720 likes | 878 Vues
Bezpieczeństwo sieci i odtwarzanie po awarii. d r inż . Maciej Miłostan Instytut Informatyki , Politechnika Poznańska. Czyli jak chronić sieć przed nieautoryzowanym dostępem. Bezpieczeństwo sieci. Internet a intranet. Internet = źódło informacji
E N D
Bezpieczeństwosieciiodtwarzaniepoawarii dr inż. MaciejMiłostan InstytutInformatyki, PolitechnikaPoznańska
Czyli jak chronić sieć przed nieautoryzowanym dostępem Bezpieczeństwo sieci
Internet a intranet • Internet = źódło informacji • Internet = źródło zagrożeń dla użytkowników intranetu • Udostępnianie zasobów i swoboda komunikacji • Ochrona sieci przed agresorami i intruzami
Struktura sieci • Połączeniezeświatemzewnętrznym, czyliInternetem • Potrzebyużytkowników, bezpieczeństwodanych a strukturasieci • Podziałsieciwewnętrznejnasegmenty
Zapora ogniowa (firewall) • Minimalizacjazagrożenia z zewnątrz • Personalizacja (napoziomiekomputera) zasaddostępu • Ochronaprzedniektórymiwirusami • Brakochronyprzedzagrożeniami z wnętrzaIntranetu • Podatnenaawarie (dotyczyrozwiązańprogramowych)
Reguły na zaporach sieciowych(firewall) • Protokół • Kierunek komunikacji • Stan połączenia • Stanowe • Bezstanowe • Filtracja na poziomie pakietów • Filtracja na poziomie sesji • Liczba połączeń itp.
Jedna zapora czy dwie DMZ Internet
Personalizacja dostępu • Użytkownik – w zasadziegrupyużytkowników(Problem: użytkownikmożestatycznieustawićcudzyadres) • Adres IP • DHCP iadresfizyczny
IP + MAC • Personalizacja ustawień zapory ogniowej • Możliwość zlokalizowania użytkownika • Możliwość wyłączenia portu, do którego wpięty jest komputer użytkownika Mary Bob
IEEE 802.1X • Protokół uwierzytelniania w sieciach LAN: • bezprzewodowych • przewodowych Sys. op. wspierający ten standard ftp://ftp.dlink.it/FAQs/802.1x.pdf
802.1x • Standard ten definiuje kontrolę dostępu opartą na modelu klient-serwer wraz z protokołami uwierzytelniania uniemożliwiającymi dostęp do sieci nieautoryzowanym urządzeniom za pośrednictwem publicznie dostępnych portów. Serwer uwierzytelniania przeprowadza uwierzytelnianie każdego klient, który podłącza się do sieci zanim zaoferuje mu jakąkolwiek usługę.
IEEE 802.1X • Bazujące na portach • Port na przełączniku aktywowany dopiero po uwierzytelnieniu • Bazujące na adresach fizycznych • Wielu użytkowników może używać tego samego portu jednocześnie i istnieje możliwość ograniczenia liczby adresów MAC, które się komunikują przy jego użyciu
802.1x - definicje • Adres multikastowy dla protokołu EAPOL (ExtensibleAuthenticationProtocolover LAN), czyli tzw. Port Access Entity (PAE) • Umożliwia przełącznikom rozpoznawanie właściwych pakietów
802.11x - role • Klienta • Uwierzytelniającego (przełącznik) • Serwera
Sieci VLAN • Sieć VLAN (VirtualLocalArea Network) to logiczne zgrupowanie urządzeń sieciowych lub użytkowników. • Użytkownicy sieci oraz urządzenia pogrupowane według pełnionych funkcji, działu firmy itp., niezależnie od ich fizycznego położenia w sieci
Dynamiczne VLAN-y • Porty automatycznie przypisują się do odpowiedniego VLANu • Skąd wiedzą do jakiego VLANu się przypisać: • W trakcie uwierzytelniania przełącznik otrzymuje od serwera radius VLAN ID klienta
Czy sieć jest bezpieczna i działa prawidłowo? MoniTORING i systemy detekcji
Czy sieć jest bezpieczna? • Analizalogów • Monitorowaniesieci (NETFLOW, CFLOW, SFLOW, IPFIX, SNMP, PORT STATS, MRTG) • Aktualizacjaregułfirewalla • Aktualizacjakrytycznychsystemów
Cele ataków • Uzyskanie dostępu do danych • W celu przejęcia kontroli nad systemem • W celu zniszczenia systemu
IDS • Detekcja zagrożeń • Alarmy - “Hej, coś jest nie tak!” • Monitorowanie - sondy • Mechanizmy reakcji na zdarzenia • Systemy detekcji intruzów = prosta idea
Idea a praktyka • Co jest włamaniem lub jego proba, a co nie? • Jakie są metody włamań? • Jakie luki występują w systemach? • Czy wiedza systemu IDS jest aktualna? • Czy system może działać w pełni automatycznie? • Sekwencja działań może być rozciągnięta w czasie • Sekwencja działań może być rozbita pomiędzy różne sesje • Poprawnie działający system może być wykorzystany do ataku na inny system (np. DRDoS)
Ataki DoS • DoS – ataktypuodmowausługi (np. SYN flood) • Distributed DoS – rozproszonyataktypuDoS (wieleźródełataku, zwyklejedencel) • Distributed Reflected DoS – fałszowaniepakietów SYN, tak by pakiet SYN/ACK byłwysyłany do atakowanegokomputera SYN (sq.#1) ACK(sq. #2)
Problemy w IDS • Problem 1.: Jakiemetodymożnaużyć? • Problem 2.: Jakapowinnabyćstrukturasystemówwykrywaniawłamań? • Problem 3.: Co to jest włamanie? • Problem 4.: Jakzidentyfikowaćtożsamośćintruza? • Problem 5.: Jakkorelowaćinformacje? • Problem 6.: Jakzłapaćintruza w pułapkę? • Problem 7.: Jakreagowaćnaincydenty?
Pułapki internetowe • Podejrzany użytkownik • System rzeczywisty • System wykrywania włamań • System pułapka • Aspekty prawne
Reagowanie na incydenty • Podjęcie działań i decyzji zmniejszających ryzyko dalszego naruszenia bezpieczeństwa • Ocena wpływu incydentu na działanie systemu i firmy • Ewentualne zawiadomienie organów ściagania o popełnienu przestępstwa
Zapewnianie ciągłości procesów biznesowych Archiwizacja danych i plany odtwarzania
Po co archiwizować • Wymogi prawne • Zapewnienie ciągłości biznesu • Groźba utraty danych
Na czym archiwizowaćdane • Streamery • Macierzedyskowe – RAID • Bibliotekitaśmowe • Dyskimagnetoptyczne • Zdalny mirroring • Płyty CD/DVD • Mikrofilmy • Dyski magnetyczne
Wybórtechnologii • Awariea błędyużytkowników (istotne w kontekście RAID) • Kosztytechnologii • Miejsceskładowaniadanych • Koszty przechowywania • Ograniczenia technologii • Systemykrytyczneizapasowecentradanych • Sieci SAN
Czym jest storage? • Jakie są koszty składowania danych? • Jakie są przewidywania? • Granice możliwości
SAS Server AttachedStorage. Jest to pamięć masowa przyłączana do zwykłego serwera znajdującego się w sieci w celu składowania danych.
Sieć NAS Network AttachedStorage. Stacje pamięci masowych są przyłączane do sieci jako kolejne maszyny. Cechy: • Brak wydzielonej części do wymiany danych • Interfejs iSCSI lub protokoły bazujące na przesyłajaniu plików • Serwer kontrolujący (niekonieczny)
Protokoły używane przez NAS • Common Internet File Services • Network File System • NetWareCoreProtocol
Stary slajd, ale architektura aktualna (z dokładnością do transferów)
Sieć SAN StorageArea Network. Jest to sieć mająca za zadanie wyłącznie gromadzenie danych, złożona ze stacji pamięci masowych. Kontrolę nad nią sprawują specjalne serwery.
Przykładowaarchitekturasieci ze storagem i innymi elementami Intranet Router brzegowy F DMZ DHCP RADIUS WWW MAIL File server SAN Bilioteka taśmowa Bilioteka taśmowa Bilioteka taśmowa
Fiber channel • Produkty Fibre Channel pracowały z przepływnościami: • początkowo odpowiednio 1 Gb/s oraz 2 Gbit/s. • W 2006 standardy dla szybkości 4 Gbit/s i 10 Gbit/s zostały ratyfikowane • Standard 8 Gbit/s został także opracowany i od połowy roku 2008 są już dostępne w sprzedaży przełączniki z portami FC o tej szybkości. • Produkty oparte o standardy 1, 2, 4 i 8 Gbit/s powinny ze sobą współpracować, jakkolwiek standard 10 Gbit/s wymaga całkowitej zmiany.
Warstwy FC • FC0 Warstwa fizyczna zawierająca kable, światłowody, złącza, itp. • FC1 Warstwa łącza danych która implementuje kodowanie 8b/10b i dekodowanie sygnałów. • FC2 Warstwa sieci, zdefiniowana przez standard FC-PH, zawierający rdzeń protokołu FC. • FC3 Warstwa implementująca zewnętrzne funkcje które rozciągają się pomiędzy wieloma portami urządzenia FC. • FC4 Warstwa aplikacji lub enkapsulacji protokołów wyższych warstw, odpowiedzialna jest za przesyłanie danych innych protokołów po protokole FC.
Macierze dyskowe, czyli jak nie stracić danych Technologia raid