Solaris! Ett riktigt säkert operativsystem! Systemleverantör sedan 1984. Tel 031-17 02 80 Fax 031-17 02 84 www.khuset.se sales@khuset.

Relevanta dokument
DIG IN TO Nätverkssäkerhet

Säkerhet genom simpel nätverksutrustning. Högskoleingenjörsexamensarbete Fredrik Folke

Data Sheet - Secure Remote Access

1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet

Säker IP telefoni? Hakan Nohre, CISSP

F6 Exchange EC Utbildning AB

Kapitel 10 , 11 o 12: Nätdrift, Säkerhet

Kapitel 10, 11 o 12: Nätdrift, Säkerhet. Publika telenätet. Informationsöverföring. Jens A Andersson. Telenäten är digitala.

F5 Exchange Elektronikcentrum i Svängsta Utbildning AB

Brandväggs-lösningar

Spanning Tree Network Management Säkerhet. Spanning Tree. Spanning Tree Protocol, Varför? Jens A Andersson

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

Introduktion till protokoll för nätverkssäkerhet

Identity Management i ett nätverkssäkerhetsperspektiv. Martin Fredriksson

Systemkrav och tekniska förutsättningar

Vad är en dator? Introduktion till datorer och nätverk. Pontus Haglund Institutionen för datavetenskap (IDA) 21 augusti 2018

Sharps Säkerhetslösningar. Effektivt skydd av din information. Säkerhetslösningar

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Att Säkra Internet Backbone

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Datacentertjänster IaaS

Din guide till en säkrare kommunikation

Utvärdering Kravspecifikation

DIG IN TO Dator och nätverksteknik

Säkerhet. Säker kommunikation - Nivå. Secure . Alice wants to send secret message, m, to Bob.

LABORATIONSRAPPORT Säkerhet & Sårbarhet VPN

Instruktion. Datum (12) Coverage Dokument id Rev Status? Godkänd. Tillhör objekt -

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

Datasäkerhet. Informationsteknologi sommarkurs 5p, Agenda. Slideset 10. Hot mot datorsystem. Datorsäkerhet viktigare och viktigare.

Lathund Beställningsblankett AddSecure Control

Denna genomgång behandlar följande: IP (v4) Nätmasken ARP Adresstilldelning och DHCP

Ver Guide. Nätverk

Introduktion - LAN Design och switching concepts Basic Switch Concepts and Configuration Frågor? Referenser. Nätverksteknik 2

Systemkrav WinServ II Edition Release 2 (R2)

Administratör IT-system Kursplan

Om du misstänker att värdens privata nyckel har manipulerats kan du skapa en ny genom att utföra följande steg:

Säkra trådlösa nät - praktiska råd och erfarenheter

Plattform as a Service, leverantör tillhandahåller plattformen, jag tillhandahåller applikation och ansvarar för denna.

Kursplaner för Administartör IT-System Innehåll

Virtuell Server Tjänstebeskrivning

Linuxadministration I 1DV417 - Laboration 7 SSH-magi och systemtrolleri. Marcus Wilhelmsson 6 mars 2013

Remote Access Services Security Architecture Notes

Nätverksteknik A - Introduktion till VLAN

Microsoft Internet Information Services 7 / 7.5

Övningar - Datorkommunikation

Grundläggande informationssäkerhet 7,5 högskolepoäng

Unix-miljöer i större sammanhang

Innehållsförteckning:

Innehåll. Dokumentet gäller från och med version

Brandväggsarkitekturer

Säkerhet och förtroende

Viktigt! Glöm inte att skriva Tentamenskod på alla blad du lämnar in.

Palo Alto Networks. 10 saker din brandvägg måste klara av (För annars är det inte en riktig brandvägg)

Försättsblad till skriftlig tentamen vid Linköpings Universitet

EXTERN ÅTKOMST TILL SOCIALA SYSTEM FÖR UTFÖRARE INOM ÄLDREOMSORGEN OCH OMSORGEN OM FUNKTIONSHINDRADE

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

IP-baserade program. Telnet

IPv6 i Stadsnät. Anders Löwinger, PacketFront

Remote Access Service

HP ProCurve SKA 3.1 Certifiering

FlexiTid Extern webbokning. Copyright Datatal AB. Med ensamrätt. Copyright 2013 Datatal AB. All rights reserved.

Föreläsning 3. Datorkunskap 50p Marcus Weiderstål Bromma Gymnasium

Nätverksteknik A - Introduktion till Routing

Totalt antal poäng på tentamen: 50 För att få respektive betyg krävs: U<20, 3>=20, 4>=30, 5>=40

3) Routern kontrollerar nu om destinationen återfinns i Routingtabellen av för att se om det finns en väg (route) till denna remote ost.

Startanvisning för Bornets Internet

Behörighetssystem. Ska kontrollera att ingen läser, skriver, ändrar och/eller på annat sätt använder data utan rätt att göra det

IPTABLES från grunden. Anders Sikvall, Sommarhack 2015

DIG IN TO Administration av nätverk- och serverutrustning

Direct Access ger dig möjlighet att nåinternaresurservarduänbefinnersig Men hur fungerar tekniken bakom den välpolerade ytan?

Unix-Säkerhet. Övningsprov. Frågorna skall besvaras på ett sådant sätt att en insatt kollega skall känna sig informerad.

DIG IN TO Administration av nätverk- och serverutrustning

Att använda kryptering. Nyckelhantering och protokoll som bygger på kryptering

Modul 6 Webbsäkerhet

Sharps Säkerhetslösningar. Effektivt skydd av din information. Säkerhetslösningar

Compose Connect. Hosted Exchange

Instruktion för användande av Citrix MetaFrame

Säkerhet. Vad är det vi pratar om??

VPN (PPTP) installationsguide för Windows 7

Storage. Effektivare datalagring med det intelligenta informationsnätet.

Föreläsningens innehåll. Säker kommunikation - Nivå. IPSec. IPSec - VPN. IPSec - Implementation. IPSec - Består av vad?

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Din guide till IP RFID. Intertex Nu ännu starkare säkerhet för SIP. Snom - marknadens säkraste IP-telefon. Ur innehållet TALK TELECOM

Installation och konfiguration av klientprogramvara 2c8 Modeling Tool

C64 4G-router 4G-router för VAKA fjärradministration, IP-porttelefoni och internetbokning.

EVRY One Outsourcing Linköping AB. Erfaranheter av daglig drift och nyttjande av IFS Applications 8.

Policy för användande av IT

SÄKERHETSLÖSNINGAR KOPIATORER/SKRIVARE/MULTIFUNKTIONSSYSTEM BEPRÖVADE LÖSNINGAR FÖR ÖKAD NÄTVERKSSÄKERHET SHARP DOCUMENT SOLUTIONS

Certifikatbaserad inloggning via SITHS, tillämpningsexempel

ZFS. Linuxadministration I 1DV417. Wednesday, January 23, 13

Grundläggande datavetenskap, 4p

Hur gör man ett trådlöst nätverk säkert?

Christer Scheja TAC AB

DGC IT Manual Citrix Desktop - Fjärrskrivbord

Bilaga. Kursplaner för Administartör IT-System. Innehåll. Fastställd

Denial of Services attacker. en översikt

Handledning i informationssäkerhet Version 2.0

Installera SoS2000. Kapitel 2 Installation Innehåll

DIG IN TO Administration av nätverk- och serverutrustning

Transkript:

Systemleverantör sedan 1984 Solaris! Systemleverantör sedan 1984 Ett riktigt säkert operativsystem! Tel 031-17 02 80 Fax 031-17 02 84 www.khuset.se sales@khuset.se

KHUSET WHITE PAPER SOLARIS 2 Innehållsförteckning: Solaris ursprung... 3 SPARC-processorn... 3 SPARC-processorn kan inte utföra Intel-processorns instruktionsrepertoar... 3 SPARC-processorn och kryptering... 4 Solaris säkerhetsklassning... 4 Solaris stoppar Buffer overflow attacker... 4 Solaris levereras med alla nätverkstjänster avslagna förutom Secure Shell...4 Solaris levereras med Kerberos och LDAP för autentisering av användare... 4 Solaris Secure Shell (SSH), Kerberos och certifikatbaserad inloggning... 5 Solaris levereras med lokal brandvägg... 5 Solaris IPsec, VPN och VLAN... 5 Solaris Auditing... 5 Solaris Rollbaserad Access Control (RBAC)... 6 Solaris nya filsystem ZFS (Zettabyte File System)... 6 Solaris Access Control (ACL)... 6 Solaris Trusted Extensions... 6 Solaris detektering av fil-/dataförändringar... 7 Solaris zoner ökar säkerheten... 7 Solaris 11.2 levereras med SAMP...7 Kernelbaserad SSL-Proxy... 7 Solaris och nätverkssäkerhet...8 Solaris och kvalitetsgaranterade differentierade nätverkstjänster. (QoS)... 8

KHUSET WHITE PAPER SOLARIS 3 Solaris ursprung: I några korta teser skall denna skrift försöka beskriva varför Solaris är det säkraste kommersiellt tillgängliga operativsystemet som rätt konfigurerat har störst möjlighet att skydda ditt data från intrångsförsök, vandalism och stöld. Solaris ursprung. Operativsystemet Solaris är en utveckling av UNIX System V Release 4. Denna Unix-variant skapades av amerikanska AT&T under åren 1986-1988. AT&T Bell Labs i New Jersey var ett av de ursprungliga utvecklingslaboratorierna för UNIX. (Berkeley universitetet i Californien var det andra UNIX labbet) 1988-1989 porterades UNIX System V Release 4 till SPARC-processorn, som var ny 1987,av företaget International Computers Limited (ICL) vilket sedermera uppgick i företaget Fujitsu. Sun Microsystem lanserade Solaris 1992, efter att ha utvecklat UNIX System V R4-porten till SPARC ytterligare. Så här 25 år senare är det enkelt att ha glömt bort ursprunget för Solaris men dess tillkomst var alltså ett gediget arbete under en 5-årsperiod av bolagen AT&T, ICL och Sun Microsystems. SPARC-processorn. Solaris kan idag användas på både Intel s X86, AMD X64 och på SPARC processorer. Vi har det senaste året haft ett generationsskifte ned till 28 nanometers kretsar för SPARC processorn. Det har inneburit en revolution i SPARC-prestanda där Fujitsu s SPARC64 X+ chip nu är den starkaste testade processorn, alla kategorier, med ett genomfört & publicerat SPECintRate CPU2006 benchmark. SPARC64X+16 core processorn har idag nära dubbla prestandan av en Intel Xeon E5-2697 v2 ivy-bridge 12 core processor. SPARC-processorn kan inte utföra Intel-processorns instruktionsrepertoar. Det betyder att Virus och Malware som skrivits för Intel X86-processorn och distribueras i binär form inte kan förstås eller utföras av en SPARC-processor. X86-koderna är helt enkelt obegriplig för SPARC-processorn. Virus som förstör system med Intel X86-processorer är alltså helt harmlöst för en SPARC-dator. X86-viruset är bara en harmlös sträng med meningslösa tecken i SPARC-datorn. Det går knappast att överdriva betydelsen av detta faktum när X86-processorn skall jämföras med SPARC-processorn. En bra bit över 90% av virus och malware som sprids på näten är avsedda för X86-processorer. Och de har ingen effekt alls på SPARC-baserade datorer.

KHUSET WHITE PAPER SOLARIS 4 Säkerhet och kryptering: På samma sätt som det inte går att flytta kompilerade program mellan X86 och SPARC så går det inte att flytta Virus heller. Det är därför mycket lämpligt att använda SPARC-datorer i situationer och system där applikationen är en säkerhetsfunktion. Ett typexempel på detta är en brandväggsserver eller en server som skall detektera intrångsförsök. Det är förstås otroligt väsentligt att servern, som skall vara brandvägg, inte själv blir virusattackens första offer och att det går att förutsätta att brandväggen överlever virusattacker. En brandväggsserver baserad på en Intel X86 processor kan mycket väl bli den första serven på företaget som dukar under i en virusattack. (Detta är anledningen till att författaren nästan dog av skratt under den mest gastkramande delen av filmen Independence Day - hjältarna i filmen bekämpar onda rymdvarelser med PC-Virus och laddar upp PC-virus till utomjordingarna s huvuddator, varefter den havererar och rymdgubbarna blir hjälplösa. Har knappast haft lika roligt sen dess). SPARC-processorn och kryptering. Sparc-processorn innehåller krypteringsaccelerationskretsar ingraverade på chippet. Kryptering av nätverkstrafik med t.ex. SSH eller HTTPS görs av hårdvaran vilket radikalt ökar antalet samtidiga koppel som servern klarar. SPARC- processorerna SPARC64X+ och T5 är 2,5 till 3 ggr snabbare än Intel E5-2697 v2 CPU på krypteringsoperationer med AES. Solaris säkerhetsklassning. Solaris 11.1 är säkerhetscertifierat emot Common Criteria Evaluation Assurance Level EAL4+ mot CAPP, RBACPP. Solaris Trusted Extensions är certifierat emot Common critera EAL4 + LSPP protection profiles. Solaris stoppar Buffer overflow attacker. Solaris kan konfigureras så att det inte går att exekvera kod som lagts på stacken. Det innebär att den traditionella intrångsmetoden, med att skapa ett buffer overflow till stacken och sedan exekvera det, inte fungerar. Solaris levereras med alla nätverkstjänster avslagna förutom Secure Shell. Solaris systemadministratören måste själv aktivera varje nätverkstjänst som skall användas. Det ger administratören full kontroll över vilka tjänster som är i drift. Solaris levereras med Kerberos och LDAP för autentisering av användare. Solaris innehåller samma tjänster som ingår Microsofts ActiveDirectory för användarautentisering: Kerberos & LDAP. På samma sätt som ActiveDirectory måste dessa tjänster planeras, designas och aktiveras.

KHUSET WHITE PAPER SOLARIS 5 Solaris Secure Shell: Solaris Secure Shell (SSH), Kerberos och certifikatbaserad inloggning. Att logga in på en server med den traditionella metoden, med lokalt användarnamn och passord, är inte längre en säker metod för användarautentisering. Med Solaris kan Secure Shell kombineras med Kerberos+LDAP inloggning och passord kan ersättas med personliga certifikat med s.k. PassPhrase. Detta tillvägagångssätt åstadkommer fyra säkerhetshöjande steg. Centralt LDAP-baserat användarddirectory. Åtkomsttilldelning med Kerberos Tickets. Två faktors användarautentisering med både Certifikat och PassPhrase. SPARC-processor accelererad nätverkstrafikkryptering på IP Layer 4 nivå mellan användare och server. Detta är därför den rekommenderade metoden att konfigurera upp användaraccess i Solarismiljö. Solaris levereras med lokal brandvägg. Brandväggsprogramvaran IP-Filter ingår i Solaris. Brandvägg kan konfigureras upp för varje enskild server. Säkerhetsmässigt är det bättre att ha lokala brandväggar i varje server än att endast lita till perimeter-brandväggar utanför företagsnätet. IP-Filter innehåller en Network Address Translation (NAT) modul som gör det möjligt för solaris att översätta adresser från internet till ett lokalt privat nät enligt RFC 1918. Solaris IPsec, VPN och VLAN. Solaris kan konfigureras för krypterad IP på Layer 3 nivå (IPSEC). Solaris innehåller egen IKE IPsec nyckelhantering. Solaris kan därför användas som en nod eller server i ett VPN-nätverk. Solaris kan också använda VLAN direkt från servern. Solaris Auditing. Solaris levereras med ett fullständigt system för granskning av varje händelse i operativsystemet ned till individuella läs och skrivoperationer på disk. En aktivering av Auditing måste planeras med avseende på hur auditloggarna skall lagras, hanteras och kontrolleras.

KHUSET WHITE PAPER SOLARIS 6 Access kontroll: Solaris Rollbaserad Access Control (RBAC). Solaris innehåller som standard rollbaserad accesskontroll där användare kan ges åtkomst till delar av systemfunktionen baserat på användarens roll/ funktion i organisationen så att administration av system kan ske med definierade roller med olika set av tillåtna adminprogram. Solaris nya filsystem ZFS (Zettabyte File System). ZFS filsystem är det första filsystemet med 128 adressbitar och kan lagra 256 Zettabyte. Allt data skrivs med checksummor till disk och jämförs vid läsning så att läsfel inte kan uppkomma. ZFS är både ett filsystem och en volymhanterare för spegling, RAID5 m.m. Därför krävs inga RAID- kort i SPARC-servrar. Solaris Access Control (ACL). Solaris ZFS filsystem innhåller Extended ACL,s enligt NFSv4-modellen vilken är förvillande lik ACL:er i Microsoft NTFS. Det äldre systemet med UNIX-permission fungerar fortfarande men emuleras med utgångspunkt från ZFS ACL:er. Solaris Trusted Extensions. Trusted Extension kan installeras i zoner för att åstadkomma det som brukar kallas Multi Level Security (MLS) vilket oftast används för militära ändamål. Trusted extensions fungerar genom att applicera LABEL s på object som TOP SECRET eller UNRESTRICTED. Label styr sedan hur objektet kan läsas, skrivas ut eller överföras. Trusted extensions inför även Mandatory Access Control (MAC) som innbär att en säkerhetsadministratör inför accessregler på object som användare och systemadministratörer inte kan ändra på. System med Trusted Extensions aktiverat behöver därför två administratörer, en systemadministratör och en säkerhetsadministratör. Dessa skall vara två olika personer med olika ansvar, om systemet skall vara meningsfullt.

KHUSET WHITE PAPER SOLARIS 7 Detektering: Solaris detektering av fil-/dataförändringar. Solaris har två huvudsakliga metoder att upptäcka om programfiler eller datafiler har modifierats, (av ett potentiellt dataintrång). Pakethanteringssystemet kan verifiera att alla installerade program har samma checksummor som installationsrepositoriet med #pkg verify. Basic Auditing Report Tool (BART) skapar inventarielistor över installerade filer som därefter regelbundet kan jämföras och uppdateras med ny inventarierapport. Solaris zoner ökar säkerheten. Solaris har med sin zon-funktion möjlighet att logiskt isolera applikationer från varandra i dessa zoner. Det innebär också att brandväggar kan konfigureras individuellt per zon, samt att operativsystemets moduler kan installeras selektivt per zon. En zons funktionalitet och säkerhetsnivå kan därför anpassas på ett flexibelt sätt. Med en unik applikation i en zon kan zonens brandvägg anpassas för den unika applikationen och inga övriga anslutnings TCP/IP portar behöver aktiveras. Samma resonemang kan föras med avseénde på Solaris Virtuella maskiner (Oracle VM for SPARC) som är ett alternativ till zoner. Solaris 11.1 levereras med SAMP. Webstacken levereras med Solaris/Apache/ MySQL /PHP och ingår i Solaris 11.2. Kernelbaserad SSL-Proxy. Solaris 11.2 innhåller en kernelbaserad SSL-Proxy som dels skyddar Webservern från direkt kontakt med en potentiellt farlig modifierad web-läsare, dels accelererar SSL-hanteringen med en tredjedel. Apache 2.2 webservern som levereras med Solaris kan ansluta sig till SSL proxy.

KHUSET WHITE PAPER SOLARIS 8 Nätverkssäkerhet: Solaris och nätverkssäkerhet. Solaris 11.2 är designat för att fungera i miljöer som utsätts för nätverksattacker. Med Solaris 11.2 kan följande normala IP-funktionalitet omkonfigureras: Broadcast packet forwarding, kan stängas av för att förhindra att servern deltar i en Ping of Death attack. Responce to echo Requests, kan stängas av så att servern inte blir offer för en Ping of Death attack. Solaris kan konfigureras att inte vidarebefordra paket där source-adressen i paketet inte stämmer med avsändarens adress. Antalet icke kompletta anslutningsförsök kan begränsas för att förhindra Denial of Service attacker. Antalet öppna inkommande koppel kan begränsas för att förhindra Denial of Service-attacker. Stark slumpvis generering av IP-sekvensnummer enligt RFC 6528 kan konfigureras för att hindra en angripare att kapa en session. Solaris kan konfigureras att ignorera ICMP-redirect-meddelanden för att hindra en angripare att kapa en session. Solaris 11.2 är default konfigurerat för att: Förhindra Source Packet Forwarding. Att ej svara på Address Mask Broadcast. Att ej svara på Timestamp -eller Broadcast Timestamp-frågor. Att ej genomföra IP Source Routing (för att forcera paket en annan väg än genom brandväggen). Solaris och kvalitetsgaranterade differentierade nätverkstjänster. (QoS) Solaris stöder Quality of Service DiffServ-modellen och kan tillsammans med nätverksutrustning som stöder DiffServ modellen (CISCO, HP Procurve m.fl) bygga nätverksflöden med olika prioritet och bandbredd till olika konsumenter. Dataflöden kan specificeras internt i Solaris så att olika konsumenter i en virtualiserad miljö, t.ex en VM, en zon eller ett virtuellt nät internt i Solaris-maskinen får garanterad eller begränsad tillgång på bandbredd till viss adress eller till viss TCP/IP-tjänst eller port. Funktionen kan också användas för att helt strypa flödet av data till eller från viss TCP/IP-port eller tjänst utan att brandvägg används och är därför intressant i nätverkssäkerhetssammanhang.

Systemleverantör sedan 1984 Om khuset: 30 års erfarenhet som systemleverantör. Expert på Unix. Tel 031-17 02 80 Fax 031-17 02 84 www.khuset.se sales@khuset.se Systemleverantör sedan 1984 Tel 031-17 02 80 Fax 031-17 02 84 www.khuset.se sales@khuset.se

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss