• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Sigurnosne prijetnje i mjere zaštite IT infrastrukture
 

Sigurnosne prijetnje i mjere zaštite IT infrastrukture

on

  • 417 views

Mladen Kostresevic, OWASP Serbia

Mladen Kostresevic, OWASP Serbia

Statistics

Views

Total Views
417
Views on SlideShare
417
Embed Views
0

Actions

Likes
0
Downloads
7
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • Welcome.. Tnx for room.. Introduction..
  • Za ljude koji prvi put prisustvuju sastanku – OWASP je globalna organizacija posvecena sirenju svijesti o informacionoj bezbjednosti. Sjediste organizacije je u USA a rad se bazira na donacijama, clanstvu, volontiranju.. Projects by Type: 27 Code projects 62 Documentation Projects 79 Tool Projects
  • From Sarah’s roll-up report August 11 2013.
  • - Ova p re zentacija je nastala kao skromni doprinos lokalnoj OWASP zajednici u Srbiji - Bazirana je na mom Master radu, koji sam branio na FON-u 2011. – stoga neke informacije mogu biti zastarjele Glavna ideja rada je bila sistematski prikazati naj češće prijetnje po nivoima ISO OSI modela, te dati preporuke za zaštitu od istih ..
  • Na ovoj slici nalazi se opštepoznati model na osnovu kog se odvijaju moderne računarske komunikacije. Komunikacija izmedju hostova podjeljena je na logičke slojeve(nivoe). Svaki nivo koristi usluge nižeg nivoa, a pruža usluge višem nivou u odnosu na sebe. Slika pokazuje da krenuvši od najnižeg nivoa, ako se utvrdi da je neki nivo kompromitovan smatra se da su i ostali nivoi iznad njega kompromitovani. Stoga, potrebno je obezbjediti adekvatnu zaštitu na svim nivoima.
  • Sigurnost prvog nivoa obuhvata sprečavanje neželjenog pristupa podacima bez obzira na kom medijumu se oni nalazili.. Potrebno je implementirati sisteme kontrole pristupa prostorijama u kome se nalazi IT infrastruktura. Postoje različite vrste ovih sistema u zavisnosti od pouzdnosti koju pružaju i cijene kostanja implementacije. Obi čno se Koristi njihova kombinacija. "Šta imaš" - kategorija je najmanje pouzdana jer se određena sredstva mogu dijeliti ili biti ukradena. "Šta znaš" - kategorija je pouzdanija, ali ipak ne sasvim pouzdana "Ko si" - kategorija je najpouzdanija jer se odnosi na nešto što je fizički jedinstveno određenoj osobi. - najskuplja Takodje, potrebno je implementirati alarmne sisteme, video nadzor, zastitu na nivou rack ormara, kao i zastititi komunikacione linkove od prisluskivanja.
  • - Za napade na drugom nivou potrebno je da napadac ima lokalni pristup mrezi pa se ovi napadi cesto nazivaju “napadima iznutra” Koriste kao polazna tacka za napade na protokole visih nivo. Pa ipak, sigurnost drugog nivoa OSI modela se cesto zanemaruje, sto je veliki propust. U nastavku cu objasniti meni dva najinteresantnija napada na drugom nivou. (CAM i DHCP) ARP - is used to convert an IP address to a physical address such as an Ethernet address. STP – mrežni protokol za sprečavanje loop -ova L2 paketa u LAN mre žama
  • Pitanje : razlika izme đu hub-a i switch-a ? Svaki switch ima CAM tabel u koja povezuje hardverske MAC( Media Access Control ) adrese uređaja sa portom na sviču na kome se uređaj nalazi. Ova tabela omogućava da se podaci šalju samo na onaj port na kome se odredišni uređaj nalazi, a ne na sve portove kao što je to slučaj kod hub-ova. U ovom napadu, napadač šalje veliki broj ARP paketa sa različitim izvornim MAC adresama u zaglavlju i to u kratkom vremenskom intervalu. Svič pokušava da “zapamti” ove MAC adrese i kada se CAM tabela napuni ovako kreiranim “lažnim” MAC adresama, switch počinje da se ponaša kao hub i šalje sve dolazeće pakete na sve portove. Nakon toga napadač može da pokrene neki packer sniffer i osluškuje osjetljive podatke namjenjene drugim hostovima, što inače ne bi mogao u normalnim uslovima. Kao tehniku zaštite od ovog napada moguce je ukljuciti - Port security – mehanizam zastite koji posjeduju bolji switchevi a pomoću koje je moguće definisati maksimalno dozvoljen broj različitih MAC adresa koje se mogu pojaviti na jednom portu i u slučaju prekoračenja moguće je automatski blokirati port i obavijestiti administratora za sigurnost.
  • DHCP je protokol koji se koristi za dinamičku dodjelu IP parametara radnim stanicama u računarskim mrežama. DHCP je protokol viseg nivoa, ali mjere koje je potrebno preduzeti za zaštitu od ovih napada tiču se protokola drugog nivoa pa je zato svrstan u ovu grupu. 1. Zauzimanje svih dostupnih IP adresa se odvija tako što napadač „iscrpi“ sve dostupne IP adrese DHCP servera, tako što svaki put od DHCP servera traži IP parametre podmećući mu drugu MAC( Media Access Control ) adresu u DHCP zahtjevu. DHCP server u ovom napadu smatra da salje odgovore validnim uređajima. Nakon toga validni klijenti ne mogu da pristupe mreži jer ne dobijaju parametre od DHCP servera(Vrsta DOS napada). Uključivanjem „Port Security“ mehanizma na sviču, u slučaju da dođe do napada, port na koji je napadač povezan će biti automatski ugašen nakon što se na njemu pojavi više od maksimalnog dozvoljenog broja MAC adresa. 2. U drugom DHCP napadu, napadač podiže lažni DHCP server i klijenti tako dobijaju pogrešne informacije za konfiguraciju mrežnih parametara(npr default gateway). Na taj način napadač preusmjerava sav saobraćaj kroz njegov računar i moze da ga prisluškuje ili modifikuje po potrebi, tzv. “Man in the middle” napad. - Primjer “legalnog” MandInTheMiddle napada: kompanijski proxy koji podme će lažne SSL sertifikate u svrhu analize saobraćaja Zaštita od ovakvog tipa DHCP napada vrši se uključivanjem „DHCP Snooping“ mehanizma i to njegovog tipa portova na svičevima: „trusted“ i „untrusted“. Svi portovi na svim svičevima u mreži, na koje su povezane radne stanice je neophodno definisati kao „untrusted“. Ovime se onemogućava dolazak DHCP serverskih odgovora (paketa) preko „untrusted“ porta.
  • Pitanje: R azlik e izmedju TCP i UDP ? Mrežni sloj određuje kojim putem će paketi proći na svom putu od izvora do odredišta. Danas se na mrežnom sloju najčešće koristi IP(Internet protokol v4) protokol. Transportni nivo OSI modela osigurava transparentni prenos informacija između krajnjih sistema, s kraja na kraj. Dva najpopularnija protokola transportnog nivoa su: TCP i UDP. Najcesci napadi na ovim nivoima su: IP Spoofing, DDoS, Teardrop, SYN Flood ICMP attack IP Spoofing - napadač kreira specijalno pripremljenje IP pakete u koje umeće lažnu izvornu IP adresu tako da žrtva misli da paketi dolaze sa validnog hosta. Na ovaj način moguće je zaobići mehanizme autentikacije u slučajevima kada odredišni host autentikaciju vrši na osnovu izvorne IP adrese paketa. Ovaj napad se cesto koristi zajedno sa DOS napadom, da bi se zavarao trag dolaznih paketa.. Za zaštitu moguće je za početak implementirati ingress-egress filtriranje paketa. IP Source Guard ograničava IP saobraćaj na nivou 2 tako što filtrira i dozvoljava samo onaj saobraćaj iz DHCP snooping baze ili iz ručno konfigurisanih IP-MAC kombinacija Denial of Service - U ovu grupu spada veliki broj napada čiji je zajednički cilj onemogućiti normalno funkcionisanje sistema tako što se preopterete dostupni računarski ili mrežni resursi. Često korišćen oblik ovog napada jeste Distributed Denial of Service - DDOS napd, u kome napadač koristi veliki broj zaraženih računara, koji mogu biti raspoređeni bilo gdje na Internetu, da bi im zadao naredbe da u isto vrijeme izvrše neki od poznatih napada na žrtvu čime se efekat i rezultat napada strašno uvećava . Teardrop – Ovaj napad koristi fragmentaciju IP paketa. Napadači često lažiraju vrijednosti polja za fragmentaciju u IP paketu, kako bi na odredišnom hostu prilikom sastavljanja paketa došlo do greške. Tako sastavljen paket može biti maliciozan. Većina današnjih sistema je otporna na ovaj napad. SYN Flood - Kod ove vrste napada, napadač kreira veliki broj TCP / IP paketa za ostvarivanje konekcije ka računaru žrtve(paketi sa SYN poljem u zaglavlju). Računar žrtve pokušava odgovoriti sa SYN/ACK paketima na sve zahtjeve, ali pošto su inicijalni paketi lažirani, žrtva nikada ne dobije konačni odgovor(ACK) da je konekcija uspostavljena. Kako računar žrtve čeka na ACK paket za uspostavljanje konekcije, sve više resursa postaje zauzeto, što na kraju obi č no rezultuje u zauzeće svih raspoloživih resursa i prestanak funkcionisanja sistema. ICMP napad - Napadač šalje specijalno pripremljeni "UDP echo request" paket velikom broju računara na mreži. U ovom paketu lažirana je izvorna IP adresa tako da izgleda kao da dolazi sa IP adrese žrtve. Kada prime ovaj zahtjev, računari sa mreže šalju "UDP echo reply" na adresu žrtve čime se obično blokiraju komunikacioni kanali, i žrtva postaje "izolovana" od ostatka mreže. Kada napadač prestane slati UDP echo request zahtjeve, prestaje i izolovanost računara žrtve. - Sta dodati ovde od napada?
  • Firewall je uređaj koji filtrira saobraćaj na osnovu definisanih pravila a analiziraju ć i zaglavlja treceg i cetvrtog nivoa OSI modela. Postoje d va osnovna oblika filtriranja i to su : stateless i statefull (bez i sa pracenjem stanja) Stateless firewall filtrira paketa samo na osnovu njihovih zaglavlja, dok je stateful napredniji i on prati uspostavljene konekcije te na osnovu njihovih stanja obavlja filtriranje.
  • Firewall sa praćenjem stanja – Statefull firewall - mora da posjeduje tabelu stanja u kojoj vodi evidenciju o svim konekcijama. On je u mogucnosti da prepozna da li dolazeci paket predstavlja zahtjev za novom konekcijom, ili pripada vec postojecoj konekciji. U odnosu na to i definisana pravila, paket može biti proslijeđen ili odbačen. Primjer: Klijent salje udp paket ka serveru sa određenim parametrima(SP, SA, DP, DA). Firewall “anali z ira” odgovor od servera i ako se podaci u zaglavlju poklapaju(validan odgovor DP = SP), dozvoliće saobraćaj u oba smjera. U slučaju da je paket usmjeren na neki drugi port firewall će ga blokirati.
  • Virtuelna privatna mreža (VPN) nam omogu ćava da povežemo računare locirane u različitim mrežama tako da oni budu "vidljivi" kao da su u jednoj zajedničkoj lokalnoj mreži. Ovo se ostvaruje kreiranjem tunela, obično putem Internet-a. Mrežni (IP) paketi se razmjenjuju između krajnjih tačaka VPN tunela i nečitljivi su ostalim korisnicima Interneta. Na krajnjim tačkama VPN tunela paketi se dekriptuju i šalju u lokalnu mrežu. Uspješna komunikacija je moguća samo ako se na obje strane koriste isti protokoli enkapsulacije i enkripcije. Trenutno je za uspostavljanje VPN-a najpopularniji IPSec protokol. IPSec čini grupa protokola: ‐ AH (eng. Authentication Header) protokol za omogućava autentikaciju i integritet podataka. ‐ ESP (eng. Encapsulated Security Payload) protokol omogućava autentikaciju, integritet i tajnovitost podataka. ‐ IKE ( Internet Key Exchange ) protokol se koristi se za stvaranje i distribuiranje kriptografskih ključeva. U odnosu na potrebe korisnika, mehanizam zaštite se može sprovesti nad dijelom paketa: transport-mod ESP ili nad cijelim paketom pod nazivom tunel-mod ESP.
  • ESP ima dva moguća načina rada: Transport mod – štiti se samo data segment originalnog IP paketa(protokoli viših nivoa) Tunel mod – štiti se kompletan originalni IP paket, tako što se ESP enkapsulria u novi IP paket Preporuke za kriptografske algoritme koji se koriste za uspostavljanje IPSec konekcije: SHA1 – za integritet i autentikaciju 3DES ili AES za povjerljivost
  • Za zastitu petog i sestog nivoa OSI modela predlaze se upotreba SSL ili jos bolje TLS protokola kao njegovog naslijednika. TLS v1 je iskoristio SSL v3.1 kao osnovu. Poslednja verzija TLSa je 1.2 i onda odgovara verziji 3.3 SSL-a. SSL/TLS protokol se nalazi iznad transpornog nivoa, i enkapsulira protokole iznad njega. Za uspostavljanje SSL/TLS sesije neophodnoje je obezbjediti minimalno autentikaciju servera pomocu serverskog sertifikata, a poželjna je i autentikacija klijenata pomoću klijentskih sertifikata izdatih od akreditovanog sertifikacionog tijela. SSL/TLS nam garantuju autentikacij u, integritet , tajnost i neporecivost poruke
  • Aplikacioni firewall-ovi razumiju protokole aplikacionog nivoa i u mogucnosti su da blokiraju veliki broj pokušaja napada, npr. SQL injection napade, XSS napade i DDoS napade i sl. Zgodni za zaštitu aplikacija od kojih nemamo izvorni kod a znamo za propuste.
  • Korisnik ubacuje karticu u čitač i unosi PIN kod prilikom pristpa sajtu. Na taj način vrši se dvofaktorska autentikacija na osnovu onoga što korisnik ima(kartica) i onoga što zna(PIN kod). Token: Prilikom prijave na sistem korisnik unosi određeni podatak koji zna(npr. PIN) i privremenu lozinku sa tokena. Na ovaj način se ostvaruje dvofaktorska autentikacija. Privremena lozinka važi samo određeni vremenski interval u kome korisnik može da je iskoristi(npr. 60 sekundi od momenta kreiranja) čime se postiže visok nivo sigurnosti.
  • Sistemi za detekciju napada su alati projektovani da detektuju sve nepravilnosti u radu sistema i obavještavaju administratore u slučaju neželjenih događaja. Sistemi za prevenciju napada su naslijednici sistema za detekciju napada i u stanju su ne samo detektovati nego i spriječiti napade na sistem Osnovni načini rada: 1. prepoznavanje šablona 2. prepoznavanje anomalija Osnovna podjela: 1. Host intrusion detection /prevention systems 2. Network intrusion detection /prevention systems 3. Hybrid intrusion /prevention detection systems
  • U zavisnosti od toga gdje se prikupljeni podaci obrađuju moguće je podjeliti implementaciju IDS/IPS na centralizovanu ili distribuiranu. Kod centralizovane implementacije sva obrada se vrši u jednom centralnom čvoru, što je lakše za administraciju ali zahtjeva veliku procesorsku moć. S druge strane distribuiran pristup je teže održavati ali ima manje zahtjeve po pitanju procesorske snage jer se dobar dio podataka obrađuje na senzorima na kojima su prikupljeni. Za implementaciju IDS/IPS koristi se port mirroring ili TAP uređaji. - uređaji koji omogućavaju “prisluškivanje” saobraćaja u mreži između dvije tačke Većina novijih mrežnih svičeva danas imaju implementiranu mogućnost tzv. "mirror" (ogledalo) načina rada za svoje portove tako da se sav saobraćaj(i dolazni i odlazni) na jednom portu, preslikava na neki drugi port na koji se priključuje IDS/IPS senzor.
  • Sistemi za privlačenje napada imaju drugačiju svrhu u odnosu na IDS/IPS. Oni za cilj imaju zadržati napadača što duže unutar samog sistema, i na taj način prikupiti podatke o prijetnjama – vidjeti na koji se način se one mijenjaju, kako evoluiraju te kako im se što bolje suprotstaviti. Pri tome pod sistemom se podrazumjeva specijalno pripremljeni izolovani segment mreže, sa specijalno pripremljenim računarima, koji napadaču daju lažnu sliku da napada pravi produkcioni sistem. Podjela: - sistemi za privlačenje napada niske interakcije – osnovne funkcije stvarnog sistema - sistemi za privlačenje napada srednje interakcije – napredne funkcije stvarnog sistema sistemi za privlačenje napada visoke interakcije – pravi sistemi projektovani za privlacenje napada Honeynet je sistem za privlačenje napada visoke interakcije. On je nastao u okviru The Honeynet Project organizacije i razlikuje se od drugih sistema za privlačenje i detekciju napadača i po tome što omogućava korisniku izgradnju čitave mreže (net) sistema za privlačenje napada.
  • Na ovoj slici možemo vidjeti prijedlog IT infrastrukture e-Uprave predstavljenu pomocu više logičkih cjelina(zona) i veza između njih. Svaku cjelinu(zonu) čine hardversko-softverske komponente koje su grupisane u logičke čvorove (engl. Node) na osnovu namjene. Ove zone predstavljaju osnovu ovog modela i nazivaju se još i demilitarizovane zone - Demilitarizovane mrežne zone predstavljaju fizičke ili logičke podmreže sa specijalnim pravima pristupa Upotrebom zoniranja u slučaju da ipak do đe do kompromitovanja nekog čvora (servera), smanjuje se mogućnost napada na druge mrežne segmente(LAN, Interni DMZ i sl.). Tako možemo uočiti sledeće zone: Javna DMZ, Privatna DMZ, Integraciona DMZ, DB DMZ Honeypot zona Upravljačka zona LAN zona
  • Javna DMZ - segment mreže koji sadrži servise koji su neophodni kako bi korisnici sistema e-Uprave mogli da pristupe svim uslugama, kao i resurse koji predstavljaju dodatne zaštitne mehanizme. Privatna DMZ: Ova zona treba da sadrži servere koji se koriste od strane internih korisnika(zaposlenih) za svakodnevni rad .
  • U velikim sistemima kao što je e-Uprava preporučuje se detaljno evidentiranje dogadjaja i pristupa podacima pomocu nekog logging sistema. Potrebno je voditi detaljnu evidenciju o svim komponentama sistema. U tabeli se nalazi spisak dogadjaja koje treba automatski evidentirati.
  • Citiracu definiciju organizacije za ekonomsku saradnju i razvoj koja kaze da elektronska Uprava predstavlja visok nivo upotrebe informaciono-komunikacionih tehnologija , posebno Interneta, kao orudja za postizanje boljih rezultata Vlade. U svakom sistemu e-Uprave mogu se uociti tri ciljne grupe: Vlada, gradjani i privredni subjekti Odnosi izmedju grupa u sistemu e-Uprave definisu se popularnim frazama engleskog jezika: G2C, G2B i G2G Neke od prednosti uvođenja ovakvog načina rada Vlade su: veca brzina usluge, dostupnost informacija 24 sata / 7 dana u nedjelji, smanjenje troškova poslovanja i sl. Medjutim, postoje i prepreke kao što su: nedostatak zakonskih propisa, loša infrastruktura, nedostatak finansijskih sredstava, sigurnost... U nastavku cemo vidjeti koje su to tehnike koje je moguce primjeniti kako bi se IT sigurnost sistema e-Uprave dovela na odgovarajuci nivo.

Sigurnosne prijetnje i mjere zaštite IT infrastrukture Sigurnosne prijetnje i mjere zaštite IT infrastrukture Presentation Transcript

  • Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP http://www.owasp.org Sigurnosne prijetnje i mjere zaštite IT infrastrukture Beograd, 2013. Mladen Kostrešević Mladen.Kostresevic@gmail.com
  • 168 Aktivnih Projekata
  • 198 Aktivnih lokalnih grupa
  • OWASP Agenda: - Prijetnje i mjere zaštite po svim nivoima ISO OSI modela - Sistemi za detekciju/prevenciju/analizu napada - Prijedlog IT infrastrukture sa visokim stepenom zaštite
  • OWASP Zaštita po nivoima ISO OSI(Open Systems Interconnection) modela
  • OWASP Sigurnost fizičkog sloja Fizička zaštita objekta u kome se nalazi IT infrastruktura: - Sistemi kontrole pristupa prostorijama: - Alarmni sistemi (detekcija provala, požara ili poplave) - Video nadzor - Zaštita na nivou rack ormara i komunikacionih linkova
  • OWASP Sigurnost drugog nivoa Najčešće prijetnje: -CAM (content addressable memory) table flooding -ARP(address resolution protocol) poisoning - STP(spanning tree protocol) attack - DHCP attack - VLAN(virtual LAN) hopping
  • OWASP Sigurnost drugog nivoa(1) - CAM(Content Addressable Memory) Table Flooding Alat za napad: dsniff – macof, filesnarf, mailsnarf, msgsnarf, urlsnarf Zaštita: “Port security”
  • OWASP Sigurnost drugog nivoa(2) - DHCP Napadi 1. zauzimanje svih dostupnih IP adresa - DHCP Starvation, vrsta DOS-a 2. lažni DHCP server, slika: Alat za napad: Yersinia – za kombinaciju oba napada, Cain&Abel Zaštita: 1. “Port security” i 2.“DHCP Snooping”
  • OWASP Dodatak: Temelj sigurnosti - zaštita prvog i drugog nivoa OSI modela - implementirati odgovarajuće mjere fizičke sigurnosti - onemogućiti slobodne portove na mrežnim svičevima - uključiti zaštitne mehanizme u STP protokola(Root guard) - uključiti zaštitne mehanizme DHCP protokola(DHCP snooping) - uključiti zaštitu protiv lažnih IP paketa(IP source guard) - uključiti zaštitu od ARP/MAC napada (dynamic ARP inspection, Port security)
  • OWASP Sigurnost na mrežnom i transportnom nivou PrijetnjaPrijetnja OpisOpis IP SpoofingIP Spoofing Lažiranje izvorne IP adreseLažiranje izvorne IP adrese (Distributed) Denial of Service(Distributed) Denial of Service Uskraćivanje usluge (poseban oblikUskraćivanje usluge (poseban oblik DDoS)DDoS) TeardropTeardrop Greške prilikom sastavljanjaGreške prilikom sastavljanja fragmentisanih paketafragmentisanih paketa SYN FloodSYN Flood ““bombardovanje” lažnim zahtjevimabombardovanje” lažnim zahtjevima za uspostavljanje TCP konekcijeza uspostavljanje TCP konekcije ICMP attackICMP attack ““bombardovanje” ICMP zahtjevima sabombardovanje” ICMP zahtjevima sa lažnom izvornom IP adresomlažnom izvornom IP adresom Alati: Hping, ? Zaštita: IP Source Guard, Firewall, VPN(Virtual Private Network)... Najčešće prijetnje:
  • OWASP Sigurnost na mrežnom i transportnom nivou(1) - Firewall Filtriranje saobraćaja: “stateless” i “statefull”
  • OWASP Sigurnost na mrežnom i transportnom nivou(2) - Stateful Firewall Stateful firewall
  • OWASP Sigurnost na mrežnom i transportnom nivou(3) - Virtuelne privatne mreže VPN konekcija između dvije udaljene lokacije IPSec protokol: AH(Authentication Header), ESP(Encapsulated Security Payload), IKE(Internet Key Exchange)
  • OWASP Sigurnost na mrežnom i transportnom nivou(4) - IPSec protokol Transportni i tunnel način rada ESP protokola iz IPSec grupe
  • OWASP Sigurnost nivoa sesije i prezentacije - upotreba SSL/TLS protokola -Neophodna je autentikacija servera pomoću serverskih sertifikata -Poželjna autentikacija klijenta pomoću klijentskih sertifikata(smart kartice) -Garantuje se: autentikacija, integritet, tajnost i neporecivost poruke
  • OWASP Sigurnost aplikacionog nivoa: Kategorizacija napada: - Napadi vezani za autentikaciju (brute force..) - Napadi vezani za autorizaciju (Credential/Session prediction..) - Napadi na klijentsku stranu (XSS..) - Napadi vezani za izvršavanje naredbi (SQL, XPATH i LDAP injection) - Otkrivanje povjerljivih informacija (Directory indexing..) - Logički napadi (DoS..) Alati : Hydra, Burp..itd. http://sectools.org/ Zaštita: kriptografija, aplikacioni firewall, kontrola inputa, zdrav razum..
  • OWASP Sigurnost aplikacionog nivoa: web aplikacije The OWASP Top 10 Project – Lista najčešćih prijetnji z 2013 : A1 Injection A2 Broken Authentication and Session Management A3 Cross-Site Scripting (XSS) A4 Insecure Direct Object References A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Missing Function Level Access Control A8 Cross-Site Request Forgery (CSRF) A9 Using Components with Known Vulnerabilities A10 Unvalidated Redirects and Forwards
  • OWASP Sigurnost aplikacionog nivoa: Mjere za poboljšanje sigurnosti: - digitalno potpisivanje i digitalni sertifikati - upotreba aktuelnih kriptografskih biblioteka (Md5 više nije IN) - aplikativni firewall (primjer mod_sec za Apache web server) Neke mogućnosti WAF-a: - provjera TCP handshake - blokada injection napada - zaštita podataka (kreditne kartice i sl) - zaštita XML-a i Web servisa - Filtriranje tipa (upload)fajlova - Zaštita HTTP sesije / cookie-a - Blacklists
  • OWASP - Dvofaktorska autentikacija pomoću smart kartica - Dvofaktorska autentikacija pomoću tokena Sigurnost aplikacionog nivoa -> Zaštita login podataka i sistema autentikacije
  • OWASP Sistemi za detekciju i prevenciju napada - Alati koji analiziraju mrežni saobraćaja i detektuju/blokiraju napade - Nevidljivi za krajnje korisnike - Osnovni načini rada: 1. prepoznavanje šablona 2. prepoznavanje anomalija(statistika) - Podjela: 1. Host intrusion detection/prevention systems 2. Network intrusion detection/prevention systems 3. Hybrid intrusion/prevention detection systems - Primjeri: AIDE, OSSEC, Snort
  • OWASP Implementacija IDS/IPS u IT infrastrukturi 1. centralizovan sistem ili 2. distribuiran sistem, slika: - upotreba “port mirroring” ili network TAP uređaja
  • OWASP Sistemi za privlačenje i analizu napada – Honeypot - sistemi specijalno dizajnirani da privuku napadača, omoguće mu jednostavan pristup sistemu, i lako praćenje njegovih aktivnosti. Osobine: - skreću pažnju napadača od stvarnog sistema - omogućavaju uvid u tehnike koje napadači koriste - ohrabruju napadača da se što duže zadrži na sistemu Podjela: - sistemi za privlačenje napada niske interakcije - sistemi za privlačenje napada srednje interakcije -sistemi za privlačenje napada visoke interakcije - Projekat: “HoneyNet” – mreža za privlačenje i alalizu napada
  • OWASP Logički prikaz IT infrastrukture
  • OWASP Javna DMZ: - Web serveri (Web node) - DNS serveri (DNS node) - Web proxy serveri (Proxy node) - Email serveri (Email node) - Sigurnosni serveri (Security node) Privatna DMZ: - Aplikacioni serveri - Intranet serveri - Interni DNS serveri - Interni Email serveri -...
  • OWASP Hvala na pažnji! .. Pitanja / Diskusija .. Mladen Kostrešević Mladen.Kostresevic@gmail.com
  • OWASP Zaključak -ne postoji “tajni ključ” koji nam garantuje potpunu sigurnost sistema - paralelno sa evolucijom informaciono-komunikacionih sistema evoluiraju i sigurnosne prijetnje i oblici napada - pažljivom implementacijom zaštite na svim nivoima i primjenom preporuka iz prakse moguće je rizik svesti na razumnu mjeru
  • OWASP Dodatak: Evidencija(engl. logging) pristupa sistemu:
  • OWASP