Hrozby připojení k Internetu

Slides:



Advertisements
Podobné prezentace
PLAYBOY Kalendar 2007.
Advertisements

© 2000 VEMA počítače a projektování spol. s r. o..
SÍŤOVÉ PROTOKOLY.
Brána firewall a její využití
Úvod do počítačových sítí Úvod. Úvod do počítačových sítí •Úvod, síťové protokoly, architektury,standardy •Fyzická úroveň •Linková úroveň •Lokální počítačové.
SÍŤOVÉ SLUŽBY DNS SYSTÉM
Počítačové sítě Úvodní přednáška Cíl předmětu – seznámit se s principy datové komunikace – seznámit se s principy distribučních systémů – seznámit se s.
1 Počítačové sítě Úvodní přednáška Cíl předmětu –seznámit se s principy datové komunikace –seznámit se s principy distribučních systémů –seznámit se s.
Přednáška č. 5 Proces návrhu databáze
Škodlivé kódy Bezpečnost informačních systémů - referát
Přínosy virtualizace a privátního cloudu
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-3-20.
Michal Zeman Vedoucí práce: Ing. Ladislav Beránek, CSc., MBA.
Základy informatiky Internet Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
Vaše jistota na trhu IT Důvěryhodná výpočetní základna Ladislav Šolc Microsoft, s.r.o. Solution.
Analýza síťového provozu
ZOHO OFFICE Vypracovala: Iva Ptáčková, A11B0605P 1.
M O R A V S K O S L E Z S K Ý K R A J 1 Vedení správních řízení ve spisové službě a statistika vyřizování dokumentů.
Informační a komunikační technologie
Bezpečnost na platformě Microsoft & Petr Hartmann Solution Specialist Microsoft.
1 | Kaspersky Endpoint Security Přehled. 2 | Kaspersky Endpoint Security Kaspersky Endpoint Security for Windows Kaspersky Endpoint Security for Mac Kaspersky.
Návrh počítačové sítě malé firmy
VLAN Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc.
Řešení elektronického docházkového systému Vema
Slide 1 A Free sample background from © 2003 By Default! Jiří Kůsa Testování propustnosti síťového firewallu.
Seminář 8 VLAN routing Srovnání směrování tradičního a VLAN routingu
VI –Bezpečnost podnikové infrastruktury – VIKMA07 - IM.
Protokol TCP/IP a OSI model
Aplikace VT v hospodářské praxi internetové technologie Ing. Roman Danel, Ph.D. VŠB – TU Ostrava.
Konference SI Praha Ladislav Přívozník is:energy czech a.s.
SIG Bezpečná síť Bezpečná data Bezpečný business Josef Zábranský Hradec Králové,
Vzdělávací materiál / DUMVY_32_INOVACE_02B7 Správa sítí AutorIng. Petr Haman Období vytvořeníLeden 2013 Ročník / věková kategorie2. ročník Vyučovací předmět.
Útoky DoS a DDoS Projektování distribuovaných systémů Ing. Jiří ledvina, CSc.
Útoky prováděné po Internetu ISSS 2003 Department name
Informační a komunikační technologie
Internet.
Protokoly a adresy na internetu
Kontrola otevřených portů
Gymnázium, Obchodní akademie a Jazyková škola s právem státní jazykové zkoušky Hodonín Počítačové sítě Architektura.
1 Zpráva o výsledcích finančních kontrol ve veřejné správě za rok 2006 – za Liberecký kraj a jím zřízené příspěvkové organizace.
Rozvoj nehlasových služeb Současnost a budoucnost mobilních sítí
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.1 Lucián Piller Intranet HR.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
BIS Firewall Roman Danel VŠB – TU Ostrava.
Firewall.
Bezpečnostní pravidla při používání internetu
CZ.1.07/1.4.00/ VY_32_INOVACE_168_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
DATABÁZOVÉ SYSTÉMY. 2 DATABÁZOVÝ SYSTÉM SYSTÉM ŘÍZENÍ BÁZE DAT (SŘBD) PROGRAM KTERÝ ORGANIZUJE A UDRŽUJE NASHROMÁŽDĚNÉ INFORMACE DATABÁZOVÁ APLIKACE PROGRAM.
© 2007 Cisco Systems, Inc. All rights reserved.Cisco Public 1 Application Layer Functionality and Protocols Network Fundamentals – Chapter 3.
1 I NTERNETOVÁ INFRASTRUKTURA. H ISTORIE SÍTĚ I NTERNET RAND Corporation – rok 1964 Síť nebude mít žádnou centrální složku Síť bude od začátku navrhována.
Datové sítě Ing. Petr Vodička.
2 Fučíková Sylvie HR/Win – moderní technologie pro osvědčené aplikace.
IBM Global Services Ing. Stanislav Bíža, Senior IT Architect, CISA © 2005 IBM Corporation Rizika napadení webových aplikací Konference ISSS 2005 Title.
Základy informatiky část 6
Vybudujte si svůj vlastní internetovský ochranný val
1 Seminář 9 MAC adresa – fyzická adresa interface (rozhraní) Je zapsána v síťové kartě. Je identifikátor uzlu na spoji. MAC adresu v paketu čte switch.
Seminář 12 Obsah cvičení Transportní služby Utilita nestat
Bezpečnost sítí s IP Michal Horák ČVUT, Praha 1. Bezpečnost sítí s IP Minimalizace zranitelných míst Systémy na detekci útoků  analyzátory  manažeři.
Internet protocol Počítačové sítě Ing. Jiří Ledvina, CSc.
PV175 SPRÁVA MS WINDOWS I Podzim 2008 Síťové služby Administrátor systému: Pracovní doba administrátora se sestává z výměny magnetických pásek v zálohovacích.
Stanice v síti učební texty pro deváté ročníky ZŠ.
 = jedná se o vzájemné propojení lokálních počítačových sítí pomocí vysokorychlostních datových spojů  vznikl spojením mnoha menších sítí  v každé.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy ČÍSLO.
Transportní vrstva v TCP/IP Dvořáčková, Kudelásková, Kozlová.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
Inf Bezpečný počítač.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
PB169 – Operační systémy a sítě
Číslo projektu OP VK Název projektu Moderní škola Název školy
Web Application Scanning
Transkript prezentace:

Hrozby připojení k Internetu Konference Informační politika napříč Evropou Ostrava, 13.-14.9.2004 Title slide

Význam informační bezpečnosti z pohledu CIO Source: Gartner, 2003

Význam informační bezpečnosti – zdroje ČR Zdroj PSIB’03, Ernst&Young, DSM-data security management, NBÚ

Význam informační bezpečnosti – zdroje ČR Zdroj PSIB’03, Ernst&Young, DSM-data security management, NBÚ

Sofistikovanost útoků vs. znalosti útočníků

Typický síťový útok

Internetoví čmuchalové Program pro odposlech dat: sniffer Útočníci používají sniffer pro: Analýzu obousměrného síťového provozu Získání UserID + Passwd (obvykle telnet, ftp) Odposlech elektronické pošty Informace, procházející Internetem, mohou být odposlechnuty v kterémkoli mezilehlém segmentu sítě Kompromitovaný server může ohrozit systémy v jiných částech sítě

Scan Metody scanování umožňují: Příklad: Nmap Zjistit OS a jeho verzi Zjistit služby, spuštěné na daném serveru Skrýt identitu (zdrojovou IP adresu) útočníka Příklad: Nmap Connect scan – zjištění otevřených portů (služeb) snadno detekovatelný Syn scan - neukončený TCP handshake UDP scan – pomalý OS fingerprint – identifikace OS Nmap má databázi cca 200 OS Znalost OS + verze umožňuje nalézt neošetřená zranitelná místa

IP spoofing Útočník používá vymyšlenou IP adresu v odchozích paketech Umožňuje: Skrýt identitu při provádění DoS útoků Neoprávněný vstup do systému kontrolovaný IP adresou HostA kontroluje IP adresu příchozích IP paketů Jestliže zdrojová adresa patří HostB, je umožňen přístup bez UserID+Passwd (tento logovací mechanismus používají např. služby RLOGIN a RSHELL)

Buffer Overflow Způsobí přetečení interního bufferu a vloží vlastní program Jednoduché - dostupné programy a podrobné návody MAIN PROGRAM PROC_ONE PROC_TWO PROC_ONE(A,B,C) C B Z RET ADDR BOGUS CODE X BUFFER Y A

Útoky typu Denial-of-Service Cílem útočníka je znepřístupnit systém pro oprávněné uživatele Relativně snadný: Během posledních let byla popsána řada DoS útoků Programy pro DoS jsou dostupné na Internetu Většinu DoS útoků lze provádět anonymně (IP spoofing) Typy DoS útoků: Obsazení přenosového pásma Síťové aplikace: mnoho agentů (DDoS), všesměrové vysílání Obsazení systémových zdrojů Zahlcuje zdroje serveru  (SYN flood) Využití vad v aplikacích Porušené pakety, aplikační data  buffer overflow Spoofing směrování/DNS/ARP Porušení konzistence směrovacích/DNS/ARP tabulek

Útoky typu Denial-of-Service Smurf Útočník pošle ICMP Echo request na broadcast adresu, jako zdrojovou použije adresu napadeného systému Napadený systém je zaplaven ICMP Echo Reply, dochází k zahlcení sítě Posílání ICMP Echo request rychlostí 400kb/s na 200 počítačů generuje 80Mb/s odpovědí (ICMP Echo Reply) směrovaných na napadený systém

Distribuovaný DoS - DDoS Zesílení tradičních DoS útoků V sítích, ze kterých je veden útok, mohou být instalovány stovky démonů provádějících DoS útok Jedním útokem lze „zabrat“ stovky Mbps DDoS sestává z: Klientský program Master server Agenty (zombie) programy

Postup DDoS útoku – 1

Postup DDoS útoku – 2

Červi a Viry na platformě Win32 Způsoby šíření (Nimda): Klient  klient pomocí e-mailu Klient  klient pomocí sdílení souborů Web server  klient pro prohlížení napadených WWW stránek Klient  Web server aktivím scanováním s využitím zranitelností MS IIS 4.0/5.0 Klient  Web server aktivním scanováním s využitím zadních vrátek zanechaných červy „Code Red II“ a „sadmin/IIS“ Ze statistik spol. Symantec vyplývá, že od roku 2002 se četnost virů a červů na platformě Win32 zvýšila 2,5 ×. Za druhou polovinu roku 2003 bylo dokumentováno 1702 nových Win32 virů a červů. Symantec také dokumentoval 2,636 nových zranitelností systémů během roku 2003. To je průměrně sedm za den. V současné době scanují útočníci sítě a hledají zadní vrátka obsažená ve viru MyDoom. Tato zadní vrátka umožňují nainstalovat vlastní SW – viz „zombie“ používané pro DDoS útoky.

Nárůst počtu nových červů a virů Period Number of viruses and worms Jan 1, 2001 - Jun 30, 2001 Jul 1, 2001 - Dec 31, 2001 Jan 1, 2002 - Jun 30, 2002 Jul 1, 2002 - Dec 31, 2002 Jan 1, 2003 - Jun 30, 2003 Jul 1, 2003 - Dec 31, 2003 New Win32 Viruses and Worms Zdroj: Symantec

Rychlost šíření Code Red

Nástroje pro zjišťování zranitelností Nástroje umožňují: scanování portů host-based audit analýzu logů zjišťování hesel hrubou silou (password cracking) testování Web aplikací zjišťování chyb v aplikacích V této přednášce se soustředíme na: Open Source nástroje

Komplexní testování zranitelností Nessus Jeden z nejrozšířenějších a nejefektivnějších nástrojů pro zjišťování zranitelností IS Client – Server architektura server provádí testy a udržuje databázi zranitelností klienty jsou provozovány na různých platformách Nessus může být rozšiřován pluginy pluginy pro různé platformy a provozované služby výběr pluginu podle konkrétního systému podstatně zrychluje průběh testů Ve výsledcích testů jsou popsány zjištěné zranitelnosti na základě informací z databáze

Nessus – výsledky testů

Scanování portů Nmap Přínosy scanování portů: Nmap: Zakázání nepotřebných služeb omezí možnosti útočníka Zjištěním služeb, které jsou provozovány na jednotlivých otevřených portech, může auditor zjistit pravděpodobné způsoby útoku Nmap: Connect scan – zjištění otevřených portů (služeb) snadno detekovatelný Syn scan - neukončený TCP handshake UDP scan – pomalý OS fingerprint – identifikace OS Nmap má databázi cca 200 OS Znalost OS + verze umožňuje nalézt neošetřená zranitelná místa

NMAP Port Scanner – verze pro Windows

Testování MS Windows LanGuard Network Security Scanner NENÍ OpenSource

Služby IBM v oblasti bezpečnosti

Ing. Stanislav Bíža, CISA sbiza@cz.ibm.com Děkuji za pozornost Ing. Stanislav Bíža, CISA sbiza@cz.ibm.com Closing slide