1 Základy zabezpečenia počítačových sietí
Myšlienka zabezpečenia počítačových sietí vznikla ako následok zničujúcich
útokov, prípadne ako následok znehodnotenia dôležitých tajných informácií. Už len
samotné pripojenie do siete internet, predstavuje množstvo nástrah, proti ktorým je
potrebné brániť sa. Je to z dôvodu, že v sieti internet je konečný počet verejných IP
adries, pomocou ktorých je možné adresovať jednotlivé koncové body. Preto pred
samotným rozborom základov zabezpečenia je vhodné rozumieť jednotlivým základom
sieťového inžinierstva a taktiež poznať ako útočník (hacker) podniká svoje útoky.
1.1 Postup útokov
Získať prístup do daného systému je možné rôznymi spôsobmi. Útočník
vykonáva bez ohľadu na typ cieľového systému zvyčajne nasledujúce kroky [1]:
- Prieskum „terénu“
Je to nepretržitý proces, ktorý prebieha pri plánovaní i vlastnom výkone ostatných
operácií. Útočník si pri tomto procese berie ohľad na:
konektivitu cieľa k verejnej sieti (pomocou toho je možné získať ďalšie
informácie, ktoré by uľahčili prienik do systému),
prítomnosť firewallu, systémov detekcie a prevencie prienikov (IDPS),
informácie o používaných sieťových protokoloch.
Pomocou týchto informácií je následne možné načrtnúť zjednodušenú štruktúru danej
počítačovej siete.
- Sledovanie
Po získaní hlavných informácií o danej sieti a systémoch v nej, nasleduje ďalšia fáza –
sledovanie. Útočník v tejto fáze realizuje identifikáciu naslúchajúcich služieb prípadne
otvorených portov. Patrí sem taktiež hľadanie zraniteľných miest cieľového systému.
- Súpis prostredia
Definovanie sieťového prostredia sa skladá z prieskumu terénu, sledovania a súpisu
prostredia. Správny prieskum terénu umožňuje zamerať sa len na tie systémy, ktoré
umožňujú najľahšie prelomenie zraniteľných miest. Sledovaním sa následne zistí, ktoré
porty sú v systéme otvorené. Rozdiel medzi súpisom prostredia a predchádzajúcimi
krokmi je, že je nutné vytvárať aktívne spojenia s konkrétnymi systémami. Súčasne sa
zisťujú nasledujúce informácie:
- Sieťové prostriedky,
- zdieľané zložky,
- užívatelia a skupiny užívateľov,
- používané aplikácie.
- Získanie prístupu
Ak po vykonaní súpisu získa útočník sľubnú cestu k vstupu do siete, môžu začať
invazívnejšie metódy skúmania (hľadanie platných užívateľských účtov, prípadne
nedostatočne chránené zdieľané prostriedky). Získanie prístupu sa následne realizuje
útokom na tieto systémové aspekty:
- Útoky na operačný systém,
- útoky na aplikácie,
- útoky na nesprávnu konfiguráciu,
- skriptové útoky.
- Rozlíšenie oprávnení
Po získaní prístupu do daného systému, si útočník musí zaistiť systémové oprávnenia,
ktoré potrebuje k svojej práci. Útočník to realizuje vhodným prelomením systémových
hesiel. Ak útočník získa prístup do daného systému typu administrátor (root), získa tým
úplnú a neobmedzenú kontrolu nad daným systémom.
- Vytvorenie „zadných dvierok“ a zahladenie stôp
Následne musí útočník skryť svoju prítomnosť pred administrátorom, aby bolo možné
v budúcnosti potenciálne v útokoch pokračovať. Musí preto odstrániť (vymazať) protokoly
udalostí a systémové registre. Pokiaľ si chce útočník po prvotnom prelomení systému
ponechať možnosť budúceho vniknutia, vytvorí v systéme tzv. „zadné dvierka“
(backdoor).
1.2 Bezpečnostné zásady
Prvým, základným krokom tvorby zabezpečenia počítačových sietí je stanovenie
bezpečnostných zásad, alebo taktiež bezpečnostnej politiky (Security Policy) danej
organizácie. Zásady zabezpečenia je možné porovnať s rôznymi pravidlami a zákonnými
normami, ktoré opisujú aké správanie užívateľov vo firemnej sieti je resp. nie je
prípustné. V literatúre [1] boli ako bezpečnostné zásady charakterizované:
- Zásady zabezpečenia určujú očakávané postupy,
- definujú vhodné správanie na sieti,
- definujú role jednotlivých skupín pri zabezpečení organizácie a ich povinnosti,
- popisujú definície základných pojmov a myšlienok pri zabezpečení siete.
V tabuľke č.1 sú popísané najbežnejšie typy zásad zabezpečenia, podrobnešie
informácie sa nachádzajú v [2].
Názov zásady
Prípustné šifrovanie
Prípustné používanie
Poskytovatelia aplikačných
služieb
Audit
Extranet
Antivírusová ochrana
Heslá
Posudzovanie rizík
Zabezpečovanie smerovačov,
prepínačov, serverov
Virtuálne neverejné siete (VPN)
Popis zásady
Stanovuje pravidlá, ktoré obmedzujú šifrovanie len na obecné
známe, preverené a účinné algoritmy.
Vymedzuje osoby, ktoré sú oprávnené pracovať s počítačovým
zariadením a sieťami vo vlastníctve spoločnosti.
Vyjadruje požiadavky firmy na poskytovateľov aplikačných služieb.
Títo poskytovatelia zaisťujú spoločné softvérové, hardvérové
a sieťové technológie. Súčasťou sú aj samotné štandardy
poskytovateľov.
Členom oddelenia IT bezpečnosti prideľuje oprávnenia k výkonu
bezpečnostného auditu nad ľubovoľným systémom, ktorý je vo
vlastníctve spoločnosti alebo ktorý je v jej priestoroch nainštalovaný.
Určuje zásady, podľa ktorých sa do siete môže pripojiť externá
organizácia za účelom vykonania transakcií.
Vymedzuje požiadavky, ktoré musia spĺňať všetky počítače
pripojené do podnikovej siete s ohľadom na účinnú detekciu
škodlivého kódu a jeho prevencie.
Zavádza zásady pre vytváranie vhodných silných hesiel, ochranu
hesiel a frekvenciu zmien hesiel.
Povinnosti oddelenia IT bezpečnosti k vykonávaniu pravidelných
bezpečnostných skúšok, ktorých cieľom je zistenie zraniteľných
miest v sieti a ich následná náprava.
Definuje minimálnu bezpečnostnú konfiguráciu smerovačov,
prepínačov a serverov pripojených do skutočnej prevádzky siete.
Stanovuje zásady vzdialeného prístupu cez sieť VPN s IPSec alebo
L2TP protokolmi do vnútornej firemnej siete.
Tabuľka č. 1 Niektoré zo zásad zabezpečenia počítačovej siete danej organizácie
2
Všetky tieto príklady zásad zabezpečenia počítačovej siete sa skladajú
z jednotlivých bodov, ktoré ich podrobnejšie špecifikujú. Podstatným faktom tvorby zásad
zabezpečenia je vytvorenie definície dôvery. Znamená to vymedzenie hranice medzi
dôverou rôznych sieťových prostriedkov a samotnej úrovni zabezpečenia. Zásady
zabezpečenia by mali predovšetkým zdôrazňovať, to čo nie je vyslovene povolené by
malo ostať zakázané.
1.3 Prehľad bezpečnostných technológií
Cieľom zabezpečenia sietí je ochrana citlivých informácií pred útočníkmi. Prvým
krokom je návrh pravidiel zásad zabezpečenia, ktoré boli popísané v predošlej kapitole.
Okrem nich je však potreba aplikovať aj isté bezpečnostné metódy, ktoré zohrávajú
v komplexnom návrhu ochrany rovnako dôležitú úlohu. Bezpečnosť počítačovej siete má
mnoho stránok a rôznych uhlov pohľadov, záleží však vždy na tom, akým útokom
(hrozbám) je daná sieť vystavená. Pri nasadení jednotlivých typov bezpečnostných
technológií je vhodné popísať niektoré dôležité bezpečnostné pojmy [1]:
- Vrstvená bezpečnosť
Zmyslom takto navrhnutej bezpečnosti je zmenšiť riziko útokov implementovaním
viacerých bezpečnostných prvkov. Princíp vrstvenej bezpečnosti bude hlavnou
myšlienkou tejto práce.
- Riadenie prístupu
Za prevádzku danej počítačovej siete je zodpovedný jej administrátor, ktorý musí určiť,
kto bude mať povolený prístup do siete. Vhodné je postupovať systémom – zablokovať
všetko a potom povoliť iba nevyhnutnú komunikáciu. Takýto postup sa zvykne označovať
ako politika najmenších oprávnení (Policy of Least Privilege).
- Zabezpečenie podľa konkrétnej pozície
V tomto prípade by mal opäť administrátor dbať na to, aby rôzni zamestnanci dostávali
prístup podľa zamerania.
- Uvedomenie užívateľov
Vhodné je taktiež užívateľov na danej sieti informovať a školiť v otázkach bezpečnosti
z užívateľského hľadiska, aby súčasne došlo k podpore bezpečnostné zásady z ich
strany.
- Monitorovanie
Veľmi dôležitú úlohu v otázkach bezpečnosti hrá monitorovanie danej siete v zmysle
overovania odolnosti voči útokom.
- Aktualizácia systémov
Opätovne veľmi podstatný fakt, ktorý rozhoduje o efektívnosti zabezpečenia je inštalácia
aktualizačných balíkov (záplaty, upgrade-y, hotfix-y, servisné balíky a pod.).
- Obranný tím
Táto časť návrhu sieťovej bezpečnosti musí stanoviť spôsob reakcie na útoky
a samozrejme nastoliť vhodné protiopatrenia.
3
V nasledujúcej podkapitolách budú ozrejmené bezpečnostné technológie a budú
uvedené aké dôležité prvky obrany a ochrany sa vytvárajú pri zabezpečovaní
počítačových sietí.
1.4 Filtrovanie paketov
V siete internet sa prenášajú informácie (dáta) prostredníctvom protokolu TCP/IP.
Protokol TCP/IP prenáša dáta po dátových jednotkách tzv. paketoch. Pakety obsahujú
okrem samotnej užitočnej aj viacero riadiacich informácií (zdrojová/cieľová adresa, typ
protokolu, príznaky a pod.) Filtrovanie paketov sa nazýva proces, ktorý je realizovaný na
sieťovej vrstve RM OSI (resp. TCP/IP) modelu najmä prostredníctvom smerovačov.
Proces filtrácie paketov smerovačmi tvorí prvú obrannú líniu, preto sa musí súčasne
kombinovať s inými ochrannými technológiami. V dnešnej dobe je možné filtrovanie
paketov realizovať pomocou prístupových zoznamov (Access Control Lists – ACL)..
1.5 Technológia AAA v počítačových sieťach
V prípade prístupu k určitým službám prostredníctvom počítačovej siete je vhodné
aplikovať technológiu AAA:
•
Autentizácia (Authentication - overenie totožnosti),
•
autorizácia (Authorization - stanovenie oprávnenia),
•
účtovanie (Accounting - zber informácií).
- Autentizácia
Úlohou procesu autentizácie je zaistiť, že daný užívateľ je skutočne tým za koho sa
vydáva (overenie totožnosti) a na druhej strane teda nepovoliť prístup neoprávneným
osobám. Tento proces je zvyčajne realizovaný pomocou určitej tajnej informácie (heslo),
prípadne dôveryhodným softvérovým programom. Pomocou autentizácie súčasne môže
sieťový administrátor zistiť, kto kedy a aké zmeny vykonal, čo v konečnom dôsledku
môže zaistiť podstatne informácie.
- Autorizácia
S mechanizmom autentizácie úzko súvisí aj ďalší prvok – autorizácia. Autorizácia sa
vykonáva v prípade úspešnej dokončenia predošlého procesu. V prípade už
autentizovaného užívateľa je v procese autorizácie dôležité aké má daný užívateľ
oprávnenia (privilégia). Tieto oprávnenia sa môžu zaisťovať pomocou prístupových
zoznamov (Access Control List), prípadne stanovenej sieťovej politiky (Security Policy).
Ako príklad sa dá uviesť pripojenie užívateľa k smerovaču Cisco, kde sa definujú úrovne
oprávnenia číselne od 0(najmenšia úroveň oprávnenia) až po 15 (najvyššia úroveň
oprávnenia).
- Účtovanie
Tretí mechanizmus - účtovanie nastupuje až po úspešnom vykonaní predchádzajúcich
dvoch. Cieľom tohto mechanizmu je zhromažďovanie informácie o užívateľoch, ktorí
sú/boli prihlásení k sieťovým zariadeniam a následne tak vykonávať potrebné činnosti.
Po aplikácií mechanizmu AAA sa niekedy zvykne využíva aj externý server
zabezpečenia, ktorý pracuje nad protokolmi RADIUS, prípadne TACACS.
4
1.6 Zásady zabezpečenia sietí použitím firewallov
Vzhľadom k stále vyššej penetrácií širokopásmových internetových služieb sa stal prístup
k informáciám v sieti internet čoraz bežnejšou záležitosťou. Nasadenie firewallu sa stalo
neoddeliteľnou súčasťou zabezpečenia daného systému. Firewall je dôležitým prvkom
implementácie bezpečnostnej politiky zabezpečenia danej siete. Je to bezpečnostné
rozhranie (hardvérové resp. softvérové riešenie), ktorého úlohou je oddeliť siete s
rôznymi prístupovými právami (najčastejšie internet a lokálnu sieť) a kontrolovať tok dát
medzi týmito sieťami na základe zavedených bezpečnostných pravidiel. Podmienky pre
pravidlá sa stanovujú na základe zavedenej bezpečnostnej politiky danej organizácie.
Firewall následne zisťuje, či daná prevádzka zodpovedá stanoveným kritériám a
rozhodne či daná podmienka bola splnená alebo nie a vykoná akciu v podobe blokovania
alebo povolenia sieťovej komunikácie medzi komunikujúcimi bodmi. (obrázok č.1).
Obrázok č. 1 Komunikácia prechádzajúca cez firewall
Je pravidlom, že vonkajšia sieť (internet) sa umiestňuje pred firewall a vnútorné siete
(chránené) sú za firewallom. Ďalej sa označuje vnútorná sieť ako vyššia bezpečnostná
úroveň (security level) a súčasne vonkajšia sieť ako nižšia bezpečnostná úroveň.
Rozhranie komunikujúce s vnútornou sieťou sa označuje ako vnútorné – „inside“
rozhranie a naopak rozhranie, ktoré komunikuje s vonkajšou sieťou sa nazýva vonkajšie
– „outside“ rozhranie.
1.6.1
Prehľad funkcií firewallu
Medzi najdôležitejšiu činnosť firewallu pri práci s paketami je ich inšpekcia a následná
filtrácia. Najbežnejšie pravidlá činnosti firewallov a ich funkcie [1]:
- Blokovanie prichádzajúcej sieťovej prevádzky podľa jej zdroja alebo cieľa
Zablokovanie nežiaducej prichádzajúcej prevádzky je najbežnejšia funkcia firewallu a jej
úlohou je zabrániť vstupu nežiaducej prevádzky do vnútornej siete.
5
- Blokovanie odchádzajúcej sieťovej prevádzky podľa jej zdroja alebo cieľa Cieľom
zablokovanie nežiaducej odchádzajúcej prevádzky je napríklad zakázať zamestnancom
využívanie niektorých služieb (bittorent, P2P siete a pod.).
- Blokovanie sieťovej prevádzky podľa obsahu
Niektoré vyspelejšie firewally umožňujú sledovať
neprípustný obsah (obsah webstránok, emailov).
v sieťovej
prevádzke
taktiež
- Sprístupnenie prvkov vnútornej siete
Primárnou úlohou firewallu je síce zabrániť nežiaducej prevádzke, ale je taktiež možné
nakonfigurovať povolený prístup k prvkom vnútornej siete (verejný webserver) a súčasne
ostatné prístupy by z internetu ostávali zakázané. Verejne prístupný prvok sa zvykne
umiestňovať do tzv. demilitarizovanej zóny (DMZ).
- Povolenie niektorých spojení do vnútornej siete
V tomto prípade sa využíva virtuálna privátna sieť (VPN), prostredníctvom ktorej sa
zamestnanci pripájajú do podnikovej siete z vonkajšej siete.
- Zobrazovanie sieťovej prevádzky a činnosti firewallu
Táto funkcia firewallu je veľmi dôležitá, pretože pri monitorovaní sieťovej prevádzky je
nevyhnutné taktiež vedieť čo firewall robí. Súčasne musí firewall tieto udalosti
zaznamenávať (výpisy typu log).
1.6.2
Aplikácia demilitarizovanej zóny (DMZ)
Demilitarizovaná zóna (obrázok č.2) je rozhranie medzi dôveryhodným segmentom siete
(vnútorná sieť) a nedôveryhodným segmentom siete (vonkajšia sieť – internet).
Obrázok č. 2 Vytvorenie demilitarizovanej zóny
6
Týmto rozhraním sa fyzicky oddelia tieto siete a komunikácia je prepúšťaná len na
základe istých pravidiel. Do demilitarizovanej zóny sa umiestňujú verejne prístupné prvky
(webserver, DNS server, poštový server a pod.), na ktoré je možné z internetu
pristupovať, ale je súčasne zabezpečená ochrana vnútornej siete. Demilitarizovaná zóna
sa vytvára použitím firewallu, ktoré obsahuje viac sieťových rozhraní (inside,outside,resp.
DMZ). Pri konfigurácií sieťových rozhraní je nutné priradiť každému určitú bezpečnostnú
úroveň (security level). Úrovne sa odlišujú na základe prideleného čísla (napr. vonkajšia
sieť – 0, DMZ – 50, vnútorná sieť – 100). Firewall v základnom nastavení pustí len
komunikáciu z vyššej bezpečnostnej úrovne do nižšej.
Medzi výhody nasadenia demilitarizovanej zóny do bezpečnostnej štruktúry organizácie
patria aj umiestnenie systémov detekcie a prevencie prienikov (IDPS) v DMZ, kde je
možné monitorovať DMZ a tým pádom dostať sieť pod bezpečnejšiu kontrolu.
1.7 Systémy detekcie a prevencie prienikov
So zvyšujúcim sa počtom prienikov sa tieto systémy stali nutnou súčasťou
bezpečnostnej infraštruktúry, ktorá chráni počítačové systémy a siete pred
neautorizovaným prístupom.
Podľa autorov publikácii [5,6] je možné pod pojmom detekcia prieniku rozumieť
proces monitorovania udalostí v počítačových sieťach a systémoch a následné
analyzovanie týchto udalostí z hľadiska sieťových prienikov. Intrusion Detection
Systems (IDS) alebo tiež systémy detekcie prieniku sú teda softvérová alebo hardvérová
realizácia procesu detekcie prieniku (eventuálne kombinácia oboch). Intrusion
Prevention Systems (IPS) sú systémy, ktoré majú schopnosti IDS systémov a navyše
majú za úlohu detekovať bezpečnostné incidenty a následne im aj zabraňovať.
V súčasnosti sa však oba systémy používajú súčasne, preto je možné hovoriť
o systémoch detekcie a prevencie prienikov (Intrusion Detection and Prevention
Systems - IDPS).
Požiadavka na IDPS je detekovať všetky typy škodlivej prevádzky a všetky
nekorektné využitia počítačov (vrátane útokov či pokusov o ne) z hľadiska služieb,
aplikácií, zisťovať neautorizované prihlásenia, snahy o získanie prístupu k citlivým
informáciám, odhaľovať útoky škodlivých kódov a pod.
Systémy detekcie a prevencie prienikov sa skladajú z týchto funkčných blokov [6]:
- Senzory a agenti – Senzory a agenti majú za úlohu zhromažďovať informácie
o sieťových aktivitách na danom mieste pôsobnosti a následne ich analyzovať. Výraz
senzor sa používa pri sieťových IDPS a termín agent pri užívateľských IDPS.
- Riadiaci server (Management Server) – Tento blok prijíma informácie od
senzorov/agentov a následne ich riadi. V špeciálnych prípadoch môžu plniť úlohu
senzora/agenta.
- Databázový server – Tvorí schránku pre zaznamenané udalosti senzormi/agentmi,
prípadne riadiacimi servermi.
- Konzola – Program alebo užívateľské rozhranie, ktoré umožňuje administrátorovi vidieť
stav systému (výpisy typu log) ako aj kontrolu správania sa a možnosť nastavenia celého
systému.
7
1.7.1
Delenie systémov detekcie a prevencie prienikov
Systémy IDPS sa dajú rozdeľovať podľa rôznych kritérií. Je to napríklad podľa
umiestnenia senzorov, spôsobu detekovania prieniku a podobne.
Prvým kritériom delenia systémov IDPS je miesto umiestnenia senzorov resp. zdrojov
informácií:
- Sieťové systémy detekcie a prevencie prienikov (Network-Based IDPS)
Tieto systémy detekujú útoky prostredníctvom odchytávania a následnej analýzy
sieťových paketov pohybujúcich sa v sieti. Medzi výhody patrí detekcia škodlivých
paketov, ktoré dokázali prejsť cez firewall. V prípade vhodného umiestnenia senzorov
dokážu pokryť veľkú sieť ale na druhej strane môže byť náročné preveriť všetky pakety
počas vysokej sieťovej prevádzky. Ďalším obmedzením je, že nedokážu analyzovať
zašifrované dáta v prípade využívania VPN, či pripojenia webservera protokolom HTTPS.
Obrázok č. 3 Sieťové systémy detekcie a prevencie prienikov [14]
Na obrázku č.3 možno vidieť, že tieto IDPS sú zostavené zo senzorov, z jedného alebo
viac riadiacich serverov, konzol a v niektorých prípadoch sa môže použiť aj databázový
server. Je zvykom umiestňovať jednotlivé senzory na rozhranie medzi vnútornou sieťou
a vonkajším pripojením, t.j. za bezpečnostné rozhranie – firewall.
- Užívateľské systémy detekcie a prevencie prienikov (Host-Based IDPS)
V tomto prípade, pracujú IDPS na základe zberu informácií z agentov, umiestnených na
jednotlivých prvkoch (užívateľoch) v sieti, to znamená, že nekontrolujú sieťovú prevádzku
na danom segmente siete, tak ako je to v prípade sieťových IDPS. Agenti sú umiestnení
najčastejšie na prvkoch, ktoré sú verejne prístupné a teda aj najviac vystavené
potenciálnym útokom (obrázok č.4). Sem patrí server (monitorovanie operačného
systému a aplikácií na ňom spustených), aplikačný server (webserver). Chránené prvky
sa zvyknú umiestňovať na špeciálny segment siete, do demilitarizovanej zóny (DMZ).
Filtrovanie prevádzky je podporované jedným alebo dvoma bezpečnostnými rozhraniami
– firewallmi.
8
Obrázok č. 4 Užívateľské systémy detekcie a prevencie prienikov [14]
Ďalším spôsobom delenia systémov IDPS je delenie podľa spôsobu detekcie:
- Detekcia zneužitia
Detekcia zneužitia znamená, že daný IDPS pracuje na základe porovnávania udalostí so
signatúrami udalostí, ktoré sú označené ako útok. Je to najjednoduchšia metóda
detekcie, pri ktorej sa využíva reťazcové porovnávanie. Efektivita zistenia útoku v tomto
prípade je závislá na kvalite použitej databázy signatúr útokov, dôležité je teda ju
neustále aktualizovať. Výhodou je, že nedochádza k veľkému počtu detekcie falošných
útokov (False Positive).
- Detekcia anomálií
Ak prebieha detekcia na základe anomálií, tak senzory reagujú na anomáliu, ktorá
odlišuje možný útok od bežnej (normálnej) prevádzky na sieti. Príkladom detekcie môže
byť vyťaženosť webservera počas pracovných dní a víkendu. V prípade, že dôjde
k abnormálnej zmene prevádzky, IDPS okamžite signalizuje anomáliu. V senzoroch sú
definované profily reprezentujúce normálne správanie sa siete alebo užívateľov v nej.
Profily musí definovať správca (administrátor), t.j. definovať protokoly, ktoré sa využívajú,
typickú veľkosť paketov, množstvo a podobne. Tieto profily sa vytvárajú na základe
charakteristík bežnej aktivity počas určitej doby. Môže to byť napríklad počet odoslaných
e-mailov na určitého užívateľa, počet neúspešných prihlásení a iné. Hlavnou devízou pri
takejto detekcii je efektívnosť odhalenia predtým neznámych nebezpečenstiev. Naopak
z toho vyplýva, že medzi nevýhody patrí veľký počet falošných útokov (False Positive).
V prípade, že ich vzniká veľa, môžu degradovať celý systém IDPS a znížiť tak jeho
užitočnú hodnotu.
Žiaden systém IDPS nemá úplnú presnosť detekcie. Znamená to, že môže dôjsť
k nesprávnemu označeniu neškodnej prevádzky za prienik (False Positive) a na druhej
strane k neoznačeniu skutočného útoku (False Negative) a to už býva väčší problém.
Preto je dôležité pri nastavovaní jednotlivých pravidiel – detekčných algoritmov – nájsť
určitú mieru citlivosti detekcie. Táto úloha je vcelku náročná, pretože nie je možné použiť
všeobecne platné pravidlá nastavovania. Je to spôsobené tým, že každá sieť je svojím
spôsobom unikátna (má svoje nároky, špecifiká). Po nastavení systému, má každý
systém hodnotu FPR (False Positive Rate) a hodnotu FNR (False Negative Rate). FPR
udáva hodnotu, s akou frekvenciou IDPS systém reportuje korektnú prevádzku ako útok.
Naopak, hodnota FNR udáva frekvenciu s akou dochádza k nedetekovaniu skutočného
útoku. Hodnoty FPR a FNR sú tak vzájomne prepojené, čo znamená, že zmena jednej
spôsobí zmenu druhej hodnoty. Uvádza sa preto aj ďalšia hodnota CER (Crossover Error
9
Rate), ktorá udáva toto vzájomné prepojenie, t.j. kedy dochádza s rovnakou frekvenciou
súčasne k FPR aj FNR [6].
1.8 Virtuálne neverejné siete
S rozširovaním konektivity a osobnej mobility sa zvyšuje súčasne aj potreba
ďalšieho prispôsobovania sietí a poskytovania nových služieb. Z hľadiska rozšírenosti
internetu nie je v súčasnosti problém pripojiť sa z ktoréhokoľvek miesta na Zemi. Okrem
klasického využívania vnútorných sietí LAN je však v súčasnosti potreba, aby daná
vnútorná sieť bola k dispozícií pomocou vzdialeného prístupu. Riešením je aplikácia
virtuálnych neverejných sietí (VPN). Sieť VPN je šifrované spojenie, ktoré využíva medzi
dvoma komunikujúcimi bodmi bezpečný komunikačný tunel, vedení prostredníctvom
siete internet prípadne WAN alebo LAN. Obrovská výhoda sieti VPN spočíva v nahradení
drahých telekomunikačných sietí typu WAN, pretože namiesto privátnych liniek je celá
komunikácia vedená prostredníctvom sieti internet. Ďalšou výhodou je rozšíriteľnosť celej
siete. Siete VPN pomocou šifrovaného protokolu IPSec rozširujú teda dosah vnútornej
siete. Jednotlivé typy sietí VPN sú [1]:
- VPN pre vzdialený prístup
Umožňuje pripojenie jednotlivých externých užívateľov vnútornej siete LAN
prostredníctvom siete internet. Na externom počítači užívateľa musí byť spustený
klientsky softvér VPN, preto sa tento typ zvykne označovať aj ako softvérové VPN.
- VPN pre spojenie pracovísk
Tieto siete rozširujú vnútorné siete LAN do iných budov alebo pracovísk pomocou
určitého špecializovaného vybavenia. Vzdialení zamestnanci tak môžu využívať rovnaké
sieťové služby ako pracovníci v ústredí. Tento typ býva permanentne aktívny preto sa
zvykne označovať aj ako hardvérové VPN (LAN-to-LAN).
- Extranetové VPN
Tento typ zabezpečuje spojenie s obchodnými partnermi, dodávateľmi a stálymi
zákazníkmi za účelom vykonávania elektronickej komunikácie. Extranetové siete VPN sú
rozšírením intranetových VPN a vnútorná sieť je súčasne chránená pomocou firewallu.
Stratégie pre implementáciu siete VPN sa líšia od jednotlivých dodávateľov tohto
riešenia. Zvyčajnými prvkami stavby siete VPN sú:
- Firewally s podporou VPN sietí,
- smerovače s podporou VPN sietí,
- koncentrátor siete VPN,
- klientsky softvér.
10
Obrázok č. 5 Konektivita sietí VPN
Štandardom pri vytváraní VPN sietí sa stal protokol IPSec. Protokol IPSec chráni dáta pri
prenose nechránenou sieťou, pričom jeho bezpečnostné služby pracujú na sieťovej
úrovni. Pri svojej činnosti využíva tri vzájomne sa doplňujúce protokoly (ISAKMP,
ESP,AH). Zároveň zaisťuje nasledujúce funkcie [1]:
- Dôvernosť dát
Odosielateľ dát môže prostredníctvom protokolu IPSec zašifrovať do nečitateľného stavu.
- Integrita dát
Na prijímacej strane je zabezpečená autentizácia prichádzajúcich paketov a je teda
možné zistiť či pri prenose nedošlo k ich pozmeneniu. Táto vlastnosť sa realizuje
pomocou jednosmerného hašovacieho algoritmu (odtlačok správy), čo by je možné
rozumieť ako „šifrovaný kontrolný súčet“.
- Autentizácia pôvodu dát
Autentizácia je proces IPSec protokolu, ktorý sa aplikuje po šifrovaní dát u odosielateľa
a pred ich dešifrovaním na strane prijímateľa. Realizuje sa to nakonfigurovaním kľúča na
každej z komunikačných bodov, prípadne pomocou digitálnych certifikátov.
- Ochrana proti opakovaniu relácie
Prijímacia strana je schopná detekovať opakované pakety a súčasne ich aj zamietnuť.
Pri vytváraní siete VPN prostredníctvom verejnej siete internet je vhodné zaviesť pojem
tunelovanie. Mechanizmus tunelovania dát umožňuje prenos protokolov, ktoré nie sú
v sieti internet podporované. Realizuje sa to postupným zapuzdrovaním jednotlivých dát
do paketu IP. Celý mechanizmus začína zapuzdrením dátového paketu zo siete LAN do
novej hlavičky, podľa ktorej je možné ho posielať po sieti internet. Po doručení dátovej
jednotky na strane cieľa je pridaná hlavička odobratá a dátový paket sa predá cieľu.
Proces tunelovania je realizovaný pomocou týchto protokolov:
- Prenášaný protokol (IP, IPX, NetBEUI)
Pôvodný protokol, ktorý sa má zašifrovať pre prenos sieťou VPN.
11
- Obalový protokol (GRE,IPSec,L2F,PPTP,L2TP)
Dáta prenášaného protokolu sú enkapsulované do obalového protokolu, pričom je
zabezpečené šifrovanie dát a ochrana prenášaného paketu.
- Nosný protokol (IP)
Je to protokol, prostredníctvom ktorého sú prenášané dáta obalového protokolu
doplnené o hlavičku nosného protokolu.
1.9 Tvorba návrhu zabezpečenia siete
Oporným bodom návrhu zabezpečenia počítačovej siete je zameranie sa na faktory,
pomocou ktorých sa odvíja ďalší postup:
- Aké prvky/prostriedky je potreba chrániť?
- Pred akými útokmi/útočníkmi ich budeme chrániť?
- Aké obmedzenia vznikajú, pri aplikácií zásad zabezpečenia?
Aby bolo možné samotný návrh začať vypracovávať je nutné pozbierať požiadavky/
informácie o sieťovom prostredí. To znamená stanoviť rozsah chránených prostriedkov
a urobiť analýzu rizík.
Riziko zlyhania (failure) po vniknutí (intrusion – fault) vplyvom vzniknutej chyby (error)
závisí od slabiny systému (vulnerability) a pravdepodobnosti hrozby útoku (attack threat).
1.9.1
Ako sa odhaduje a meria riziko prieniku?
ƒ RISK (riziko) je kombinovanou mierou úrovne hrozby (THREAT) útoku, ktorému je
počítačový systém vystavený a stupňom jeho zraniteľnosti (VULNERABILITY):
RISK = VULNERABILITY x THREAT
ƒ Korektná miera potenciálneho nezabezpečenia (INSECURITY) systému, teda
toho, aké ťažké je urobiť systém dostatočne zabezpečený, závisí od viacerých
faktorov, napr.:
ƒ Počet a závažnosť chýb či slabín, zraniteľností systému (vulnerabilities)
ƒ Druhu a intenzite potenciálnych útokov, ktorým môže byť systém vystavený
(attacks)
Zabezpečenie voči rizikám ma za úlohu zaistiť nasledujúce vlastnosti systému:
12
ƒ
ƒ
ƒ
ƒ
Confidentiality = Dôvernosť / zabezpečenie súkromia
Integrity = Integrita / neporušenosť
Authenticity = autenticita pôvodu komunikujúcich strán
Availability = dostupnosť
1.9.2
TCB = dôveryhodná počítačová základňa
Požadované vlastnosti dôveryhodnej počítačovej základne:
ƒ Interposition - umiestnenie
ƒ Umiestnenie dôveryhodnej základne musí byť také, aby neumožňovalo
priamy prístup ku chráneným zdrojom (ani pre administrátora)
ƒ Shielding - ochrana
ƒ TCB musí byť navrhnutá tak, aby chránila sama aj svoje vlastné zdroje pred
útokom alebo poškodením zvnútra
ƒ Validation - overiteľnosť
ƒ Funkcionalita
TCB
musí
umožňovať
zavedenie
overiteľných
bezpečnostných politík a pravidiel
ƒ Funkcionalita TCB musí byť dostatočne jednoduchá a prehľadná
1.9.3
Matica prístupových práv – ACM (SoD)
ƒ subjekty S = { s1,…,sn } a objekty O = { o1,…,om }
ƒ záznamy A[si, oj] ⊆ R definujú práva R = { r1,…,rk }
ƒ A[si, oj] = { rx, …, ry } subjekt (užívateľ) si má práva rx, …, ry nad objektami oj .
Príklad:
Access Control List / ACL – je to popis prístupov umožnených ku konkrétnemu objektu
tak, ako znázorňuje nasledujúca tabuľka. Je to teda pohľad na vybraný stĺpec matice
ACM:
Capabilities List (C-list) – je to popis práv pridelených konkrétnemu subjektu
(používateľovi). C-list predstavuje pohľad na jeden riadok matice prístupových práv ACM.
13
1.9.4
8 princípov návrhu bezpečnostných mechanizmov
ƒ Least Privilege
Prideliť užívateľovi vždy len minimálne potrebné práva;
ƒ Fail-Safe Defaults
Nastaviť bezpečné a „blbovzdorné“ východiskové nastavenia;
ƒ Economy of Mechanism
Mechanizmus zabezpečenia vyberať podľa hodnoty chránených systémov a informácií;
ƒ Complete Mediation
Chrániť všetky prvky system, nie len jeden;
ƒ Open Design
Použiť riešenie, ktorého návrh je otvorený a prehľadný;
ƒ Separation of Privilege
Oddeliť právomoci jednotlivých užívateľov tak, aby sa znížilo riziko, že dôjde k ich
zneužitiu alebo konfliktu (SoD conflict – Segregation of Duties)
ƒ Least Common Mechanism
Použiť nie ten najbežnejší spôsob zabezpečenia (na ten môže existovať aj
najviac spôsobov a metód ako ho prelomiť).
ƒ Psychological Acceptability
Navrhnúť bezpečnostné riešenie tak, aby bolo jednoducho používateľné a
nenabádalo používateľov k jeho obchádzaniu. Užívateľov patrične poučiť o jeho
potrebe a zaškoliť.
-
-
-
1.10
Zoznam použitej literatúry
[1.]
Thomas, M.T: Zabezpečení počítačových síti bez předchozích znalostí, CP
Books 2005, ISBN 80-251-0417-6
[2.]
http://www.sans.org/resources/policies/
[3.]
Northcutt, S. a kol. : Bezpečnost počítačových sítí, CP Books 2005, ISBN 80251-0697-7
[4.]
Bace, R., Mell, P.: Intrusion Detection Systems, National Institute of Standards
and Technology – Computer Security Division, 02/2007
[5.]
http://csrc.nist.gov/publications/nistpubs/800-31/sp800-31.pdf
[6.]
[6]
Scarfone, K., Mell, P.: Guide to Intrusion Detection and Prevention
Systems, 02/2007, http://csrc.nist.gov/publications/nistpubs/800-94/SP80094.pdf
[7.]
Huseby, S.H.: Zraniteľný kód, Computer Press 2006, ISBN 80-251-1180-6
14
Download

1 Základy zabezpečenia počítačových sietí