Zákon o elektronickém podpisu • Akreditovaný poskytovatel certifikačních služeb v ČR – První certifikační autorita, a.s. – Postsignum , Česká pošta, s. p. – eIdentity, a.s. • Kontaktní místa – registrační autority • Zveřejnění celkové bezpečnostní politiky CA a certifikační politiky CA 138
Úvod do kryptografie Zákon o elektronickém podpisu • Typy certifikátů – testovací – komerční – kvalifikované (dle zákona o elektronickém podpisu) • Časové razítko – elektronický důkaz o existenci určitého dokumentu v určitém čase
139
Kybernetická bezpečnost Legislativní rámec v ČR • Gestor kybernetické bezpečnosti v ČR - Národní bezpečnostní úřad (NBÚ) • Základní legislativní norma – zákon o kybernetické bezpečnosti • Další role NBÚ – zajištění ochrany utajovaných informací (zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti – č. 412/205 Sb.) 140
•
Kybernetická bezpečnost legislativa Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů
(zákon o kybernetické bezpečnosti) – č. 181/2014 Sb. • Prováděcí předpisy – Kritéria pro určení prvku kritické infrastruktury – č. 315/2014 Sb. – Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti – č. 316/2014 Sb. – Vyhláška o významných informačních systémech a jejich určujících kritériích – č. 317/2014 Sb. • Národní strategie kybernetické bezpečnosti České republiky na období let 2015 až 2020. • Národní centrum kybernetické bezpečnosti (NCKB). 141
Kybernetická bezpečnost legislativa Základní obecné pojmy • • • • • •
Zranitelnost Hrozba Riziko Hodnocení rizik, řízení rizik Přijatelné riziko Bezpečnostní politika (hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací ) 142
Kybernetická bezpečnost - legislativa Významné specifické pojmy • Kybernetický prostor – digitální informační prostředí (IS, sítě, služby …) • Kritická informační infrastruktura (KII) – prvek nebo systém z oblasti komunikační a informační systémy náležející do kritické infrastruktury určené zákonem podle průřezových kritérií – Oběti na životech – Ekonomické dopady – Omezení možnosti poskytovat obyvatelstvu základní služby
• Informační bezpečnost – zajištění CIA • Významný informační systém (VIS) - IS se zásadním významem pro fungování státní správy 143
Kybernetická bezpečnost - legislativa Kritická informační infrastruktura (č. 315/2014 Sb.) (1/1)
Odvětví: I. II. III. IV. V. VI. VII. VIII.
Energetika Vodní hospodářství Potravinářství a zemědělství Zdravotnictví Doprava Komunikační a informační systémy Finanční trh a měna Nouzové služby
Technologické prvky pro: A. pevné sítě el. komunikací B. mobilní sítě el. komunikací C. rozhlasové a televizní vysílání D. satelitní komunikaci E. poštovní služby F. provoz registru domény .cz
144
Kybernetická bezpečnost - legislativa • • • • •
Další související pojmy Osoby Garant aktiva Uživatel Administrátor aktiva Aktivum Primární aktivum (informace a služby) Podpůrné aktivum (technické aktivum, zaměstnanci a dodavatelé) – Technické aktivum (technické vybavení, komunikační prostředky, programové vybavení a objekty ) 145
Kybernetická bezpečnost - legislativa Návaznosti na mezinárodní standardy (ISO/IEC 27k) • Organizační opatření – ISMS – Management rizik – Bezpečnostní politika – ……… • Technická opatření – Fyzická bezpečnost – Autentizace a řízení přístupu – Antivirové systémy – IDS, IPS, logy – Kryptografické prostředky – …. 146
Kybernetická bezpečnost - legislativa Oblasti uplatnění bezpečnostní politiky a) systém řízení bezpečnosti informací, b) organizační bezpečnost, c) řízení dodavatelů, d) klasifikace aktiv, která zahrnuje pravidla pro bezpečné nakládání s aktivy, e) bezpečnost lidských zdrojů, f) řízení provozu a komunikací, g) řízení přístupu, h) bezpečné chování uživatelů, i) zálohování a obnova, j) bezpečné předávání a výměna informací, k) řízení technických zranitelností,
l) bezpečné používání mobilních zařízení, m) licencování software a informací, n) dlouhodobé ukládání a archivace informací, o) ochrana osobních údajů, p) fyzická bezpečnost, q) bezpečnost sítě, r) ochrana před škodlivým kódem, s) nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí, t) využití a údržba nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí , u) používání kryptografické ochrany. 147
Kybernetická bezpečnost Struktura bezpečnostní legislativa dokumentace • Struktura bezpečnostní politiky musí zahrnovat dokumenty pro oblasti, kde se bezpečnostní politika uplatňuje (viz předešlý snímek) • Další dokumentace – – – – – –
Zpráva z auditu a z přezkumu ISMS Metodika pro hodnocení aktiv a rizik Výsledky AR, prohlášení o aplikovatelnosti Plán zvládání rizik Plán rozvoje bezpečnostního povědomí Havarijní plán a plán obnovy 148
Kybernetická bezpečnost Hodnocení alegislativa úrovně důležitosti aktiv • Jsou stanoveny 4 úrovně důležitosti aktiv (nízká, střední, vysoká, kritická) • Bezpečnostní atributy aktiv – Důvěrnost – Integrita – Dostupnost
149
Kybernetická bezpečnost - legislativa Hodnocení rizik • Pro hodnocení rizik se používá vzorec: riziko = dopad * hrozba/100 * zranitelnost/100 • Riziko je funkce: – Dopadu – Hrozby – Zranitelnosti
• Stupnice pro riziko, dopad, hrozbu a zranitelnost: – – – –
nízká, střední, vysoká, kritická.
150
Kybernetická bezpečnost - legislativa •
• •
•
Řízení rizik Stanovení metodiky pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik včetně stanovení kritérií pro přijatelnost rizik Identifikace a hodnocení důležitosti aktiv, která patří do rozsahu systému řízení bezpečnosti informací Identifikace rizik, zohlednění hrozby a zranitelnosti, posouzení možných dopadů na aktiva, schválení přijatelných rizik Plán zvládání rizik (zpracování a zavedení) 151
Kybernetická bezpečnost - legislativa Technologická podpora – kryptografické algoritmy • Minimální požadavky – Symetrické algoritmy • Blokové a proudové šifry (AES, 3DES, Blowfish….) a jejich minimální délky klíčů • Módy šifrování, módy šifrování a ochranou integrity) – Asymetrické algoritmy – Pro digitální podpis (DSA, EC-DSA, RSA s minimálními délkami klíče) – Pro výměnu klíčů (Diffie-Hellman, EC DH, RSA …) s minimálními délkami klíče) – Algoritmy hash funkcí (SHA-2, SHA-3, …) 152
Kybernetická bezpečnost - legislativa Kybernetická bezpečnostní událost/incident • Hlášení incidentu ve významné síti, IS KII, komunikačním systému KII nebo VIS ve standardním formuláři odeslaném provozovateli národního CERT(provede poskytovatel/provozovatel/správce příslušného systému/infrastruktury) • Evidence (provádí NBÚ) • Opatření (vydává NBÚ) – Varování – Reaktivní opatření – Ochranné opatření 153
Kybernetická bezpečnost legislativa incidentu Hlášení kybernetického Kategorie incidentu • Kategorie III – velmi závažný kybernetický bezpečnostní incident • Kategorie II – závažný kybernetický bezpečnostní incident • Kategorie I – méně závažný kybernetický bezpečnostní incident
154
Kybernetická bezpečnost - legislativa Typ kybernetického bezpečnostního incidentu: • Způsobený kybernetickým útokem nebo jinou událostí vedoucí k průniku do systému nebo k omezení dostupnosti služeb. • Způsobený škodlivým softwarem nebo kódem. • Způsobený kompromitací technických opatření. • Způsobený porušením organizačních opatření. • Ostatní incidenty způsobené kybernetickým útokem. • Kybernetický bezpečnostní incident způsobující narušení důvěrnosti primárních aktiv. • Způsobující narušení integrity primárních aktiv. • Způsobující narušení dostupnosti primárních aktiv. • Způsobující kombinaci dopadů uvedených výše. 155
Kybernetická bezpečnost - legislativa CERT (Computer emergency readiness teams) a CSIRT (Computer security incident response team) • Vládní CERT (GovCERT.CZ) – složka NBÚ • Národní CERT týmy - zaštiťuje organizace CZ.NIC (správce domény .cz) • Pracovní skupiny CSIRT.cz týmů – Mezinárodní spolupráce – Národní týmy 156
Kybernetická bezpečnost Odkazy legislativa
• https://www.kybez.cz • http://www.kybernetickyzakon.cz/ • http://cs.wikipedia.org/wiki/Syst%C3%A9m_%C5%99%C3% ADzen%C3%AD_bezpe%C4%8Dnosti_informac%C3%AD • https://www.csirt.cz/ • http://www.nbu.cz/cs/pravni-predpisy/ • Podpora kybernetické bezpečnosti pro státy a instituce Evropské Unie – ENISA (European Union Agency for Network and Information Security)
157
Penetrační testy • • • • •
Co je penetrační test Jaký je cíl penetračního testu Kdy se provádí penetrační testy Jaký je postup provádění penetračních testů Jaká jsou omezení a rizika při provádění penetračních testů
158
Penetrační testy
Co je penetrační test
• Nástroj k odhalení zranitelných míst v informačním systému • Součást bezpečnostní analýzy, ověřující nepřítomnost již zveřejněných bezpečnostních chyb (exploits) v IS
Cíl penetračního testu • Prevence opatření proti uskutečnění hrozby provedení útoku • Snížit rizika využití zranitelných míst útokem 159
Penetrační testy Penetrační test v kontextu metodiky ISECOM (The Institute fot Security and Open Methodologies)
160
Penetrační testy
Metody pro stanovení úrovně informační bezpečnosti informačního systému
161
Penetrační testy Související pojmy • Exploit – Původní význam: „… speciální program, data nebo sekvence příkazů, které využívají programátorskou chybu, která způsobí původně nezamýšlenou činnost software a umožňuje tak získat nějaký prospěch. Obvykle se jedná o ovládnutí počítače nebo nežádoucí instalaci software, která dále provádí činnost, o které uživatel počítače neví….“ (Wikipedia) – Rozšířený význam: „…a script, program, mechanism, or other technique by which a vulnerability is used in the pursuit or achievement of some information assurance objective. It is common speech in this field to use the terms exploit and exploit script to refer to any mechanism, not just scripts, that uses a vulnerability.“ (OUSPG Glossary of Vulnerability Testing) 162
Penetrační testy
• CVE (Common Vulnerabilities and Exposures) – seznam rozpoznatelných zranitelných míst a jejich projevů – Vulnerability – chyba SW, která může být přímo využita k provedení útoku – Exposure – chyba v SW, která nepřímo dovoluje neoprávněný přístup do systému nebo sítě – Databáze CVE je zajišťována společností MITRE – CVE je de facto standard pro identifikaci problémových míst (SW, firmware) u produktů IT (síťová zařízení, operační systémy, aplikace …..) 163
Penetrační testy
Kdy se provádí PT
• V běžném provozu IS • Ve všech fázích výstavby ISMS (Information Security Management System)
Jaký je postup provádění penetračních testů • • • •
Strategie PT Typy PT Příprava, provedení, závěrečná zpráva Standardy a metodiky 164
Penetrační testy Strategie PT • Odkud bude test prováděn. • Podle míry znalosti testera o předmětu testování a vice versa (tj. co „ví“ předmět testování o testu/testerovi).
• Typy PT – Podle oblasti IS, kde se cíl nachází (tzv. channels) – Podle konkrétních „známých“ útoků, které se v průběhu PT provádějí 165
Penetrační testy
Strategie PT – odkud je útok veden • Externí PT emuluje útok zvenčí, jehož cílem je neoprávněně proniknout do interní podnikové sítě • Interní PT emuluje útok vedený uvnitř podnikové sítě zlovolným zaměstnancem (tj. oprávněným uživatelem), cílem je poškození podniku. Výchozí bod útoky má být určen zadavatelem PT 166
Penetrační testy Strategie PT podle směru útoku
167
Penetrační testy
• Strategie PT – podle míry znalostí zúčastněných stran (tj. PT tým vs. IT management) • Blind – PT tým má k disposici omezené informace o struktuře a konfiguraci IS. Při testování vychází pouze z veřejných informací (web-site, doménová jména, e-mail adresy …..). Cíl testu (tj. IT management testovaného IS) je obeznámen s rozsahem PT a časem prováděného testu. • Double-blind – PT tým neví nic o cíli jako v předchozím případu. IT management testovaného IS není o rozsahu a čase PT vůbec informován. 168
Penetrační testy • Tandem – penetrační tým a IT tým jsou předem informováni o všech detailech PT (rozsah, hloubka, doba) a na test jsou připraveni. Cílem PT je osvědčit bezpečnostní kvality IS za spolupráce IT týmu.
• Reversal – penetrační tým má dostatečné znalosti o cíli, ale IT tým neví kdy a jak bude test probíhat. Test má osvědčit bezpečnostní kvality IS a připravenost IT týmu.
169
Penetrační testy Kategorizace PT podle úrovně přístupových práv a míře informací o testovaných objektech přidělených penetračnímu týmu • White Box – kompletní znalosti o infrastruktuře testované sítě a instalacích na testovaných strojích včetně přístupových oprávnění. Umožňuje rychlejší průběh PT. Vhodné pro simulaci útoků vedených uživatelem testované sítě, který má privilegovaná přístupová práva. • Black Box – PT se zahájí bez jakýchkoliv předběžných znalostí situace v testovaném prostředí. Provedení PT vyžaduje delší dobu. Vhodné pro simulace útoků vedených externími útočníky. • Gray Box – kombinace White a Black boxů (částečné znalosti situace a omezená přístupová práva). Vhodné pro simulace útoků vedených běžným interním uživatelem 170
Penetrační testy Přiřazení znalostních „boxů“ k základním strategiím PT
171
Penetrační testy
Strategie PT - oblast/sféra (channel) provádění útoku (podle metodiky OSSTMM 3) • Oblast komunikační bezpečnosti (COMSEC) – Počítačové sítě – Telekomunikace • Oblast fyzické bezpečnosti (PHYSSEC) – Lidské složky – Elektronické a neelektronické elementy IS • Oblast spektrální bezpečnosti (SPECSEC) - vyzařování z kabelů, bezpečnost bezdrátových signálů 172
Penetrační testy Oblasti penetračního testování (channels) podle metodiky OSSTMM 3
173
Penetrační testy Typy penetračních testů podle „známých“ útoků • • • • • • • • • •
Network sniffing Spoofing Flood attacks – DoS, DDoS ICMP („smurf“) attacks Half-open SYN attack Buffer overflow/overrun Trojan attack Directory/path traversal Brute force attack Cookie theft/poisoning/hijacking
• • • • • • • • • • •
Virus, worm Key logging SQL injection Password Cracking Wardriving Wireless sniffing and interception Cross-site scripting (XSS) Botnet attack DNS cache poisoning Social Engineering ………. 174
Penetrační testy
• Dohoda o provedení PT – Výběr testera – Stanovení rozsahu, doby a způsobu PT • Soulad s legislativou a dalšími ustanoveními: – Zákony a mezinárodní úmluvy – Průmyslové regulace – metodiky PT – Podniková politika (směrnice, nařízení)
175
Penetrační testy Výběr testera • Kritické rozhodnutí představující významné bezpečnostní riziko – Penetrační tým a jeho zaměstnavatel dostanou veškeré informace o bezpečnostním stavu podnikového IS (security partner) – PT neodhalí významná zranitelná místa – Požadovaný cíl nebude dosažen v důsledku špatné nebo nedostatečné komunikace mezi zadavatelem a testerem – PT může nechtěně spustit nežádoucí události a odezvy – Citlivé informace mohou být vyzrazeny a zneužity ke skutečnému útoku
176
Penetrační testy • Eliminace střetu zájmů (např. penetrační test neprovádí IT tým!) • Projekt PT (rozsah, cíle, doba) je písemně zdokumentován včetně rolí a zodpovědnosti členů penetračního týmu • Kvalita společnosti – Reference, stabilita, – Jaké SW nástroje má k disposici, podle jaké metodiky bude PT prováděn – …..
• Kvalita týmu testerů (Tiger team) – Spolehlivost – Vysoká kvalifikace, dostatečná praxe 177
Penetrační testy Stanovení rozsahu, doby a způsobu PT • Jednoznačné určení cílů a hranic (např. které počítače, které aplikace, jaká síťové zařízení, atd.) • Test jednorázový nebo opakovaný/periodický v určeném časovém rozmezí. • Kdy se test ukončí – Po vypršení časového limitu – Po úspěšném dokončení útoku/sekvence útoků • Způsob PT – rozsah vstupních informací , které metody jsou povoleny/zakázány, modifikace nebo destrukce napadených objektů – ano/ne …. 178
Penetrační testy Příklad stanovení rozsahu provádění PT
179
Penetrační testy Průběh PT – typicky 7 fází (neexistuje žádná formální metoda) Stanovení rozsahu a cíle PT Shromáždění informací Vyhledání a analýza zranitelných míst Analýza shromážděných informací a plánování Opakuje se útoku 5. Útok – penetrace a eskalace 6. Analýza výsledků a závěrečná zpráva 7. „Úklid“ – odstranění stop 1. 2. 3. 4.
180
Penetrační testy Cyklus PT
181
Penetrační testy
Průběh PT - podrobněji 1. Definice rozsahu a cíle – Profil testera (White/Gray/Black Box) – Které systémy/sítě budou testovány – Jak dlouho bude PT probíhat 2. Sběr informací – Veřejně přístupné (nmap, nslookup,www….) – Technické informace předané organizací 3. Detekce a analýza zranitelných míst na cílech PT – Manuální zjišťování – Pomocí speciálního SW 182
Penetrační testy 4. Plánování útoku - příprava high-level plánu útoku na základě informací získaných v předchozích krocích (celkový přístup a identifikace cíle) 5. Útok a penetrace - eskalace práv – Výběr exploitu a jeho využití (musí být předem testován, aby se vyloučila možnost zničení testovaného objektu) – Provedení neautorizovaného přístupu k cíli – Eskalace práv – je postupováno podle ujednaného způsobu provádění PT – tj. co se může změnit/zničit- co ne. 6. Analýza výsledků – závěrečná zpráva 7. Odstranění stop – úklid – –
Všechny změny, které byly provedeny Všechny exploity, které byly zaneseny 183
Penetrační testy Závěrečná zpráva (Final Report) – struktura obsahu 1/2 • Úvod – Charakteristika týmu testerů – Popis testované oblasti (infrastruktura sítě, VPN, počet a typy serverů, operačních systémů, aplikací, HW konfigurace , konektivita, ……) – Rozsah testu (omezení a limity před zahájením testu a v jeho průběhu, cíl testu a typ testu – White/Gray/Black Box))
• Exekutivní přehled (Executive Summary) – krátký a netechnický – Výčet zranitelných míst v testovaných oblastech • Operační systémy (použité exploity – úspěšně/neúspěšně – důvody) • Aplikace (použité exploity – úspěšně/neúspěšně – důvody) • Infrastruktura (použité exploity – úspěšně/neúspěšně – důvody) • Fyzické prostředí a lidská složka (použité exploity – úspěšně/neúspěšně – důvody) 184
Penetrační testy Závěrečná zpráva (Final Report) – struktura obsahu 2/2 • Technický přehled (Technical Summary) – Velmi detailní, vyčerpávající technický popis odhalených problémů ve výše uvedených oblastech (tj. operační systémy, aplikace – Webserver, DB server, .. , infrastruktura – síťová zařízení, fyzické prostředí, lidská složka) – Doporučení k nápravě
• Závěrečné shrnutí – – – – – –
Přílohy Výklad pojmů Definice zranitelných míst Schémata sítě Popis použitých nástrojů a metod Výstupy SW použitého při PT 185
Penetrační testy
Užitečné odkazy pro další studium • http://www.coresecurity.com/content/core-impact-overview - Core Security • https://www.owasp.org/index.php/About_The_Open_Web_Applicati on_Security_Project - The OWASP Foundation (The Open Web Application Security Project) • http://www.isecom.org/home.html - ISECOM (the Institute for Security and Open Methodologies) • http://www.isecom.org/research/osstmm.html - the Open Source Security Testing Methodology Manual (OSSTMM.3, OSSTMM.4 draft a OSSTMM_Web App - draft ) 186
