Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
1
Hrozby připojení k Internetu
Konference Informační politika napříč Evropou Ostrava, Title slide
2
Význam informační bezpečnosti z pohledu CIO
Source: Gartner, 2003
3
Význam informační bezpečnosti – zdroje ČR
Zdroj PSIB’03, Ernst&Young, DSM-data security management, NBÚ
4
Význam informační bezpečnosti – zdroje ČR
Zdroj PSIB’03, Ernst&Young, DSM-data security management, NBÚ
5
Sofistikovanost útoků vs. znalosti útočníků
6
Typický síťový útok
7
Internetoví čmuchalové
Program pro odposlech dat: sniffer Útočníci používají sniffer pro: Analýzu obousměrného síťového provozu Získání UserID + Passwd (obvykle telnet, ftp) Odposlech elektronické pošty Informace, procházející Internetem, mohou být odposlechnuty v kterémkoli mezilehlém segmentu sítě Kompromitovaný server může ohrozit systémy v jiných částech sítě
8
Scan Metody scanování umožňují: Příklad: Nmap Zjistit OS a jeho verzi
Zjistit služby, spuštěné na daném serveru Skrýt identitu (zdrojovou IP adresu) útočníka Příklad: Nmap Connect scan – zjištění otevřených portů (služeb) snadno detekovatelný Syn scan - neukončený TCP handshake UDP scan – pomalý OS fingerprint – identifikace OS Nmap má databázi cca 200 OS Znalost OS + verze umožňuje nalézt neošetřená zranitelná místa
9
IP spoofing Útočník používá vymyšlenou IP adresu v odchozích paketech
Umožňuje: Skrýt identitu při provádění DoS útoků Neoprávněný vstup do systému kontrolovaný IP adresou HostA kontroluje IP adresu příchozích IP paketů Jestliže zdrojová adresa patří HostB, je umožňen přístup bez UserID+Passwd (tento logovací mechanismus používají např. služby RLOGIN a RSHELL)
10
Buffer Overflow Způsobí přetečení interního bufferu a vloží vlastní program Jednoduché - dostupné programy a podrobné návody MAIN PROGRAM PROC_ONE PROC_TWO PROC_ONE(A,B,C) C B Z RET ADDR BOGUS CODE X BUFFER Y A
11
Útoky typu Denial-of-Service
Cílem útočníka je znepřístupnit systém pro oprávněné uživatele Relativně snadný: Během posledních let byla popsána řada DoS útoků Programy pro DoS jsou dostupné na Internetu Většinu DoS útoků lze provádět anonymně (IP spoofing) Typy DoS útoků: Obsazení přenosového pásma Síťové aplikace: mnoho agentů (DDoS), všesměrové vysílání Obsazení systémových zdrojů Zahlcuje zdroje serveru (SYN flood) Využití vad v aplikacích Porušené pakety, aplikační data buffer overflow Spoofing směrování/DNS/ARP Porušení konzistence směrovacích/DNS/ARP tabulek
12
Útoky typu Denial-of-Service
Smurf Útočník pošle ICMP Echo request na broadcast adresu, jako zdrojovou použije adresu napadeného systému Napadený systém je zaplaven ICMP Echo Reply, dochází k zahlcení sítě Posílání ICMP Echo request rychlostí 400kb/s na 200 počítačů generuje 80Mb/s odpovědí (ICMP Echo Reply) směrovaných na napadený systém
13
Distribuovaný DoS - DDoS
Zesílení tradičních DoS útoků V sítích, ze kterých je veden útok, mohou být instalovány stovky démonů provádějících DoS útok Jedním útokem lze „zabrat“ stovky Mbps DDoS sestává z: Klientský program Master server Agenty (zombie) programy
14
Postup DDoS útoku – 1
15
Postup DDoS útoku – 2
16
Červi a Viry na platformě Win32
Způsoby šíření (Nimda): Klient klient pomocí u Klient klient pomocí sdílení souborů Web server klient pro prohlížení napadených WWW stránek Klient Web server aktivím scanováním s využitím zranitelností MS IIS 4.0/5.0 Klient Web server aktivním scanováním s využitím zadních vrátek zanechaných červy „Code Red II“ a „sadmin/IIS“ Ze statistik spol. Symantec vyplývá, že od roku 2002 se četnost virů a červů na platformě Win32 zvýšila 2,5 ×. Za druhou polovinu roku 2003 bylo dokumentováno 1702 nových Win32 virů a červů. Symantec také dokumentoval 2,636 nových zranitelností systémů během roku To je průměrně sedm za den. V současné době scanují útočníci sítě a hledají zadní vrátka obsažená ve viru MyDoom. Tato zadní vrátka umožňují nainstalovat vlastní SW – viz „zombie“ používané pro DDoS útoky.
17
Nárůst počtu nových červů a virů
Period Number of viruses and worms Jan 1, Jun 30, 2001 Jul 1, Dec 31, 2001 Jan 1, Jun 30, 2002 Jul 1, Dec 31, 2002 Jan 1, Jun 30, 2003 Jul 1, Dec 31, 2003 New Win32 Viruses and Worms Zdroj: Symantec
18
Rychlost šíření Code Red
19
Nástroje pro zjišťování zranitelností
Nástroje umožňují: scanování portů host-based audit analýzu logů zjišťování hesel hrubou silou (password cracking) testování Web aplikací zjišťování chyb v aplikacích V této přednášce se soustředíme na: Open Source nástroje
20
Komplexní testování zranitelností
Nessus Jeden z nejrozšířenějších a nejefektivnějších nástrojů pro zjišťování zranitelností IS Client – Server architektura server provádí testy a udržuje databázi zranitelností klienty jsou provozovány na různých platformách Nessus může být rozšiřován pluginy pluginy pro různé platformy a provozované služby výběr pluginu podle konkrétního systému podstatně zrychluje průběh testů Ve výsledcích testů jsou popsány zjištěné zranitelnosti na základě informací z databáze
21
Nessus – výsledky testů
22
Scanování portů Nmap Přínosy scanování portů: Nmap:
Zakázání nepotřebných služeb omezí možnosti útočníka Zjištěním služeb, které jsou provozovány na jednotlivých otevřených portech, může auditor zjistit pravděpodobné způsoby útoku Nmap: Connect scan – zjištění otevřených portů (služeb) snadno detekovatelný Syn scan - neukončený TCP handshake UDP scan – pomalý OS fingerprint – identifikace OS Nmap má databázi cca 200 OS Znalost OS + verze umožňuje nalézt neošetřená zranitelná místa
23
NMAP Port Scanner – verze pro Windows
24
Testování MS Windows LanGuard Network Security Scanner NENÍ OpenSource
25
Služby IBM v oblasti bezpečnosti
26
Ing. Stanislav Bíža, CISA sbiza@cz.ibm.com
Děkuji za pozornost Ing. Stanislav Bíža, CISA Closing slide
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.