Nätsäkerhetsverktyg utöver kryptobaserade metoder

Transkript

1 Nätsäkerhetsverktyg utöver kryptobaserade metoder Brandväggar Innehållsfiltrering IDS Honungsnät Krävd kunskap i kursen: Att dessa skyddsmetoder finns, vilka grundvillkor man kan/ska ha vid uppsättningen och vilka problem de då löser.

2 Brandväggar Huvudfunktion: Filtrerar trafik utifrån paketens IP-adress och port Proxies byter dessutom ut internadresser mot simulerade, som får synas utåt Innehåller idag ofta extra funktioner som spam-filter, virusfilter m. m.

3 Brandväggsfiltrering Grundfunktionen baseras på IP-huvudet Pakethuvuden anger sändare, mottagare och port (=tjänst) kan släppa igenom allt utom X eller spärra allt utom Y för både inkommande och utgående paket X och Y kan vara hela adresser, portnummer, delar av adresser etc.

4 Placering av brandvägg Brandväggen ska alltid placeras så att all trafik mellan interna och externa nätet passerar den. Det kan rätt och slätt vara den enda dator på internnätet som syns utåt (svag lösning) Det kan vara en fysisk punkt som alla meddelanden måste passera Det kan vara en process i den enda dator på internnätet som också har extern anslutning Det kan vara helt dedicerad hårdvara

5 Enda synliga datorn som brandvägg Internet Router Lokal dator med brandväggsprogram Lokalt nät Lokal dator Lokal dator Lokal dator

6 En dator som brandvägg Internet Lokal dator med brandväggsprogram Lokalt nät Lokal dator Lokal dator Lokal dator

7 Dedicerad brandvägg Internet Brandvägg Lokalt nät

8 DMZ DMZ står för DeMilitariserad Zon Begreppet används då en yttre brandvägg kopplar externa nätet till dator(er) för offentlig www-service och liknande tjänster, samt till en inre brandvägg, som sedan är kopplad till det egentliga internnätet Det är den starkaste av de vanliga brandväggskonfigurationerna

9 DMZ Internet Brandvägg Webb-tjänster Yttre e-postkontakt Brandvägg Lokalt nät

10 Proxy Angrepp på enskilda datorer i internnät kräver möjlighet att adressera dem Första steget i försvaret är att ej exponera deras riktiga adresser utåt (ger samtidigt valfri adressrymd internt) Andra steget är att bara tillåta svar utifrån, ej anrop utifrån, för relevanta datorer och tjänster

11 Proxy och intern adressrymd Om ett attackmål har känd slutadress, kan attacken riktas direkt dit Om all kommunikation mellan intra-nät och internet sker via proxy/nat, så har varje enskild interndator ny, godtycklig detaljadress utåt vid varje ny session Proxy/NAT-servern tilldelar adresser vid nya sessioner och håller reda på vilka som hör till vilken internadress. Kommunikation utifrån/utåt kan endast ske på för tillfället aktiv externadress Så t ex uttömmande scanning når bara aktiva datorer

12 Innehållsfilter Gäller framför allt virus/maskar/trojaner och spam Letar oftast efter kända strängar Kan också använda allmänna mönster <V,v>,<i,I,í,!>,<a,A>,<g,G>,<r,R>,<a,A> Ju fler varianter, desto mer resurskrävande och risk för falsklarm Kan också sålla bort bilagor,.exe, o. s. v.

13 Virus? Mask? Trojan? Skillnad? Ursprungliga definitioner: Virus är en exekverbar instruktionssekvens, som själv kopierar in sig i existerande instruktionssekvenser Mask är en självständig process, som laddar ner sig på nya ställen och ser till att den startas där Trojan(sk häst) är en till synes önskvärd instruktionssekvens/process/program, som innehåller dolda skadliga delar

14 Så skillnad mellan de tre? Idag blir det mest hårklyveri att hålla strikt åtskillnad Vad är en skadlig bilaga, som bl a lägger sig i all avsänd post, då den finns i ett system med automatisk bilage-öppning respektive då den finns i ett system utan bilage-öppning? Mask eller virus, om den automatiskt öppnas och kopierar sig? Bara icke-smittande trojan i andra system? Är ett virussmittat program därmed en trojan? Vad är skadlig i trojan-definitionen? Var Stuxnet skadlig i de system där den bara passerade obemärkt?

15 Virusfilter Virusfilter söker idag efter både självspridande kod och kända trojaner, som användaren själv hämtat eller fått injicerade via säkerhetshål Det går inte att definiera en strikt, generell gräns mellan skadlig, självspridande kod och sådant som ska finnas i datorn Virusfilter arbetar därför med mallar, signaturer, som ska identifiera känd skadlig programvara inklusive varianter

16 Risker med virusfilter De flesta anti-virusprogram kan varna för misstänkta filer, flytta dessa till karantän eller radera filerna respektive ta bort virusdelen i smittade filer Bara varning kan ignoreras av användaren Karantän kan vara svår att hitta och hantera, då felidentifierade nyttiga filer försvunnit in i den Borttagning kan radera önskvärda filer respektive skada det som ska saneras För nitisk anti-virushantering blir tillgänglighetsrisk För slapp virusdefinition blir självklart också risk

17 IDS IntrångsDetekteringsSystem Övervakar nättrafik efter misstänkta attacker Kan gå efter kända, fixa mönster eller efter avvikelse från normalbeteende Mönster missar nya attacker Avvikelser ger fler falsklarm och kan läras att acceptera attack genom tillvänjning i små doser

18 Mönster för IDS, exempel Scanning efter viss tjänst över ett internnät Anrop med kända attackscript Inloggningsförsök på den ena efter den andra av interna datorer från samma yttre adress Svar på webbförfrågan, som innehåller känd attackkod

19 Avvikande beteende? IDS kan läras hur kommunikation normalt ser ut i organisationen Börjar någon plötsligt sända e-post med stora bilagor, långa mottagarlistor o s v? Börjar någon plötsligt intensivt använda nättjänst, som organisationen normalt aldrig använder? Kräver stor känslighet i larmhantering

20 IDS-varianter Nätbaserade, NIDS, övervakar all trafik på nätet via central(a) nod(er) IDS för enskild dator, host =HIDS, övervakar anrop till och eventuellt från den dator den körs på Informationsutbyte mellan IDS ökar säkerheten Om IDS gör mer än bara larmar, kallas den ofta IPS, Intrusion Prevention System Göra mer innebär oftast att samarbeta med brandväggen och t ex spärra attackens avsändaradress

21 Honungsnät/honungsfällor Avleder attacker till ställen där ingen skada sker Döljer riktiga attackmålet Kan möjliggöra datainsamling och allmän spårning av attacken, som inte kan göras i riktiga systemet Kräver förstås extra resurser, eftersom de enligt definition inte är de systemdelar som behandlar riktiga data Kan kopplas med kanarie-funktion

22 Kanariefågel??? I kolgruvor hölls förr i tiden kanariefåglar. Dessa fåglar var känsligare än människor för skadliga gasnivåer, och om de mådde dåligt var det dags att intensivvädra och/eller ge sig upp Om kontakter från ej säkra källor först får nå ett kanarie-system, kan man där t ex se om virus ändrat befintlig kod, om oväntade försök att kontakta nätet ut igen uppstår o s v