-Безопасность информационно коммуникационныхсистем

АндрейРодионов Национальныйтехнический университет

« »Украины КПИ- Физико техническийинститут

Andrey.Rodionov@gmail.com

Планлекции

Общее о средствахимеханизмах защиты Архитектура ИКС Механизмы защиты в ИКС Средства централизованного управления

ресурсамиИКС

, Наиболее распространенные ошибки которые приводяткуязвимостям в ПО

-Уязвимости в Веб приложениях SDL, Фаззинг

Демонстрации технологий

ВиртуализацияОС Solaris Trusted Extensions XSpider MS Active Directory Trend Micro

Web- (SQL-inj, Уязвимости в приложенияхXSS)

С чемуВас ассоциируется« »?информационнаябезопасность

, Назовитеугрозы имеханизмы защиты которыеВы знаете

Наличие отдельныхмеханизмов защиты не всегда обеспечиваетбезопасность

системы http://www.youtube.com/watch?v=gQbUzJUkBXg

Механизмы защиты

Не против всякой угрозымогутсуществовать ( , механизмы защиты кпримеру уязвимости в

)приложениях Иногда выгоднее изначально правильно

построить систему чем потом тратиться на ее ( , Unix- защиты кпримеру в системах вирусы

)почтиотсутствуют Применение механизмов и средств защиты

должно быть экономически оправданным

Кроме механизмов защиты защищенность системы определяется

-Качеством программного ипрограммно ;аппаратного обеспечения всех уровней

Настройкойпараметров программного и- ;программно аппаратного обеспечения

;Архитектурой системы Пользователямииинформационной средой в

;котором работаеткомпьютерная система Организацией защиты информациив

.организации

Из одной статьи

" , Х быстроибезжалостнозахватывалрынокпроникаяво , многие государственные органы управления устанавливая там

своипрограммыине забывая в каждойиз них предусмотреть « ». « маленькое такое шпионское окошко Своеобразных ручных

», привратников которые позволялиему без спроса и без , уведомления заходить в любуюсистему брать любые объемы

конфиденциальнойинформацииинезаметно уходить с « ». ? богатым уловом О чем это мы ТожеМинистерство, , юстиции кпримеру складируету себя в базах всю

: , , информациюо сделках с недвижимостью кто как за сколько . : купил тотилииной земельныйучасток А Х уже все знает

, , , . ."фамилии имена суммыплатежей посредников и тд

Что следуетзнать для работы в сфере ИБ

Атакимогутосуществляться на разные уровнии компоненты системы

Поэтомурассмотрим архитектуруИКС , Защита должна быть комплексной на всех

уровнях системы Поэтомурассмотрим средства имеханизмы

обеспечения безопасностина всех уровнях ( ) Управление безопасностью иантивирусной

должно быть централизованным Поэтомурассмотрим средства для централизованного

управления безопасностью

Угрозы безопасностиинформации в КС

Все угрозы направлены на нарушение :следующих свойств информации

( - Конфиденциальности пример атака sniffing) - состояние, информации прикотором доступкнейосуществляют

, ,только субъекты имеющие на него право ( - Целостности пример атака spoofing) - избежание

,несанкционированноймодификацииинформации ( - DoS/DDos) - Доступности пример атака избежание

временного илипостоянного сокрытия информацииот, ,пользователей получившихправа доступа

Наблюдаемости

Для обеспечения безопасности строится комплексная ( )система защиты информации КСЗИ

Уровни системы

— Уровень сети отвечаетза

взаимодействие УровеньОС Уровень систем

управления базами ( )данных СУБД

Уровень прикладного ПО

Типы приложений

Клиентские - ( - )Клиент серверные двух уровневые -Распределенные имного уровневые Облачные приложения

Cloud Computing Video http://www.youtube.com/watch?v=aD5VcKXHmus

- – Двух и трех уровневая архитектура приложений

Возможность использования различных языков

программирования для различных компонентов

Централизация компонентов Балансировка нагрузки Более эффективныйдоступк

данным Улучшенная защита Более простойдоступк

внешним ресурсам

Комплекс средств защиты

Идентификация иаутентификация Управление доступом Регистрация иаудит Обеспечение целостности Криптографическиефункции Антивирусная защита

Особенности защитыСУБД

Наиболее распространенные СУБД Архитектура СУБД Отдельная учетная запись для СУБДв

операционной системе иее права , Настройка прав внутриСУБД средствами

самойСУБД Внутренние средства защитыСУБД Взаимодействие внешнихприложений с БД

Виртуализация приложений с помощьювиртуализацииОС

Гибкое распределение ресурсов между виртуальными системами (CPU, сетевые карты, память, размеры, …)

Полная независимость зон, в случае краха или проникновения в одну из зон, это никак не повлияет на другие зоны

В каждой зоне есть свой отдельный набор пользователей (включая администратора)

Основа для «облачных вычислений»

ЗащищенныеОС

?Что такое защищенная ОС ?Любая лиОС обеспечиваетзащиту

ФункцииОС ибезопасность

ОсновныефункцииОС Управлениепроцессамиипотоками Управлениепамятью -Управлениевводомвыводом ( )Управлениефайлами файловыесистемы Поддержкасетевоговзаимодействия Защитаданных Интерфейспользователя

Модель угроз для ОС

Сканированиефайловойсистемы Хищениеключевойинформации Подборпаролей Сборкамусора Превышениеполномочий Программныезакладки « » Жадныепрограммы

Solaris Trusted Extensions

ОС с мандатнойполитикой разграничения доступа кобъектам

системы Строгое разделение ролей

Администратора иАдминистраторабезопасности

Принципы построения корпоративной сети

Требуемаяфункциональность сети Зависимость сервисов и служб между собой Территориальное размещение объектовсистемы

( , Структура организации отделы)департаменты

Производительность сети Политика безопасности в системе

Сервисы корпоративной сети

(DNS, DHCP)Сетевые службы (Microsoft SQL Server, Oracle, DB2, MySQL)СКБД (JavaEE, WebSphere, .NET Серверы приложений

Framework, MSMQ) - - (Apache, GlassFish, IIS, Веб серверы иВеб сервисы

WebSphere) (SMTP, POP3 , IMAP)Электронная почта (SharePoint, Lotus N tes, Сервисы для общейработы о

Lotus Connection, Collaboration server) ( , ERP, CRM)Корпоративные приложения СЭД

Сервіси Технології

Мережеві пристрої Маршрутизатори, комутатори, Routers, switches, load balancers

Мережеві сервіси DNS, DHCP, WINS

Сервіси міжмережевої фільтрації трафіку та доступу

Міжмережеві екрани периметру, демілітаризованої зони, внутрішні сегменти мережі, проксі-сервера

Сервіси для централізованого керування та моніторингу корпоративною мережею

Microsoft Active Directory, Oracle Identity Manager, IBM Tivoli Identity Manager, LDAP

Системи керування базами даних

СКБД Microsoft SQL Server, Oracle, DB2, MySQL

Пристрої збереження даних Direct-attached storage (DAS), network attached storage (NAS), storage area network (SAN)

Cервери застосувань Забезпечуть роботу корпоративних застосувань: JavaEE, .NET Framework, COM+ and Message Queuing Services (MSMQ)

Веб-сервіси та веб-сервери Apache, GlassFish, IIS, WebSphere

Сервер електронної пошти SMTP, POP3 , IMAP

Операційні системи на хостах мережі

Windows, Linux, Solaris, AIX, …

Сервіси для спільної роботи SharePoint, Lotus N0tes, Lotus Connection, Collaboration server

Сервіси забезпечення віддаленого доступу

Site-to-site virtual private network (VPN), Client VPN, RRAS, Internet authentication service (IAS)

Антивіруси

Security Забезпечення захисту інформації, що передається, доступ віддалених користувачів та підсистем, Network Access Protection (NAP), Network Access Control (NAC), Single Sign On (SSO), OpenSSO

Пример структуры сети

Принципы выделения сегментов всети

Security Projects/special applications Performance/bandwidth Broadcasts/traffic flow Departments/specific job types

Сетевые средства безопасности

DMZ VLAN NAT Sub-netting NAC (Network

Access Control) VPN

Firewalls Proxy IDS/IPS

Honeypot DLP (Data Loss

Prevention)

Security Auditing Tools

Service Mapping Tools Nmap Hping

Vulnerability Assessment Tools Nessus RedSeal

Packet Capture Tools Tcpdump Wireshark/Tshark

Penetration Testing Tools Core Impact Metasploit XSpider

BackTrack

Information Gathering: This category includes tools for DNS mapping, Whois, Finger, and mail scanning.

Network Mapping: Port and services mapping, OS fingerprinting, and VPN discovery.

Vulnerability Identification: Tools to identify service, SQL, VoIP, and http vulnerabilities.

Penetration: Tools to exploit vulnerabilities and compromise systems. Metasploit is the primary application.

Privilege Escalation: LAN Sniffers, password sniffers, and spoofing tools are here.

Maintaining Access: Backdoors, rootkits, and tunneling applications for retaining access after exploiting.

Radio Network Analysis: Wireless sniffers, scanners, and cracking tools

VoIP & Telephony Analysis: VoIP cracking and recording tools

Digital Forensics: Disk editors, file system dump tools, and hexeditors for recovering evidence from deleted and hidden files.

Reverse Engineering: Malware analysis tools, application debug tools, hex and assembly tools.

Сегменти службыдля управления корпоративной сетью

Необходимо централизованное управление :имониторингресурсов сети

Компьютерами Программным обеспечением Учетными записямипользователей Прочимиресурсами

Управление сетевым икоммуникационнымоборудованием

Средства для централизованного управления корпоративной сетью

Microsoft Active Directory Identity Manager (Sun Microsystems, Oracle,

IBM, Novell) IBM Tivoli System Center Configuration Manager (formely

SMS), System Center Operations Manager (formely MOM)

Microsoft Forefront Security Cisco Works

Identity management

Уязвимости в ПО

Причина уязвимостей в ПО

Уязвимости в ПО являются следствием , , сложностикода невнимательности но в

большеймере непрофессионализмаразработчиков

Самые распространенныеуязвимости

Buffer overflow, integer overflow SQL/Script Injection Cross-Site Scripting (XSS) Unlimited Resource Consumption (DoS) Information Leakage

-УязвимостиВеб приложений

Positive КакпоказываетопыткомпанииTechnologies попроведениютестовна

проникновение иаудитов - информационнойбезопасности

Web- уязвимости в приложениях однииз наиболее распространенныхнедостатков

защиты сетевойбезопасности

-УязвимостиВеб приложений

Пример логической структуры сети

Cross Site Scripting

Видеоhttp://www.virtualforge.de/vmovie.php

Пример уязвимости« SQL»инъекция

Найти такие ошибки позволяет, например, ввод в формы различных некорректных данных, неправильно отформатированных данных, служебных символов

Пример эксплуатации уязвимости« SQL»инъекция

1) создаемхранимуюпроцедуру

http://www.xxx.gov.ua/documents.php?cat_id=33&sort=document_code exec('create procedure test as update documents set document_code=''814'' where document_code=''813''') select * from documents order by acceptor &dir=

2) вызываемхранимуюпроцедуру

http://www.xxx.gov.ua/documents.php?cat_id=33&sort=document_code exec test select * from documents order by acceptor &dir=

3) удаляем хранимую процедуру

http://www.xxx.gov.ua/documents.php?cat_id=33&sort=document_code DROP PROCEDURE test select * from documents order by acceptor &dir=

4) возвращаемпредыдущеезначение

http://www.xxx.gov.ua/documents.php?cat_id=33&sort=document_code update documents set document_code='813' where document_code='814' select * from documents order by acceptor &dir=

«Information Leakage» and Уязвимости«Predictable Resource Location»

Демонстрация http://www.dstszi.gov.ua/dstszi/services http://www.sbu.gov.ua/sbu/services

Buffer overflow

(DATA)(DATA)(...) (NEWDATA)(DATA)(DATA)(...) (ADDR)(DATA)(DATA)(...) (.a........)(ADDR)(DATA)(DATA)(...)

char[10]

Sheep overflow

, Рекомендациипо безопасности C#касающиеся языка

http://msdn.microsoft.com/ru-ru/library/ms173195.aspx