1 / 43

OSNOVE BEZBEDNOSTI I ZAŠTITE IS

OSNOVE BEZBEDNOSTI I ZAŠTITE IS. Metodološko tehnološke osnove. Tema 7: SERVISI I MEHANIZMI ZAŠTITE -Tehnologije zaštite računarskog sistema-. CILJEVI. Razumeti : značenje termina servis zaštite prirodu različitih podela servisa zaštite

mieko
Télécharger la présentation

OSNOVE BEZBEDNOSTI I ZAŠTITE IS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. OSNOVE BEZBEDNOSTI I ZAŠTITE IS Metodološko tehnološke osnove Tema 7: SERVISI I MEHANIZMI ZAŠTITE -Tehnologije zaštite računarskog sistema- UNIVERZITET SINGIDUNUM - FPI

  2. CILJEVI Razumeti: • značenje termina servis zaštite • prirodu različitih podela servisa zaštite • koncept opšteg, sveobuhvatnog modela servisa zaštite • servise zaštite u distribuiranom IKT sistemu • proces implementacije servisa zaštite • servise poverljivog provajdera zaštite (TTPS) • značaj tehnologije zaštite RS i RM • opštu podelu alata (mehanizama i protokola) za zaštitu RS i RM • osnovne alate za zaštitu RS • koncept višeslojne zaštite UNIVERZITET SINGIDUNUM - FPI

  3. TERMINI • Servisi zaštite (primarni i sekundarni) • Sistemi za detekciju i sprečavanje upada u RS (HIDPS) • Host-orijentisani alati • Kriptografski mehanizam • Mehanizmi zaštite NOSSS • Skeneri sadržaja • Skeneri zaštite RS UNIVERZITET SINGIDUNUM - FPI

  4. SERVISI ZAŠTITE • Primarni: upravljački, operativni, tehnički • Sekundarni za: podršku, oporavak • Tehnički orijentisan model servisa zaštite: • Kriterijum: primarna funkcionalna namena • Kontekst: međuzavisnosti primarnih i sekundarnih servisa • Klasifikacija u servise za: • podršku (proaktivnu) • sprečavanje (proaktivno) • oporavak (reaktivan) UNIVERZITET SINGIDUNUM - FPI

  5. Bezbednosna misija Bezbednosna misija sistema zaštite: • raspoloživst podataka i informacija (RS ili funkcija RS, aplikacija, servisa…), • integritet podataka i informacija (RS…) • poverljivost podataka, informacija (RS…) • Uključujući: • odgovornost do individualnog nivoa • garantovanu bezbednost(securityassurance) UNIVERZITET SINGIDUNUM - FPI

  6. Bezbednosni ciljevi- primarni- • Zaštita raspoloživosti p/i: • tehničkai funkcionalna • od namernog/slučajnog neovlašćenog korišćenja p/i, resursa IS i odbijanja servisa (DoS/DDoS) • Zaštita integriteta p/i: • sadržaja p/i,konfiguracije, sesije, konekcije • Zaštita poverljivosti p/i: • uskladištenih, procesiranih i prenošenih UNIVERZITET SINGIDUNUM - FPI

  7. Bezbednosni ciljevi-sekundarni- (4). Utvrđivanje odgovornosti (prava i obaveza): • korisnika-od glavnog menadžera do individualnog nivoa • Princip: zahteva se u politici zaštite • Uključuje: neporecivost, odvraćanje, izolaciju grešaka, detekciju, sprečavanje upada, oporavak, normativni okvir (5). Garantovana bezbednost (assurance): • osnova za sticanje poverenja da U/O/T k/z korektno rade • bitan je bezbednosni cilj, • neprekidan je proces (ciklično se obnavlja), • obezbeđena realizacijom bezbednosnih ciljevaa (1-4), kroz: • korektnu implementacija k/z • dovoljan nivo zaštite od slučajnih grešaka (korisnika ili hw/sw) • dovoljnu otpornost s/z na namerni proboj ili zaobilaženje UNIVERZITET SINGIDUNUM - FPI

  8. Međuzavisnost bezbednosnih ciljeva UNIVERZITET SINGIDUNUM - FPI

  9. Opšti tehnički model servisa zaštite UNIVERZITET SINGIDUNUM - FPI

  10. Servisi zaštite u distribuiranom IS • fizički i logički distribuirani (domen zaštite, RM) • svi servisi konačno zavise od mehanizama OS • garantovana bezbednost (pouzdanost) s/z je ključni elemenat bezbednosti IS • pouzdanost s/z obuhvata sve kapacitete zaštite • upravljanje sistemom je drugi važan aspekat efikasnih mera zaštite UNIVERZITET SINGIDUNUM - FPI

  11. Distribuirani servisi zaštite UNIVERZITET SINGIDUNUM - FPI

  12. Garantovana bezbednost • poverenje da su ispunjeni svi ciljevi zaštite • direktno zavisi od arhitektureIKT sistema i kontrola zaštite • razvijene su tehnologije za merenje bezbednosnih nivoa (SSE CMM) • Garantovana bezbednost se može povećati sa: • primenom manje kompleksnih tehničkih rešenja, • korišćenjem poverljivih/pouzdanih komponenti IS/SZ • modularnim projektovanjem sistema (ograničava uticaj proboja i ranjivosti) • implementacijom IDS/IPS komponenti • implementacijom komponenti za oporavak sistema • integracijom tehnologije adekvatne okruženju UNIVERZITET SINGIDUNUM - FPI

  13. NOSSS servisi zaštite • Servisi zaštite OS • Svaki s/z u krajnjem zavisi od NOSSS (Native OS Security Subsystem) • Ako su ovi servisi slabi, s/z IS može se zaobići/probiti • Bezbednost IS ne može biti veća od bezbednosti nosećeg OS • Neki servisi ostaju na posebnom logičkom nivou OS • Neki distribuirani servisi su implementirani kroz distribuirane mehanizme na nekoliko nivoa (nižem, srednjem, aplikativnom nivou) Primer: • identifikacija i autentifikacija • korisnički interfejs (na aplikativnom nivou, prezent., sesijskom, mrežnom) UNIVERZITET SINGIDUNUM - FPI

  14. Servisi zaštite u domenu zaštite (D/Z) • Koncept domena zaštite: • osnova i okruženje zaštite IS na bazi zajedničke politike zaštite • skup aktivnih entiteta (lica, procesa, uređaja), njihovih informacionih objekata • obezbeđuje restrikciju toka i/p i procesa unutar i između D/Z • demilitarizovana zona (DMZ) deli domene zaštite (Primeri) UNIVERZITET SINGIDUNUM - FPI

  15. UNIVERZITET SINGIDUNUM - FPI

  16. Domeni zaštite (D/Z) • Podela: logički i fizički • Podela IS sistema u D/Z analogna fizičkoj zaštiti: • ograda oko zgrade = različiti tipovi logičkih barijera (firewalls) • kapija = gateways • fizičko obezbeđenje = tehnički i proceduralni servisi zaštite (AC, IAA) • D/Zsedefinišu pomoću jednog/više kriterijuma: • fizički (n.p.r. zgrade, kamp, region, i.t.d.) • poslovni procesi (tj. personal, finansije, i.t.d.) • mehanizmi zaštite (tj. na nivou OS, na nivou RM i.t.d.) • Ključni elementi: • fleksibilnost • projektovana i implementirana zaštita • međusobne relacije domena • Bezbednosni efekat deljenja IS u D/Z (gataways): • ograničava oštećenja u slučaju proboja sistema zaštite UNIVERZITET SINGIDUNUM - FPI

  17. RAZVOJ I IMPLEMENTACIJA SERVISA ZAŠTITE • Vrše organizacije ili poverljivi provajder zaštite • U skladu sa GAISP i najboljom praksom zaštite • Za celokupni životni ciklus sistema zaštite • Projektovanje servisa zaštite kroz 6 faza: • Faza 1: Inicijacija (priprema) • Faza 2: Procena • Faza 3: Rešavanje (dizajniranje ili projektovanje) • Faza 4: Implementacija • Faza 5: Operativni rad • Faza 6: Odlaganje UNIVERZITET SINGIDUNUM - FPI

  18. KLASIFIKACIJA ALATA ZA ZAŠTITU UNIVERZITET SINGIDUNUM - FPI

  19. KLASIFIKACIJA ALATA ZA ZAŠTITU RS/RM • Servisno orijentisana, za: • kontrolu pristupa RS/RM • identifikaciju, autentifikaciju i autorizaciju u RS/RM • monitoring sistema zaštite RS/RM • zaštitu integriteta RS/RM • zaštitu poverljivosti, integriteta i raspoloživosti p/i UNIVERZITET SINGIDUNUM - FPI

  20. MEHANIZMI ZAŠTITE RS-HOST ORIJENTISANI- • Bezbednosni, apstraktni slojevi RS: • Koncept slojevite zaštita • OS najznačajniji apstraktni sloj • NOSSS određuje najviši nivo zaštite IS UNIVERZITET SINGIDUNUM - FPI

  21. Generički servis kontrole pristupa (AC) UNIVERZITET SINGIDUNUM - FPI

  22. Servis i mehanizmi za upravljanje pristupom • Servis logičke kontrole pristupa (AC): • obavezna (MAC- Mandatory Access Control) • diskreciona (DAC- Descretionary Access Control) • na osnovu uloga (RBAC- Role Based AC) • MAC i RBAC- na osnovu utvrđenih pravila • DAC -vlasnik sistema upravlja AC svojom odlukom 2. Mainframe mehanizmi za logičku AC: • Identifikacija: predstavljanje identiteta korisnika sistemu (korisničko ime) • Autentifikacija: verifikacija identiteta korisnika (lozinka, PIN, biometrika…) • Autorizacija: upravljanje pravima pristupa legalnih korisnika (R,W,M..) • Log in: obezbeđuje generisanje kontrolnih tragova UNIVERZITET SINGIDUNUM - FPI

  23. Mehanizmi za upravljanje pristupom (2) • Sw mehanizmi za logučku AC mainfraim RS nalazi se u većini NOSSSsavremenih RS • Razvijena su univerzalna rešenja za kontrolu pristupa RS u LAN RM Primer: EUA - Enterprise User Administration: • interaktivno rade sa postojećim NOSSS • centralizuju upravljanje sa AC u distribuiranom okruženju Proizvod:ESM (Enterprise Security Mnagement), korisi ga Informatika AD, Beograd UNIVERZITET SINGIDUNUM - FPI

  24. Mehanizmi za upravljanje pristupom (3) 3. EUA softverski mehanizmi: • upravljanje sa pravima pristupa u velikom broju OS, b/p i aplikacija sa sopstvenim modelom zaštite • obezbeđuju centralnu administraciju prava pristupa svim slojevima sw na različitim platformama • ne implementiraju direktno sam AC mehanizam u OS • Nedostaci su EUA: • težak pregled ACpodataka iz više platformi • potreba upravljanja promenama na kontrolnim nalozima • ograničeno kretanje administratora • neefikasan tok procesa autorizacije sa niskim nivoom automatizacije UNIVERZITET SINGIDUNUM - FPI

  25. Skener zaštite RS (SZRS) • SZRSkontrolišu integritet RS: • Periodično monitoriše stvarnu konfiguraciju platforme, poredi sa predefinisanom, a neki automatski koriguju • Mogu raditi na svim apstrakcionim nivoima (retki su na aplikativnom) • Glavna upotreba - skeneri ranjivosti OS (manjih IS) • Ranjivost RS: greške hw, greške sw, greške u konfiguraciji • Skeneri zaštite za osiguranje bezbednog okruženja (sr. i veći IS) • Ocena efektivnost SZRS meri se kroz redukciju rizika: • Dovođenjem osnovne konfiguracije S/Z na željeni nivo rizika • Efikasnom/efektivnom korekcijom ranjivosti S/Z (kontrolama zaštite) UNIVERZITET SINGIDUNUM - FPI

  26. Skener ranjivosti u IKTS srednje veličine UNIVERZITET SINGIDUNUM - FPI

  27. Antivirusni programi (AVP) - Koncept - • ispituje otkriveni maliciozni program (M/P) • identifikuje osobene strukture kôda (potpis,definiciju, heš, DS) • detektuje prisustvo poznatih M/P skeniranjem OS, b/p i aplikacije, tražeći potpise M/P uskladištenih u bazi podataka definicija • kada otkrije M/P sa poznatom definicijom aktivira se set instrukcija za uklanjanje (izolaciju) te definicije • teže je kad se koristi Kz za skrivanje potpisaM/P • savremeni AVP su dizajnirani za aplikativni sloj OS: • mogu skenirati veliki obim objekata, • poseduju napredne tehnike (dešifrovanje, uklanjanje u karantin) UNIVERZITET SINGIDUNUM - FPI

  28. Skeneri sadržaja (SS) • komplementarni su AVP • evaluiraju sadržaje (poruka e-pošte ili preuzete sa Interneta) u odnosu na predefinisane politike zaštite • izvršavaju akcije ako ne ispunjava zahteve politika zaštite • obično ispituju pakete u prenosu između dva sistema • rade na aplikativnom nivou UNIVERZITET SINGIDUNUM - FPI

  29. Skeneri sadržaja (SS)-1 • SS su potencijalno moćniji od AVP detekcije: • slede pravila na bazi različitih kriterijuma • nisu ograničeni na statička svojstava M/P a. Jednostavni skeneri sadržaja e-pošte: • vrše leksičku analizu i odlažu u karantin poruke sa predefinisanim rečima ili frazama b. Sofisticirani skener sadržaja: • rade u realnom vremenu • otkrivaju prisustvo mobilnih kodova (Java, JavaSkript i ActiveX) UNIVERZITET SINGIDUNUM - FPI

  30. Skeneri sadržaja (SS)-2 Većina SS obezbeđuje: • više načina reagovanja na povredu politike zaštite • administratoru da konfiguriše akcije na bazi pravila • odlaganje u karantin ili brisanje dodataka e-pošte • odbacivanje poruka u junk direktorijum • blokiranje preuzetih sadržaj mobilnih kodova • prenos sumnjivih sadržaja TTPS provajderu na analizu • logovanje i slanje alarma korisniku UNIVERZITET SINGIDUNUM - FPI

  31. Web filteri Namena za: • Prepoznavanje i odgovor na sadržaj • Filteri e-pošte imaju ugrađene AVP • AVP počinju ugrađivati funkcionalnosti SS • Dva mehanizma zaštite (AVP i SS) konvergiraju u jedinstven mehanizam zaštite UNIVERZITET SINGIDUNUM - FPI

  32. Skeneri sadržaja i e-mail filteri • Detektuju potencijalne povrede sistema zaštite analizom: • preuzetih mobilnih kodova i e-mail poruka • Izvršavju akcije odgovora na pretnje • Iste tehnike za zaštitu integriteta OS i podataka • Mogu detektovati ugrađene slike i interpretirati tekst i smestiti ih u karantin za dalju analizu UNIVERZITET SINGIDUNUM - FPI

  33. Monitoring zaštite RS - IDPS (Intrusion Detection&Protction Systems) • Sistemi za detekciju i sprečavanje upada u RS - HIDPS(Host IDPS) i RM - NIDPS (Network IDPS): • prepoznaju indikacije pokušaja upada • upozoravaju korisnika ili koriguju akcije (IPS) • analiziraju podatke o upadu • razlikuju se po načini rada i tipu informacija koje procesiraju • obično dizajnirani za određene OS • koriste različite mehanizme za detekciju upada na bazi : • potpisa, anomalija i pseudorelacione analize kontrolnih tragova • kombinaciju mehanizme potpisa i detekcije anomalija • vrše proveru integriteta datoteka (heš vrednosti) UNIVERZITET SINGIDUNUM - FPI

  34. Monitoring zaštite RS-IDPS (1) • Detektori upada u RS (IDS): • brzo ažuriraju definicije napada • vrše direktnu intercepciju i interpretaciju pristupa • generalno-imaju dobre sisteme izveštavanja • glavna ranjivost - mogućnost proboja u log datoteku • Sistemi za sprečavanje upada u RS – IPS: • pored funkcija IDS omogućava inteligentne zamke za napadača (tipa ćupa meda-honey pot) i korektivnu akciju • skreću pažnju i izučavaju osobenosti napadača • preventivno štite od sledećeg napada Primer: IPS koncept – COBRADOR, ISS UNIVERZITET SINGIDUNUM - FPI

  35. IPS koncept UNIVERZITET SINGIDUNUM - FPI

  36. Mehanizmi za upravljanje log datotekama • Obezbeđuju: • selektivan pristup log dat. kontrolnih tragova bezbednosno relevantnih događaja • zaštitu svim slojevima sw u RS, filtriranjem podataka na osnovu pravila • skupljanje i kombinovanje login informacija sa različitih platformi • administratoru da prati napade ili indikacije Primeri: Splunk 4.0, Zenoss itd. UNIVERZITET SINGIDUNUM - FPI

  37. Mehanizmi za upravljanje log datotekama (1) • Problemi korišćenja log datoteka: • veliki obim podataka za analizu • zahtev za jasna pravila za proaktivnu i reaktivnu analizu • praćenje sumnjive aktivnosti koje se šire kroz mrežu • Nedostaci filtracije log podataka: • mogu se odstraniti važne informacije • teško prepoznavanje podataka istog tipa na različitim platf. • označavanje tragova za proaktivnu ili reaktivnu analizu • sinhronizacija časovnika za konsolidaciju hronologije napada • usmeravanje alata za analizu logova web lokacija na b. događaje umesto - posete klijenata UNIVERZITET SINGIDUNUM - FPI

  38. Kriptografski mehanizmi • Mehanizmi za zaštitu poverljivosti i integriteta p/i: • Transformišu (ne skrivaju) informacije - Kz ključem • Ovlašćeni korisnici poseduju: • isti ključ (simetrična kriptografija) • odnosni ključ iz matematičkog para javnog/privatnog ključa (asimetrična kript. ili PKI-Public Key Infrastructure) • Samo određena grupa korisnika može izvući OT • Ključ: bezbednost više u ključu nego u algoritmu • Algoritam: nemoguće čuvati u tajnosti u komercijalnom okruženju • Tajnost ključa: problem upravljanja Kz ključem UNIVERZITET SINGIDUNUM - FPI

  39. Kriptografski mehanizmi -1 • Integrišu servise zaštite: autentifikacije, poverljivosti, integriteta i neporecivosti informacija • U NOSSS RS: zaštita integriteta i poverljivosti p/i - šifrovanje celog HD, b/p, datoteka, bita (Vista) • U RM: šifrovanje podataka u prenosu, autentifikacija i neporecivost (češće primene) • Zaštita integriteta p/i manje očigledna primena: • od originalnih p/i pravi se hash otisak (sažetak) - MD (Massage Digest), koji se šifruju • ako se izmene p/i - ne može se rekontsruisati hash • vlasnik može dokazati verifikacijom - poseduje ključ • skeneri zaštite - koriste hash za detekciju izmene datoteka UNIVERZITET SINGIDUNUM - FPI

  40. UNIVERZITET SINGIDUNUM - FPI

  41. UNIVERZITET SINGIDUNUM - FPI

  42. Zaključak • Model sveobuhvatnih servisa zaštite obuhvata primarne i sekundarne (tehničke i netehničke) servise zaštite i njihove međuzavisnosti i komplementarnosti. • Podela u logičke i fizičke domene zaštite ograničava oštećenja u slučaju proboja sistema zaštite. • Objektno-orijentisana klasifikacija deli tehničke alate (T/A) na host-orijentisane, mrežno orijentisane i infrastrukturnu podršku (PKI, smart kartice i autentifikacioni uređaji) UNIVERZITET SINGIDUNUM - FPI

  43. ZAKLJUČAK-1 4.U odnosu na servise zaštite T/A se dele na alate za: autentifikaciju i autorizaciju (RS ili RM) – protokoli, uređaji, zaštitu integriteta (RS ili RM) – skeneri sistema zaštite, kontrolu pristupa (RS ili RM), monitoring (RS ili RM) - IDS, IPS i Kz mehanizme za zaštitu poverljivosti, integriteta (uključujući autentifikaciju i neporecivost) i raspoloživosti p/i i servisa. 5. Važno je razumeti razlike između integriteta informacija i podataka, RS i RM. UNIVERZITET SINGIDUNUM - FPI

More Related