Scribd Logo
Încărcați

Bine ați venit la Scribd!

  • Tema 6

    Încărcat de

    Mădălina Agapie
    10 vizualizări22 pagini

    Drepturi de autor

    © © All Rights Reserved

    Formate disponibile

    PDF, TXT sau citiți online pe Scribd

    Vi se pare util acest document?

    Este necorespunzător acest conținut?

    Raportați acest document

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    10 vizualizări22 pagini

    Tema 6

    Încărcat de

    Mădălina Agapie

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    din 22

    Securitatea sistemelor

    informaționale
    Adrian Munteanu – CIPM, CISA, CRISC
    Securitatea rețelelor și comunicațiilor
    Firewall (Packet Filter)
    • Simplu și rapid
    • Nu există conceptul de “state”(stare): fiecare decizie de filtrare se ia în baza unui singur pachet
    • Nu se referențiază pachetele din trecut
    • Lipsa „stării„ le face mai puțin sigure, mai ales în cazul sesiunilor ce folosesc UDP și ICMP
    Securitatea rețelelor și comunicațiilor
    Firewall (Stateful)
    • Se folosește o tabelă („state„) prin care se comparară pachetele curente cu unul
    anterior
    • Viteză mai mică, dar securitate mai mare
    Securitatea rețelelor și comunicațiilor
    Proxy Firewall
    • Firewall care funcționează ca un server intermediar
    • Proxies sunt cele care închid conexiunile
    Securitatea rețelelor și comunicațiilor
    Proxy Firewall
    Application-Layer Proxy Firewalls
    • Operează la nivelul 7
    • Deciziile de filtrare se iau pe baza datelor de la nivelul aplicație: trafic
    HTTP, de exemplu
    • Trebuie să înțeleagă protocolul care este „delegat„ motiv pentru care de
    cele mai multe ori este nevoie de proxy dedicat pentru fiecare protocol:
    un proxy FTP pentru traficul FTP, un proxy HTTP pentru traficul HTTP etc.
    • Controlul deciziilor de filtrare este mai strict
    Securitatea rețelelor și comunicațiilor
    Proxy Firewall
    Circuit-Level Proxies
    Operează la nivelul 5 (Sesiune) – filtrează mai multe protocoale fără a fi nevoie
    să fie înțelese
    Deciziile de filtare nu se iau pe baza datelor de la nivelul Aplicației

    Cel mai cunoscut: SOCKS


    port 1080
    unele aplicații trebuie “socksified”
    Securitatea rețelelor și comunicațiilor
    Proiectare Firewall - Bastion Hosts
    • Orice host care este în Internet și care nu este protejat de alt dispozitiv (de
    ex firewall)
    • Hostul trebuie să se protejeze singur
    • Hostul ar trebui să ofere un singur tip de serviciu iar celelalte să fie
    „disabled„
    Securitatea rețelelor și comunicațiilor
    Proiectare Firewall - Dual-Homed Host
    • Două interfețe de rețea: una conectată la o rețea „de încredere„ iar cealaltă la Internet
    • Host nu face rutarea: utilizatorul care accesează rețeaua de încredere via Internet
    trebuie să se logeze pe hostul dual și de aici accesează rețeaua
    • Se folosea în anii 90 (unii îl mai folosesc și astăzi)
    Securitatea rețelelor și comunicațiilor
    Proiectare Firewall - Screened Host
    • Un ruter care filtrează traficul extern către și de la un bastion host via ACL
    • Bastion host poate accesa alte resurse interne dar ACL de pe ruter asigură conectivitatea
    directă
    Securitatea rețelelor și comunicațiilor
    Proiectare Firewall - DMZ și Screened Subnet
    • DMZ - rețea “Demilitarized Zone”
    • Hosturile care primesc trafic de la rețele nesigure sunt plasate în DMZ
    • Orice host din DMZ poate fi compromis
    • O DMZ „clasică„ folosește 2 firewalls numite „screened subnet„:
    Securitatea rețelelor și comunicațiilor
    Proiectare Firewall - DMZ și Screened Subnet
    DMZ care folosește un singur firewall se mai numește “three-legged” DMZ (DMZ cu 3
    picioare).

    Firewallul filtrează traficul de pe toate interfețele: untrusted, trusted, și DMZ

    “DMZ” = dual-firewall DMZ.


    Securitatea rețelelor și comunicațiilor
    Intrusion Detection Systems, Intrusion Prevention Systems
    • Intrusion Detection System (IDS) – echipament detectiv care identifică
    acțiunile malițioase (de exemplu încălcarea politicilor)
    • Intrusion Prevention System (IPS) - echipament preventiv care identifică
    acțiunile malițioase
    • 2 tipuri: : network-based și host-based.
    Securitatea rețelelor și comunicațiilor
    NIDS și NIPS
    • Detectează traficul malițios din rețea
    • De obicei, pentru analiza traficului au nevoie de
    acces „promiscuous„
    • NIDS sunt echipamente pasive: nu interferează cu
    traficul monitorizat
    • NIPS alterează treaficul
    Securitatea rețelelor și comunicațiilor
    NIDS și NIPS
    2 tipuri de NIPS:
    • „Active response„
    • Architectural, este la fel ca NIDS
    • Monitorizarea interfeței este de tip read/write
    • Poate opri traficul malițios (“shoot down”) prin diferite metode: forțarea segmentelor TCP RST la sursă sau la destinație,
    transmiterea de mesaje ICMP
    • Inline
    • “in line„ cu traficul
    • Snort – NIDS open-source
    • O alertă NIPS de tip false-pozitive are ca rezultat blocarea traficului legitim
    • NIDS?
    Securitatea rețelelor și comunicațiilor
    HIDS și HIPS
    • Host-based NIDS/NIPS
    • Informațiile sunt prelucrate și deciziile sunt luate la nivel de host
    • HIDS – de ex. Tripwire
    Securitatea rețelelor și comunicațiilor
    Detectarea și prevenirea intruziunilor
    Pattern Matching
    • Compară evenimentele cu o listă statică de semnături
    • Funcționează bine cu atacurile cunoscute
    Protocol Behavior
    • Modelează modul în care un protocol trebuie să lucreze
    • Detectează traficul “stupid” (broken) : aplicații dezvoltate fără a se ține cont de RFCs
    Anomaly Detection
    • Stabilește „baseline„ pentru traficul normal
    • Raportează traficul care se abate de la „baseline„
    • Poate detecta atacuri noi
    • Provocarea: stabilirea „baseline„
    Domain 4: Communication and Network Security
    Honeypot
    • Sistem proiectat să atragă atacatorii
    • Folosit pentru a înțelege atacurile de tip network-based
    • Honeynet – rețea reală sau simulată de honeypot
    • Scopul: cercetare
    • Decizia se ia cu suport juridic
    Securitatea rețelelor și comunicațiilor
    Honeypot
    https://www.honeynet.org/
    Securitatea rețelelor și comunicațiilor
    Atacuri - TCP SYN Flood
    • Cel mai comun atac de tip denial of service- DoS
    • Sistemele trebuie să țină evidența oricărui alt sistem care începe „three-way
    Handshake„
    Acest lucru se realizează de obicei prin „half-open connection table„
    • Dacă atacatorul transmite multe SYNs fără ACKs (forțarea segmentelor SYN să
    vină de la un host care nu este live) tabela victimei se va popula cu SYN/ACK.
    Securitatea rețelelor și comunicațiilor
    Atacuri - LAND Attack
    • Un atac DoS cu un singur pachet 
    • Exemplu: atacatorul forțează un pachet de la 192.0.2.221:80 la…. 192.0.2.221:80
    • Sistemul de operare al victimei….crash
    Securitatea rețelelor și comunicațiilor
    Atacuri - Smurf și Fraggle
    • Smurf
    • Atac DoS la adresa IP de broadcast
    • Atacatorul transmite ping către o adresa IP de broadcast dar cu adresa sursă a
    victimei
    • Dacă răspund 200 de hosturi la ICMP echo request, atunci vom avea 200 ICMP echo
    replies către victimă
    • Se mai numește „atac asimetric„ - traficul care vine din răspuns este mai mare decît
    cel de la interogare
    • Fraggle
    • Folosește pachete UDP în loc de ICMP
    Securitatea rețelelor și comunicațiilor
    Atacuri - Teardrop Attack
    • Atac de tip DoS care se bazează pe reasamblarea pachetelor
    • Atacatorul transmite fragmente IP foarte mari, malformatate

    S-ar putea să vă placă și