Documente Academic
Documente Profesional
Documente Cultură
Cuprins
Prevenirea&supravietuirea* Monitorizarea Testarea Raspunsullaincidente Protocoale Problemespecifice
Prevenirea
Lace nivel trebuie luate masuri desecuritate?
Nivelul fizic:inhibarea ascultarii mediilor de transmisie,interzicerea accesului fizic laserver, Nivelul legatura dedate:criptarea legaturii Nivelul retea:ziduri deprotectie (firewalluri) Nivelul transport:criptarea conexiunilor (TLS TransportLayerSecurity) Nivelul aplicatie:monitorizare si actualizare asoftwareului,jurnalizare,educare autilizatorilor, politici generale adoptate,
Prevenirea
Elaborarea depolitici desecuritate
Planificarea cerintelor desecuritate Evidentierea riscurilor
Scenarii derisc Confidentialitate,integritate,disponibilitate,control
Costurile prevenirii,refacerii dupa dezastru etc. Politica generala:nationala,organizationala, Politici separatepentru diversedomenii protejate Standarde ®lementari (recomandari)
Prevenirea
Elaborarea depolitici desecuritate exemplu:
Gestionarea accesului nume decont,alegerea si modul deschimbare aparolelor,blocarea terminalului,politica deacces dinexterior, Clasificarea utilizatorilor grupuri,permisiuni, utilizatori speciali,utilizatori administratori etc.: constituirea ACL (AccessControlList) Accesul laresurse drepturi deacces lafisiere, directoare,criptarea fisierelor importante, Monitorizarea activitatii fisiere dejurnalizare Administrarea copiilor desiguranta tipuri de salvari,medii destocare,durata pastrarii,
Prevenirea
Instrumente utile(exemple):
System&networkprobing (nmap,SuperScan,Ethereal,Xprobe, SQLping,TcpTraceroute,VisualRoute etc.) Detectia devulnerabilitati notorii (Nessus,Nikto,Netcat, Zedebee,Winfo,Psexec,Brutus,Hydra,VNCcrack,Xspy,) Detectia devulnerabilitati wireless (Netstumbler,Kismet,Airsnort,Airtraf,SMAC etc.) Enumerare deresurse (Vision,ListDLLs,Process Explorer, Coroners toolkit,LADS,chkrootkit,WinHex,) Protectie (Bastille,Ipchains,Titan,Tripwire,Swatch,Sawmill)
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/
Prevenirea
Principiidebaza:
Simplificare configurareasistemuluiastfelincit saacordevizitatorilorcelemaiscazuteprivilegii Reducere minimizareaarieideactiune Intarire nevertrustuserinput+ securizareaaccesuluilafisiere/aplicatiiexterne Diversificare utilizareamaimultorniveluride protectie(dontrelyonsecuritybyobscurity) Documentare memorareasetarilor,strategiilorsi masuriloradoptatepentrusecuritate
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/
Prevenirea
Deretinut!
Atacatorulpoatealegecelmaislabpunct alsistemului Sigurantasistemuluidepindedecea maivulnerabilacomponentaaacestuia Neputemaparadoarcontraatacurilorcunoscute,dar atacatorulpoateexploatavulnerabilitatimisterioase Crackeripotatacaoricindsideoriunde, vigilentatrebuiesafiepermanenta Atacatorulnutinecontdelegi,reguli, recomandarioridebunulsimt!
Supravietuirea
Supravietuirea capacitatea unui sistem
(calculator/retea)deasi indeplini misiunea,intimp util, inprezenta atacurilor,defectelor sau accidentelor Atac eveniment potentialdistrugator provocat intentionat depersoane rauvoitoare Defect eveniment potentialdistrugator cauzat de deficiente alesistemului sau aleunui factordecare depinde sistemul e.g.,defecte hardware, buguri software,erori aleutilizatorilor Accident evenimente aleatoare (neprevazute); exemple:dezastre naturale sau caderi detensiune
Supravietuirea
Sistemultrebuiesasiducapinalacapatmisiunea chiardacaunelecomponentesaupartidinsistem suntafectateoriscoasedinuz
Exemplu:oferireauneicopiireadonly adatelor
Supravietuirea
Proprietati alesistemului:
Rezistenta laatacuri strategii derespingere aatacului (e.g.,autentificarea utilizatorilor, firewalluri, validarea obligatorie adatelor deintrare) Recunoasterea atacurilor si efectelor lor strategii pentru restaurarea informatiilor,limitarea efectelor, mentinerea/restaurarea serviciilor compromise RAID (RedundantArrayofIndependent Disks), SAN (Storage AreaNetwork), backupuri,clustere,... Adaptarea laatacuri strategii pentru imbunatatirea nivelului (sansei)desupravietuire invatarea dingreseli
Monitorizarea
Monitorizareasecuritatiiretelei (NSM Network SecurityMonitoring) colectarea,analiza& apreciereaindicatorilorsiavertismentelor privinddetectareasiraspunsullaincidentede securitate
Indicator:actiuneobservabilacareconfirma intentiilesaucapacitatiledeatac Indicatoriigeneratidesistemelededetectie aintrusilorsemainumescsialerte (vizindunanumitcontext)
Monitorizarea
Observatii:
Detectareaesterealizata(automat) deprodusesoftware Analizareaimplicafactoriiumani Apreciereaincidentuluireprezinta unprocesdeluareadeciziilor
Monitorizarea:detectarea
Principii:
Intrusiicarecomunica(direct/indirect) cuvictimelepotfidetectati Detectiaprinluaredeprobe(sampling) estesuperioaralipseidetectiei
Nupotfimonitorizatetoatedatele
Detectiapebazaanalizeitraficului estesuperioaralipseidetectiei
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/
Monitorizarea:detectarea
Remarci:
Colectareatuturordateloresteproblematica (darideala) Colectareadatelorpoatefiefectivadaca sebazeazapeaparitiaunorevenimente Instrumentelededetectietrebuiesafie optimizatesisaasigureergonomia utilizatorului
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/
Monitorizarea
Potfi colectate dateprovenite dela:
Huburi,porturile switchurilor (viaSPAN Switched PortANalyzer),tapuri (testaccessport dispozitiv de retea proiectat specialpentru monitorizare), portile defiltrare (filteringbridges) pentru retele cufir Senzori intre firewallul organizatiei si punctul de acces wireless,oplatforma wireless pentru retele wireless
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/
Monitorizarea
Aspecteleimportanteprivindcolectareadatelor: granularitatea &relevanta Conversatiaintre2entitati datedetipsesiune (sessiondata,flow, stream)
Instrumente:bibliotecalibpcap,utilitareletcpdump, Wireshark (Ethereal),Snort,tcpslice,ngrep,netdude
Monitorizarea
Realizareadestatistici
Lanivelderouter(e.g.,CISCO accounting) Laniveldesistemdeoperare instrumente:Ipcad,ifstat,bmon,trafshow,ttt,tcpdstat, MRTG (MultiRouterTrafficGrapher),ntop
Alertarea(networkintrusiondetection)
Instrumente:Bro,BRA (BroReusableArchitecture), Prelude,Shoki
Asistareainluareadedecizii:
Instrumentdereferinta:Sguil
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/
Monitorizarea:identificarea
Date(traficderetea):
Normale
PrivindHTTP,FTP,SMTP,POP3,DNS,IP,IPSec, SSL/TLSetc. Apardubioaselaprimavedere,darnucauzeaza problemepentrucorporatie,ci eventual doar utilizatorului Auimpactnegativasuprasecuritatiiorganizatiei
Suspicioase
Malitioase
Monitorizarea:validarea
Validareaasociazaunincidentpreliminar uneicategoriideevenimente:
Accesneautorizatcaroot (administrator) Accesneautorizatlaniveldeutilizator Incercaredeaccesareneautorizata Atac(D)DoSsoldatcusucces Violareapoliticiidesecuritate Scanare,probare,detectie Infectiecuvirusi
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/
Monitorizarea:reactia
Dupaaparitiaunuiincidentdesecuritate, trebuiedemarataoreactie:
Petermenscurt STIC(ShortTermIncidentContainment)
Exemple:inchidereaportuluiswitchuluiprincare serealizeazaatacul,deconectareafizica, introducereauneiregulinoidefiltrareadateloretc.
Oimportantamajoraoareanaliza (analystfeedback)
Implicapersonalspecializat
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/
Intrareainstaredeurgenta(EmergencyNSM)
Monitorizarea
Sepoate recurge si lacapcane pentru crackeri: honeypots
Masinitinta specialconfigurate pentru aobserva atacurile crackerilor Maimulte honeypots formeaza unhoneynet vezi si www.honeynet.org Pentru adetecta &studia noi tehnici deatac + acontracara diverseincidente desecuritate Viaundaemon(honeyd),sepotimita servicii deretea, rulind intrunmediu virtual(sistem devirtualizare)
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/
Monitorizarea
Arhitecturageneralaaunuihoneypot
Testarea
Teste deverificare a:
capacitatii dedeservire aclientilor robustetei rularii insituatii extreme
Testarea
Teste specifice legatedeprogramare:
Bufferoverruns
Exemplu:lungimea parametrilor trimisi declient
Testarea
Teste specifice legatedeprogramare:
Solutii &strategii:
Programare defensiva (defenseprogramming) Includerea unui sistem deprevenire,detectare si raportare aerorilor survenite incod+ recurgerea launsistem deurmarire abugurilor (bugtracking) e.g., Bugzilla Adoptarea standardelor deredactare acodului (enforcingcodingstandards) Recurgerea launitati detestare (testingunits) Folosirea unui sistem decontrolalversiunilor (CVS ConcurrentVersioningSystem)
Testarea
Alte tipuri deteste:
Teste vizind confidentialitatea &intimitatea (privacy) Teste privitoare laintegrarea componentelor Teste privind opacizarea datelor (obfuscation) Datele nutrebuie stocate inlocatii predictibile Fenomenul informationdisclosure Teste specifice legatedeexploatare Pregatirea adecvata aexploatarii inpractica (deployment) Teste deincarcare (loadtesting) Teste referitoare laperformanta
Testarea
Instrumentele destresare (stressingtools) potda informatii privitoare la:
performanta (timp deraspuns, timp degenerare acontinutului etc.) scalabilitate (memorie ocupata,utilizarea discului,numarul inregistrarilor inserate, accesarea altor tipuri deresurse,...) corectitudine (functionarea eronata aunor componente) lacune desecuritate
Testarea
Metodologii deanaliza ariscurilor:
DREAD (Damagepotential,Reproducibility, Exploitability,Affectedusers,Discoverability) OCTAVE (OperationallyCriticalThreat,Asset, andVulnerabilityEvaluation) STRIDE (Spoofingidentity,Temperingwithdata, Repudiation,Informationdisclosure, Denialofservice,Elevationofprivilege) OSSTMM (OpenSourceSecurityTestingMethodologyManual) www.osstmm.org
Raspunsullaincidente
MetodologiaSANS (SystemAdministration, Networking,andSecurity) etape:
Pregatire Identificare Controlulefectelor(containment) Eradicare Recuperare Continuare(followup)
Raspunsurileagresive(e.g.,hackback) sintprohibite!
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/
Raspunsullaincidente
Forensics proces deprindereacrackerilor
Investigationofdigitalevidenceforuseincriminalor civilcourtsoflaw Uzual,arelocdupa unincidentdesecuritate Implica:analiza hardwareului (discuri,RAM,), deseelor(informationdetritus),logurilor etc. Instrumente:WinHex,FIRE (ForensicandIncident ResponseEnvironment),ForensiX etc. Actiunea destergereaurmelor antiforensics
Protocoale
Nivelulretea: IPSec RFC2401,2402,2406,2408
Comunicatiisigurelanivelderetea (LAN,WAN,Internet) Poatefiimplementatincadrulunuirouter saufirewall Nunecesitamodificareasoftwareului laniveldetransport/aplicatie Serviciioferite:controlulaccesului,integritatea datelor,autentificare,confidentialitate
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/
Protocoale
Nivelulretea: IPSec RFC2401,2402,2406,2408
Autentificarea&integritateaseprecizeaza intrunantetspecial:AuthenticationHeader Confidentialitateaesteasiguratadealgoritmi decriptareviadatesuplimentareESP (EncapsulatingSecurityPayload)
Protocoale
Nivelul transport: TLS(TransportLayerSecurity)
Imbunatatire aSSL(SecureSocketLayer) Netscape Ofera servicii desecuritate debaza pentru TCP Fiecare conexiune dintre unclientsi server reprezinta osesiune (session) Starea unei sesiuni identificator unic alsesiunii, certificat digital,metoda decompresie, metoda decifrare (algoritm decriptare sau detiphash), codsecretpartajat declient&server Unmesaj areasociat uncoddeautentificare: MAC (Message AuthenticationCode)
Protocoale
Nivelul transport:TLS
AlertProtocol managementul alertelor provenite delaunpunctterminal:mesaj neasteptat receptionat, eroare dedecompresie,MACincorect,certificat eronat, HandshakeProtocol permite autentificarea serverului laclientsi viceversa,plusnegocierea algoritmilor decriptare si acheilor;serealizeaza inainte detransmiterea efectiva adatelor
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/
Protocoale
Nivelul aplicatie:SSH (SecureShell)
Negociaza si stabileste oconexiune criptata intre unserver si unclientSSHviametode diversedeautentificare Implementari:ssh,PuTTY,SCP (SecureCoPy),
Problemespecifice
Sistemele peertopeer
Incredere(trust):componenteleP2P aucomportamentulpecarelpretind?
SoftwareP2Ppoatefimodificatdetertepersoane Transferurilepotfijurnalizate
Problemespecifice
Sistemele peertopeer
Potfi folosite impotriva atacurilor DoS:tehnica SOS Permitcaunnumar deutilizatori legitimi sa comunice cuodestinatie tinta atunci cind:
atacatorii incearca sa intrerupa comunicarea cutinta datele tintei nupotfi replicate utilizatorii legitimi potfi mobili
crackeriitrebuie sa atace mai multe puncte aleretelei reteaua sepoate adapta rapid (gazdele atacate sesubstituie dinamic cualtele)
Problemespecifice
Sistemele wireless
Necesitate:unmediusigur (autentificare,integritateadatelor, confidentialitate,autorizare,nerepudiere) Pericole tipurideatacuri:
falsificareaidentitatii(spoofing) interceptarea(sniffing) alterareadatelor(tampering) interferenta(jamming) e.g.,laBluetooth furtul(devicetheft)
Problemespecifice
Sistemele wireless
Solutii:
certificatedigitale
WIM (WirelessIdentificationModule)
Problemespecifice
Sistemele wireless
Solutii:
securitatea lanivel deIP:IPSec extensii desecuritate incadrul IPului mobil firewalluri retele privatevirtuale (VPN) smartcarduri autentificari biometrice
Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/
Rezumat
Prevenirea&supravietuirea Monitorizarea Testarea Raspunsullaincidente Protocoale Problemespecifice
Intrebari?