Útoky prováděné po Internetu ISSS 2003 Department name www.cz.ibm.com.

Slides:



Advertisements
Podobné prezentace
SÍŤOVÉ PROTOKOLY.
Advertisements

Brána firewall a její využití
Hrozby připojení k Internetu
Úvod do počítačových sítí Úvod. Úvod do počítačových sítí •Úvod, síťové protokoly, architektury,standardy •Fyzická úroveň •Linková úroveň •Lokální počítačové.
SÍŤOVÉ SLUŽBY DNS SYSTÉM
Počítačové sítě Úvodní přednáška Cíl předmětu – seznámit se s principy datové komunikace – seznámit se s principy distribučních systémů – seznámit se s.
1 Počítačové sítě Úvodní přednáška Cíl předmětu –seznámit se s principy datové komunikace –seznámit se s principy distribučních systémů –seznámit se s.
Přednáška č. 5 Proces návrhu databáze
Metody zabezpečení IS „Úplná struktura informační koncepce (IK) “ § 5a novely zákona č. 365/2000 Sb., o informačních systémech veřejné správy (ISVS), provedené.
Škodlivé kódy Bezpečnost informačních systémů - referát
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-3-20.
Základy informatiky Internet Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
Přínosy a druhy počítačových sítí. Jednou z nejvýznamnějších technologií používaných v oblasti výpočetních systémů jsou již řadu let počítačové sítě.
Vaše jistota na trhu IT Důvěryhodná výpočetní základna Ladislav Šolc Microsoft, s.r.o. Solution.
Analýza síťového provozu
Informační a komunikační technologie
1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
Zlín - květen 2006 Regionální knihovní systém Clavius REKS firma LANius s.r.o.
Návrh počítačové sítě malé firmy
VLAN Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc.
VI –Bezpečnost podnikové infrastruktury – VIKMA07 - IM.
Protokol TCP/IP a OSI model
Aplikace VT v hospodářské praxi internetové technologie Ing. Roman Danel, Ph.D. VŠB – TU Ostrava.
Útoky DoS a DDoS Projektování distribuovaných systémů Ing. Jiří ledvina, CSc.
Internet.
TCP a firevall Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Protokoly a adresy na internetu
Internetový prohlížeč
Internet.  Celosvětový systém propojených počítačů  Funkce  Sdílení dat  Elektronická pošta.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
BIS Firewall Roman Danel VŠB – TU Ostrava.
Bezpečnostní pravidla při používání internetu
CZ.1.07/1.4.00/ VY_32_INOVACE_168_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
© 2007 Cisco Systems, Inc. All rights reserved.Cisco Public 1 Application Layer Functionality and Protocols Network Fundamentals – Chapter 3.
INTERNET – struktura, fungování a přehled využití
1 I NTERNETOVÁ INFRASTRUKTURA. H ISTORIE SÍTĚ I NTERNET RAND Corporation – rok 1964 Síť nebude mít žádnou centrální složku Síť bude od začátku navrhována.
Datové sítě Ing. Petr Vodička.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-16.
IBM Global Services Ing. Stanislav Bíža, Senior IT Architect, CISA © 2005 IBM Corporation Rizika napadení webových aplikací Konference ISSS 2005 Title.
Základy informatiky část 6
ISSS IS HN/SS Softwarová architektura informačního systému hmotné nouze a sociálních služeb Jindřich Štěpánek
Vybudujte si svůj vlastní internetovský ochranný val
1 Seminář 9 MAC adresa – fyzická adresa interface (rozhraní) Je zapsána v síťové kartě. Je identifikátor uzlu na spoji. MAC adresu v paketu čte switch.
Síť a MS Windows.
Internet.
Seminář 12 Obsah cvičení Transportní služby Utilita nestat
Digitální výukový materiál zpracovaný v rámci projektu „EU peníze školám“ Projekt:CZ.1.07/1.5.00/ „SŠHL Frýdlant.moderní školy“ Škola:Střední škola.
Bezpečnost sítí s IP Michal Horák ČVUT, Praha 1. Bezpečnost sítí s IP Minimalizace zranitelných míst Systémy na detekci útoků  analyzátory  manažeři.
Miroslav Skokan IT Security Consultant
Transportní úroveň Úvod do počítačových sítí Lekce 10 Ing. Jiří Ledvina, CSc.
Internet protocol Počítačové sítě Ing. Jiří Ledvina, CSc.
PV175 SPRÁVA MS WINDOWS I Podzim 2008 Síťové služby Administrátor systému: Pracovní doba administrátora se sestává z výměny magnetických pásek v zálohovacích.
E- MAIL Ing. Jiří Šilhán. E LEKTRONICKÁ POŠTA NEBOLI vývoj od počátku sítí – původní návrh pouze pro přenos krátkých textových zpráv (ASCII) základní.
Aktivní prvky ochrany sítí ● Filtrace, proxy, firewall ● Filtrace přenosu, zakázané adresy, aplikační protokoly ● Proxy, socks, winsocks ● Překlad adres.
Internet. je celosvětový systém navzájem propojených počítačových sítí („síť sítí“), ve kterých mezi sebou počítače komunikují pomocí rodiny protokolů.
 = jedná se o vzájemné propojení lokálních počítačových sítí pomocí vysokorychlostních datových spojů  vznikl spojením mnoha menších sítí  v každé.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy ČÍSLO.
Transportní vrstva v TCP/IP Dvořáčková, Kudelásková, Kozlová.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
Inf Bezpečný počítač.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
Budování Integrovaného informačního systému Národního památkového ústavu Petr Volfík, NPÚ ÚP
PB169 – Operační systémy a sítě
Číslo projektu OP VK Název projektu Moderní škola Název školy
Příklad topologie sítě Adresace v internetu MAC adresa – fyzická adresa interface (rozhraní) Je zapsána v síťové kartě. Je identifikátor uzlu.
Úvod do počítačových sítí
Počítačové sítě IP vrstva
Ing. Jiří Šilhán IP Spoofing.
Ing. Jiří Šilhán IPv4.
IPv6 druhá část Ing. Jiří Šilhán.
Transkript prezentace:

Útoky prováděné po Internetu ISSS 2003 Department name

Sofistikovanost útoků vs. znalosti útočníků

Typický síťový útok

Internetoví čmuchalové Program pro odposlech dat: sniffer Útočníci používají sniffer pro: –Analýzu obousměrného síťového provozu –Získání UserID + Passwd (obvykle telnet, ftp) –Odposlech elektronické pošty Informace, procházející Internetem, mohou být odposlechnuty v kterémkoli mezilehlém segmentu sítě Kompromitovaný server může ohrozit systémy v jiných částech sítě

Scan Metody scanování umožňují: –Zjistit OS a jeho verzi –Zjistit služby, spuštěné na daném serveru –Skrýt identitu (zdrojovou IP adresu) útočníka Příklad: Nmap –Connect scan – zjištění otevřených portů (služeb) snadno detekovatelný –Syn scan - neukončený TCP handshake –UDP scan – pomalý –OS fingerprint – identifikace OS Nmap má databázi cca 200 OS Znalost OS + verze umožňuje nalézt neošetřená zranitelná místa

IP spoofing Útočník používá vymyšlenou IP adresu v odchozích paketech Umožňuje: –Skrýt identitu při provádění DoS útoků –Neoprávněný vstup do systému kontrolovaný IP adresou HostA kontroluje IP adresu příchozích IP paketů Jestliže zdrojová adresa patří HostB, je umožňen přístup bez UserID+Passwd (tento logovací mechanismus používají např. služby RLOGIN a RSHELL)

Buffer Overflow Způsobí přetečení interního bufferu a vloží vlastní program Jednoduché - dostupné programy a podrobné návody MAIN PROGRAM PROC_ONE PROC_TWO PROC_ONE(A,B,C) C B Z RET ADDR BOGUS CODE RET ADDR X BUFFER Y A

Útoky typu Denial-of-Service – I. Cílem útočníka je znepřístupnit systém pro oprávněné uživatele Relativně snadný: –Během posledních let byla popsána řada DoS útoků –Programy pro DoS jsou dostupné na Internetu –Většinu DoS útoků lze provádět anonymně (IP spoofing) Typy DoS útoků: –Obsazení přenosového pásma Síťové aplikace: mnoho agentů (DDoS), všesměrové vysílání –Obsazení systémových zdrojů Zahlcuje zdroje serveru  (SYN flood) –Využití vad v aplikacích Porušené pakety, aplikační data  buffer overflow –Spoofing směrování/DNS/ARP Porušení konzistence směrovacích/DNS/ARP tabulek

Útoky typu Denial-of-Service – II. Ping O‘Death –Ping = ICMP ECHO paket, max. Délka 64k-1 Bytes –Ping O‘Death posílá pakety >64kB (fragmentace, buffer overflow) –Může způsobit pád systému, reboot, nestabilní stavy –Ohroženy: UNIX, MAC, NetWare, tiskárny, směrovače SYN Flood –Využívá zranitelnosti TCP protokolu – zpracování nových požadavků na spojení je náročné na systémové zdroje –Útočník zaplaví systém požadavky na spojení na různých portech, s neexistující zdrojovou adresou –Napadený systém čeká na navázání spojení (SYN ACK), oprávnění uživatelé se nemohou připojit Land.C –Založen na bugu v TCP/IP protokolu –Útočník pošle TCP SYN paket se zdrojovou a cílovou adresou napadeného systému; zdrojový a cílový port jsou stejné –Systém je zahlcen posíláním ACK segmentů ve smyčce –Zranitelné jsou různé OS, směrovače, síťová zařízení

Útoky typu Denial-of-Service – III. Smurf –Útočník pošle ICMP Echo request na broadcast adresu, jako zdrojovou použije adresu napadeného systému –Napadený systém je zaplaven ICMP Echo Reply, dochází k zahlcení sítě –Posílání ICMP Echo request rychlostí 400kb/s na 200 počítačů generuje 80Mb/s odpovědí (ICMP Echo Reply) směrovaných na napadený systém

Distribuovaný DoS - DDoS Zesílení tradičních DoS útoků –V sítích, ze kterých je veden útok, mohou být instalovány stovky démonů provádějících DoS útok –Jedním útokem lze „zabrat“ stovky Mbps DDoS sestává z: –Klientský program –Master server –Agenty (zombie) programy

Postup DDoS útoku – 1

Postup DDoS útoku – 2

Postup DDoS útoku – 3

Postup DDoS útoku – 4

Postup DDoS útoku – 5

Červi (Worms) Nejznámější: –Code Red –Nimda Způsoby šíření (Nimda): –Klient  klient pomocí u –Klient  klient pomocí sdílení souborů –Web server  klient pro prohlížení napadených WWW stránek –Klient  Web server aktivním scanováním s využitím zranitelností MS IIS 4.0/5.0 –Klient  Web server aktivním scanováním s využitím zadních vrátek zanechaných červy „Code Red II“ a „sadmin/IIS“

Rychlost šíření Code Red

SANS – Chyby IT profesionálů Nejhorší chyby IT profesionálů z hlediska bezpečnosti: –Připojení systému k Internetu před dostatečným zabezpečením („doděláme to potom, teď už není čas“). –Připojení testovacích systémů k Internetu s default uživatelskými oprávněními. –Nedostatečná nebo žádná instalace bezpečnostních záplat na známé zranitelnosti systému. –Používání telnetu, ftp a dalších nešifrovaných protokolů pro přístup (management) k serverům, směrovačům, FW apod. –Předávání uživatelských hesel po telefonu bez dostatečné autentizace. –Nedostatečná nebo žádní implementace antivirového SW a IDS. –Nedostatečné bezpečnostní školení koncových uživatelů. –Nedostatečné nebo žádné zálohování. Obnova dat ze zálohy není prověřována. –Na serverech nejsou vypínány nepotřebné služby (ftpd, telnetd,finger,rpc,mail …) –Chybná implementace FW, bezpečnostní politiky na FW, které nezabrání útokům.

SANS – chyby managementu Nejhorší chyby managementu z hlediska bezpečnosti: –Delegování nedostatečně vyškolených pracovníků pro administraci bezpečnosti. Nedostatečné zdroje (personální, finanční). –Nepochopení bezpečnosti IS jako problému fungování organizace – obvykle je problematika zužována na fyzickou bezpečnost. –Malá podpora kontinuálního udržování potřebné úrovně bezpečnosti – občasná instalace opravných kódů je pokládána za dostatečnou. –Instalace FW je pokládána za všespasitelnou. –Neznalost hodnoty informačních aktiv (málo společností má dokončenu analýzu rizik). Podceňování hodnoty „dobrého jména“ organizace. –„Problémy se časem vyřeší samy.“

Metodika bezpečnosti –Za účelem konzistentního zpracování výsledků a jejich opakovaného použití k posouzení změn v čase používá IBM bezpečnostní metodologii založenou na Britském standardu 7799: "A Code of Practice for Information Security Management”.

Služby IBM v oblasti bezpečnosti

Děkuji za pozornost Ing. Stanislav Bíža