Βασικές Έννοιες Δρ Σ. Βελούδης s.veloudis@gmail.com
Θεματολογία Επιθέσεις και απειλές BredoLab botnet Κόστοςεπιθέσεων Γενικές αρχές Βασικές ιδιότητες ασφάλειας Εμπιστευτικότητα Ακεραιότητα Διαθεσιμότητα
Θεματολογία Απειλές Τιείναι; Κατηγορίες Ευπάθειες Τιείναι; Κατηγορίες Μέτρα προστασίας
Γενικά Αυξανόμενη εξάρτηση από Πληροφοριακά Συστήματα (ΠΣ) Προσωπικό και κοινωνικό επίπεδο Π.χ. Οικιακές συσκευές Τραπεζικές συναλλαγές Επικοινωνίες Μεταφορές Υποδομές κοινής ωφέλειας
Γενικά Αυξανόμενη εξάρτηση από δίκτυα Η/Υ Εκρηκτική ανάπτυξη του www Καθορίζει τον (μοντέρνο) τρόπο ζωής Η ασφάλεια ΠΣ είναι πλέον (και) ευθύνη του μέσου χρήστη
Γενικά Το κόστος από πιθανές επιθέσεις μπορεί να είναι ανυπολόγιστο Οικονομικό κόστος Απειλή κατά της ανθρώπινης ζωής Απειλή κατά βασικών υποδομών Οι επιθέσεις στα ΠΣ δεν είναι θεωρητικό σενάριο!
Επιθέσεις και απειλές Wall Street Journal (18/02/2010) Hackers in Europe and China successfully broke into computers at nearly 2.500 companies and government agencies over the last 18 months in a coordinated global attack that exposed vast amounts of personal and corporate secrets to theft [ ]
Επιθέσεις και απειλές Wall Street Journal (18/02/2010) Starting in late 2008, hackers operating a command center in Germany got into corporate networks by enticing employees to click on contaminated Web sites, email attachments or ads [ ]
Επιθέσεις και απειλές Wall Street Journal (18/02/2010) This operation appears to be more farreaching, infiltrating some 75,000 computers and touching 196 countries. The highest concentrations of infected computers are in Egypt, Mexico, Saudi Arabia, Turkey and the U.S.
Επιθέσεις και απειλές
Επιθέσεις και απειλές BredoLab botnet Θεωρείται ίσως το μεγαλύτερο botnet Περίοδος δράσης: 2009 2010 30 εκατομμύρια πόροι zombie Θεωρείται πλέον εξολοθρευμένο Ο υποκινητής του υπενοικίαζε τμήματα του botnet Για να χρησιμοποιηθούν σε επιθέσεις $139000 μηνιαίο εισόδημα για τον «ιδιοκτήτη»
Επιθέσεις και απειλές
Επιθέσεις και απειλές American Thinker (01/10/2012) Hackers linked to China's government broke into one of the U.S. government's most sensitive computer networks, breaching a system used by the White House Military Office for nuclear commands [...]
Επιθέσεις και απειλές New York Times (26/11/2012) Just as the invention of the atomic bomb changed warfare and led to a race to develop new weapons and new deterrents, a new international race has begun to develop over cyberweapons and systems to protect against them.
Επιθέσεις και απειλές New York Times (26/11/2012) American intelligence officials have said that Iran was the origin of a serious wave of network attacks that crippled computers across the Saudi oil industry and breached financial institutions in the United States, episodes that contributed to a warning in mid October 2012 from Defense Secretary Leon E. Panetta that the United States was at risk of a cyber Pearl Harbor.
Επιθέσεις και απειλές Bloomberg (28/09/2012) Cyber attacks on the biggest U.S. banks, including JPMorgan Chase & Co. (JPM) and Wells Fargo (WFC) & Co., have breached some of the nation s most advanced computer defenses and exposed the vulnerability of its infrastructure, said cybersecurity specialists tracking the assaults.
Κόστος επιθέσεων Δύσκολο να υπολογιστεί Κρυφά κόστη Σύμφωνα με το World Economic Forum ( Global Risks 2012 ) Οι κυβερνοεπιθέσεις συγκαταλέγονται ανάμεσα στις μεγαλύτερες 5 απειλές παγκοσμίως
Κόστος επιθέσεων
Κόστος επιθέσεων
Γενικές αρχές Ασφάλεια πληροφοριακών συστημάτων: Προστασία ευαίσθητων αγαθών Κατηγορίεςαγαθών: Φυσικά Λογισμικό Δεδομένα Δυνατότητα παραγωγής προϊόντων / παροχής υπηρεσιών
Γενικές αρχές Θεμελιώδεις ιδιότητες ασφάλειας: Εμπιστευτικότητα (Confidentiality) Ακεραιότητα (Integrity) Διαθεσιμότητα (Availability)
Γενικές αρχές Πηγή: http://en.wikipedia.org/wiki/information_security
Εμπιστευτικότητα Πρόληψη μη εξουσιοδοτημένης αποκάλυψης πληροφοριών Πρόληψη μη εξουσιοδοτημένης ανάγνωσης Ιδιωτικότητα (privacy): προστασία προσωπικών δεδομένων
Ακεραιότητα Πρόληψη μη εξουσιοδοτημένης μεταβολής ή αλλοίωσης πληροφοριών Πρόληψη μη εξουσιοδοτημένης εγγραφής ή διαγραφής πληροφοριών
Διαθεσιμότητα Προσπελασιμότητα πληροφοριών από εξουσιοδοτημένες οντότητες Άρνηση παροχής υπηρεσίας (Denial of Service): Παρεμπόδιση εξουσιοδοτημένης προσπέλασης πληροφοριών και πόρων Καθυστέρηση κρίσιμων από πλευράς χρόνου (time critical) λειτουργιών
Απειλές ασφάλειας Τι είναι; Το ενδεχόμενο απώλειας Είδη (ανάλογα με την επίδραση): Υποκλοπή Μεταβολή (συμπεριλαμβάνει πλαστογραφία) Διακοπή
Απειλές ασφάλειας Κατηγορίες απειλών (ανάλογα με την προέλευση) Φυσικές Π.χ. φωτιά, πλημμύρα, κτλ. Ακούσιες Αστοχίες υλικού/λογισμικού (software/hardware failures) Ανθρώπινος παράγοντας: άγνοια/αδιαφορία οι κυριότερες αιτίες προβλημάτων
Απειλές ασφάλειας Κατηγορίες απειλών(συνέχεια) Εκούσιες Κακόβουλοι χρήστες (εσωτερικοί insiders ή εξωτερικοί outsiders) Εξαρτώνται από τα διατιθέμενα μέσα: γνώσεις, διαθέσιμος χρόνος, υπολογιστική ισχύ
Ευπάθειες Ευπάθεια (vulnerability) Ευάλωτο σημείο στο σύστημα Μπορεί να προκαλέσει απώλειες εάν αξιοποιηθεί από μια απειλή Σε σχέση με τις βασικές ιδιότητες της ασφάλειας Ένα σύστημα δεν μπορεί να αποδειχθεί απαλλαγμένο ευπαθειών Επίθεση (attack) Αξιοποίηση ευπαθειών
Ευπάθειες Κατηγορίες ευπαθειών Φυσικές Π.χ. κλοπές, καταστροφές/βανδαλισμοί data centre Εκφύσεως Φυσικές καταστροφές Software & hardware Π.χ. δυσλειτουργίες, ελλείψεις ελέγχων
Ευπάθειες Κατηγορίες ευπαθειών (συνέχεια) Εκπομπών (emanations) Υποκλοπές εκπεμπόμενων σημάτων Επικοινωνιών Π.χ. υποκλοπές/αλλοιώσεις μηνυμάτων Ανθρώπινες Π.χ. κοινωνική μηχανική (social engineering)
Μέτρα προστασίας Μέτρα προστασίας (αντίμετρα countermeasures) Προστασία αγαθών (assets) Είδη Φυσικά Π.χ. εγκατάσταση συστήματος πυρασφάλειας Τεχνικήςφύσης Π.χ. εγκατάσταση firewall
Μέτρα προστασίας Είδη (συνέχεια) Διαχειριστικά Π.χ. εκπαίδευση χρηστών, προσδιορισμός πολιτικής ασφάλειας
Επιπρόσθετα θέματα Εξουσιοδοτημένη χρήση (authorized use) Έλεγχος πρόσβασης (access control) Αυθεντικοποίηση μηνυμάτων Βεβαιότητα για την ταυτότητα του αποστολέα μηνύματος Μη απάρνηση (non repudiation) Βεβαιότητα ότι ο παραλήπτης έλαβε ένα μήνυμα
Επιπρόσθετα θέματα Accountability Οι χρήστες ενός συστήματος είναι υπεύθυνοι (και υπόλογοι) για τις πράξεις τους Αναγνώριση χρηστών Καταγραφή συμβάντων (logging)
Πρωτόκολλα Επικοινωνίας Σύντομη Εισαγωγή
Εισαγωγή Βασική γνώση πρωτοκόλλων επικοινωνίας απαραίτητη για την κατανόηση των firewalls
Θεματολογία Πρωτόκολλα επικοινωνίας Διαστρωμάτωση πρωτοκόλλων Οικογένειες πρωτοκόλλων Ενθυλάκωση πακέτων Πρωτόκολλο IP Σύντομηεπισκόπηση Πρωτόκολλο TCP Σύντομηεπισκόπηση
Πρωτόκολλο Επικοινωνίας Τι είναι; Σύνολο προσυμφωνημένων κανόνων για την ανταλλαγή δεδομένων μέσω δικτύου, και επομένως την επικοινωνία, μεταξύ (υπολογιστικών) πόρων
Διαστρωμάτωση Το πρόβλημα της επικοινωνίας μεταξύ δύο (ή περισσότερων) πόρων στο Διαδίκτυο είναι πολύπλοκο Για την αποδοτικότερη επίλυση του, υποδιαιρείται σε επιμέρους υπό προβλήματα Το κάθε ένα αφορά σε συγκεκριμένο (και απλούστερο) κομμάτι του συνολικού προβλήματος
Διαστρωμάτωση Παράδειγμα: Ένα επιμέρους υπό πρόβλημα είναι η αξιοπιστία της επικοινωνίας Άλλο επιμέρους υπό πρόβλημα είναι ο τρόπος με τον οποίο κωδικοποιούνται τα bits για την αποστολή τους Μέσωτουκαλωδίουδικτύωσης
Διαστρωμάτωση Ένα πρωτόκολλο επικοινωνίας: Δεν αποπειράται να καθορίσει συνολικά την μεταξύ πόρων επικοινωνία Σκοπό έχει τον επακριβή καθορισμό των λειτουργιών που επιλύουν ένα επιμέρους υπόπρόβλημα
Διαστρωμάτωση Παράδειγμα: Το πρωτόκολλο TCP είναι υπεύθυνο για την αξιοπιστία της επικοινωνίας Το πρωτόκολλο IEEE 802.3 (Ethernet) καθορίζει (ανάμεσα σε άλλα) την κωδικοποίηση των bits σε μορφή ηλεκτρικών σημάτων
Οικογένειες πρωτοκόλλων Τα πρωτόκολλα αποπειρώνται να καθορίσουν συνεργατικά την μεταξύ πόρων επικοινωνία Για το λόγο αυτό τα πρωτόκολλα σχεδιάζονται σε οικογένειες συλλογές πρωτοκόλλων
Οικογένειες πρωτοκόλλων Το κάθε πρωτόκολλο ανάλογα με την υπηρεσία που παρέχει, κατατάσσεται σε ένα συγκεκριμένο λογικό επίπεδο Ο οργανισμός ISO μέσω του Open Systems Interconnect (OSI) ορίζει 7 επίπεδα Η σουίτα πρωτοκόλλων TCP/IP ορίζει 4 επίπεδα
OSI
Ενθυλάκωση Πακέτων
Παράδειγμα Internet Browser Transport Internet Data Link Web Server Transport Internet Data Link
Πρωτόκολλο IP Επίπεδο Διαδικτύου Κύρια λειτουργία η μεταβίβαση και παράδοση πακέτων στον προορισμό τους Λαμβάνει πακέτα από το ανώτερο επίπεδο Προσθέτει την επικεφαλίδα IP (ενθυλάκωση) Η επικεφαλίδα IP περιέχει πληροφορίες απαραίτητες για τη μεταβίβαση των πακέτων Παραδίδει τα ενθυλακωμένα πακέτα στο κατώτερο επίπεδο
Επικεφαλίδα IPv4
Επικεφαλίδα IPv4 Πεδίο Source IP Address (32 bits): IP αποστολέα Πεδίο Destination IP Address (32 bits): IP παραλήπτη
Πρωτόκολλο TCP Παρέχει τους απαιτούμενους μηχανισμούς για αξιόπιστη επικοινωνία Είναι επιπέδου Μεταφοράς Υλοποιεί λογικές συνδέσεις για τη μεταβίβαση δεδομένων ανάμεσα στους επικοινωνούντες πόρους
Πρωτόκολλο TCP Μία σύνδεση TCP δημιουργείται ανάμεσα σε δύο εφαρμογές των επικοινωνούντων πόρων Ο ένας πόρος παίζει το ρόλο του πελάτη εκκινεί την επικοινωνία Ο άλλος πόρος παίζει το ρόλο του εξυπηρετητή
Πρωτόκολλο TCP Μία σύνδεση TCP ορίζεται μοναδικά από τις δύο απολήξεις της (sockets) Το κάθε socket είναι ένα ζεύγος (IP διεύθυνση, Αναγνωριστικό Θύρας) Αναγνωριστικό θύρας (port number): 16 bit αριθμός αναγνωρίζει την εφαρμογή στην πλευρά του εξυπηρετητή με την οποία δημιουργείται η σύνδεση
Επικεφαλίδα TCP
Firewalls Εισαγωγή
Θεματολογία Γενικά Δυνατότητες Περιορισμοί Ζητήματα σχεδίασης Πολιτικές σχεδίασης
Θεματολογία Τύποι Packet filters Circuit level gateways Application level firewalls Υβριδικάfirewalls Dual homed Gateway Screened Host Screened Subnet DMZ
Γενικά Ανάγκη σύνδεσης του επιχειρησιακού δικτύου ενός οργανισμού με το Internet Τα εσωτερικά συστήματα/πόροι γίνονται ευπρόσβλητα σε εξωτερικές επιθέσεις Ανάγκη προστασίας των εσωτερικών πόρων
Ορισμός Firewall «Συλλογή από κατάλληλα συστήματα, τοποθετημένα στο σημείο σύνδεσης της υπό προστασίας δικτυακής περιοχής με τα υπόλοιπα δίκτυα, που επιβάλλει μία προκαθορισμένη πολιτική ασφάλειας.»
Ορισμός Firewall Internet Router Firewall
Γενικά Σκοπός Προστασία των υπολογιστικών πόρων ενός οργανισμού από εξωτερικούς εισβολείς Επίτευξη Αποτροπήμηεξουσιοδοτημένηςπρόσβασης στο εσωτερικό δίκτυο Αποτροπή μη εξουσιοδοτημένης εξόδου πληροφορίας από το εσωτερικό δίκτυο
Γενικά Επίκεντρο αποφάσεων σε θέματα ασφάλειας Κεντρικό σημείο ελέγχου Απλοποίηση διαχείρισης ασφάλειας Εφαρμόζει έλεγχο προσπέλασης (access control) από και προς το δίκτυο
Δυνατότητες Δυνατότητα καταγραφής της δραστηριότητας στο δίκτυο (logging) Διευκολύνει το έργο των διαχειριστών δικτύου Δυνατότητα παροχής διαφορετικών επιπέδων προστασίας Σε διαφορετικής ευαισθησίας τμήματα του εσωτερικού δικτύου
Δυνατότητες Δυνατότητα μη απόδοσης πραγματικών IP διευθύνσεων στους εσωτερικούς προστατευόμενους πόρους Υπηρεσία ΝΑΤ (Network Address Translation) Οι εξωτερικοί χρήστες «βλέπουν» μία καθολική IP διεύθυνση Αυξάνεται το επίπεδο ασφάλειας Διευκολύνεται το πρόβλημα μη διαθεσιμότητας IP διευθύνσεων
Περιορισμοί Δεν μπορεί να προστατέψει: Μη διερχόμενες από αυτό συνδέσεις Από εσωτερικές επιθέσεις Από επιθέσεις τύπου Social Engineering (Κοινωνική Μηχανική) Απαραίτητη η εκπαίδευση των χρηστών Από πρωτοφανείς απειλές
Περιορισμοί Εν δυνάμει προκαλεί: Δυσαρέσκειαχρηστών Μειωμένηευχρηστία Μειωμένηδιαδικτύωση
Ζητήματα Σχεδίασης Υλοποιεί μέρος της ευρύτερης πολιτικής ασφάλειας Καθορίζει πρόσβαση σε υπηρεσίες μέσω διαδικτύου Χρηστικότητα Ισορροπία μεταξύ ασφάλειας και χρηστικότητας Εκτίμηση απειλών
Ζητήματα Σχεδίασης Εκτίμηση απώλειας/κόστους Εκτίμηση της επίδρασης εξωτερικών εισβολών στο σύστημα Τύπος του αναχώματος ασφάλειας Ανάλογα με τις ανάγκες που πρέπει να καλυφθούν
Πολιτική Πρόσβασης στο Δίκτυο Υψηλού επιπέδου πολιτική ασφάλειας Προσδιορίζει: Σε ποιες υπηρεσίες απαγορεύεται η πρόσβαση μέσω διαδικτύου Σε ποιες υπηρεσίες (services) επιτρέπεται η πρόσβαση μέσω διαδικτύου Τι είδους πρόσβαση (πώς χρησιμοποιούνται οι υπηρεσίες); Σε ποιους χρήστες;
Πολιτική Πρόσβασης στο Δίκτυο Παραδείγματα: Επιτρέπεται η πρόσβαση στον Web server του οργανισμού Επιτρέπονται μόνο ασφαλείς συνδέσεις (ως προς την εμπιστευτικότητα, ακεραιότητα και αυθεντικοποίηση) στον Web server του οργανισμού
Πολιτική Σχεδίασης Firewall Χαμηλού επιπέδου πολιτική ασφάλειας Περιγράφει τους τρόπους με τους οποίους το firewall επιβάλλει τους περιορισμούς που καθορίζει η Πολιτική Πρόσβασης στο Δίκτυο
Πολιτική Σχεδίασης Firewall Παραδείγματα: Επιτρέπεται η πρόσβαση στον Web server τουstate οργανισμού state NEW,ESTABLISHED j ACCEPT Επιτρέπονται μόνο ασφαλείς συνδέσεις (ωςstate προς state την εμπιστευτικότητα, NEW,ESTABLISHED j ACCEPT ακεραιότητα και αυθεντικοποίηση) στον Web server του οργανισμού iptables A INPUT i eth0 p tcp dport 80 m iptables A INPUT i eth0 p tcp dport 443 m
Πολιτικές Σχεδίασης Firewall Πολιτική προκαθορισμένης άδειας χρήσης: Επιτρέπεται κάθε υπηρεσία, εκτός αν έχει ρητά απαγορευθεί Πολιτική προκαθορισμένης απαγόρευσης χρήσης Απαγορεύεται κάθε υπηρεσία, εκτός αν έχει ρητά επιτραπεί Προτεινόμενη συνήθως πολιτική
Packet Filters Σχετικά απλές συσκευές δρομολογητές (routers) με αυξημένες δυνατότητες Βρίσκονται στην περιφέρεια του δικτύου Είναι επιπέδου Δικτύου/Μεταφοράς φιλτράρουν πακέτα βάσει: IP Διευθύνσεων (αποστολέα παραλήπτη) Αριθμώνθύρας
Packet Filters Πλεονεκτήματα Ταχύτητα Υλοποίηση μέσω ASICs Διαφανείς στους χρήστες Μειωμένοκόστος Εύκολη εγκατάσταση
Packet Filters Μειονεκτήματα Κάθε πακέτο εξετάζεται μεμονωμένα (stateless) Δεν υπάρχει δυνατότητα αναγνωρισμού ροών (πακέτων της ίδιας σύνδεσης) Μειωμένες δυνατότητες / μειωμένη ασφάλεια Δεν παρέχουν μηχανισμούς αυθεντικοποίησης χρήστη
Packet Filters Παραδείγματα: Εμπόδισε όλα τα εισερχόμενα πακέτα εκτός από αυτά που προορίζονται για τον Web Server (αριθμός θύρας 80) Εμπόδισε όλα τα εισερχόμενα πακέτα εκτός από αυτά που προέρχονται από τον απομακρυσμένο πόρο 12.34.56.78
Circuit-level Gateways Το φιλτράρισμα γίνεται στο επίπεδο των TCP συνδέσεων (όχι των πακέτων) Λειτουργούν ως πληρεξούσιοι (proxies) TCP συνδέσεων: Αναλαμβάνουν να διεκπεραιώσουν τη δημιουργία μιας TCP σύνδεσης εξ ονόματος του προστατευόμενου πόρου Επιτρέπουν πακέτα που ανήκουν μόνο σε ενεργές συνδέσεις
Circuit-level Gateways Επιτρέπουν τη δημιουργία μιας σύνδεσης βάσει: Διευθύνσεων IP Αριθμώνθύρας Άλλων παραμέτρων Ώρα και ημερομηνία Χρησιμοποιούμενο πρωτόκολλο Όνομα χρήστη και συνθηματικό
Circuit-level Gateways Αποθηκεύουν πληροφορίες για τα πακέτα που διακινούν Αποθηκεύουν λεπτομέρειες για τις TCP συνδέσεις που εγκαθίστανται από τους προστατευόμενους πόρους Αριθμούς θύρας Σειριακούς αριθμούς πακέτων κτλ
Circuit-level Gateways Δυνατότητα αναγνωρισμού ροών (πακέτων της ίδιας TCP σύνδεσης) Δυνατότητα αποκλεισμού πακέτων μη εντασσόμενων σε γνωστές ροές
Circuit-level Gateways Πλεονεκτήματα Αποκρύπτουν τους προστατευόμενους πόρους από το εξωτερικό δίκτυο Επιτρέπουν τη λειτουργία NAT Σχετικά ταχείς Μειονεκτήματα Αδυνατούν να ελέγξουν το περιεχόμενο μιας επικοινωνίας
Παράδειγμα Web Server Internet
Application-level level Gateways Επιπέδου εφαρμογής Υλοποιείται προγραμματιστικά σε συγκεκριμένo πόρο (host based firewalls) O υπολογιστής αυτός αναφέρεται ως υπολογιστής έπαλξη (bastion host) Σημείο επικοινωνίας του εσωτερικού με το εξωτερικό δίκτυο
Application-level level Gateways Πληρεξούσιος εξυπηρετούμενος Εσωτερικός φορέας Εσωτερικό Δίκτυο Ανάχωμα ασφάλειας Firewall Πληρεξούσιος εξυπηρέτης Πραγματικός εξυπηρέτης Διαδίκτυο Internet Εξωτερικός φορέας
Application-level level Gateways Δεν επιτρέπει απευθείας σύνδεση εξωτερικών πόρων με εσωτερικούς προστατευόμενους πόρους Δεν επιτρέπει τη μεταφορά πακέτων από/προς το προστατευόμενο δίκτυο Οι εξωτερικοί πόροι συνδέονται με εφαρμογές ειδικού σκοπού στον bastion host τις πληρεξούσιες εφαρμογές (proxy applications/services)
Application-level level Gateways Οι πληρεξούσιες εφαρμογές κρίνουν εάν θα προωθηθούν τα πακέτα από το εξωτερικό δίκτυο στο εσωτερικό Εξετάζουν το περιεχόμενο (και όχι μόνο την επικεφαλίδα) του κάθε πακέτου Deep packet inspection Απαιτείται γνώση της εφαρμογής που αρχικά παρήγαγε το πακέτο
Application-level level Gateways Πλεονεκτήματα: Ασφαλείς Παρέχουν αποτελεσματικότερο έλεγχο προσπέλασης Μπορούν να εντοπίσουν πακέτα που περιέχουν ιούς Υποστηρίζουν τη λειτουργία NAT Παρέχουν πληρέστερη καταγραφή συμβάντων
Application-level level Gateways Μειονεκτήματα: Αργοί Δεν είναι πάντοτε διαφανείς ως προς τους χρήστες Αυξημένοκόστος Δυσκολότερη εγκατάσταση Απαιτείται μια πληρεξούσια εφαρμογή για κάθε υποστηριζόμενη υπηρεσία Πρακτικά δύσκολο να επιτευχθεί
Υβριδικά Firewalls Συνδυάζουν ελέγχους επιπέδου δικτύου και εφαρμογής Τα λαμβανόμενα πακέτα: Υπόκεινται πρώτα σε έλεγχο επιπέδου δικτύου, συνεπώς: είτε απορρίπτονται είτε προωθούνται προς τον προορισμό τους Μπορούν επίσης να σταλούν σε πληρεξούσια υπηρεσία για περαιτέρω επεξεργασία
Υβριδικά Firewalls Πολύ καλό επίπεδο ασφάλειας Αυξημένο κόστος υλοποίησης Τρειςκύριεςαρχιτεκτονικέςυβριδικών αναχωμάτων ασφάλειας: Dual homed Gateway Screened Host Screened Subnet
Dual-homed Gateway Υπηρεσίες στους χρήστες παρέχονται μόνο διαμέσου πληρεξούσιων εφαρμογών στον υπολογιστή ελεγκτή Dual homed gateway Internet Εσωτερικό Δίκτυο
Dual-homed Gateway Βασίζεται στην ύπαρξη υπολογιστήελεγκτή με δύο διεπαφές δικτύου: Μία για το εσωτερικό (ασφαλές) δίκτυο Μία για το εξωτερικό, δυνητικά εχθρικό, δίκτυο Τα δύο δίκτυα δεν έρχονται σε άμεση επαφή Όλα τα εισερχόμενα/εξερχόμενα πακέτα περνάνε από τον υπολογιστή ελεγκτή
Dual-homed Gateway Κύρια πλεονεκτήματα: Μικρό κόστος υλοποίησης Αυξημένο επίπεδο παρεχόμενης ασφάλειας Κύριο μειονέκτημα: Η αρχιτεκτονική στηρίζεται σε μοναδικό σημείο δυνητικής αποτυχίας (single point of failure) τον υπολογιστή ελεγκτή
Screened Host Screened Router Internet Εσωτερικό Δίκτυο Bastion Host
Screened Host Βασίζεται σε έναν bastion host ο οποίος συνδέεται μόνο με το εσωτερικό (ασφαλές) δίκτυο Μια διεπαφή Κάνει χρήση router
Screened Host Στον bastion host εκτελούνται πληρεξούσιες εφαρμογές Όλη η κίνηση προς/από τις εφαρμογές αυτές ελέγχεται υποχρεωτικά από τον bastion host Όλη η υπόλοιπη κίνηση δρομολογείται απευθείας από το router Το router λειτουργεί ως ένα απλό packet filter
Screened Host Κύρια πλεονεκτήματα: Μικρό κόστος υλοποίησης Περισσότερη ευελιξία και δυνητικά καλύτερες επιδόσεις από το dual homed gateway Δεν υπάρχει μοναδικό σημείο δυνητικής αποτυχίας (single point of failure) Κύριο μειονέκτημα: Χαμηλότερο επίπεδο ασφάλειας από το dualhomed gateway
Screened Subnet Screened Subnet Internet Εσωτερικός router Εξωτερικός router Εσωτερικό Δίκτυο Bastion Host
Screened Subnet Προσθέτει ένα παραπάνω επίπεδο προστασίας στην αρχιτεκτονική screened host O bastion host δεν αποτελεί πλέον μέρος του εσωτερικού δικτύου Συνδέεται σε ένα περιμετρικό απομονωμένο δίκτυο μεταξύ του εσωτερικού και εξωτερικού δικτύου Το περιμετρικό δίκτυο δημιουργείται από δύο routers
Screened Subnet Προσφέρει μεγαλύτερη ασφάλεια Σε περίπτωση κατάληψης του bastion host Ο bastion host έχει εγκατεστημένους πληρεξούσιους servers Όλη η κίνηση προς/από τους server αυτούς ελέγχεται υποχρεωτικά από τον bastion host Όλη η υπόλοιπη κίνηση δρομολογείται απευθείας από το router
Screened Subnet Ο εσωτερικός router λειτουργεί ως packet filter Προστατεύει το εσωτερικό δίκτυο από το περιμετρικό δίκτυο Ο εξωτερικός router λειτουργεί ως packet filter Προστατεύει το περιμετρικό δίκτυο από το εξωτερικό δίκτυο
DMZ Demilitarized Zone Δημιουργεί ένα περιμετρικό δίκτυο στο οποίο είναι συνδεδεμένοι servers που πρέπει να είναι προσβάσιμοι από το εξωτερικό δίκτυο, π.χ.: Web server Mail server FTP server κτλ.
DMZ DMZ Εσωτερικό Δίκτυο Firewall Internet
DMZ Τα πακέτα που διακινούνται ανάμεσα στο περιμετρικό δίκτυο και το εσωτερικό δίκτυο ελέγχονται Για περισσότερη ασφάλεια ενδέχεται να ελέγχονται και τα πακέτα που διακινούνται ανάμεσα στο εξωτερικό και περιμετρικό δίκτυο
DMZ DMZ Firewall Εσωτερικό Δίκτυο Firewall Internet
NAT Σύντομη Εισαγωγή
Θεματολογία Εισαγωγή Ορισμός Είδη Λειτουργία NAT/PAT
Εισαγωγή Οποιοσδήποτε πόρος συνδέεται στο Internet αναγνωρίζεται μοναδικά από μια IP διεύθυνση Κι όμως, συχνά βλέπουμε οι συνδεδεμένοι πόροι να έχουν IP 192.168.1.1 (ή κάτι παρόμοιο...)
Εισαγωγή Οι IP αυτές δεν είναι πραγματικές Είναι ιδιωτικές IP που χρησιμοποιούνται για αναγνώριση πόρων εντός ενός LAN Δεν μπορούν να χρησιμοποιηθούν στο Internet Ιδιωτικές IP: 10.0.0.0 10.255.255.255 172.16.0.0 172.31.255.255 169.254.0.0 169.254.255.255 192.168.0.0 192.168.255.255
Εισαγωγή Γιατί συμβαίνει αυτό; Περισσότερη ασφάλεια στο LAN Οικονομία στις IP διευθύνσεις
NAT Τι είναι; Τεχνολογία που επιτρέπει την αλλαγή της IP διεύθυνσης ενός πακέτου πριν αυτό δρομολογηθεί στο Internet Συνηθέστερη μορφή: η αλλαγή της IP διεύθυνσης αποστολέα
Είδη NAT Στατικό Δυναμικό Δυναμικό με Port Address Translation (PAT) Ηπιοεξελιγμένημορφή
NAT/PAT Web Server 82.13.24.56 Internet 192.168.1.1 201.43.23.116
NAT/PAT 201.43.23.116 Src PN: 100 Dest PN: 80 IP Data TCP Src IP: 201.43.23.116 Dest IP: 82.13.24.56 (192.168.1.1:3046 201.43.23.116:100), 82.13.24.56:80
NAT/PAT Web Server Internet
NAT/PAT Src PN: 80 Dest PN: 3046 201.43.23.116 IP Data TCP Src IP: 82.13.24.56 Dest IP: 192.168.1.1 (192.168.1.1:3046 201.43.23.116:100), 82.13.24.56:80
NAT/PAT Web Server Internet
NAT Οικονομία στις IP Μία πραγματική IP για ολόκληρο το εσωτερικό δίκτυο Ασφάλεια Το firewall προωθεί στο εσωτερικό δίκτυο πακέτα γνωστών μόνο ροών Που έχουν δημιουργηθεί από αιτήματα εσωτερικών πόρων
IDS & IPS Βασικές Αρχές
Θεματολογία Ορολογία Είδη τρόποι λειτουργίας Signature based Anomaly based Network IDS Wireless Host IDS Προβλήματα Honeypots
Ορολογία Εισβολή Σύνολο δράσεων με στόχο την απώλεια της ακεραιότητας, εμπιστευτικότητας, διαθεσιμότητας ενός πόρου Ανίχνευση Εισβολής Εντοπισμός μιας εισβολής και επακόλουθη αντίδραση
Ορολογία Συστήματα Ανίχνευσης Εισβολής (IDS) S/W ή/και H/W παρακολούθησης και ανάλυσης συμβάντων Εντοπίζει ίχνη παραβιάσεων Συστήματα Πρόληψης Εισβολής (IPS): Επέκταση της ανίχνευσης εισβολών με μηχανισμούς ελέγχου προσπέλασης
Κύριες Λειτουργίες Παρακολούθηση και ανάλυση συμβάντων Καταγραφή δεδομένων για συμβάντα Ειδοποίηση των διαχειριστών ασφάλειας Για σημαντικά συμβάντα Δημιουργία αναφορών Τα IPS επιπροσθέτως αποπειρώνται να προλάβουν μια απειλή
Είδη IDS Signature based IDS Ανιχνεύουν προκαθορισμένα μοτίβα επιθέσεων στο σύστημα Anomaly based IDS: Ανιχνεύουν μη κανονικότητες στις δραστηριότητες στο σύστημα
Είδη IDS Network IDS Ανιχνεύουν μη αποδεκτές συμπεριφορές στην κίνηση ενός δικτύου Host IDS: Ανιχνεύουν παραβιάσεις στην πολιτική ασφάλειας που διέπει έναν υπολογιστικό πόρο
Χαρακτηριστικά IDS Audit Source Μέθοδος Χρήση Αντίδραση Πόρος Δίκτυο Knowledge based Behaviour based Σποραδική Συνεχής Παθητική Ενεργητική
Signature-based IDS Υπογραφή Μοτίβο γνωστής επίθεσης Αποθηκεύεται σε βάση δεδομένων Signature based Detection Σύγκριση υπογραφών με το περιεχόμενο πακέτων για αναγνώριση επιθέσεων
Signature-based IDS Παράδειγμα: Ενεργοποίηση συναγερμού αν εντοπισθεί πακέτο Με οποιαδήποτε IP διεύθυνση προορισμού/αποστολέα Πρωτοκόλλου IPv4 Με αριθμό θύρας προορισμού 12345 Με την λέξη significant στο περιεχόμενο
Signature-based IDS Αποτελεσματικά στον εντοπισμό γνωστών απειλών Μη αποτελεσματικά στον εντοπισμό άγνωστων απειλών αλλά και παραλλαγών γνωστών απειλών Π.χ. αλλαγή της λέξης από significant σε important
Anomaly-based IDS Ορισμοί «κανονικής δραστηριότητας» Αποθηκεύονται σε βάση δεδομένων ως «προφίλ» (profiles) Συγκρίνονται με πραγματοποιηθέντα συμβάντα Εντοπισμός ακολουθιών συμβάντων που αποκλίνουν σημαντικά από την «κανονική δραστηριότητα» Χρήση στατιστικών μεθόδων
Anomaly-based IDS Παραδείγματα κριτηρίων «κανονικής δραστηριότητας»: Αριθμός χαρακτήρων στο όνομα χρήστη (π.χ. όχι πάνω από 40) Μέσος φόρτος χρήσης CPU Μέσος φόρτος χρήσης RAM Μέσος όρος διάρκειας ενός FTP ή Telnet session Μέσος όγκος πληροφορίας που διακινείται σε ένα session
Anomaly-based IDS Παραδείγματα κριτηρίων (συνέχεια): Μέσος όρος συνδεδεμένων χρηστών σε συγκεκριμένες ώρες και από συγκεκριμένες τοποθεσίες Ώρες διεξαγωγής συγκεκριμένων δραστηριοτήτων
Anomaly-based IDS Τα προφίλ δημιουργούνται σταδιακά Παρακολουθώντας για συγκεκριμένο χρονικό διάστημα τη δραστηριότητα στο σύστημα Στάδιο εκπαίδευσης του IDS Τα Anomaly based IDS είναι αποτελεσματικά απέναντι σε άγνωστες επιθέσεις
Specification-based Detection Κωδικοποιεί απαιτήσεις που η πολιτική ασφάλειας επιβάλλει Π.χ. «ο χρήστης sv76 επιτρέπεται να συνδεθεί στοδίκτυοαπότονπόροdias» Εντοπίζει αποκλίσεις στην παρατηρούμενη συμπεριφορά από τις κωδικοποιημένες απαιτήσεις
Specification-based Detection Υπέρ Μπορεί να εντοπίσει μεγάλο εύρος επιθέσεων (γνωστών ή μη) Μπορεί να λειτουργεί είτε βάσει γνωστών signatures είτε εντοπίζοντας μη κανονικότητες Κατά: Δημιουργία, κωδικοποίηση και συνεχή ενημέρωση (διαχείριση) απαιτήσεων του συστήματος
Network IDS (NIDS) Παρακολουθεί ροές πακέτων στο εσωτερικό δίκτυο Αλλά και ροές εισερχομένων και εξερχομένων πακέτων Ομοιότητα με firewalls; Σκοπός ο εντοπισμός: Μη κανονικοτήτων Μορφώνmalware Παραβιάσεων της πολιτικής ασφάλειας ΕπιθέσεωνDDoS
Network IDS (NIDS) Βασίζεται στην ανάλυση της συμπεριφοράς του δικτύου (Network Behaviour Analysis NBA) Επεξεργάζεται και καταγράφει ύποπτα πακέτα Παθητικός ρόλος: Απλή καταγραφή συμβάντων Ειδοποίηση διαχειριστών ασφάλειας
NIDS Τοποθέτηση Internet IDS Sensor IDS Console IDS Management & Database Server
NIDS Πρόσθετη Ορολογία IDS Sensor Παρακολουθεί την υπό εξέλιξη δραστηριότητα IDS Management Server Δέχεται και επεξεργάζεται πληροφορία από τους sensors Συνδυάζει πληροφορίες από διάφορους sensors (correlation)
NIDS Πρόσθετη Ορολογία IDS Database Server Αποθηκεύει δεδομένα από τους sensors και τους Management Servers Console Γραφικό περιβάλλον για τη χρήση του IDS
NIDS Πρόσθετη Ορολογία
NIDS Παράδειγμα SNORT Ανοιχτό λογισμικό Παράδειγμα κανόνα: alert tcp any any -> 192.168.1.0/24 111 (content:" 00 0186 a5 "; msg: "mountd access";)
Wireless IDS (WIDS) Παρακολουθεί ροές πακέτων σε ασύρματα δίκτυα Εντοπίζει: Εχθρικά wireless access points (WAPs) Επιθέσεις DoS σε WAPs Δεν εντοπίζει ύποπτη δραστηριότητα σε πρωτόκολλα ανώτερου επιπέδου διαστρωμάτωσης Π.χ. επιπέδου εφαρμογής ή μεταφοράς
Host-based IDS (HIDS) Παρακολουθεί το ΛΣ και τις υπό εκτέλεση εφαρμογές σε συγκεκριμένο υπολογιστικό πόρο Σκοπός ο εντοπισμός: Μη κανονικοτήτων Μη αποδεκτής συμπεριφοράς Χρησιμοποιεί συνδυασμό από: Προκαθορισμέναμοτίβαεπιθέσεων Κανόνες
HIDS Παράδειγμα: : OSSEC Ανοιχτό λογισμικό Παρέχει: Ανάλυση αρχείων καταγραφής (log analysis) Έλεγχο ακεραιότητας αρχείων Ειδοποιήσεις σε πραγματικό χρόνο Ενεργητική απόκριση
HIDS Παράδειγμα: : OSSEC Παράδειγμα αρχείου καταγραφής SSH: May 21 20:22:28 slacker sshd[21487]: Failed password for root from 192.168.20.185 port 1045 ssh2 ProFTPD: May 21 20:21:21 slacker proftpd[25530] proftpd.lab.ossec.net (192.168.20.10[192.168.20.10]): no such user dcid-inv Apache: 127.0.0.1 - - [28/Jul/2006:10:27:32-0300] "GET /hidden/ HTTP/1.0" 404 7218
NIDS vs HIDS Είδος IDS Υπέρ Κατά HIDS NIDS Συγκεκριμένο για ένα σύστημα Δεν επηρεάζεται από το φόρτο στο δίκτυο και από κρυπτογραφημένα πακέτα Προστατεύει όλους τους πόρους στο δίκτυο Ανεξάρτητο από ΛΣ και H/W Αποτελεσματικό σε επιθέσεις Απάρνησης Υπηρεσίας (Denial of Service Εξαρτάται από το εγκατεστημένο ΛΣ και H/W Μειώνει την απόδοση του πόρου Αυξημένο κόστος Δύσκολο να παρακολουθεί όλα τα διακινούμενα πακέτα Μη αποτελεσματικό απέναντι σε κρυπτογραφημένα πακέτα
False Positives/Negatives H «αχίλλειος πτέρνα» των IDS False Positives Λανθασμένος εντοπισμός προβλήματος Παράγεται άχρηστη πληροφορία και λανθασμένος συναγερμός False Negatives Το IDS αποτυγχάνει να εντοπίσει ένα πρόβλημα Ελαχιστοποίηση false positives και negatives
IDS vs IPS Είδος IDS Υπέρ Κατά IDS ΙPS Δεν καθυστερεί την κίνηση πακέτων στο δίκτυο Τυχόν βλάβες ή υπερφόρτωση του Sensor δεν επηρεάζει το δίκτυο Αποτρέπει επιθέσεις Δεν μπορεί να αποτρέψει μια επίθεση Δύσκοληηεπίτευξη ιδανικής ρύθμισης Απαιτεί ύπαρξη πολιτικής ασφάλειας Επηρεάζει την λειτουργία του δικτύου Δύσκοληηεπίτευξη ιδανικής ρύθμισης Απαιτεί ύπαρξη πολιτικής ασφάλειας
Honeypot Servers που λειτουργούν παραπλανητικά (ως παγίδες) Τοποθετούνται για να γίνουν στόχοι επιθέσεων Παρουσιάζονται ως μέρος του συστήματος Στην πραγματικότητα είναι αυτόνομοι servers Η εισερχόμενη κίνηση παρακολουθείται
Honeypot Συλλογή πληροφοριών για τη συμπεριφορά επίδοξων εισβολέων: Παρέχουν στοιχεία για το πώς πραγματοποιούνται επιθέσεις Παρέχουν στοιχεία που μπορούν να χρησιμοποιηθούν για τη δικαστική εκδίωξη των δραστών
Honeypot Με τη χρήση εικονικών μηχανών, πολλαπλά Honeypots μπορούν να εκτελούνται στον ίδιο πόρο Consolidation Μειώνει το κόστος πολλαπλών Honeypots σε διαφορετικές φυσικές μηχανές
Κλασσική & Συμμετρική Κρυπτογραφία Εισαγωγή
Θεματαλογία Βασικές έννοιες Ασφαλής κρυπτογράφηση Κλασσική κρυπτογραφία Αλγόριθμοι απλής αντικατάστασης Αλγόριθμοι ομοφωνικής αντικατάστασης Αλγόριθμοι πολυαλφαβητικής αντικατάστασης
Θεματαλογία Συμμετρία Αλγόριθμοι Δέσμης DES (;) ΑλγόριθμοιΡοής Διαχείριση κλειδιών
Σκοπός της κρυπτογραφίας Εμπιστευτικότητα Ακεραιότητα Μη απάρνηση Πιστοποίηση
Βασικές Έννοιες Κρυπτολογία Κρυπτογραφία Κρυπτανάλυση Κρυπτογράφηση Αποκρυπτογράφηση
Βασικές Έννοιες Κρυπτογράφηση Αρχικό Μήνυμα Κρυπτογράφημα Αποκρυπτογράφηση Αρχικό Μήνυμα Κρυπτογράφημα
Βασικές Έννοιες Απαιτούνται: Αρχικόμήνυμα( ) Αλγόριθμος Κρυπτογράφησης (Ε) Αποκρυπτογράφησης (D) Κλειδί( ) Μετριέται σε bits Παράγεται το κρυπτογράφημα ( )
Βασικές Έννοιες Κρυπτογράφηση Κωδικοποίηση Κρυπτογράφηση (encryption/encipherment): Διαδικασία μετασχηματισμού μηνύματος σε ακατανόητη μορφή Κωδικοποίηση (encoding): Αναπαράσταση πληροφορίας σε διαφορετική μορφή
Βασικές Έννοιες Η ασφάλεια ενός κρυπτογραφικού αλγόριθμου βασίζεται: Στη μυστικότητα της λειτουργίας του αλγόριθμου Restricted algorithm Δύσκολη η ευρεία χρήση Στοκλειδί «Η μυστικότητα πρέπει να βασίζεται εξολοκλήρου στο κλειδί» A. Kerckhoff
Ασφαλής Κρυπτογράφηση Υπολογιστικά ασφαλής αν: Το κόστος κρυπτανάλυσης του υπερβαίνει την αξία των τελικά λαμβανόμενων πληροφοριών Ο χρόνος που απαιτείται για την κρυπτανάλυση του υπερβαίνει την ωφέλιμη διάρκεια ζωής των τελικά λαμβανόμενων πληροφοριών
Ασφαλής Κρυπτογράφηση Μήκος κλειδιού Πλήθος πιθανών συνδυασμών Χρόνος κρυπτανάλυσης (10.51 x 10 15 Flops 1,2 ) 56 2 56 =7.2*10 16 399s 128 2 128 =3.4*10 38 1.02*10 18 χρόνια 192 2 192 =6.2*10 57 1.872*10 37 χρόνια 256 2 256 =1.1*10 77 3.31*10 56 χρόνια 1 Γρηγορότερος υπολογιστής (Wikipedia) 2 Υπόθεση: : 1000 Flops/συνδυασμό