Säkerhetsanalys The Dribble Corporation Produkt: Dribbles En elektronisk pryl Vill börja sälja över nätet Behöver utveckla nätverksinfrastuktur 19/10-04 Distribuerade system - Jonny Pettersson, UmU 1 The Dribble Corporation - Krav WWW Mail Tjänst för kunder, underleverantörer och andra partners Viktigt skydda egna affärshemligheter Utomstående ska inte komma åt utvecklingsavdelningen Företagsledning och advokater måste ha access till utvecklingsdata Utvecklare ska inte ha tillgång företagsledningens data 19/10-04 Distribuerade system - Jonny Pettersson, UmU 2 The Dribble Corporation - Mål 1. Data angående företagets planer ska vara hemligt Känslig företagsdata, exv sådant som rör utveckling av potentiella produkter, ska endast vara tillgängligt för de som måste veta 2. Kunddata, vidköp, skabaravaratillgängligtför de som tar hand om ordern Företagets analytiker ska kunna få statistik över ett antal ordrar 3. Spridning av känslig data kräver samtycke av företagsledning och advokater 19/10-04 Distribuerade system - Jonny Pettersson, UmU 3 1
Brandväggar - Vad är det? Information system Gatekeeper function Computing resources (processor, memory, I/O) Data Processes Software Internal security controls Access channel Opponent Human Software En gatekeeper Ett skydd mot ej önskad trafik men också en begränsning för önskad trafik 19/10-04 Distribuerade system - Jonny Pettersson, UmU 4 Brandväggar - Nivå? En brandvägg filtrerar på något/några/alla protokollnivåer Applikation TCP/UDP IP Ethernet fråga x svar y src port x dest port y src IP x dest IP y protocol z src addr xxxx dest addr yyyy 19/10-04 Distribuerade system - Jonny Pettersson, UmU 5 Brandväggar - Firewall vs Proxy På transportnivån Packetfiltrerande router På applikationsnivån Proxy server En klient ser den som en server En server ser den som en klient Säkerhet på applikationsnivån, bryter kommunikationslänken 19/10-04 Distribuerade system - Jonny Pettersson, UmU 6 2
Brandväggar - Designmål 1. Brandväggen ska alltid vara uppe när nätverket är uppe 2. Brandväggen ska vara liten och enkel för rigorös kontroll 3. All trafik mellan in och ut måste passera brandväggen 4. Endast godkänd trafik ska släppas igenom - bestäms av säkerhetspolicyn 5. Brandväggen måste själv vara immun 6. Minimalt med tjänster, endast de nödvändiga 19/10-04 Distribuerade system - Jonny Pettersson, UmU 7 Brandväggar - Default behavior Två skolor: Allt som inte uttryckligen är förbjudet är tillåtet Allt som inte uttryckligen är tillåtet är förbjudet 19/10-04 Distribuerade system - Jonny Pettersson, UmU 8 Brandväggar - Olika tekniker För all trafik in och ut Servicekontroll Riktningskontroll Accesskontroll Uppförande- (behavior) kontroll Bastion Host En maskin som som innehåller en eller flera proxies En kritisk punkt i försvaret 19/10-04 Distribuerade system - Jonny Pettersson, UmU 9 3
Brandväggar - Möjligheter 1. Single point of defense - Förenklar 2. Ett bra övervakningsställe - Loggar och larm 3.VPN - Virtual Private Network (4. Plattform för annat, tex nätverksövervakning, adressöversättning) 19/10-04 Distribuerade system - Jonny Pettersson, UmU 10 Brandväggar - Begränsningar 1. Kan endast skydda mot attacker som går genom brandväggen 2. Skyddar endast mot externa hot 3. Webb-ifierade applikationer 4. Kan ej skydda mot malicious programs och virusinfekterade filer 19/10-04 Distribuerade system - Jonny Pettersson, UmU 11 Brandväggar - Konfigurering Proxyn sitter antingen i brandväggen eller i en DMZ (DeMilitarized Zone) Yttre nät Skyddat nät Brandvägg DMZ 19/10-04 Distribuerade system - Jonny Pettersson, UmU 12 4
De vanligaste attackerna Juni 2000 (Andersson) 1. Stack overflow i BIND 2. CGI program i web-server 3. Stack overflow i RPC 4. Bug i MS IIS 5. Bug i sendmail 6. Stack overflow i Sun Solaris OS 7. Attack mot NFS 8. Gissa användare och lösenord 9. IMAP och POP 10. Svag autenticering i SNMP 19/10-04 Distribuerade system - Jonny Pettersson, UmU 13 Förändrade kompetenser Användarna Systemadministratörerna Outsourcing 19/10-04 Distribuerade system - Jonny Pettersson, UmU 14 Hot i nätverk OS Många tjänster och många tjänster default på Attacker i LAN Sniffa lösenord NFS Attacker i Internet SYN Flooding Smurfing DDOS Spam och adressförfalskning Kombinerade attacker Routing-attacker 19/10-04 Distribuerade system - Jonny Pettersson, UmU 15 5
Försvar mot nätattacker Configuration Management Väldigt viktigt det görs korrekt Kryptering IPsec VPN Brandväggar 19/10-04 Distribuerade system - Jonny Pettersson, UmU 16 Intrusion Detection Systems - IDS Det räcker inte med brandväggar All trafik går inte genom brandväggen Skyddar ej från hot inifrån Är ej immuna mot attacker Kan ej skydda mot tunnlade attacker IDS analyserar beteenden och mönster inom datorsystemet 19/10-04 Distribuerade system - Jonny Pettersson, UmU 17 IDS - Vad de gör? Letar efter tecken på intrång missbruk av resurser Görs genom att analysera information som samlas in från många ställen Assisteras av vulnerability assessment systems kollar efter fel i system och konfigureringsfel som kan utgöra säkerhetsrisker 19/10-04 Distribuerade system - Jonny Pettersson, UmU 18 6
IDS - Möjliga tjänster Övervakning och analys av användare och system Kontroll av systemets konfiguration och dess svagheter Integritetskontroll av kritiska filer och system Kollar efter mönster som liknar kända attacker Statistisk analys för att hitta onormala aktiviteter Kontrollerar loggar för att titta efter tecken på brott mot säkerhetspolicyn Automatisk installation av patchar Fällor för angripare 19/10-04 Distribuerade system - Jonny Pettersson, UmU 19 IDS - Metoder Passiva Kontroll av konfiguration, passwords o dyl Aktiva Kopiera kända attacker och kolla systemets respons Regelbundna kontroller Security baseline Differentialanalys 19/10-04 Distribuerade system - Jonny Pettersson, UmU 20 IDS - Begränsningar Svåra att ställa in Vad är ett onormalt beteende och vad är ett normalt False positives Alarm i rätt tid Finns det någon som lyssnar efter alarm Diagnos? - Vad ska man göra? Statiska (regelstyrda) eller AI 19/10-04 Distribuerade system - Jonny Pettersson, UmU 21 7