Post on 11-May-2015
description
Copyright © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.
The OWASP Foundation
OWASP
http://www.owasp.org
Sigurnosne prijetnje i mjere zaštite IT infrastrukture
Beograd, 2013.
Mladen KostreševićMladen.Kostresevic@gmail.com
168Aktivnih Projekata
198Aktivnih lokalnih grupa
OWASP
Agenda:
- Prijetnje i mjere zaštite po svim nivoima ISO OSI modela
- Sistemi za detekciju/prevenciju/analizu napada
- Prijedlog IT infrastrukture sa visokim stepenom zaštite
OWASP
Zaštita po nivoima ISO OSI(Open Systems Interconnection) modela
OWASP
Sigurnost fizičkog sloja
Fizička zaštita objekta u kome se nalazi IT infrastruktura: - Sistemi kontrole pristupa prostorijama:
- Alarmni sistemi (detekcija provala, požara ili poplave) - Video nadzor - Zaštita na nivou rack ormara i komunikacionih linkova
OWASP
Sigurnost drugog nivoa
Najčešće prijetnje:
-CAM (content addressable memory) table flooding
-ARP(address resolution protocol) poisoning
- STP(spanning tree protocol) attack
- DHCP attack
- VLAN(virtual LAN) hopping
OWASP
Sigurnost drugog nivoa(1) - CAM(Content Addressable Memory) Table Flooding
Alat za napad: dsniff – macof, filesnarf, mailsnarf, msgsnarf, urlsnarfZaštita: “Port security”
OWASP
Sigurnost drugog nivoa(2) - DHCP Napadi
1. zauzimanje svih dostupnih IP adresa - DHCP Starvation, vrsta DOS-a2. lažni DHCP server, slika:
Alat za napad: Yersinia – za kombinaciju oba napada, Cain&AbelZaštita: 1. “Port security” i 2.“DHCP Snooping”
OWASP
Dodatak: Temelj sigurnosti - zaštita prvog i drugog nivoa OSI modela
- implementirati odgovarajuće mjere fizičke sigurnosti
- onemogućiti slobodne portove na mrežnim svičevima
- uključiti zaštitne mehanizme u STP protokola(Root guard)
- uključiti zaštitne mehanizme DHCP protokola(DHCP snooping)
- uključiti zaštitu protiv lažnih IP paketa(IP source guard)
- uključiti zaštitu od ARP/MAC napada (dynamic ARP inspection, Port security)
OWASP
Sigurnost na mrežnom i transportnom nivou
PrijetnjaPrijetnja OpisOpis
IP Spoofing IP Spoofing Lažiranje izvorne IP adrese Lažiranje izvorne IP adrese
(Distributed) Denial of Service(Distributed) Denial of Service Uskraćivanje usluge (poseban Uskraćivanje usluge (poseban oblik DDoS)oblik DDoS)
Teardrop Teardrop Greške prilikom sastavljanja Greške prilikom sastavljanja fragmentisanih paketafragmentisanih paketa
SYN Flood SYN Flood ““bombardovanje” lažnim bombardovanje” lažnim zahtjevima za uspostavljanje TCP zahtjevima za uspostavljanje TCP konekcijekonekcije
ICMP attackICMP attack““bombardovanje” ICMP bombardovanje” ICMP zahtjevima sa lažnom izvornom IP zahtjevima sa lažnom izvornom IP adresomadresom
Alati: Hping, ?Zaštita: IP Source Guard, Firewall, VPN(Virtual Private Network)...
Najčešće prijetnje:
OWASP
Sigurnost na mrežnom i transportnom nivou(1) - Firewall
Filtriranje saobraćaja: “stateless” i “statefull”
OWASP
Sigurnost na mrežnom i transportnom nivou(2) - Stateful Firewall
Stateful firewall
OWASP
Sigurnost na mrežnom i transportnom nivou(3) - Virtuelne privatne mreže
VPN konekcija između dvije udaljene lokacije
IPSec protokol: AH(Authentication Header), ESP(Encapsulated Security Payload), IKE(Internet Key Exchange)
OWASP
Sigurnost na mrežnom i transportnom nivou(4) - IPSec protokol
Transportni i tunnel način rada ESP protokola iz IPSec grupe
OWASP
Sigurnost nivoa sesije i prezentacije
- upotreba SSL/TLS protokola
-Neophodna je autentikacija servera pomoću serverskih sertifikata-Poželjna autentikacija klijenta pomoću klijentskih sertifikata(smart kartice) -Garantuje se: autentikacija, integritet, tajnost i neporecivost poruke
OWASP
Sigurnost aplikacionog nivoa:
Kategorizacija napada:
- Napadi vezani za autentikaciju (brute force..)- Napadi vezani za autorizaciju (Credential/Session prediction..)- Napadi na klijentsku stranu (XSS..)- Napadi vezani za izvršavanje naredbi (SQL, XPATH i LDAP injection)- Otkrivanje povjerljivih informacija (Directory indexing..)- Logički napadi (DoS..)
Alati : Hydra, Burp..itd. http://sectools.org/Zaštita: kriptografija, aplikacioni firewall, kontrola inputa, zdrav razum..
OWASP
Sigurnost aplikacionog nivoa: web aplikacije
The OWASP Top 10 Project – Lista najčešćih prijetnji z 2013 : A1 Injection A2 Broken Authentication and Session Management A3 Cross-Site Scripting (XSS) A4 Insecure Direct Object References A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Missing Function Level Access Control A8 Cross-Site Request Forgery (CSRF) A9 Using Components with Known Vulnerabilities A10 Unvalidated Redirects and Forwards
OWASP
Sigurnost aplikacionog nivoa: Mjere za poboljšanje sigurnosti:
- digitalno potpisivanje i digitalni sertifikati
- upotreba aktuelnih kriptografskih biblioteka (Md5 više nije IN)
- aplikativni firewall (primjer mod_sec za Apache web server)
Neke mogućnosti WAF-a:
- provjera TCP handshake- blokada injection napada- zaštita podataka (kreditne kartice i sl)- zaštita XML-a i Web servisa- Filtriranje tipa (upload)fajlova- Zaštita HTTP sesije / cookie-a - Blacklists
OWASP
- Dvofaktorska autentikacija pomoću smart kartica
- Dvofaktorska autentikacija pomoću tokena
Sigurnost aplikacionog nivoa -> Zaštita login podataka i sistema autentikacije
OWASP
Sistemi za detekciju i prevenciju napada
- Alati koji analiziraju mrežni saobraćaja i detektuju/blokiraju napade
- Nevidljivi za krajnje korisnike
- Osnovni načini rada: 1. prepoznavanje šablona 2. prepoznavanje anomalija(statistika)
- Podjela:1. Host intrusion detection/prevention systems2. Network intrusion detection/prevention systems3. Hybrid intrusion/prevention detection systems
- Primjeri: AIDE, OSSEC, Snort
OWASP
Implementacija IDS/IPS u IT infrastrukturi
1. centralizovan sistem ili 2. distribuiran sistem, slika:
- upotreba “port mirroring” ili network TAP uređaja
OWASP
Sistemi za privlačenje i analizu napada – Honeypot
- sistemi specijalno dizajnirani da privuku napadača, omoguće mu jednostavan pristup sistemu, i lako praćenje njegovih aktivnosti.
Osobine:
- skreću pažnju napadača od stvarnog sistema- omogućavaju uvid u tehnike koje napadači koriste- ohrabruju napadača da se što duže zadrži na sistemu
Podjela:
- sistemi za privlačenje napada niske interakcije- sistemi za privlačenje napada srednje interakcije-sistemi za privlačenje napada visoke interakcije
- Projekat: “HoneyNet” – mreža za privlačenje i alalizu napada
OWASP
Logički prikaz IT infrastrukture
Javna DMZ Integraciona DMZ
Ostale državne službeIT infrastruktura e-Uprave
Korisnici e-Uprave
ZaposleniDB DMZ
Zaposleni – VPN,rad od kuće
WANWAN
Honeypot
Firewall
Firewall
Firewall Firewall
Administratori
Upravljačka zona
Firewall
Privatna DMZ
LANLAN
FirewallHoneypot
InternetInternet
OWASP
Javna DMZ:
- Web serveri (Web node)- DNS serveri (DNS node)- Web proxy serveri (Proxy node)- Email serveri (Email node)- Sigurnosni serveri (Security node)
Privatna DMZ:
- Aplikacioni serveri- Intranet serveri- Interni DNS serveri- Interni Email serveri-...
OWASP
Hvala na pažnji!
.. Pitanja / Diskusija ..
Mladen KostreševićMladen.Kostresevic@gmail.com
OWASP
Zaključak
-ne postoji “tajni ključ” koji nam garantuje potpunu sigurnost sistema
- paralelno sa evolucijom informaciono-komunikacionih sistema evoluiraju i sigurnosne prijetnje i oblici napada
- pažljivom implementacijom zaštite na svim nivoima i primjenom preporuka iz prakse moguće je rizik svesti na razumnu mjeru
OWASP
Dodatak: Evidencija(engl. logging) pristupa sistemu:
OWASP