Βασικές Έννοιες. Δρ Σ. Βελούδης.

Transcript

1 Βασικές Έννοιες Δρ Σ. Βελούδης

2 Θεματολογία Επιθέσεις και απειλές BredoLab botnet Κόστοςεπιθέσεων Γενικές αρχές Βασικές ιδιότητες ασφάλειας Εμπιστευτικότητα Ακεραιότητα Διαθεσιμότητα

3 Θεματολογία Απειλές Τιείναι; Κατηγορίες Ευπάθειες Τιείναι; Κατηγορίες Μέτρα προστασίας

4 Γενικά Αυξανόμενη εξάρτηση από Πληροφοριακά Συστήματα (ΠΣ) Προσωπικό και κοινωνικό επίπεδο Π.χ. Οικιακές συσκευές Τραπεζικές συναλλαγές Επικοινωνίες Μεταφορές Υποδομές κοινής ωφέλειας

5 Γενικά Αυξανόμενη εξάρτηση από δίκτυα Η/Υ Εκρηκτική ανάπτυξη του www Καθορίζει τον (μοντέρνο) τρόπο ζωής Η ασφάλεια ΠΣ είναι πλέον (και) ευθύνη του μέσου χρήστη

6 Γενικά Το κόστος από πιθανές επιθέσεις μπορεί να είναι ανυπολόγιστο Οικονομικό κόστος Απειλή κατά της ανθρώπινης ζωής Απειλή κατά βασικών υποδομών Οι επιθέσεις στα ΠΣ δεν είναι θεωρητικό σενάριο!

7 Επιθέσεις και απειλές Wall Street Journal (18/02/2010) Hackers in Europe and China successfully broke into computers at nearly companies and government agencies over the last 18 months in a coordinated global attack that exposed vast amounts of personal and corporate secrets to theft [ ]

8 Επιθέσεις και απειλές Wall Street Journal (18/02/2010) Starting in late 2008, hackers operating a command center in Germany got into corporate networks by enticing employees to click on contaminated Web sites, attachments or ads [ ]

9 Επιθέσεις και απειλές Wall Street Journal (18/02/2010) This operation appears to be more farreaching, infiltrating some 75,000 computers and touching 196 countries. The highest concentrations of infected computers are in Egypt, Mexico, Saudi Arabia, Turkey and the U.S.

10 Επιθέσεις και απειλές

11 Επιθέσεις και απειλές BredoLab botnet Θεωρείται ίσως το μεγαλύτερο botnet Περίοδος δράσης: εκατομμύρια πόροι zombie Θεωρείται πλέον εξολοθρευμένο Ο υποκινητής του υπενοικίαζε τμήματα του botnet Για να χρησιμοποιηθούν σε επιθέσεις $ μηνιαίο εισόδημα για τον «ιδιοκτήτη»

12 Επιθέσεις και απειλές

13 Επιθέσεις και απειλές American Thinker (01/10/2012) Hackers linked to China's government broke into one of the U.S. government's most sensitive computer networks, breaching a system used by the White House Military Office for nuclear commands [...]

14 Επιθέσεις και απειλές New York Times (26/11/2012) Just as the invention of the atomic bomb changed warfare and led to a race to develop new weapons and new deterrents, a new international race has begun to develop over cyberweapons and systems to protect against them.

15 Επιθέσεις και απειλές New York Times (26/11/2012) American intelligence officials have said that Iran was the origin of a serious wave of network attacks that crippled computers across the Saudi oil industry and breached financial institutions in the United States, episodes that contributed to a warning in mid October 2012 from Defense Secretary Leon E. Panetta that the United States was at risk of a cyber Pearl Harbor.

16 Επιθέσεις και απειλές Bloomberg (28/09/2012) Cyber attacks on the biggest U.S. banks, including JPMorgan Chase & Co. (JPM) and Wells Fargo (WFC) & Co., have breached some of the nation s most advanced computer defenses and exposed the vulnerability of its infrastructure, said cybersecurity specialists tracking the assaults.

17 Κόστος επιθέσεων Δύσκολο να υπολογιστεί Κρυφά κόστη Σύμφωνα με το World Economic Forum ( Global Risks 2012 ) Οι κυβερνοεπιθέσεις συγκαταλέγονται ανάμεσα στις μεγαλύτερες 5 απειλές παγκοσμίως

18 Κόστος επιθέσεων

19 Κόστος επιθέσεων

20 Γενικές αρχές Ασφάλεια πληροφοριακών συστημάτων: Προστασία ευαίσθητων αγαθών Κατηγορίεςαγαθών: Φυσικά Λογισμικό Δεδομένα Δυνατότητα παραγωγής προϊόντων / παροχής υπηρεσιών

21 Γενικές αρχές Θεμελιώδεις ιδιότητες ασφάλειας: Εμπιστευτικότητα (Confidentiality) Ακεραιότητα (Integrity) Διαθεσιμότητα (Availability)

22 Γενικές αρχές Πηγή:

23 Εμπιστευτικότητα Πρόληψη μη εξουσιοδοτημένης αποκάλυψης πληροφοριών Πρόληψη μη εξουσιοδοτημένης ανάγνωσης Ιδιωτικότητα (privacy): προστασία προσωπικών δεδομένων

24 Ακεραιότητα Πρόληψη μη εξουσιοδοτημένης μεταβολής ή αλλοίωσης πληροφοριών Πρόληψη μη εξουσιοδοτημένης εγγραφής ή διαγραφής πληροφοριών

25 Διαθεσιμότητα Προσπελασιμότητα πληροφοριών από εξουσιοδοτημένες οντότητες Άρνηση παροχής υπηρεσίας (Denial of Service): Παρεμπόδιση εξουσιοδοτημένης προσπέλασης πληροφοριών και πόρων Καθυστέρηση κρίσιμων από πλευράς χρόνου (time critical) λειτουργιών

26 Απειλές ασφάλειας Τι είναι; Το ενδεχόμενο απώλειας Είδη (ανάλογα με την επίδραση): Υποκλοπή Μεταβολή (συμπεριλαμβάνει πλαστογραφία) Διακοπή

27 Απειλές ασφάλειας Κατηγορίες απειλών (ανάλογα με την προέλευση) Φυσικές Π.χ. φωτιά, πλημμύρα, κτλ. Ακούσιες Αστοχίες υλικού/λογισμικού (software/hardware failures) Ανθρώπινος παράγοντας: άγνοια/αδιαφορία οι κυριότερες αιτίες προβλημάτων

28 Απειλές ασφάλειας Κατηγορίες απειλών(συνέχεια) Εκούσιες Κακόβουλοι χρήστες (εσωτερικοί insiders ή εξωτερικοί outsiders) Εξαρτώνται από τα διατιθέμενα μέσα: γνώσεις, διαθέσιμος χρόνος, υπολογιστική ισχύ

29 Ευπάθειες Ευπάθεια (vulnerability) Ευάλωτο σημείο στο σύστημα Μπορεί να προκαλέσει απώλειες εάν αξιοποιηθεί από μια απειλή Σε σχέση με τις βασικές ιδιότητες της ασφάλειας Ένα σύστημα δεν μπορεί να αποδειχθεί απαλλαγμένο ευπαθειών Επίθεση (attack) Αξιοποίηση ευπαθειών

30 Ευπάθειες Κατηγορίες ευπαθειών Φυσικές Π.χ. κλοπές, καταστροφές/βανδαλισμοί data centre Εκφύσεως Φυσικές καταστροφές Software & hardware Π.χ. δυσλειτουργίες, ελλείψεις ελέγχων

31 Ευπάθειες Κατηγορίες ευπαθειών (συνέχεια) Εκπομπών (emanations) Υποκλοπές εκπεμπόμενων σημάτων Επικοινωνιών Π.χ. υποκλοπές/αλλοιώσεις μηνυμάτων Ανθρώπινες Π.χ. κοινωνική μηχανική (social engineering)

32 Μέτρα προστασίας Μέτρα προστασίας (αντίμετρα countermeasures) Προστασία αγαθών (assets) Είδη Φυσικά Π.χ. εγκατάσταση συστήματος πυρασφάλειας Τεχνικήςφύσης Π.χ. εγκατάσταση firewall

33 Μέτρα προστασίας Είδη (συνέχεια) Διαχειριστικά Π.χ. εκπαίδευση χρηστών, προσδιορισμός πολιτικής ασφάλειας

34 Επιπρόσθετα θέματα Εξουσιοδοτημένη χρήση (authorized use) Έλεγχος πρόσβασης (access control) Αυθεντικοποίηση μηνυμάτων Βεβαιότητα για την ταυτότητα του αποστολέα μηνύματος Μη απάρνηση (non repudiation) Βεβαιότητα ότι ο παραλήπτης έλαβε ένα μήνυμα

35 Επιπρόσθετα θέματα Accountability Οι χρήστες ενός συστήματος είναι υπεύθυνοι (και υπόλογοι) για τις πράξεις τους Αναγνώριση χρηστών Καταγραφή συμβάντων (logging)

36 Πρωτόκολλα Επικοινωνίας Σύντομη Εισαγωγή

37 Εισαγωγή Βασική γνώση πρωτοκόλλων επικοινωνίας απαραίτητη για την κατανόηση των firewalls

38 Θεματολογία Πρωτόκολλα επικοινωνίας Διαστρωμάτωση πρωτοκόλλων Οικογένειες πρωτοκόλλων Ενθυλάκωση πακέτων Πρωτόκολλο IP Σύντομηεπισκόπηση Πρωτόκολλο TCP Σύντομηεπισκόπηση

39 Πρωτόκολλο Επικοινωνίας Τι είναι; Σύνολο προσυμφωνημένων κανόνων για την ανταλλαγή δεδομένων μέσω δικτύου, και επομένως την επικοινωνία, μεταξύ (υπολογιστικών) πόρων

40 Διαστρωμάτωση Το πρόβλημα της επικοινωνίας μεταξύ δύο (ή περισσότερων) πόρων στο Διαδίκτυο είναι πολύπλοκο Για την αποδοτικότερη επίλυση του, υποδιαιρείται σε επιμέρους υπό προβλήματα Το κάθε ένα αφορά σε συγκεκριμένο (και απλούστερο) κομμάτι του συνολικού προβλήματος

41 Διαστρωμάτωση Παράδειγμα: Ένα επιμέρους υπό πρόβλημα είναι η αξιοπιστία της επικοινωνίας Άλλο επιμέρους υπό πρόβλημα είναι ο τρόπος με τον οποίο κωδικοποιούνται τα bits για την αποστολή τους Μέσωτουκαλωδίουδικτύωσης

42 Διαστρωμάτωση Ένα πρωτόκολλο επικοινωνίας: Δεν αποπειράται να καθορίσει συνολικά την μεταξύ πόρων επικοινωνία Σκοπό έχει τον επακριβή καθορισμό των λειτουργιών που επιλύουν ένα επιμέρους υπόπρόβλημα

43 Διαστρωμάτωση Παράδειγμα: Το πρωτόκολλο TCP είναι υπεύθυνο για την αξιοπιστία της επικοινωνίας Το πρωτόκολλο IEEE (Ethernet) καθορίζει (ανάμεσα σε άλλα) την κωδικοποίηση των bits σε μορφή ηλεκτρικών σημάτων

44 Οικογένειες πρωτοκόλλων Τα πρωτόκολλα αποπειρώνται να καθορίσουν συνεργατικά την μεταξύ πόρων επικοινωνία Για το λόγο αυτό τα πρωτόκολλα σχεδιάζονται σε οικογένειες συλλογές πρωτοκόλλων

45 Οικογένειες πρωτοκόλλων Το κάθε πρωτόκολλο ανάλογα με την υπηρεσία που παρέχει, κατατάσσεται σε ένα συγκεκριμένο λογικό επίπεδο Ο οργανισμός ISO μέσω του Open Systems Interconnect (OSI) ορίζει 7 επίπεδα Η σουίτα πρωτοκόλλων TCP/IP ορίζει 4 επίπεδα

46 OSI

47 Ενθυλάκωση Πακέτων

48 Παράδειγμα Internet Browser Transport Internet Data Link Web Server Transport Internet Data Link

49 Πρωτόκολλο IP Επίπεδο Διαδικτύου Κύρια λειτουργία η μεταβίβαση και παράδοση πακέτων στον προορισμό τους Λαμβάνει πακέτα από το ανώτερο επίπεδο Προσθέτει την επικεφαλίδα IP (ενθυλάκωση) Η επικεφαλίδα IP περιέχει πληροφορίες απαραίτητες για τη μεταβίβαση των πακέτων Παραδίδει τα ενθυλακωμένα πακέτα στο κατώτερο επίπεδο

50 Επικεφαλίδα IPv4

51 Επικεφαλίδα IPv4 Πεδίο Source IP Address (32 bits): IP αποστολέα Πεδίο Destination IP Address (32 bits): IP παραλήπτη

52 Πρωτόκολλο TCP Παρέχει τους απαιτούμενους μηχανισμούς για αξιόπιστη επικοινωνία Είναι επιπέδου Μεταφοράς Υλοποιεί λογικές συνδέσεις για τη μεταβίβαση δεδομένων ανάμεσα στους επικοινωνούντες πόρους

53 Πρωτόκολλο TCP Μία σύνδεση TCP δημιουργείται ανάμεσα σε δύο εφαρμογές των επικοινωνούντων πόρων Ο ένας πόρος παίζει το ρόλο του πελάτη εκκινεί την επικοινωνία Ο άλλος πόρος παίζει το ρόλο του εξυπηρετητή

54 Πρωτόκολλο TCP Μία σύνδεση TCP ορίζεται μοναδικά από τις δύο απολήξεις της (sockets) Το κάθε socket είναι ένα ζεύγος (IP διεύθυνση, Αναγνωριστικό Θύρας) Αναγνωριστικό θύρας (port number): 16 bit αριθμός αναγνωρίζει την εφαρμογή στην πλευρά του εξυπηρετητή με την οποία δημιουργείται η σύνδεση

55 Επικεφαλίδα TCP

56 Firewalls Εισαγωγή

57 Θεματολογία Γενικά Δυνατότητες Περιορισμοί Ζητήματα σχεδίασης Πολιτικές σχεδίασης

58 Θεματολογία Τύποι Packet filters Circuit level gateways Application level firewalls Υβριδικάfirewalls Dual homed Gateway Screened Host Screened Subnet DMZ

59 Γενικά Ανάγκη σύνδεσης του επιχειρησιακού δικτύου ενός οργανισμού με το Internet Τα εσωτερικά συστήματα/πόροι γίνονται ευπρόσβλητα σε εξωτερικές επιθέσεις Ανάγκη προστασίας των εσωτερικών πόρων

60 Ορισμός Firewall «Συλλογή από κατάλληλα συστήματα, τοποθετημένα στο σημείο σύνδεσης της υπό προστασίας δικτυακής περιοχής με τα υπόλοιπα δίκτυα, που επιβάλλει μία προκαθορισμένη πολιτική ασφάλειας.»

61 Ορισμός Firewall Internet Router Firewall

62 Γενικά Σκοπός Προστασία των υπολογιστικών πόρων ενός οργανισμού από εξωτερικούς εισβολείς Επίτευξη Αποτροπήμηεξουσιοδοτημένηςπρόσβασης στο εσωτερικό δίκτυο Αποτροπή μη εξουσιοδοτημένης εξόδου πληροφορίας από το εσωτερικό δίκτυο

63 Γενικά Επίκεντρο αποφάσεων σε θέματα ασφάλειας Κεντρικό σημείο ελέγχου Απλοποίηση διαχείρισης ασφάλειας Εφαρμόζει έλεγχο προσπέλασης (access control) από και προς το δίκτυο

64 Δυνατότητες Δυνατότητα καταγραφής της δραστηριότητας στο δίκτυο (logging) Διευκολύνει το έργο των διαχειριστών δικτύου Δυνατότητα παροχής διαφορετικών επιπέδων προστασίας Σε διαφορετικής ευαισθησίας τμήματα του εσωτερικού δικτύου

65 Δυνατότητες Δυνατότητα μη απόδοσης πραγματικών IP διευθύνσεων στους εσωτερικούς προστατευόμενους πόρους Υπηρεσία ΝΑΤ (Network Address Translation) Οι εξωτερικοί χρήστες «βλέπουν» μία καθολική IP διεύθυνση Αυξάνεται το επίπεδο ασφάλειας Διευκολύνεται το πρόβλημα μη διαθεσιμότητας IP διευθύνσεων

66 Περιορισμοί Δεν μπορεί να προστατέψει: Μη διερχόμενες από αυτό συνδέσεις Από εσωτερικές επιθέσεις Από επιθέσεις τύπου Social Engineering (Κοινωνική Μηχανική) Απαραίτητη η εκπαίδευση των χρηστών Από πρωτοφανείς απειλές

67 Περιορισμοί Εν δυνάμει προκαλεί: Δυσαρέσκειαχρηστών Μειωμένηευχρηστία Μειωμένηδιαδικτύωση

68 Ζητήματα Σχεδίασης Υλοποιεί μέρος της ευρύτερης πολιτικής ασφάλειας Καθορίζει πρόσβαση σε υπηρεσίες μέσω διαδικτύου Χρηστικότητα Ισορροπία μεταξύ ασφάλειας και χρηστικότητας Εκτίμηση απειλών

69 Ζητήματα Σχεδίασης Εκτίμηση απώλειας/κόστους Εκτίμηση της επίδρασης εξωτερικών εισβολών στο σύστημα Τύπος του αναχώματος ασφάλειας Ανάλογα με τις ανάγκες που πρέπει να καλυφθούν

70 Πολιτική Πρόσβασης στο Δίκτυο Υψηλού επιπέδου πολιτική ασφάλειας Προσδιορίζει: Σε ποιες υπηρεσίες απαγορεύεται η πρόσβαση μέσω διαδικτύου Σε ποιες υπηρεσίες (services) επιτρέπεται η πρόσβαση μέσω διαδικτύου Τι είδους πρόσβαση (πώς χρησιμοποιούνται οι υπηρεσίες); Σε ποιους χρήστες;

71 Πολιτική Πρόσβασης στο Δίκτυο Παραδείγματα: Επιτρέπεται η πρόσβαση στον Web server του οργανισμού Επιτρέπονται μόνο ασφαλείς συνδέσεις (ως προς την εμπιστευτικότητα, ακεραιότητα και αυθεντικοποίηση) στον Web server του οργανισμού

72 Πολιτική Σχεδίασης Firewall Χαμηλού επιπέδου πολιτική ασφάλειας Περιγράφει τους τρόπους με τους οποίους το firewall επιβάλλει τους περιορισμούς που καθορίζει η Πολιτική Πρόσβασης στο Δίκτυο

73 Πολιτική Σχεδίασης Firewall Παραδείγματα: Επιτρέπεται η πρόσβαση στον Web server τουstate οργανισμού state NEW,ESTABLISHED j ACCEPT Επιτρέπονται μόνο ασφαλείς συνδέσεις (ωςstate προς state την εμπιστευτικότητα, NEW,ESTABLISHED j ACCEPT ακεραιότητα και αυθεντικοποίηση) στον Web server του οργανισμού iptables A INPUT i eth0 p tcp dport 80 m iptables A INPUT i eth0 p tcp dport 443 m

74 Πολιτικές Σχεδίασης Firewall Πολιτική προκαθορισμένης άδειας χρήσης: Επιτρέπεται κάθε υπηρεσία, εκτός αν έχει ρητά απαγορευθεί Πολιτική προκαθορισμένης απαγόρευσης χρήσης Απαγορεύεται κάθε υπηρεσία, εκτός αν έχει ρητά επιτραπεί Προτεινόμενη συνήθως πολιτική

75 Packet Filters Σχετικά απλές συσκευές δρομολογητές (routers) με αυξημένες δυνατότητες Βρίσκονται στην περιφέρεια του δικτύου Είναι επιπέδου Δικτύου/Μεταφοράς φιλτράρουν πακέτα βάσει: IP Διευθύνσεων (αποστολέα παραλήπτη) Αριθμώνθύρας

76 Packet Filters Πλεονεκτήματα Ταχύτητα Υλοποίηση μέσω ASICs Διαφανείς στους χρήστες Μειωμένοκόστος Εύκολη εγκατάσταση

77 Packet Filters Μειονεκτήματα Κάθε πακέτο εξετάζεται μεμονωμένα (stateless) Δεν υπάρχει δυνατότητα αναγνωρισμού ροών (πακέτων της ίδιας σύνδεσης) Μειωμένες δυνατότητες / μειωμένη ασφάλεια Δεν παρέχουν μηχανισμούς αυθεντικοποίησης χρήστη

78 Packet Filters Παραδείγματα: Εμπόδισε όλα τα εισερχόμενα πακέτα εκτός από αυτά που προορίζονται για τον Web Server (αριθμός θύρας 80) Εμπόδισε όλα τα εισερχόμενα πακέτα εκτός από αυτά που προέρχονται από τον απομακρυσμένο πόρο

79 Circuit-level Gateways Το φιλτράρισμα γίνεται στο επίπεδο των TCP συνδέσεων (όχι των πακέτων) Λειτουργούν ως πληρεξούσιοι (proxies) TCP συνδέσεων: Αναλαμβάνουν να διεκπεραιώσουν τη δημιουργία μιας TCP σύνδεσης εξ ονόματος του προστατευόμενου πόρου Επιτρέπουν πακέτα που ανήκουν μόνο σε ενεργές συνδέσεις

80 Circuit-level Gateways Επιτρέπουν τη δημιουργία μιας σύνδεσης βάσει: Διευθύνσεων IP Αριθμώνθύρας Άλλων παραμέτρων Ώρα και ημερομηνία Χρησιμοποιούμενο πρωτόκολλο Όνομα χρήστη και συνθηματικό

81 Circuit-level Gateways Αποθηκεύουν πληροφορίες για τα πακέτα που διακινούν Αποθηκεύουν λεπτομέρειες για τις TCP συνδέσεις που εγκαθίστανται από τους προστατευόμενους πόρους Αριθμούς θύρας Σειριακούς αριθμούς πακέτων κτλ

82 Circuit-level Gateways Δυνατότητα αναγνωρισμού ροών (πακέτων της ίδιας TCP σύνδεσης) Δυνατότητα αποκλεισμού πακέτων μη εντασσόμενων σε γνωστές ροές

83 Circuit-level Gateways Πλεονεκτήματα Αποκρύπτουν τους προστατευόμενους πόρους από το εξωτερικό δίκτυο Επιτρέπουν τη λειτουργία NAT Σχετικά ταχείς Μειονεκτήματα Αδυνατούν να ελέγξουν το περιεχόμενο μιας επικοινωνίας

84 Παράδειγμα Web Server Internet

85 Application-level level Gateways Επιπέδου εφαρμογής Υλοποιείται προγραμματιστικά σε συγκεκριμένo πόρο (host based firewalls) O υπολογιστής αυτός αναφέρεται ως υπολογιστής έπαλξη (bastion host) Σημείο επικοινωνίας του εσωτερικού με το εξωτερικό δίκτυο

86 Application-level level Gateways Πληρεξούσιος εξυπηρετούμενος Εσωτερικός φορέας Εσωτερικό Δίκτυο Ανάχωμα ασφάλειας Firewall Πληρεξούσιος εξυπηρέτης Πραγματικός εξυπηρέτης Διαδίκτυο Internet Εξωτερικός φορέας

87 Application-level level Gateways Δεν επιτρέπει απευθείας σύνδεση εξωτερικών πόρων με εσωτερικούς προστατευόμενους πόρους Δεν επιτρέπει τη μεταφορά πακέτων από/προς το προστατευόμενο δίκτυο Οι εξωτερικοί πόροι συνδέονται με εφαρμογές ειδικού σκοπού στον bastion host τις πληρεξούσιες εφαρμογές (proxy applications/services)

88 Application-level level Gateways Οι πληρεξούσιες εφαρμογές κρίνουν εάν θα προωθηθούν τα πακέτα από το εξωτερικό δίκτυο στο εσωτερικό Εξετάζουν το περιεχόμενο (και όχι μόνο την επικεφαλίδα) του κάθε πακέτου Deep packet inspection Απαιτείται γνώση της εφαρμογής που αρχικά παρήγαγε το πακέτο

89 Application-level level Gateways Πλεονεκτήματα: Ασφαλείς Παρέχουν αποτελεσματικότερο έλεγχο προσπέλασης Μπορούν να εντοπίσουν πακέτα που περιέχουν ιούς Υποστηρίζουν τη λειτουργία NAT Παρέχουν πληρέστερη καταγραφή συμβάντων

90 Application-level level Gateways Μειονεκτήματα: Αργοί Δεν είναι πάντοτε διαφανείς ως προς τους χρήστες Αυξημένοκόστος Δυσκολότερη εγκατάσταση Απαιτείται μια πληρεξούσια εφαρμογή για κάθε υποστηριζόμενη υπηρεσία Πρακτικά δύσκολο να επιτευχθεί

91 Υβριδικά Firewalls Συνδυάζουν ελέγχους επιπέδου δικτύου και εφαρμογής Τα λαμβανόμενα πακέτα: Υπόκεινται πρώτα σε έλεγχο επιπέδου δικτύου, συνεπώς: είτε απορρίπτονται είτε προωθούνται προς τον προορισμό τους Μπορούν επίσης να σταλούν σε πληρεξούσια υπηρεσία για περαιτέρω επεξεργασία

92 Υβριδικά Firewalls Πολύ καλό επίπεδο ασφάλειας Αυξημένο κόστος υλοποίησης Τρειςκύριεςαρχιτεκτονικέςυβριδικών αναχωμάτων ασφάλειας: Dual homed Gateway Screened Host Screened Subnet

93 Dual-homed Gateway Υπηρεσίες στους χρήστες παρέχονται μόνο διαμέσου πληρεξούσιων εφαρμογών στον υπολογιστή ελεγκτή Dual homed gateway Internet Εσωτερικό Δίκτυο

94 Dual-homed Gateway Βασίζεται στην ύπαρξη υπολογιστήελεγκτή με δύο διεπαφές δικτύου: Μία για το εσωτερικό (ασφαλές) δίκτυο Μία για το εξωτερικό, δυνητικά εχθρικό, δίκτυο Τα δύο δίκτυα δεν έρχονται σε άμεση επαφή Όλα τα εισερχόμενα/εξερχόμενα πακέτα περνάνε από τον υπολογιστή ελεγκτή

95 Dual-homed Gateway Κύρια πλεονεκτήματα: Μικρό κόστος υλοποίησης Αυξημένο επίπεδο παρεχόμενης ασφάλειας Κύριο μειονέκτημα: Η αρχιτεκτονική στηρίζεται σε μοναδικό σημείο δυνητικής αποτυχίας (single point of failure) τον υπολογιστή ελεγκτή

96 Screened Host Screened Router Internet Εσωτερικό Δίκτυο Bastion Host

97 Screened Host Βασίζεται σε έναν bastion host ο οποίος συνδέεται μόνο με το εσωτερικό (ασφαλές) δίκτυο Μια διεπαφή Κάνει χρήση router

98 Screened Host Στον bastion host εκτελούνται πληρεξούσιες εφαρμογές Όλη η κίνηση προς/από τις εφαρμογές αυτές ελέγχεται υποχρεωτικά από τον bastion host Όλη η υπόλοιπη κίνηση δρομολογείται απευθείας από το router Το router λειτουργεί ως ένα απλό packet filter

99 Screened Host Κύρια πλεονεκτήματα: Μικρό κόστος υλοποίησης Περισσότερη ευελιξία και δυνητικά καλύτερες επιδόσεις από το dual homed gateway Δεν υπάρχει μοναδικό σημείο δυνητικής αποτυχίας (single point of failure) Κύριο μειονέκτημα: Χαμηλότερο επίπεδο ασφάλειας από το dualhomed gateway

100 Screened Subnet Screened Subnet Internet Εσωτερικός router Εξωτερικός router Εσωτερικό Δίκτυο Bastion Host

101 Screened Subnet Προσθέτει ένα παραπάνω επίπεδο προστασίας στην αρχιτεκτονική screened host O bastion host δεν αποτελεί πλέον μέρος του εσωτερικού δικτύου Συνδέεται σε ένα περιμετρικό απομονωμένο δίκτυο μεταξύ του εσωτερικού και εξωτερικού δικτύου Το περιμετρικό δίκτυο δημιουργείται από δύο routers

102 Screened Subnet Προσφέρει μεγαλύτερη ασφάλεια Σε περίπτωση κατάληψης του bastion host Ο bastion host έχει εγκατεστημένους πληρεξούσιους servers Όλη η κίνηση προς/από τους server αυτούς ελέγχεται υποχρεωτικά από τον bastion host Όλη η υπόλοιπη κίνηση δρομολογείται απευθείας από το router

103 Screened Subnet Ο εσωτερικός router λειτουργεί ως packet filter Προστατεύει το εσωτερικό δίκτυο από το περιμετρικό δίκτυο Ο εξωτερικός router λειτουργεί ως packet filter Προστατεύει το περιμετρικό δίκτυο από το εξωτερικό δίκτυο

104 DMZ Demilitarized Zone Δημιουργεί ένα περιμετρικό δίκτυο στο οποίο είναι συνδεδεμένοι servers που πρέπει να είναι προσβάσιμοι από το εξωτερικό δίκτυο, π.χ.: Web server Mail server FTP server κτλ.

105 DMZ DMZ Εσωτερικό Δίκτυο Firewall Internet

106 DMZ Τα πακέτα που διακινούνται ανάμεσα στο περιμετρικό δίκτυο και το εσωτερικό δίκτυο ελέγχονται Για περισσότερη ασφάλεια ενδέχεται να ελέγχονται και τα πακέτα που διακινούνται ανάμεσα στο εξωτερικό και περιμετρικό δίκτυο

107 DMZ DMZ Firewall Εσωτερικό Δίκτυο Firewall Internet

108 NAT Σύντομη Εισαγωγή

109 Θεματολογία Εισαγωγή Ορισμός Είδη Λειτουργία NAT/PAT

110 Εισαγωγή Οποιοσδήποτε πόρος συνδέεται στο Internet αναγνωρίζεται μοναδικά από μια IP διεύθυνση Κι όμως, συχνά βλέπουμε οι συνδεδεμένοι πόροι να έχουν IP (ή κάτι παρόμοιο...)

111 Εισαγωγή Οι IP αυτές δεν είναι πραγματικές Είναι ιδιωτικές IP που χρησιμοποιούνται για αναγνώριση πόρων εντός ενός LAN Δεν μπορούν να χρησιμοποιηθούν στο Internet Ιδιωτικές IP:

112 Εισαγωγή Γιατί συμβαίνει αυτό; Περισσότερη ασφάλεια στο LAN Οικονομία στις IP διευθύνσεις

113 NAT Τι είναι; Τεχνολογία που επιτρέπει την αλλαγή της IP διεύθυνσης ενός πακέτου πριν αυτό δρομολογηθεί στο Internet Συνηθέστερη μορφή: η αλλαγή της IP διεύθυνσης αποστολέα

114 Είδη NAT Στατικό Δυναμικό Δυναμικό με Port Address Translation (PAT) Ηπιοεξελιγμένημορφή

115 NAT/PAT Web Server Internet

116 NAT/PAT Src PN: 100 Dest PN: 80 IP Data TCP Src IP: Dest IP: ( : :100), :80

117 NAT/PAT Web Server Internet

118 NAT/PAT Src PN: 80 Dest PN: IP Data TCP Src IP: Dest IP: ( : :100), :80

119 NAT/PAT Web Server Internet

120 NAT Οικονομία στις IP Μία πραγματική IP για ολόκληρο το εσωτερικό δίκτυο Ασφάλεια Το firewall προωθεί στο εσωτερικό δίκτυο πακέτα γνωστών μόνο ροών Που έχουν δημιουργηθεί από αιτήματα εσωτερικών πόρων

121 IDS & IPS Βασικές Αρχές

122 Θεματολογία Ορολογία Είδη τρόποι λειτουργίας Signature based Anomaly based Network IDS Wireless Host IDS Προβλήματα Honeypots

123 Ορολογία Εισβολή Σύνολο δράσεων με στόχο την απώλεια της ακεραιότητας, εμπιστευτικότητας, διαθεσιμότητας ενός πόρου Ανίχνευση Εισβολής Εντοπισμός μιας εισβολής και επακόλουθη αντίδραση

124 Ορολογία Συστήματα Ανίχνευσης Εισβολής (IDS) S/W ή/και H/W παρακολούθησης και ανάλυσης συμβάντων Εντοπίζει ίχνη παραβιάσεων Συστήματα Πρόληψης Εισβολής (IPS): Επέκταση της ανίχνευσης εισβολών με μηχανισμούς ελέγχου προσπέλασης

125 Κύριες Λειτουργίες Παρακολούθηση και ανάλυση συμβάντων Καταγραφή δεδομένων για συμβάντα Ειδοποίηση των διαχειριστών ασφάλειας Για σημαντικά συμβάντα Δημιουργία αναφορών Τα IPS επιπροσθέτως αποπειρώνται να προλάβουν μια απειλή

126 Είδη IDS Signature based IDS Ανιχνεύουν προκαθορισμένα μοτίβα επιθέσεων στο σύστημα Anomaly based IDS: Ανιχνεύουν μη κανονικότητες στις δραστηριότητες στο σύστημα

127 Είδη IDS Network IDS Ανιχνεύουν μη αποδεκτές συμπεριφορές στην κίνηση ενός δικτύου Host IDS: Ανιχνεύουν παραβιάσεις στην πολιτική ασφάλειας που διέπει έναν υπολογιστικό πόρο

128 Χαρακτηριστικά IDS Audit Source Μέθοδος Χρήση Αντίδραση Πόρος Δίκτυο Knowledge based Behaviour based Σποραδική Συνεχής Παθητική Ενεργητική

129 Signature-based IDS Υπογραφή Μοτίβο γνωστής επίθεσης Αποθηκεύεται σε βάση δεδομένων Signature based Detection Σύγκριση υπογραφών με το περιεχόμενο πακέτων για αναγνώριση επιθέσεων

130 Signature-based IDS Παράδειγμα: Ενεργοποίηση συναγερμού αν εντοπισθεί πακέτο Με οποιαδήποτε IP διεύθυνση προορισμού/αποστολέα Πρωτοκόλλου IPv4 Με αριθμό θύρας προορισμού Με την λέξη significant στο περιεχόμενο

131 Signature-based IDS Αποτελεσματικά στον εντοπισμό γνωστών απειλών Μη αποτελεσματικά στον εντοπισμό άγνωστων απειλών αλλά και παραλλαγών γνωστών απειλών Π.χ. αλλαγή της λέξης από significant σε important

132 Anomaly-based IDS Ορισμοί «κανονικής δραστηριότητας» Αποθηκεύονται σε βάση δεδομένων ως «προφίλ» (profiles) Συγκρίνονται με πραγματοποιηθέντα συμβάντα Εντοπισμός ακολουθιών συμβάντων που αποκλίνουν σημαντικά από την «κανονική δραστηριότητα» Χρήση στατιστικών μεθόδων

133 Anomaly-based IDS Παραδείγματα κριτηρίων «κανονικής δραστηριότητας»: Αριθμός χαρακτήρων στο όνομα χρήστη (π.χ. όχι πάνω από 40) Μέσος φόρτος χρήσης CPU Μέσος φόρτος χρήσης RAM Μέσος όρος διάρκειας ενός FTP ή Telnet session Μέσος όγκος πληροφορίας που διακινείται σε ένα session

134 Anomaly-based IDS Παραδείγματα κριτηρίων (συνέχεια): Μέσος όρος συνδεδεμένων χρηστών σε συγκεκριμένες ώρες και από συγκεκριμένες τοποθεσίες Ώρες διεξαγωγής συγκεκριμένων δραστηριοτήτων

135 Anomaly-based IDS Τα προφίλ δημιουργούνται σταδιακά Παρακολουθώντας για συγκεκριμένο χρονικό διάστημα τη δραστηριότητα στο σύστημα Στάδιο εκπαίδευσης του IDS Τα Anomaly based IDS είναι αποτελεσματικά απέναντι σε άγνωστες επιθέσεις

136 Specification-based Detection Κωδικοποιεί απαιτήσεις που η πολιτική ασφάλειας επιβάλλει Π.χ. «ο χρήστης sv76 επιτρέπεται να συνδεθεί στοδίκτυοαπότονπόροdias» Εντοπίζει αποκλίσεις στην παρατηρούμενη συμπεριφορά από τις κωδικοποιημένες απαιτήσεις

137 Specification-based Detection Υπέρ Μπορεί να εντοπίσει μεγάλο εύρος επιθέσεων (γνωστών ή μη) Μπορεί να λειτουργεί είτε βάσει γνωστών signatures είτε εντοπίζοντας μη κανονικότητες Κατά: Δημιουργία, κωδικοποίηση και συνεχή ενημέρωση (διαχείριση) απαιτήσεων του συστήματος

138 Network IDS (NIDS) Παρακολουθεί ροές πακέτων στο εσωτερικό δίκτυο Αλλά και ροές εισερχομένων και εξερχομένων πακέτων Ομοιότητα με firewalls; Σκοπός ο εντοπισμός: Μη κανονικοτήτων Μορφώνmalware Παραβιάσεων της πολιτικής ασφάλειας ΕπιθέσεωνDDoS

139 Network IDS (NIDS) Βασίζεται στην ανάλυση της συμπεριφοράς του δικτύου (Network Behaviour Analysis NBA) Επεξεργάζεται και καταγράφει ύποπτα πακέτα Παθητικός ρόλος: Απλή καταγραφή συμβάντων Ειδοποίηση διαχειριστών ασφάλειας

140 NIDS Τοποθέτηση Internet IDS Sensor IDS Console IDS Management & Database Server

141 NIDS Πρόσθετη Ορολογία IDS Sensor Παρακολουθεί την υπό εξέλιξη δραστηριότητα IDS Management Server Δέχεται και επεξεργάζεται πληροφορία από τους sensors Συνδυάζει πληροφορίες από διάφορους sensors (correlation)

142 NIDS Πρόσθετη Ορολογία IDS Database Server Αποθηκεύει δεδομένα από τους sensors και τους Management Servers Console Γραφικό περιβάλλον για τη χρήση του IDS

143 NIDS Πρόσθετη Ορολογία

144 NIDS Παράδειγμα SNORT Ανοιχτό λογισμικό Παράδειγμα κανόνα: alert tcp any any -> / (content:" a5 "; msg: "mountd access";)

145 Wireless IDS (WIDS) Παρακολουθεί ροές πακέτων σε ασύρματα δίκτυα Εντοπίζει: Εχθρικά wireless access points (WAPs) Επιθέσεις DoS σε WAPs Δεν εντοπίζει ύποπτη δραστηριότητα σε πρωτόκολλα ανώτερου επιπέδου διαστρωμάτωσης Π.χ. επιπέδου εφαρμογής ή μεταφοράς

146 Host-based IDS (HIDS) Παρακολουθεί το ΛΣ και τις υπό εκτέλεση εφαρμογές σε συγκεκριμένο υπολογιστικό πόρο Σκοπός ο εντοπισμός: Μη κανονικοτήτων Μη αποδεκτής συμπεριφοράς Χρησιμοποιεί συνδυασμό από: Προκαθορισμέναμοτίβαεπιθέσεων Κανόνες

147 HIDS Παράδειγμα: : OSSEC Ανοιχτό λογισμικό Παρέχει: Ανάλυση αρχείων καταγραφής (log analysis) Έλεγχο ακεραιότητας αρχείων Ειδοποιήσεις σε πραγματικό χρόνο Ενεργητική απόκριση

148 HIDS Παράδειγμα: : OSSEC Παράδειγμα αρχείου καταγραφής SSH: May 21 20:22:28 slacker sshd[21487]: Failed password for root from port 1045 ssh2 ProFTPD: May 21 20:21:21 slacker proftpd[25530] proftpd.lab.ossec.net ( [ ]): no such user dcid-inv Apache: [28/Jul/2006:10:27: ] "GET /hidden/ HTTP/1.0"

149 NIDS vs HIDS Είδος IDS Υπέρ Κατά HIDS NIDS Συγκεκριμένο για ένα σύστημα Δεν επηρεάζεται από το φόρτο στο δίκτυο και από κρυπτογραφημένα πακέτα Προστατεύει όλους τους πόρους στο δίκτυο Ανεξάρτητο από ΛΣ και H/W Αποτελεσματικό σε επιθέσεις Απάρνησης Υπηρεσίας (Denial of Service Εξαρτάται από το εγκατεστημένο ΛΣ και H/W Μειώνει την απόδοση του πόρου Αυξημένο κόστος Δύσκολο να παρακολουθεί όλα τα διακινούμενα πακέτα Μη αποτελεσματικό απέναντι σε κρυπτογραφημένα πακέτα

150 False Positives/Negatives H «αχίλλειος πτέρνα» των IDS False Positives Λανθασμένος εντοπισμός προβλήματος Παράγεται άχρηστη πληροφορία και λανθασμένος συναγερμός False Negatives Το IDS αποτυγχάνει να εντοπίσει ένα πρόβλημα Ελαχιστοποίηση false positives και negatives

151 IDS vs IPS Είδος IDS Υπέρ Κατά IDS ΙPS Δεν καθυστερεί την κίνηση πακέτων στο δίκτυο Τυχόν βλάβες ή υπερφόρτωση του Sensor δεν επηρεάζει το δίκτυο Αποτρέπει επιθέσεις Δεν μπορεί να αποτρέψει μια επίθεση Δύσκοληηεπίτευξη ιδανικής ρύθμισης Απαιτεί ύπαρξη πολιτικής ασφάλειας Επηρεάζει την λειτουργία του δικτύου Δύσκοληηεπίτευξη ιδανικής ρύθμισης Απαιτεί ύπαρξη πολιτικής ασφάλειας

152 Honeypot Servers που λειτουργούν παραπλανητικά (ως παγίδες) Τοποθετούνται για να γίνουν στόχοι επιθέσεων Παρουσιάζονται ως μέρος του συστήματος Στην πραγματικότητα είναι αυτόνομοι servers Η εισερχόμενη κίνηση παρακολουθείται

153 Honeypot Συλλογή πληροφοριών για τη συμπεριφορά επίδοξων εισβολέων: Παρέχουν στοιχεία για το πώς πραγματοποιούνται επιθέσεις Παρέχουν στοιχεία που μπορούν να χρησιμοποιηθούν για τη δικαστική εκδίωξη των δραστών

154 Honeypot Με τη χρήση εικονικών μηχανών, πολλαπλά Honeypots μπορούν να εκτελούνται στον ίδιο πόρο Consolidation Μειώνει το κόστος πολλαπλών Honeypots σε διαφορετικές φυσικές μηχανές

155 Κλασσική & Συμμετρική Κρυπτογραφία Εισαγωγή

156 Θεματαλογία Βασικές έννοιες Ασφαλής κρυπτογράφηση Κλασσική κρυπτογραφία Αλγόριθμοι απλής αντικατάστασης Αλγόριθμοι ομοφωνικής αντικατάστασης Αλγόριθμοι πολυαλφαβητικής αντικατάστασης

157 Θεματαλογία Συμμετρία Αλγόριθμοι Δέσμης DES (;) ΑλγόριθμοιΡοής Διαχείριση κλειδιών

158 Σκοπός της κρυπτογραφίας Εμπιστευτικότητα Ακεραιότητα Μη απάρνηση Πιστοποίηση

159 Βασικές Έννοιες Κρυπτολογία Κρυπτογραφία Κρυπτανάλυση Κρυπτογράφηση Αποκρυπτογράφηση

160 Βασικές Έννοιες Κρυπτογράφηση Αρχικό Μήνυμα Κρυπτογράφημα Αποκρυπτογράφηση Αρχικό Μήνυμα Κρυπτογράφημα

161 Βασικές Έννοιες Απαιτούνται: Αρχικόμήνυμα( ) Αλγόριθμος Κρυπτογράφησης (Ε) Αποκρυπτογράφησης (D) Κλειδί( ) Μετριέται σε bits Παράγεται το κρυπτογράφημα ( )

162 Βασικές Έννοιες Κρυπτογράφηση Κωδικοποίηση Κρυπτογράφηση (encryption/encipherment): Διαδικασία μετασχηματισμού μηνύματος σε ακατανόητη μορφή Κωδικοποίηση (encoding): Αναπαράσταση πληροφορίας σε διαφορετική μορφή

163 Βασικές Έννοιες Η ασφάλεια ενός κρυπτογραφικού αλγόριθμου βασίζεται: Στη μυστικότητα της λειτουργίας του αλγόριθμου Restricted algorithm Δύσκολη η ευρεία χρήση Στοκλειδί «Η μυστικότητα πρέπει να βασίζεται εξολοκλήρου στο κλειδί» A. Kerckhoff

164 Ασφαλής Κρυπτογράφηση Υπολογιστικά ασφαλής αν: Το κόστος κρυπτανάλυσης του υπερβαίνει την αξία των τελικά λαμβανόμενων πληροφοριών Ο χρόνος που απαιτείται για την κρυπτανάλυση του υπερβαίνει την ωφέλιμη διάρκεια ζωής των τελικά λαμβανόμενων πληροφοριών

165 Ασφαλής Κρυπτογράφηση Μήκος κλειδιού Πλήθος πιθανών συνδυασμών Χρόνος κρυπτανάλυσης (10.51 x Flops 1,2 ) =7.2* s =3.4* *10 18 χρόνια =6.2* *10 37 χρόνια =1.1* *10 56 χρόνια 1 Γρηγορότερος υπολογιστής (Wikipedia) 2 Υπόθεση: : 1000 Flops/συνδυασμό