Security of Information and Communication Systems
description
Transcript of Security of Information and Communication Systems
-Безопасность информационно коммуникационныхсистем
АндрейРодионов Национальныйтехнический университет
« »Украины КПИ- Физико техническийинститут
Планлекции
Общее о средствахимеханизмах защиты Архитектура ИКС Механизмы защиты в ИКС Средства централизованного управления
ресурсамиИКС
, Наиболее распространенные ошибки которые приводяткуязвимостям в ПО
-Уязвимости в Веб приложениях SDL, Фаззинг
Демонстрации технологий
ВиртуализацияОС Solaris Trusted Extensions XSpider MS Active Directory Trend Micro
Web- (SQL-inj, Уязвимости в приложенияхXSS)
С чемуВас ассоциируется« »?информационнаябезопасность
, Назовитеугрозы имеханизмы защиты которыеВы знаете
Наличие отдельныхмеханизмов защиты не всегда обеспечиваетбезопасность
системы http://www.youtube.com/watch?v=gQbUzJUkBXg
Механизмы защиты
Не против всякой угрозымогутсуществовать ( , механизмы защиты кпримеру уязвимости в
)приложениях Иногда выгоднее изначально правильно
построить систему чем потом тратиться на ее ( , Unix- защиты кпримеру в системах вирусы
)почтиотсутствуют Применение механизмов и средств защиты
должно быть экономически оправданным
Кроме механизмов защиты защищенность системы определяется
-Качеством программного ипрограммно ;аппаратного обеспечения всех уровней
Настройкойпараметров программного и- ;программно аппаратного обеспечения
;Архитектурой системы Пользователямииинформационной средой в
;котором работаеткомпьютерная система Организацией защиты информациив
.организации
Из одной статьи
" , Х быстроибезжалостнозахватывалрынокпроникаяво , многие государственные органы управления устанавливая там
своипрограммыине забывая в каждойиз них предусмотреть « ». « маленькое такое шпионское окошко Своеобразных ручных
», привратников которые позволялиему без спроса и без , уведомления заходить в любуюсистему брать любые объемы
конфиденциальнойинформацииинезаметно уходить с « ». ? богатым уловом О чем это мы ТожеМинистерство, , юстиции кпримеру складируету себя в базах всю
: , , информациюо сделках с недвижимостью кто как за сколько . : купил тотилииной земельныйучасток А Х уже все знает
, , , . ."фамилии имена суммыплатежей посредников и тд
Что следуетзнать для работы в сфере ИБ
Атакимогутосуществляться на разные уровнии компоненты системы
Поэтомурассмотрим архитектуруИКС , Защита должна быть комплексной на всех
уровнях системы Поэтомурассмотрим средства имеханизмы
обеспечения безопасностина всех уровнях ( ) Управление безопасностью иантивирусной
должно быть централизованным Поэтомурассмотрим средства для централизованного
управления безопасностью
Угрозы безопасностиинформации в КС
Все угрозы направлены на нарушение :следующих свойств информации
( - Конфиденциальности пример атака sniffing) - состояние, информации прикотором доступкнейосуществляют
, ,только субъекты имеющие на него право ( - Целостности пример атака spoofing) - избежание
,несанкционированноймодификацииинформации ( - DoS/DDos) - Доступности пример атака избежание
временного илипостоянного сокрытия информацииот, ,пользователей получившихправа доступа
Наблюдаемости
Для обеспечения безопасности строится комплексная ( )система защиты информации КСЗИ
Уровни системы
— Уровень сети отвечаетза
взаимодействие УровеньОС Уровень систем
управления базами ( )данных СУБД
Уровень прикладного ПО
Типы приложений
Клиентские - ( - )Клиент серверные двух уровневые -Распределенные имного уровневые Облачные приложения
Cloud Computing Video http://www.youtube.com/watch?v=aD5VcKXHmus
- – Двух и трех уровневая архитектура приложений
Возможность использования различных языков
программирования для различных компонентов
Централизация компонентов Балансировка нагрузки Более эффективныйдоступк
данным Улучшенная защита Более простойдоступк
внешним ресурсам
Комплекс средств защиты
Идентификация иаутентификация Управление доступом Регистрация иаудит Обеспечение целостности Криптографическиефункции Антивирусная защита
Особенности защитыСУБД
Наиболее распространенные СУБД Архитектура СУБД Отдельная учетная запись для СУБДв
операционной системе иее права , Настройка прав внутриСУБД средствами
самойСУБД Внутренние средства защитыСУБД Взаимодействие внешнихприложений с БД
Виртуализация приложений с помощьювиртуализацииОС
Гибкое распределение ресурсов между виртуальными системами (CPU, сетевые карты, память, размеры, …)
Полная независимость зон, в случае краха или проникновения в одну из зон, это никак не повлияет на другие зоны
В каждой зоне есть свой отдельный набор пользователей (включая администратора)
Основа для «облачных вычислений»
ЗащищенныеОС
?Что такое защищенная ОС ?Любая лиОС обеспечиваетзащиту
ФункцииОС ибезопасность
ОсновныефункцииОС Управлениепроцессамиипотоками Управлениепамятью -Управлениевводомвыводом ( )Управлениефайлами файловыесистемы Поддержкасетевоговзаимодействия Защитаданных Интерфейспользователя
Модель угроз для ОС
Сканированиефайловойсистемы Хищениеключевойинформации Подборпаролей Сборкамусора Превышениеполномочий Программныезакладки « » Жадныепрограммы
Solaris Trusted Extensions
ОС с мандатнойполитикой разграничения доступа кобъектам
системы Строгое разделение ролей
Администратора иАдминистраторабезопасности
Принципы построения корпоративной сети
Требуемаяфункциональность сети Зависимость сервисов и служб между собой Территориальное размещение объектовсистемы
( , Структура организации отделы)департаменты
Производительность сети Политика безопасности в системе
Сервисы корпоративной сети
(DNS, DHCP)Сетевые службы (Microsoft SQL Server, Oracle, DB2, MySQL)СКБД (JavaEE, WebSphere, .NET Серверы приложений
Framework, MSMQ) - - (Apache, GlassFish, IIS, Веб серверы иВеб сервисы
WebSphere) (SMTP, POP3 , IMAP)Электронная почта (SharePoint, Lotus N tes, Сервисы для общейработы о
Lotus Connection, Collaboration server) ( , ERP, CRM)Корпоративные приложения СЭД
Сервіси Технології
Мережеві пристрої Маршрутизатори, комутатори, Routers, switches, load balancers
Мережеві сервіси DNS, DHCP, WINS
Сервіси міжмережевої фільтрації трафіку та доступу
Міжмережеві екрани периметру, демілітаризованої зони, внутрішні сегменти мережі, проксі-сервера
Сервіси для централізованого керування та моніторингу корпоративною мережею
Microsoft Active Directory, Oracle Identity Manager, IBM Tivoli Identity Manager, LDAP
Системи керування базами даних
СКБД Microsoft SQL Server, Oracle, DB2, MySQL
Пристрої збереження даних Direct-attached storage (DAS), network attached storage (NAS), storage area network (SAN)
Cервери застосувань Забезпечуть роботу корпоративних застосувань: JavaEE, .NET Framework, COM+ and Message Queuing Services (MSMQ)
Веб-сервіси та веб-сервери Apache, GlassFish, IIS, WebSphere
Сервер електронної пошти SMTP, POP3 , IMAP
Операційні системи на хостах мережі
Windows, Linux, Solaris, AIX, …
Сервіси для спільної роботи SharePoint, Lotus N0tes, Lotus Connection, Collaboration server
Сервіси забезпечення віддаленого доступу
Site-to-site virtual private network (VPN), Client VPN, RRAS, Internet authentication service (IAS)
Антивіруси
Security Забезпечення захисту інформації, що передається, доступ віддалених користувачів та підсистем, Network Access Protection (NAP), Network Access Control (NAC), Single Sign On (SSO), OpenSSO
Пример структуры сети
Принципы выделения сегментов всети
Security Projects/special applications Performance/bandwidth Broadcasts/traffic flow Departments/specific job types
Сетевые средства безопасности
DMZ VLAN NAT Sub-netting NAC (Network
Access Control) VPN
Firewalls Proxy IDS/IPS
Honeypot DLP (Data Loss
Prevention)
Security Auditing Tools
Service Mapping Tools Nmap Hping
Vulnerability Assessment Tools Nessus RedSeal
Packet Capture Tools Tcpdump Wireshark/Tshark
Penetration Testing Tools Core Impact Metasploit XSpider
BackTrack
Information Gathering: This category includes tools for DNS mapping, Whois, Finger, and mail scanning.
Network Mapping: Port and services mapping, OS fingerprinting, and VPN discovery.
Vulnerability Identification: Tools to identify service, SQL, VoIP, and http vulnerabilities.
Penetration: Tools to exploit vulnerabilities and compromise systems. Metasploit is the primary application.
Privilege Escalation: LAN Sniffers, password sniffers, and spoofing tools are here.
Maintaining Access: Backdoors, rootkits, and tunneling applications for retaining access after exploiting.
Radio Network Analysis: Wireless sniffers, scanners, and cracking tools
VoIP & Telephony Analysis: VoIP cracking and recording tools
Digital Forensics: Disk editors, file system dump tools, and hexeditors for recovering evidence from deleted and hidden files.
Reverse Engineering: Malware analysis tools, application debug tools, hex and assembly tools.
Сегменти службыдля управления корпоративной сетью
Необходимо централизованное управление :имониторингресурсов сети
Компьютерами Программным обеспечением Учетными записямипользователей Прочимиресурсами
Управление сетевым икоммуникационнымоборудованием
Средства для централизованного управления корпоративной сетью
Microsoft Active Directory Identity Manager (Sun Microsystems, Oracle,
IBM, Novell) IBM Tivoli System Center Configuration Manager (formely
SMS), System Center Operations Manager (formely MOM)
Microsoft Forefront Security Cisco Works
Identity management
Уязвимости в ПО
Причина уязвимостей в ПО
Уязвимости в ПО являются следствием , , сложностикода невнимательности но в
большеймере непрофессионализмаразработчиков
Самые распространенныеуязвимости
Buffer overflow, integer overflow SQL/Script Injection Cross-Site Scripting (XSS) Unlimited Resource Consumption (DoS) Information Leakage
-УязвимостиВеб приложений
Positive КакпоказываетопыткомпанииTechnologies попроведениютестовна
проникновение иаудитов - информационнойбезопасности
Web- уязвимости в приложениях однииз наиболее распространенныхнедостатков
защиты сетевойбезопасности
-УязвимостиВеб приложений
Пример логической структуры сети
Cross Site Scripting
Видеоhttp://www.virtualforge.de/vmovie.php
Пример уязвимости« SQL»инъекция
Найти такие ошибки позволяет, например, ввод в формы различных некорректных данных, неправильно отформатированных данных, служебных символов
Пример эксплуатации уязвимости« SQL»инъекция
1) создаемхранимуюпроцедуру
http://www.xxx.gov.ua/documents.php?cat_id=33&sort=document_code exec('create procedure test as update documents set document_code=''814'' where document_code=''813''') select * from documents order by acceptor &dir=
2) вызываемхранимуюпроцедуру
http://www.xxx.gov.ua/documents.php?cat_id=33&sort=document_code exec test select * from documents order by acceptor &dir=
3) удаляем хранимую процедуру
http://www.xxx.gov.ua/documents.php?cat_id=33&sort=document_code DROP PROCEDURE test select * from documents order by acceptor &dir=
4) возвращаемпредыдущеезначение
http://www.xxx.gov.ua/documents.php?cat_id=33&sort=document_code update documents set document_code='813' where document_code='814' select * from documents order by acceptor &dir=
«Information Leakage» and Уязвимости«Predictable Resource Location»
Демонстрация http://www.dstszi.gov.ua/dstszi/services http://www.sbu.gov.ua/sbu/services
Buffer overflow
(DATA)(DATA)(...) (NEWDATA)(DATA)(DATA)(...) (ADDR)(DATA)(DATA)(...) (.a........)(ADDR)(DATA)(DATA)(...)
char[10]
Sheep overflow
, Рекомендациипо безопасности C#касающиеся языка
http://msdn.microsoft.com/ru-ru/library/ms173195.aspx