1 / 72

Bezpieczeństwo sieci i odtwarzanie po awarii

Bezpieczeństwo sieci i odtwarzanie po awarii. d r inż . Maciej Miłostan Instytut Informatyki , Politechnika Poznańska. Czyli jak chronić sieć przed nieautoryzowanym dostępem. Bezpieczeństwo sieci. Internet a intranet. Internet = źódło informacji

xerxes
Télécharger la présentation

Bezpieczeństwo sieci i odtwarzanie po awarii

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Bezpieczeństwosieciiodtwarzaniepoawarii dr inż. MaciejMiłostan InstytutInformatyki, PolitechnikaPoznańska

  2. Czyli jak chronić sieć przed nieautoryzowanym dostępem Bezpieczeństwo sieci

  3. Internet a intranet • Internet = źódło informacji • Internet = źródło zagrożeń dla użytkowników intranetu • Udostępnianie zasobów i swoboda komunikacji • Ochrona sieci przed agresorami i intruzami

  4. Struktura sieci • Połączeniezeświatemzewnętrznym, czyliInternetem • Potrzebyużytkowników, bezpieczeństwodanych a strukturasieci • Podziałsieciwewnętrznejnasegmenty

  5. Zapora ogniowa (firewall) • Minimalizacjazagrożenia z zewnątrz • Personalizacja (napoziomiekomputera) zasaddostępu • Ochronaprzedniektórymiwirusami • Brakochronyprzedzagrożeniami z wnętrzaIntranetu • Podatnenaawarie (dotyczyrozwiązańprogramowych)

  6. Reguły na zaporach sieciowych(firewall) • Protokół • Kierunek komunikacji • Stan połączenia • Stanowe • Bezstanowe • Filtracja na poziomie pakietów • Filtracja na poziomie sesji • Liczba połączeń itp.

  7. Jedna zapora czy dwie DMZ Internet

  8. Personalizacja dostępu • Użytkownik – w zasadziegrupyużytkowników(Problem: użytkownikmożestatycznieustawićcudzyadres) • Adres IP • DHCP iadresfizyczny

  9. IP + MAC • Personalizacja ustawień zapory ogniowej • Możliwość zlokalizowania użytkownika • Możliwość wyłączenia portu, do którego wpięty jest komputer użytkownika Mary Bob

  10. IEEE 802.1X • Protokół uwierzytelniania w sieciach LAN: • bezprzewodowych • przewodowych Sys. op. wspierający ten standard ftp://ftp.dlink.it/FAQs/802.1x.pdf

  11. 802.1x • Standard ten definiuje kontrolę dostępu opartą na modelu klient-serwer wraz z protokołami uwierzytelniania uniemożliwiającymi dostęp do sieci nieautoryzowanym urządzeniom za pośrednictwem publicznie dostępnych portów. Serwer uwierzytelniania przeprowadza uwierzytelnianie każdego klient, który podłącza się do sieci zanim zaoferuje mu jakąkolwiek usługę.

  12. IEEE 802.1X • Bazujące na portach • Port na przełączniku aktywowany dopiero po uwierzytelnieniu • Bazujące na adresach fizycznych • Wielu użytkowników może używać tego samego portu jednocześnie i istnieje możliwość ograniczenia liczby adresów MAC, które się komunikują przy jego użyciu

  13. 802.1x - definicje • Adres multikastowy dla protokołu EAPOL (ExtensibleAuthenticationProtocolover LAN), czyli tzw. Port Access Entity (PAE) • Umożliwia przełącznikom rozpoznawanie właściwych pakietów

  14. 802.11x - role • Klienta • Uwierzytelniającego (przełącznik) • Serwera

  15. OTP = hasło jednorazowe

  16. 802.11x scenariusze

  17. Sieci VLAN • Sieć VLAN (VirtualLocalArea Network) to logiczne zgrupowanie urządzeń sieciowych lub użytkowników. • Użytkownicy sieci oraz urządzenia pogrupowane według pełnionych funkcji, działu firmy itp., niezależnie od ich fizycznego położenia w sieci

  18. Ramka Ethernetu

  19. Ethernet II

  20. 802.3 vs Ethernet II

  21. VLAN

  22. Dynamiczne VLAN-y • Porty automatycznie przypisują się do odpowiedniego VLANu • Skąd wiedzą do jakiego VLANu się przypisać: • W trakcie uwierzytelniania przełącznik otrzymuje od serwera radius VLAN ID klienta

  23. Czy sieć jest bezpieczna i działa prawidłowo? MoniTORING i systemy detekcji

  24. Czy sieć jest bezpieczna? • Analizalogów • Monitorowaniesieci (NETFLOW, CFLOW, SFLOW, IPFIX, SNMP, PORT STATS, MRTG) • Aktualizacjaregułfirewalla • Aktualizacjakrytycznychsystemów

  25. Cele ataków • Uzyskanie dostępu do danych • W celu przejęcia kontroli nad systemem • W celu zniszczenia systemu

  26. IDS • Detekcja zagrożeń • Alarmy - “Hej, coś jest nie tak!” • Monitorowanie - sondy • Mechanizmy reakcji na zdarzenia • Systemy detekcji intruzów = prosta idea

  27. Idea a praktyka • Co jest włamaniem lub jego proba, a co nie? • Jakie są metody włamań? • Jakie luki występują w systemach? • Czy wiedza systemu IDS jest aktualna? • Czy system może działać w pełni automatycznie? • Sekwencja działań może być rozciągnięta w czasie • Sekwencja działań może być rozbita pomiędzy różne sesje • Poprawnie działający system może być wykorzystany do ataku na inny system (np. DRDoS)

  28. Ataki DoS • DoS – ataktypuodmowausługi (np. SYN flood) • Distributed DoS – rozproszonyataktypuDoS (wieleźródełataku, zwyklejedencel) • Distributed Reflected DoS – fałszowaniepakietów SYN, tak by pakiet SYN/ACK byłwysyłany do atakowanegokomputera SYN (sq.#1) ACK(sq. #2)

  29. Problemy w IDS • Problem 1.: Jakiemetodymożnaużyć? • Problem 2.: Jakapowinnabyćstrukturasystemówwykrywaniawłamań? • Problem 3.: Co to jest włamanie? • Problem 4.: Jakzidentyfikowaćtożsamośćintruza? • Problem 5.: Jakkorelowaćinformacje? • Problem 6.: Jakzłapaćintruza w pułapkę? • Problem 7.: Jakreagowaćnaincydenty?

  30. Pułapki internetowe • Podejrzany użytkownik • System rzeczywisty • System wykrywania włamań • System pułapka • Aspekty prawne

  31. Reagowanie na incydenty • Podjęcie działań i decyzji zmniejszających ryzyko dalszego naruszenia bezpieczeństwa • Ocena wpływu incydentu na działanie systemu i firmy • Ewentualne zawiadomienie organów ściagania o popełnienu przestępstwa

  32. Zapewnianie ciągłości procesów biznesowych Archiwizacja danych i plany odtwarzania

  33. Po co archiwizować • Wymogi prawne • Zapewnienie ciągłości biznesu • Groźba utraty danych

  34. Na czym archiwizowaćdane • Streamery • Macierzedyskowe – RAID • Bibliotekitaśmowe • Dyskimagnetoptyczne • Zdalny mirroring • Płyty CD/DVD • Mikrofilmy • Dyski magnetyczne

  35. Wybórtechnologii • Awariea błędyużytkowników (istotne w kontekście RAID) • Kosztytechnologii • Miejsceskładowaniadanych • Koszty przechowywania • Ograniczenia technologii • Systemykrytyczneizapasowecentradanych • Sieci SAN

  36. Czym jest storage? • Jakie są koszty składowania danych? • Jakie są przewidywania? • Granice możliwości

  37. SAS Server AttachedStorage. Jest to pamięć masowa przyłączana do zwykłego serwera znajdującego się w sieci w celu składowania danych.

  38. Sieć NAS Network AttachedStorage. Stacje pamięci masowych są przyłączane do sieci jako kolejne maszyny. Cechy: • Brak wydzielonej części do wymiany danych • Interfejs iSCSI lub protokoły bazujące na przesyłajaniu plików • Serwer kontrolujący (niekonieczny)

  39. Protokoły używane przez NAS • Common Internet File Services • Network File System • NetWareCoreProtocol

  40. Stary slajd, ale architektura aktualna (z dokładnością do transferów)

  41. Sieć SAN StorageArea Network. Jest to sieć mająca za zadanie wyłącznie gromadzenie danych, złożona ze stacji pamięci masowych. Kontrolę nad nią sprawują specjalne serwery.

  42. Przykładowaarchitekturasieci ze storagem i innymi elementami Intranet Router brzegowy F DMZ DHCP RADIUS WWW MAIL File server SAN Bilioteka taśmowa Bilioteka taśmowa Bilioteka taśmowa

  43. Fiber channel • Produkty Fibre Channel pracowały z przepływnościami: • początkowo odpowiednio 1 Gb/s oraz 2 Gbit/s. • W 2006 standardy dla szybkości 4 Gbit/s i 10 Gbit/s zostały ratyfikowane • Standard 8 Gbit/s został także opracowany i od połowy roku 2008 są już dostępne w sprzedaży przełączniki z portami FC o tej szybkości. • Produkty oparte o standardy 1, 2, 4 i 8 Gbit/s powinny ze sobą współpracować, jakkolwiek standard 10 Gbit/s wymaga całkowitej zmiany.

  44. Warstwy FC • FC0 Warstwa fizyczna zawierająca kable, światłowody, złącza, itp. • FC1 Warstwa łącza danych która implementuje kodowanie 8b/10b i dekodowanie sygnałów. • FC2 Warstwa sieci, zdefiniowana przez standard FC-PH, zawierający rdzeń protokołu FC. • FC3 Warstwa implementująca zewnętrzne funkcje które rozciągają się pomiędzy wieloma portami urządzenia FC. • FC4 Warstwa aplikacji lub enkapsulacji protokołów wyższych warstw, odpowiedzialna jest za przesyłanie danych innych protokołów po protokole FC.

  45. Macierze dyskowe, czyli jak nie stracić danych Technologia raid

More Related