Sigurnost varazdin
-
Upload
agencija-za-odgoj-i-obrazovanje-education-and-teacher-training-agency -
Category
Documents
-
view
926 -
download
4
Transcript of Sigurnost varazdin
Sigurnost na InternetuBranko Mažar
Odjel za računalnu sigurnostCARNet
Sadržaj
• Uvod• Internetske usluge • Aktualni trendovi i statistike• Analiza prisutnih problema na Internetu i
načini učinkovite zaštite• Računalo u školi - kako osigurati računalnu
mrežu• Sigurnosna politika - potreba donošenja pravila
prihvatljivog ponašanja kao preduvjet sigurne računalne mreže
Uvod
• Veliki broj korisnika Interneta i sve veći broj usluga• U svakom trenutku je prisutno nekoliko
milijuna korisnika na Internetu• Nepažljivim korištenjem računala moguće
je ugroziti druge korisnike pa čak i počiniti kazneno djelo
• Briga o sigurnosti svojih računala briga je i o sigurnosti drugih korisnika Interneta
Uvod
• Internet – globalna računalna mreža
• Nastao na temeljima mreže ARPANET, američke računalne mreže pokrenute 1969. godine
• 2009. godine zabilježeno je 1,67 milijardi aktivnih korisnika
• Distribuirana arhitektura, ne postoji centralna kontrola Interneta
• Mnoštvo sadržaja i načina komunikacije
Internetske usluge
• Informacija: WWW (World Wide Web)• Komunikacija: e-mail, IM, VoIP, news• Razmjena datoteka: FTP, Torrent• Društvene mreže: Facebook, MySpace
World Wide Web
• Najraširenija usluga na Internetu
• Skup hipertekst dokumenata smještenih na poslužiteljima kojima se pristupa korištenjem hiperlinkova• Dokumenti mogu sadržavati
tekst, slike, glazbu, itd. • Web stranice – hipertekst
dokumenti • Svaki hiperlink omogućuje
pristup pojedinoj web stranici
Komunikacija na Internetu
• E-mail – usluga razmjene poruka elektroničke pošte• Outlook Express, Thunderbird• Webmail: CARNet webmail, Gmail, Yahoo…
• Instant Messaging – razmjena tekstualnih poruka i datoteka u stvarnom vremenu• Skype, Yahoo! Messanger, ICQ…
Društvene mreže
• Društvene mreže čine pojedinci međusobno povezani nekim interesom• Prijateljstvo, uvjerenja, hobi, posao, škola
• Povezanost se uglavnom ostvaruje putem web stranica
• Najpopularnije društvene mreže su Facebook i MySpace
Trenutno sanje • Veliki broj elektroničkih uređaja s mogućnostima povezivanja i IP komunikacije– Foto aparati, mobiteli,
digitalne kamere, prijenosna računala
• Rastući broj komunikacijskih tehnologija – GSM, GPRS, UMTS,
WiMAX, xDSL, FTTH• Veliki broj dostupnih e-
commerce usluga • Sve veći broj korisnika
Aktualni trendovi
• Izvori sigurnosnih problema• Ilegalni poslužitelji • Aktualni oblici napada• Geografska rasprostranjenost napada• Pokazatelji za naredno razdoblje
Izvori problema
• Predvode zemlje s najrazvijenijom informacijskom infrastrukturom i najvećim brojem korisnika Interneta
• Veliki utjecaj zastupljenosti broadband tehnologija kod kućnih korisnika (xDSL, kabel, WiMAX)
• 31% svih oblika napada dolazi iz Sjedinjenih Američkih Država
• 10% napada – Kina
Izvori problema
Načini izvođenja ilegalnih radnji• Udaljeno kontrolirana osobna računala i ilegalni poslužitelji• Ilegalni poslužitelji:• Udomljavanje lažiranih web stranica, pohranjivanje i
razmjena ukradenih podataka, razmjena malicioznog koda, informacija o propustima te pokretanje napada
• Korištenjem tehnika anonimiziranja vrlo se teško detektiraju• Najtraženiji podaci:• Brojevi kreditnih i debitnih kartica• Korisnička imena i zaporke• Programske ranjivosti
• Prema procjeni Symanteca, 86% kreditnih i debitnih kartica dostupnih na crnom tržištu izdano je od strane banaka u SAD-u
Ciljevi napada
• Većina napada se izvodi putem kompromitiranih sustava• širokopojasni pristup Internetu kućnih korisnika (ADSL,
kabelski pristup …)• kompromitirane mreže pojedinih organizacija
• Akademska i obrazovna zajednica je pri vrhu ciljeva napada• Razlozi: veliki broj korisnika, slobodnije sigurnosne
postavke – lakša zloupotreba sustava• Mreže obrazovnih ustanova nisu krajnji cilj napada
već se kompromitirana računala koriste za izvođenje daljnjih napada
Kompromitirano računalo
• Napadačima nije u interesu onesposobiti kompromitirano računalo
• Najčešće postaje dio botneta – mreže zaraženih računala pod kontrolom napadača
• Koristi se za daljnje izvođenje napada• Širenje spama,
kompromitacija drugih računala u lokalnoj mreži te daljnje širenje zlonamjernog koda
Primjer iz prakse: Zaraženo računaloReturn-Path: <[email protected]>Received: from rly-dc08.mx.aol.com (rly-dc08.mail.aol.com[172.19.136.37]) by air-dc03.mail.aol.com (v121_r2.12) with ESMTP idMAILINDC034-b3848bcdcfb3d7; Tue, 02 Sep 2008 02:28:26 -0400Received: from skola(skola-za-primjer-prijave-incidenta.skole.carnet.hr[193.198.112.256]) by rly-dc08.mx.aol.com (v121_r2.11) with ESMTP idMAILRELAYINDC084-b3848bcdcfb3d7; Tue, 02 Sep 2008 02:28:12 -0400Message-ID: 015601c90cc5$110f3630$3128ac0a@skolaFrom: "Juliette Jacob" <[email protected]>Subject: Buy ViagraDate: Tue, 2 Sep 2008 08:27:53 -0100MIME-Version: 1.0Content-Type: text/plain;
format=flowed;charset="iso-8859-1";reply-type=original
Content-Transfer-Encoding: 7bitX-Priority: 3X-MSMail-Priority: NormalX-Mailer: Microsoft Outlook Express 6.00.2800.1106X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106X-AOL-IP: 193.198.112.256X-AOL-SCOLL-AUTHENTICATION: listenair ; SPF_helo : nX-AOL-SCOLL-AUTHENTICATION: listenair ; SPF_822_from : n
Primjer iz prakse: Promet sa zaraženog računala
Date flow start Duration Prot Src IP:Port Dst IP:Port Pkts Bytes Flows 2008-09-01 09:25:31.872 81557.603 0 193.198.112.287.0:0 -> 0.0.0.0:25 5.3M 1.1G 448012 2008-09-01 09:51:12.141 15106.946 0 193.198.112.293.0:0 -> 0.0.0.0:25 581 29234 177 2008-09-01 08:55:15.897 22340.197 0 193.198.116.486.0:0 -> 0.0.0.0:25 2894 226574 95 2008-09-01 08:16:12.119 67701.570 0 193.198.112.263.0:0 -> 0.0.0.0:25 1509 1.8M 29 2008-09-01 08:33:48.810 84543.802 0 193.198.112.482.0:0 -> 0.0.0.0:25 761 752731 26 2008-09-01 08:08:27.612 20695.549 0 193.198.112.484.0:0 -> 0.0.0.0:25 7189 9.3M 26 2008-09-01 11:20:15.689 72184.598 0 193.198.116.481.0:0 -> 0.0.0.0:25 1863 2.2M 26 2008-09-01 08:44:10.500 81123.616 0 193.198.112.488.0:0 -> 0.0.0.0:25 7407 9.6M 24 2008-09-01 08:40:09.990 82742.096 0 193.198.112.509.0:0 -> 0.0.0.0:25 1392 1.7M 20 2008-09-01 08:17:03.254 85635.437 0 193.198.116.482.0:0 -> 0.0.0.0:25 4195 5.3M 19 2008-09-01 08:53:52.890 81594.651 0 193.198.116.266.0:0 -> 0.0.0.0:25 749 441985 19 2008-09-01 08:04:21.403 24632.146 0 193.198.112.264.0:0 -> 0.0.0.0:25 156 50063 13 2008-09-01 12:35:02.865 69808.053 0 193.198.116.285.0:0 -> 0.0.0.0:25 232 238900 8 2008-09-01 08:08:59.932 84615.482 0 193.198.112.274.0:0 -> 0.0.0.0:25 927 1.1M 8 2008-09-01 12:38:03.408 5952.822 0 193.198.112.273.0:0 -> 0.0.0.0:25 282 309063 8 2008-09-01 08:15:57.524 35503.502 0 193.198.116.493.0:0 -> 0.0.0.0:25 307 328352 8 2008-09-01 14:26:14.332 62830.538 0 193.198.112.486.0:0 -> 0.0.0.0:25 1118 1.4M 7 2008-09-01 09:18:20.968 25623.105 0 193.198.112.284.0:0 -> 0.0.0.0:25 3843 5.1M 7 2008-09-01 09:02:35.826 19444.239 0 193.198.116.260.0:0 -> 0.0.0.0:25 352 409246 6 2008-09-01 12:17:18.234 69680.506 0 193.198.116.487.0:0 -> 0.0.0.0:25 343 425071 6
total flows: 448633, total bytes: 1.1 G, total packets: 5.4 M, avg bps: 112366, avg pps: 65, avg bpp: 215 Time window: 2008-09-01 07:33:43 - 2008-09-02 08:04:56
Najkorištenije usluge, problemi i mjere zaštite
• WWW• Spam• Zlonamjerni programi• Komunikacija • Chat• Socijalne mreže• Krađa identiteta
WWW
• Najraširenija usluga na Internetu• Mnoštvo korisnih web stranica• Zlonamjerne web stranice• Web stranice s propustima
Propusti na web stranicama
• Korisničke pogreške prilikom programiranja• Web stranice napravljene u često korištenim
programskim jezicima su predmet ispitivanja propusta
• PHP – jednostavan i često korišten programski jezik za izradu web stranica
• Propusti u CMS sustavima• Poznati propusti koji nisu pravovremeno
ispravljeni• Drupal, Joomla – najčešći CMS sustavi
Spam
• Neželjena elektronička pošta• Oko 80% ukupnog e-mail prometa• Najčešći načini širenja spama:• Zaraženo računalo s aktivnim SMTP
poslužiteljem• Kompromitiran webmail korisnički račun –
sve češći način širenja spama
Spam – detekcija• Detekcija spama se temelji na
prepoznavanju specifičnih uzoraka u sadržaju e-mail poruka
• Analiza e-mail poruka se radi korištenjem matematičkih algoritama za raspoznavanje uzoraka
• Nakon primjene algoritma svaka poruka dobiva određenu ocjenu
• Sve poruke koje su dobile ocjenu iznad određenog praga bivaju proglašene kao spam
Spam – sprečavanje širenja• Black liste• DNSBL – DNS black lista• Blokiranje pojedinih IP adresa i raspona IP
adresa• Nezavisne internetske organizacije održavaju
ove black liste• Spamtrap – e-mail adrese namijenjene za
prikupljanje spama• Nisu javno oglašene pa sve e-mail poruke
poslane na njih ukazuju na ilegalne izvore pa se isti blokiraju
Zlonamjerni programi
• Skupina računalnih programa kojima je glavni cilj zloupotreba sustava
• Komunikacija s ostalim zaraženim računalima
• Zaštita se temelji na antivirusnim alatima te alatima za otkrivanje pojedinih specifičnih oblika zlonamjernih aktivnosti
• Načini širenja: web sjedišta, propusti u programima, korisnička nepažnja
Sigurna komunikacija
• Na Internetu je u svakom trenutku prisutno nekoliko stotina milijuna korisnika
• Dostupnost korisnika u kratkom vremenu• Zlonamjerni korisnici za cilj imaju
prvenstveno društvenim metodama nagovoriti druge korisnike na izvođenje određenih aktivnosti• Kopromitacija računala• Krađa identiteta
Lokalna računalna mreža• Računalna mreža s ograničenim
geografskim opsegom te s korisnicima sličnog profila• Edukacijska zajednica – učenici
• Ograničen pristup s Interneta• Ograničeni korisnički računi su preduvjet
stabilnosti lokalne mreže• Ograničen broj administratora mreže
• Javne IP adrese pojedinih računala ili jedna javna IP adresa cijele mreže – NAT
NAT – Network Address Translation• Preslikavanje svake pojedine IP adrese iz
lokalne mreže u jednu IP adresu• Privatne IP adrese u javnu IP adresu
• Nemogućnost jednoznačne identifikacije end-to-end komunikacije
• Nadzor mrežnog prometa u lokalnoj mreži• IDS • Centralizirani antivirusni nadzor• Centralizirana kontrola korisnika (Windows
domena)
IDS – Intrusion Detection System
• Proaktivna zaštita• Analiza mrežnog prometa• Analiza pojedinih računala
IDS – analiza mrežnog prometa
• Analiza mrežnog prometa i detekcija anomalija
• Prijavljivanje prepoznatih anomalija u mrežnom prometu
• Automatizirano poduzimanje akcija• Često ovakvi sustavi prijavljuju lažne
anomalije• Potreba za detaljnom prilagodbom sustava
potrebama lokalne mreže • Primjer alata: Snort
IDS – analiza pojedinih računala
• HIDS – Host intrusion detection system• Analiza log zapisa • Prepoznavanje uobičajenih problematičnih
uzoraka
Analiza log zapisa
• Učinkovita metoda sigurnosnog nadzora• Velika većina napada je u određenom trenutku vidljiva
u log zapisima:• Maliciozni GET zahtjevi na web poslužitelj• Neuspjeli pokušaji spajanja na SSH• Problemi u radu sustava
• Automatizirano praćenje log zapisa, prepoznavanje anomalija i analiza rezultata mogu dati dobar uvid u sigurnosno stanje računala
Osnove analize log zapisa
• Jasno definirati regularne događaje• Razlučiti neregularne događaje koji su rezultat
greške od onih koji predstavljaju napad• Korelirati regularne i neregularne događaje• veći broj neregularnih događaja nakon čega slijedi
jedan regularan zahtijeva pozornost• Aktivno nadograđivati popis neregularnih
događaja
OSSEC
• Open source rješenje HIDS sustava• Analiza većine popularnih formata logova• Provjera integriteta datotečnog sustava• Detekcija rootkita• Automatizirano poduzimanje zaštitnih
mjera na sustavu• Administracijsko web sučelje
Primjer pravila za analizu pristupa web stranicama
<rule id="31105" level="6"> <if_sid>31100</if_sid> <url>%3Cscript|%2Fscript|script>|script%3E|SRC=javascript|IMG%20|</url> <url>%20ONLOAD=|INPUT%20|iframe%20</url> <description>XSS (Cross Site Scripting) attempt.</description> <group>attack,</group></rule>
<rule id="31106" level="12"> <if_sid>31103, 31104, 31105</if_sid> <id>^200</id> <description>A web attack returned code 200 (success).</description> <group>attack,</group></rule>
<rule id="31103" level="6"> <if_sid>31100</if_sid> <url>='|select%20|select+|insert%20|%20from%20|%20where%20|union%20|</url> <url>union+|where+|null,null|xp_cmdshell</url> <description>SQL injection attempt.</description> <group>attack,sql_injection,</group></rule>
Centralizirani antivirusni nadzor
• Centralna konzola• Agenti na klijentskim računalima• Središnji uvid u stanje u mreži i
centralizirano provođenje akcija na klijentima
• Efikasno rješenje za mreže s većim brojem klijentskih računala • Par desetaka računala je zahtjevno za
održavati pojedinačno
Windows domena
• Kontrola korisnika• Jednoznačna identifikacija korisnika i
njihovih aktivnosti• Ne postoji potreba za zajedničkim
korisničkim računima• Automatizirano provođenje sigurnosnih
mjera, održavanja programske podrške te definiranje pravila korištenja računalnih resursa
Windows domena – centralizirano upravljanje
• Upravljanje programskom podrškom na korisničkim računalima
• Centralizirana primjena sigurnosnih nadogradnji
• Upravljanje korisničkim pravima• Primjena određenih akcija na svim
računalima• Analiza stanja računala• Obavljanje sistemskih operacija
Sigurnosna politika• Neodgovorno korisničko ponašanje je najčešći
uzrok problema• Skup pravila koja propisuju načine prihvatljivog
korištenja računalne mreže• Krovni dokument koji definira osnovne principe
prihvatljivog korištenja kao i sankcije u slučaju nepridržavanja
• Temelj za uvođenje adekvatne razine informacijske sigurnosti
• Izbjegavaju se najčešće neadekvatne “vatrogasne mjere”
Osnovni elementi sigurnosne politike
• Sigurnosna politika• Pravilnici• Pravilnik o mreži• Pravilnik o korištenju računala• Pravilnik o lozinkama• Pravilnik o prihvatljivom ponašanju
(društvene mreže, igrice, chat…)• Registar resursa s pripadajućim rizicima
Pravilnici• Detaljnije propisuju načine korištenja
pojedinih segmenata informacijskog sustava
• Specifična pravila koja proizlaze iz Sigurnosne politike
• Na primjer, pravilnik o korištenju računalnih sustava propisuje:• Minimalnu duljinu lozinke, razinu korisničkih
prava, ovlasti za instalaciju programa, korištenje prijenosnih memorijskih medija i slično
Registar resursa s pripadajućim rizicima• Potrebno je jednoznačno identificirati bitne
računalne resurse te procijeniti rizike svakog od njih
• Identificiraju se resursi koji imaju utjecaja na funkcioniranje računalnog sustava
• Primjer bitnih resursa: • Javna web stranica• Korisničko računalo• Centralni datotečni poslužitelj• Itd…
Sankcioniranje korisnika
• Svaka Sigurnosna politika definira i sankcije u slučaju ne pridržavanja pravila
• Lakši i teži prekršaji• Povreda pravila prihvatljivog korištenja• Namjerna zloupotreba računalnog sustava
CARNetove sigurnosne usluge• Provjera ranjivosti računalnih sustava• Automatiziranim i ručnim postupcima
ispituju se potencijalni problemi pojedinih računala
• Poslužiteljski elektronički certifikati• Zaštita web komunikacije
• Abuse služba• Prijava problema kojima je izvor u CARNet
mreži• Pravovremene prijave povećavaju razinu
sigurnosti ostalih korisnika CARNet mreže
Više o sigurnosti na CARNetovom webu