Retele decalculatoare Introducere insecuritate II

SabinCorneliu Buraga http://www.infoiasi.ro/~busaco

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Theonlywaytogetridofatemptation istoyieldtoit. OscarWilde

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Cuprins
Prevenirea&supravietuirea* Monitorizarea Testarea Raspunsullaincidente Protocoale Problemespecifice

* Multumiri lui Dragos Acostachioaie

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Prevenirea
Lace nivel trebuie luate masuri desecuritate?
Nivelul fizic:inhibarea ascultarii mediilor de transmisie,interzicerea accesului fizic laserver, Nivelul legatura dedate:criptarea legaturii Nivelul retea:ziduri deprotectie (firewalluri) Nivelul transport:criptarea conexiunilor (TLS TransportLayerSecurity) Nivelul aplicatie:monitorizare si actualizare asoftwareului,jurnalizare,educare autilizatorilor, politici generale adoptate,

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Prevenirea
Elaborarea depolitici desecuritate
Planificarea cerintelor desecuritate Evidentierea riscurilor
Scenarii derisc Confidentialitate,integritate,disponibilitate,control

Analiza raportului costbeneficii

Stabilirea politicilor desecuritate

Costurile prevenirii,refacerii dupa dezastru etc. Politica generala:nationala,organizationala, Politici separatepentru diversedomenii protejate Standarde &reglementari (recomandari)

Masurile luate potfi tehnice si nontehnice

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Prevenirea
Elaborarea depolitici desecuritate exemplu:
Gestionarea accesului nume decont,alegerea si modul deschimbare aparolelor,blocarea terminalului,politica deacces dinexterior, Clasificarea utilizatorilor grupuri,permisiuni, utilizatori speciali,utilizatori administratori etc.: constituirea ACL (AccessControlList) Accesul laresurse drepturi deacces lafisiere, directoare,criptarea fisierelor importante, Monitorizarea activitatii fisiere dejurnalizare Administrarea copiilor desiguranta tipuri de salvari,medii destocare,durata pastrarii,

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Prevenirea
Instrumente utile(exemple):
System&networkprobing (nmap,SuperScan,Ethereal,Xprobe, SQLping,TcpTraceroute,VisualRoute etc.) Detectia devulnerabilitati notorii (Nessus,Nikto,Netcat, Zedebee,Winfo,Psexec,Brutus,Hydra,VNCcrack,Xspy,) Detectia devulnerabilitati wireless (Netstumbler,Kismet,Airsnort,Airtraf,SMAC etc.) Enumerare deresurse (Vision,ListDLLs,Process Explorer, Coroners toolkit,LADS,chkrootkit,WinHex,) Protectie (Bastille,Ipchains,Titan,Tripwire,Swatch,Sawmill)
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Prevenirea
Principiidebaza:
Simplificare configurareasistemuluiastfelincit saacordevizitatorilorcelemaiscazuteprivilegii Reducere minimizareaarieideactiune Intarire nevertrustuserinput+ securizareaaccesuluilafisiere/aplicatiiexterne Diversificare utilizareamaimultorniveluride protectie(dontrelyonsecuritybyobscurity) Documentare memorareasetarilor,strategiilorsi masuriloradoptatepentrusecuritate
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Prevenirea
Deretinut!
Atacatorulpoatealegecelmaislabpunct alsistemului Sigurantasistemuluidepindedecea maivulnerabilacomponentaaacestuia Neputemaparadoarcontraatacurilorcunoscute,dar atacatorulpoateexploatavulnerabilitatimisterioase Crackeripotatacaoricindsideoriunde, vigilentatrebuiesafiepermanenta Atacatorulnutinecontdelegi,reguli, recomandarioridebunulsimt!

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Supravietuirea
Supravietuirea capacitatea unui sistem
(calculator/retea)deasi indeplini misiunea,intimp util, inprezenta atacurilor,defectelor sau accidentelor Atac eveniment potentialdistrugator provocat intentionat depersoane rauvoitoare Defect eveniment potentialdistrugator cauzat de deficiente alesistemului sau aleunui factordecare depinde sistemul e.g.,defecte hardware, buguri software,erori aleutilizatorilor Accident evenimente aleatoare (neprevazute); exemple:dezastre naturale sau caderi detensiune

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Supravietuirea
Sistemultrebuiesasiducapinalacapatmisiunea chiardacaunelecomponentesaupartidinsistem suntafectateoriscoasedinuz
Exemplu:oferireauneicopiireadonly adatelor

Sistemultrebuiesasustinamacarindeplinirea functiilorvitale (missioncritical)

Identificareaserviciiloresentiale Identificareaperimetrelordesecuritatemajora
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Supravietuirea
Proprietati alesistemului:
Rezistenta laatacuri strategii derespingere aatacului (e.g.,autentificarea utilizatorilor, firewalluri, validarea obligatorie adatelor deintrare) Recunoasterea atacurilor si efectelor lor strategii pentru restaurarea informatiilor,limitarea efectelor, mentinerea/restaurarea serviciilor compromise RAID (RedundantArrayofIndependent Disks), SAN (Storage AreaNetwork), backupuri,clustere,... Adaptarea laatacuri strategii pentru imbunatatirea nivelului (sansei)desupravietuire invatarea dingreseli

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Monitorizarea
Monitorizareasecuritatiiretelei (NSM Network SecurityMonitoring) colectarea,analiza& apreciereaindicatorilorsiavertismentelor privinddetectareasiraspunsullaincidentede securitate
Indicator:actiuneobservabilacareconfirma intentiilesaucapacitatiledeatac Indicatoriigeneratidesistemelededetectie aintrusilorsemainumescsialerte (vizindunanumitcontext)

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Monitorizarea
Observatii:
Detectareaesterealizata(automat) deprodusesoftware Analizareaimplicafactoriiumani Apreciereaincidentuluireprezinta unprocesdeluareadeciziilor

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Monitorizarea:detectarea
Principii:
Intrusiicarecomunica(direct/indirect) cuvictimelepotfidetectati Detectiaprinluaredeprobe(sampling) estesuperioaralipseidetectiei
Nupotfimonitorizatetoatedatele

Detectiapebazaanalizeitraficului estesuperioaralipseidetectiei
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Monitorizarea:detectarea
Remarci:
Colectareatuturordateloresteproblematica (darideala) Colectareadatelorpoatefiefectivadaca sebazeazapeaparitiaunorevenimente Instrumentelededetectietrebuiesafie optimizatesisaasigureergonomia utilizatorului
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

 Divizarea retelei in zonedeinteres

Fiecare zona poate fi subiectul unor atacuri DMZsepara datele sensibile decele disponibile public (servere DMZ uzuale:DNS, email,Web)
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Monitorizarea
Potfi colectate dateprovenite dela:
Huburi,porturile switchurilor (viaSPAN Switched PortANalyzer),tapuri (testaccessport dispozitiv de retea proiectat specialpentru monitorizare), portile defiltrare (filteringbridges) pentru retele cufir Senzori intre firewallul organizatiei si punctul de acces wireless,oplatforma wireless pentru retele wireless
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Monitorizarea
Aspecteleimportanteprivindcolectareadatelor: granularitatea &relevanta Conversatiaintre2entitati datedetipsesiune (sessiondata,flow, stream)
Instrumente:bibliotecalibpcap,utilitareletcpdump, Wireshark (Ethereal),Snort,tcpslice,ngrep,netdude

AdreseleIPsursa&destinatie,porturilesursa& destinatie,timestamp,masurainformatiilortransmise intimpuluneisesiuni Instrumente:NetFlow,fprobe,sFlow (RFC3176),Argus, tcptrace

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Monitorizarea
Realizareadestatistici
Lanivelderouter(e.g.,CISCO accounting) Laniveldesistemdeoperare instrumente:Ipcad,ifstat,bmon,trafshow,ttt,tcpdstat, MRTG (MultiRouterTrafficGrapher),ntop

Alertarea(networkintrusiondetection)
Instrumente:Bro,BRA (BroReusableArchitecture), Prelude,Shoki

Asistareainluareadedecizii:
Instrumentdereferinta:Sguil
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Monitorizarea:identificarea
Date(traficderetea):
Normale
PrivindHTTP,FTP,SMTP,POP3,DNS,IP,IPSec, SSL/TLSetc. Apardubioaselaprimavedere,darnucauzeaza problemepentrucorporatie,ci eventual doar utilizatorului Auimpactnegativasuprasecuritatiiorganizatiei

Suspicioase

Malitioase

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Monitorizarea:validarea
Validareaasociazaunincidentpreliminar uneicategoriideevenimente:
Accesneautorizatcaroot (administrator) Accesneautorizatlaniveldeutilizator Incercaredeaccesareneautorizata Atac(D)DoSsoldatcusucces Violareapoliticiidesecuritate Scanare,probare,detectie Infectiecuvirusi
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Monitorizarea:reactia
Dupaaparitiaunuiincidentdesecuritate, trebuiedemarataoreactie:
Petermenscurt STIC(ShortTermIncidentContainment)
Exemple:inchidereaportuluiswitchuluiprincare serealizeazaatacul,deconectareafizica, introducereauneiregulinoidefiltrareadateloretc.

Oimportantamajoraoareanaliza (analystfeedback)
Implicapersonalspecializat
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Intrareainstaredeurgenta(EmergencyNSM)

Monitorizarea
Sepoate recurge si lacapcane pentru crackeri: honeypots
Masinitinta specialconfigurate pentru aobserva atacurile crackerilor Maimulte honeypots formeaza unhoneynet vezi si www.honeynet.org Pentru adetecta &studia noi tehnici deatac + acontracara diverseincidente desecuritate Viaundaemon(honeyd),sepotimita servicii deretea, rulind intrunmediu virtual(sistem devirtualizare)
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Monitorizarea
Arhitecturageneralaaunuihoneypot

Asevedea si proiectul Metasploit www.metasploit.com

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Testarea
Teste deverificare a:
capacitatii dedeservire aclientilor robustetei rularii insituatii extreme

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Testarea
Teste specifice legatedeprogramare:
Bufferoverruns
Exemplu:lungimea parametrilor trimisi declient

Probleme deprelucrare (parsing)

E.g.,procesarea numelor defisiere, ainterogarilor SQL,afisierelor deconfigurare,

Probleme deconversie adatelor si multe altele

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Testarea
Teste specifice legatedeprogramare:
Solutii &strategii:
Programare defensiva (defenseprogramming) Includerea unui sistem deprevenire,detectare si raportare aerorilor survenite incod+ recurgerea launsistem deurmarire abugurilor (bugtracking) e.g., Bugzilla Adoptarea standardelor deredactare acodului (enforcingcodingstandards) Recurgerea launitati detestare (testingunits) Folosirea unui sistem decontrolalversiunilor (CVS ConcurrentVersioningSystem)

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Testarea
Alte tipuri deteste:
Teste vizind confidentialitatea &intimitatea (privacy) Teste privitoare laintegrarea componentelor Teste privind opacizarea datelor (obfuscation) Datele nutrebuie stocate inlocatii predictibile Fenomenul informationdisclosure Teste specifice legatedeexploatare Pregatirea adecvata aexploatarii inpractica (deployment) Teste deincarcare (loadtesting) Teste referitoare laperformanta

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Testarea
Instrumentele destresare (stressingtools) potda informatii privitoare la:
performanta (timp deraspuns, timp degenerare acontinutului etc.) scalabilitate (memorie ocupata,utilizarea discului,numarul inregistrarilor inserate, accesarea altor tipuri deresurse,...) corectitudine (functionarea eronata aunor componente) lacune desecuritate

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Testarea
Metodologii deanaliza ariscurilor:
DREAD (Damagepotential,Reproducibility, Exploitability,Affectedusers,Discoverability) OCTAVE (OperationallyCriticalThreat,Asset, andVulnerabilityEvaluation) STRIDE (Spoofingidentity,Temperingwithdata, Repudiation,Informationdisclosure, Denialofservice,Elevationofprivilege) OSSTMM (OpenSourceSecurityTestingMethodologyManual) www.osstmm.org

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Raspunsullaincidente
MetodologiaSANS (SystemAdministration, Networking,andSecurity) etape:
Pregatire Identificare Controlulefectelor(containment) Eradicare Recuperare Continuare(followup)

Raspunsurileagresive(e.g.,hackback) sintprohibite!
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Raspunsullaincidente
Forensics proces deprindereacrackerilor
Investigationofdigitalevidenceforuseincriminalor civilcourtsoflaw Uzual,arelocdupa unincidentdesecuritate Implica:analiza hardwareului (discuri,RAM,), deseelor(informationdetritus),logurilor etc. Instrumente:WinHex,FIRE (ForensicandIncident ResponseEnvironment),ForensiX etc. Actiunea destergereaurmelor antiforensics

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Protocoale
Nivelulretea: IPSec RFC2401,2402,2406,2408
Comunicatiisigurelanivelderetea (LAN,WAN,Internet) Poatefiimplementatincadrulunuirouter saufirewall Nunecesitamodificareasoftwareului laniveldetransport/aplicatie Serviciioferite:controlulaccesului,integritatea datelor,autentificare,confidentialitate
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Protocoale
Nivelulretea: IPSec RFC2401,2402,2406,2408
Autentificarea&integritateaseprecizeaza intrunantetspecial:AuthenticationHeader Confidentialitateaesteasiguratadealgoritmi decriptareviadatesuplimentareESP (EncapsulatingSecurityPayload)

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Protocoale
Nivelul transport: TLS(TransportLayerSecurity)
Imbunatatire aSSL(SecureSocketLayer) Netscape Ofera servicii desecuritate debaza pentru TCP Fiecare conexiune dintre unclientsi server reprezinta osesiune (session) Starea unei sesiuni identificator unic alsesiunii, certificat digital,metoda decompresie, metoda decifrare (algoritm decriptare sau detiphash), codsecretpartajat declient&server Unmesaj areasociat uncoddeautentificare: MAC (Message AuthenticationCode)

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Protocoale
Nivelul transport:TLS
AlertProtocol managementul alertelor provenite delaunpunctterminal:mesaj neasteptat receptionat, eroare dedecompresie,MACincorect,certificat eronat, HandshakeProtocol permite autentificarea serverului laclientsi viceversa,plusnegocierea algoritmilor decriptare si acheilor;serealizeaza inainte detransmiterea efectiva adatelor
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Protocoale
Nivelul aplicatie:SSH (SecureShell)
Negociaza si stabileste oconexiune criptata intre unserver si unclientSSHviametode diversedeautentificare Implementari:ssh,PuTTY,SCP (SecureCoPy),

Nivelul aplic.:PGP (PrettyGoodPrivacy) RFC3156

Ofera confidentialitatea &autentificarea mesajelor email si afisierelor transmise prin retea Foloseste opleiada dealgoritmi decriptare Implementari:GPG (GNUPrivacyGuard)

Nivelul aplic.:S/MIME RFC3369,3370,3850,3851

Pune ladispozitie extensii desecuritate pentru MIME(MultipurposeInternetMailExtension)
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Problemespecifice
Sistemele peertopeer
Incredere(trust):componenteleP2P aucomportamentulpecarelpretind?
SoftwareP2Ppoatefimodificatdetertepersoane Transferurilepotfijurnalizate

Asigurareaanonimitatii Rezistentalaatacuri:DoS,storageflooding, conectare/deconectarerapida,

Includereademecanismeantipollution Autentificarea Efectuareadetransferuridedatesecurizate Oferireadeserviciisigure

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Nodurilemalitioasepotredirectamesajelespredestinatii incorectesauinexistente pierderidepachete

Problemespecifice
Sistemele peertopeer
Potfi folosite impotriva atacurilor DoS:tehnica SOS Permitcaunnumar deutilizatori legitimi sa comunice cuodestinatie tinta atunci cind:
atacatorii incearca sa intrerupa comunicarea cutinta datele tintei nupotfi replicate utilizatorii legitimi potfi mobili

Idee:redirectarea traficului catre reteaua de acoperire (overlay)

crackeriitrebuie sa atace mai multe puncte aleretelei reteaua sepoate adapta rapid (gazdele atacate sesubstituie dinamic cualtele)

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Problemespecifice
Sistemele wireless
Necesitate:unmediusigur (autentificare,integritateadatelor, confidentialitate,autorizare,nerepudiere) Pericole tipurideatacuri:
falsificareaidentitatii(spoofing) interceptarea(sniffing) alterareadatelor(tampering) interferenta(jamming) e.g.,laBluetooth furtul(devicetheft)

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Problemespecifice
Sistemele wireless
Solutii:
certificatedigitale
WIM (WirelessIdentificationModule)

infrastructuracucheipublice(PKI) protocoaledesecuritate: WTLS (WirelessTransportLayerSecurity)

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Problemespecifice
Sistemele wireless
Solutii:
securitatea lanivel deIP:IPSec extensii desecuritate incadrul IPului mobil firewalluri retele privatevirtuale (VPN) smartcarduri autentificari biometrice
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Rezumat
Prevenirea&supravietuirea Monitorizarea Testarea Raspunsullaincidente Protocoale Problemespecifice

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Intrebari?

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/