Föregående föreläsning. Dagens föreläsning. Brandväggar - Vad är det? Säker överföring. Distribuerad autenticering.



Relevanta dokument
Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

Säkerhet. Säker kommunikation - Nivå. Secure . Alice wants to send secret message, m, to Bob.

Förra gången. Dagens föreläsning. De vanligaste attackerna

Last time. Security in the Course. Dagens föreläsning

19/5-05 Datakommunikation - Jonny Pettersson, UmU 2. 19/5-05 Datakommunikation - Jonny Pettersson, UmU 4

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

F6 Exchange EC Utbildning AB

Nätsäkerhetsverktyg utöver kryptobaserade metoder

Grundläggande datavetenskap, 4p

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Systemkrav och tekniska förutsättningar

TCP/IP och Internetadressering

Förebyggande Råd från Sveriges IT-incidentcentrum

Åtkomst till Vårdtjänst via RSVPN

LABORATIONSRAPPORT Säkerhet & Sårbarhet VPN

Brandväggs-lösningar

Christer Scheja TAC AB

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Datakommunika,on på Internet

Hur gör man ett trådlöst nätverk säkert?

Övningar - Datorkommunikation

Ver Guide. Nätverk

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Föreläsningens innehåll. Säker kommunikation - Nivå. IPSec. IPSec - VPN. IPSec - Implementation. IPSec - Består av vad?

Internetdagarna Petter Claesson Systems Engineer introduktion. Ljudkvalitet

3) Routern kontrollerar nu om destinationen återfinns i Routingtabellen av för att se om det finns en väg (route) till denna remote ost.

Internethistoria - Situation

Grundläggande nätverksteknik. F2: Kapitel 2 och 3

Modul 3 Föreläsningsinnehåll

F5 Exchange Elektronikcentrum i Svängsta Utbildning AB

Säker IP telefoni? Hakan Nohre, CISSP

Kurs: Windowsadministration II, 1DV424 Datum: Förberedelseuppgift

Objektorienterad Programkonstruktion. Föreläsning 10 7 dec 2015

EBITS Totalförsvarets Forskningsinstitut David Lindahl Erik Westring

IT för personligt arbete F2

Switch- och WAN- teknik. F6: Frame Relay och Network Security

Datasäkerhet och integritet

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

Uppgift: Design and evaluation of a TCP proxy which provides secure tunneling to another TCP proxy.

TDDD80. Mobila och sociala applikationer Introduktion HTTP,SaaS. Anders Fröberg Institutionen för Datavetenskap (IDA)

Remote Access Services Security Architecture Notes

Säkra trådlösa nät - praktiska råd och erfarenheter

Att Säkra Internet Backbone

Mattias Wiggberg 1. Orientera på Internet. IP-adress. IP-adresserna räcker inte... Mer om IP-adresser

IPv6 och säkerhet.

Instruktion. Datum (12) Coverage Dokument id Rev Status? Godkänd. Tillhör objekt -

God nätverksdesign och distribuerade brandväggar. Patrik Fältström

Kapitel 10, 11 o 12: Nätdrift, Säkerhet. Publika telenätet. Informationsöverföring. Jens A Andersson. Telenäten är digitala.

802.11b Wireless router w. 4 port switch. StarTech ID: BR411BWDC

P e r He l l q v i s t. S e n i o r S e c u r i t y S p e c i a l i s t No r d i c & B a l t i c r e g i o n

1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet

Grundläggande säkerhet för PC, mobil och läsplatta. Joakim von Braun Säkerhetsrådgivare von Braun Security Consultants Senior Net Danderyd

Sectra Critical Security Services. Fel bild

Trender inom Nätverkssäkerhet

Säkerhet och förtroende

Säkerhet genom simpel nätverksutrustning. Högskoleingenjörsexamensarbete Fredrik Folke

Webbteknik II. Föreläsning 4. Watching the river flow. John Häggerud, 2011

Webbservrar, severskript & webbproduktion

Att sätta upp en IPsec-förbindelse med NAT (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Datakommunika,on på Internet

Säkerhet. Hoten mot informationsnäten att bedöma och hantera risker.

Datasäkerhet och integritet

presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS

uran: Requesting X11 forwarding with authentication uran: Server refused our rhosts authentication or host

ZYXEL PRESTIGE 660H-61 INSTALLATIONSMANUAL

Administratör IT-system Kursplan

Datacentertjänster IaaS

EVRY One Outsourcing Linköping AB. Erfaranheter av daglig drift och nyttjande av IFS Applications 8.

Palo Alto Networks. 10 saker din brandvägg måste klara av (För annars är det inte en riktig brandvägg)

DIG IN TO. Nätverksadministration

Spanning Tree Network Management Säkerhet. Spanning Tree. Spanning Tree Protocol, Varför? Jens A Andersson

Att sätta upp en IPsec-förbindelse med RADIUS-autentisering (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Internet. Internet hur kom det till? Internets framväxt. Ett hierarkiskt uppbyggt telenät Kretskopplat/circuit switching

En lösenordsfri värld utopi eller verklighet

Practical WLAN Security

5 Internet, TCP/IP och Tillämpningar

INFORMATIONSTEKNISK ARKITEKTUR OCH INFRASTRUKTUR

WWW. Exempel på klientsidan. Överföring av en html-fil. Snyggare variant. Verkligt format. Meddelandeformat för begäran HTTP

Att använda kryptering. Nyckelhantering och protokoll som bygger på kryptering

Säker informationshantering

Setup Internet Acess CSE-H55N

Felsökningsguide för Asgari-kameror

tillägg till AnvändarmANUAL För LarmSystemet Lansen Home Installera, Använda och Administrera

Välkommen! SA S PSA S Im I puls s Mobilite t t e 8 1

Välkommen. HP Är printmiljön en säkerhetsrisk? Föreläsare: Lars Esping, HP

FlexiTid Extern webbokning. Copyright Datatal AB. Med ensamrätt. Copyright 2013 Datatal AB. All rights reserved.

EXTREME NETWORKS IP SÄKERHET. i EXOS relaterat SSnFs SKA krav

Grundläggande nätverksteknik. F3: Kapitel 4 och 5

Varför ska vi införa IPv6 och hur gjorde PTS?

RUTINBESKRIVNING FÖR INSTALLATION AV KAMERA

Olika slags datornätverk. Föreläsning 5 Internet ARPANET, Internet började med ARPANET

Introduktion Lync-/SfB-Infrastruktur Cellips infrastruktur Brandväggskrav Lync/SfB Server PSTN Gateway...

Svar till SSNf angående projekt SKA 3.1, Säker Kund Anslutning. 12 Mars 2008 Version 3.0

Windows 8 och det nya arbetslivet. Magnus Holmér IT strategisk rådgivare

F1 SBS EC Utbildning AB

Behörighetssystem. Ska kontrollera att ingen läser, skriver, ändrar och/eller på annat sätt använder data utan rätt att göra det

Kurskatalog 2010 INNEHÅLLSFÖRTECKNING

adressöversättning. Adressöversättning bryter mot principen att kommunicera end-to-end. introduktion till ip 93 Testa själv

Transkript:

Föregående föreläsning Säker överföring SSL/TLS Distribuerad autenticering Kerberos Digitala pengar Olika protokoll SET Digital vattenmärkning 18/2-02 Distribuerade system - Jonny Pettersson, UmU 1 Dagens föreläsning Brandväggar Intrusion Detection Systems - IDS Helhetssyn på säkerhet 18/2-02 Distribuerade system - Jonny Pettersson, UmU 2 Brandväggar - Vad är det? Information system Gatekeeper function Computing resources (processor, memory, I/O) Data Processes Software Internal security controls Access channel Opponent Human Software En gatekeeper Ett skydd mot ej önskad trafik men också en begränsning för önskad trafik 18/2-02 Distribuerade system - Jonny Pettersson, UmU 3 1

Brandväggar - Nivå? En brandvägg filtrerar på något/några/alla protokollnivåer Applikation TCP/UDP IP Ethernet fråga x svar y src port x dest port y src IP x dest IP y protocol z src addr xxxx dest addr yyyy 18/2-02 Distribuerade system - Jonny Pettersson, UmU 4 Brandväggar - HTTP Regel: Tillåt TCP från alla IP till S på port 80 HTTP-server S på port 80 18/2-02 Distribuerade system - Jonny Pettersson, UmU 5 Brandväggar - FTP, active mode Har du fil x? Ja, finns på port y FTP-server S på port 21 Hit med fil x Fil x Dynamisk server på port y 18/2-02 Distribuerade system - Jonny Pettersson, UmU 6 2

Brandväggar och protokoll Regel: Tillåt TCP från alla IP till S på port 21 Har du fil x? Finns på port y FTP-server S på port 21 Hit med fil x Dynamisk server på port y 18/2-02 Distribuerade system - Jonny Pettersson, UmU 7 Brandväggar och protokoll (2) Regel: Tillåt TCP från alla IP till S på port 21 K Har du fil x? Finns på port y Hit med fil x Fil x FTP-server S på port 21 Dynamisk server på port y Sensmoral: Brandväggar måste känna till protokoll Ny dynamisk regel: "Tillåt TCP från K till S på port y 18/2-02 Distribuerade system - Jonny Pettersson, UmU 8 Brandväggar - Proxy Dynamisk brandväggskonfiguration Kan hantera protokoll som använder dynamisk porttilldelning Ingen säkerhet på applikationsnivå Öppna portar kan användas för något annat En proxy En gateway på applikationsnivån En klient ser den som en server En server ser den som en klient Säkerhet på applikationsnivån, bryter kommunikationslänken 18/2-02 Distribuerade system - Jonny Pettersson, UmU 9 3

Brandväggar - Firewall vs Proxy På transportnivån Packetfiltrerande router På applikationsnivån Proxy server För utgående trafik Relay host För inkommande trafik Oftast kallar man båda typerna för proxy 18/2-02 Distribuerade system - Jonny Pettersson, UmU 10 Brandväggar - Proxy-exempel K Fil x? Port z Skicka fil Fil x Proxy P på port 21, och dynamiskt på port z Fil x? Port y Skicka fil Fil x FTP-server S på port 21 Dynamisk server på port y 18/2-02 Distribuerade system - Jonny Pettersson, UmU 11 Brandväggar - Proxy (2) Endast applikationsdata passerar igenom Dynamiska portar kan inte användas för bus en känner till den äkta proxyn (Varför?) Exempel: HTTP utan proxy GET / f i l. html HTTP-server S på port 80 18/2-02 Distribuerade system - Jonny Pettersson, UmU 12 4

Brandväggar - Proxy (3) Exempel: HTTP med proxy GET http://s.com/fil.html GET /fil.html HTTP-proxy GET http://t.com/kalle GET /kalle GET http://t.com/olle GET /olle En-till-många eller många-till-många kommunikation Därför måste klienten känna till proxyn HTTP-server S på port 80 HTTP-server T på port 80 18/2-02 Distribuerade system - Jonny Pettersson, UmU 13 Brandväggar - Designmål 1. Brandväggen ska alltid vara uppe när nätverket är uppe 2. Brandväggen ska vara liten och enkel för rigorös kontroll 3. All trafik mellan in och ut måste passera brandväggen 4. Endast godkänd trafik ska släppas igenom - bestäms av säkerhetspolicyn 5. Brandväggen måste själv vara immun 6. Minimalt med tjänster, endast de nödvändiga 18/2-02 Distribuerade system - Jonny Pettersson, UmU 14 Brandväggar - Default behavior Två skolor: Allt som inte uttryckligen är förbjudet är tillåtet Allt som inte uttryckligen är tillåtet är förbjudet 18/2-02 Distribuerade system - Jonny Pettersson, UmU 15 5

Brandväggar - Olika tekniker Servicekontroll Riktningskontroll Accesskontroll Uppförande- (behavior) kontroll För all trafik in och ut 18/2-02 Distribuerade system - Jonny Pettersson, UmU 16 Brandväggar - Möjligheter 1. Single point of defense - Förenklar 2.Ett bra övervakningsställe - Loggar och larm 3. VPN - Virtual Private Network (4. Plattform för annat, tex nätverksövervakning, adressöversättning) 18/2-02 Distribuerade system - Jonny Pettersson, UmU 17 Brandväggar - Begränsningar 1. Kan endast skydda mot attacker som går genom brandväggen 2. Skyddar endast mot externa hot 3.Kan ej skydda mot malicious programs och virusinfekterade filer 18/2-02 Distribuerade system - Jonny Pettersson, UmU 18 6

Brandvägg - Bastion Host En maskin som som innehåller en eller flera proxies En kritisk punkt i försvaret 18/2-02 Distribuerade system - Jonny Pettersson, UmU 19 Brandväggar - Konfigurering Proxyn sitter antingen i brandväggen eller i en DMZ (DeMilitarized Zone) Yttre nät Skyddat nät Brandvägg DMZ 18/2-02 Distribuerade system - Jonny Pettersson, UmU 20 Brandväggar - Konfigurering (2) Internet Router or proxy gateway (a) Simple firewall system Private network hosts 18/2-02 Distribuerade system - Jonny Pettersson, UmU 21 7

Brandväggar - Konfigurering (3) Bastion host Internet Packet-filtering router Private network hosts Information server (b) Screened host firewall system (single-homed bastion host) 18/2-02 Distribuerade system - Jonny Pettersson, UmU 22 Brandväggar - Konfigurering (4) Bastion host Internet Packet-filtering router Private network hosts Information server (c) Screened host firewall system (dual-homed bastion host) 18/2-02 Distribuerade system - Jonny Pettersson, UmU 23 Brandväggar - Konfigurering (5) Bastion host Internet Outside router Information server Inside router Private network hosts (d) Screened-subnet firewall system 18/2-02 Distribuerade system - Jonny Pettersson, UmU 24 8

Brandväggar - Konfigurering (6) Internet Packetfiltering router Webb servers Application servers Data First firewall layer Second firewall layer with load balancing Third firewall layer (e) A secure firewall system according to Wineasy Backend system 18/2-02 Distribuerade system - Jonny Pettersson, UmU 25 Intrusion Detection Systems - IDS Det räcker inte med brandväggar All trafik går ej alltid genom brandväggen Skyddar ej från hot inifrån Är ej immuna mot attacker Kan ej skydda mot tunnlade attacker IDS analyserar beteenden och mönster inom datorsystemet 18/2-02 Distribuerade system - Jonny Pettersson, UmU 26 IDS - Vad de gör? Letar efter tecken på intrång missbruk av resurser Görs genom att analysera information som samlas in från många ställen Assisteras av vulnerability assessment systems kollar efter fel i system och konfigureringsfel som kan utgöra säkerhetsrisker 18/2-02 Distribuerade system - Jonny Pettersson, UmU 27 9

IDS - Möjliga tjänster Övervakning och analys av användare och system Kontroll av systemets konfiguration och dess svagheter Integritetskontroll av kritiska filer och system Kollar efter mönster som liknar kända attacker Statisk analys för att hitta onormala aktiviteter Kontrollerar loggar för att titta efter tecken på brott mot säkerhetspolicyn Automatisk installation av patchar Fällor för angripare 18/2-02 Distribuerade system - Jonny Pettersson, UmU 28 IDS - Metoder Passiva Kontroll av konfiguration, passwords o dyl Aktiva Kopiera kända attacker och kolla systemets respons Regelbundna kontroller Security baseline Differentialanalys 18/2-02 Distribuerade system - Jonny Pettersson, UmU 29 IDS - Begränsningar Svåra att ställa in Vad är ett onormalt beteende och vad är ett normalt False positives Alarm i rätt tid Finns det någon som lyssnar efter alarm Diagnos? - Vad ska man göra? Statiska (regelstyrda) eller AI 18/2-02 Distribuerade system - Jonny Pettersson, UmU 30 10

Sammanfattning - Verktyg Ett verktyg ger inte ett säkert system Alla verktyg har styrkor och svagheter Det finns gränser för vad de klarar och vad de ska klara Viktigt att förstå detta!!! 18/2-02 Distribuerade system - Jonny Pettersson, UmU 31 Helhetssyn på säkerhet Hotanalys Säkerhetspolicy Implementation av säkerhetspolicyn Framtiden Säkerhet som process 18/2-02 Distribuerade system - Jonny Pettersson, UmU 32 Hotanalys - Lyckad attack 1. Identifiera mål och samla information 2. Analysera informationen och hitta en svaghet 3. Uppnå tillräcklig access till målet 4. Utför attacken 5. Sudda ut spåren och undvik vedergällning Det räcker oftast att stoppa ett steg 18/2-02 Distribuerade system - Jonny Pettersson, UmU 33 11

Hotanalys - Försvar Protection Fysisk säkerhet Virtuell säkerhet Trust model Vilka kan man lita på och hur mycket Ett systems livscykel Skydda alla delar i livscykeln Detection Reaction 18/2-02 Distribuerade system - Jonny Pettersson, UmU 34 Hotanalys Skydda mot största riskerna Värdet av det skyddade Annual loss expectancy Attackträd Enligt Schneier 18/2-02 Distribuerade system - Jonny Pettersson, UmU 35 Säkerhetspolicy Syfte och mål Annars blir det ett lapptäcke med hål mellan Grund för val av verktyg Det ska framgå vem som ansvarar för vad Vad man får och inte får göra i nätverket Varför policyn är som den är - VIKTIGT!!! 18/2-02 Distribuerade system - Jonny Pettersson, UmU 36 12

Implementation av policyn Val av säkerhetsprodukter/verktyg Test och verifikation av produkter Säkerhetshål kan finnas överallt Ett hål kan sänka hela produkten Hittas ej via beta-testning Inga garantier Kräver experter 18/2-02 Distribuerade system - Jonny Pettersson, UmU 37 Implementation av policyn (2) Rätt åtgärd på rätt ställe Överlappande säkerhetssystem Flera lager av åtgärder Säkerhet som en kedja 18/2-02 Distribuerade system - Jonny Pettersson, UmU 38 Framtiden Ökad komplexitet leder till ökade risker Lära sig av misstag? Buffer-overflow (60- ) Krypteringsalgoritmer Patchar Nya versioner Garantier? Lagar - Brott och straff Outsourcing 18/2-02 Distribuerade system - Jonny Pettersson, UmU 39 13

Säkerhet som process Det kommer alltid vara osäkert!!! Det går inte att göra det helt säkert Viktigt välja rätt skydd Vktigt att hela tiden övervaka och uppdatera Risk management 18/2-02 Distribuerade system - Jonny Pettersson, UmU 40 Säkerhet som process - Principer Dela upp systemet i delar Säkra svagaste länken Kanalisera systemet Säkerhet i flera lager Fail sercurely Dölj vad som används Keep it simple Involvera användarna Försäkra att det fungerar (Svårt!) Ifrågasätt ständigt 18/2-02 Distribuerade system - Jonny Pettersson, UmU 41 Säkerhet som process - Flöde Protection Detection Ständig uppmärksamhet Watch the watchers Reaction Någon form av reaktion Recover Counterattack Analysera, diagnosticera, implementera 18/2-02 Distribuerade system - Jonny Pettersson, UmU 42 14

Säkerhet på kursen Introduktion till säkerhet Kryptering Autenticering Nyckelhantering Säkerhetsprotokoll Digital vattenmärkning Brandväggar Intrusion Detection Systems Helhetssyn på säkerhet 18/2-02 Distribuerade system - Jonny Pettersson, UmU 43 15

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss