• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Security of Information and Communication Systems
 

Security of Information and Communication Systems

on

  • 1,500 views

AACIMP 2010 Summer School lecture by Andrey Rodionov. "Information Technologies" stream. "Security of Information and Communication Systems" course.

AACIMP 2010 Summer School lecture by Andrey Rodionov. "Information Technologies" stream. "Security of Information and Communication Systems" course.
More info at http://summerschool.ssa.org.ua

Statistics

Views

Total Views
1,500
Views on SlideShare
1,394
Embed Views
106

Actions

Likes
1
Downloads
23
Comments
0

3 Embeds 106

http://summerschool.ssa.org.ua 104
http://www.summerschool.ssa.org.ua 1
http://ssa.org.ua 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Security of Information and Communication Systems Security of Information and Communication Systems Presentation Transcript

    • Безопасность информационно- коммуникационных систем Андрей Родионов Национальный технический университет Украины «КПИ» Физико-технический институт Andrey.Rodionov@gmail.com
    • План лекции  Общее о средствах и механизмах защиты  Архитектура ИКС  Механизмы защиты в ИКС  Средства централизованного управления ресурсами ИКС  Наиболее распространенные ошибки, которые приводят к уязвимостям в ПО  Уязвимости в Веб-прилож ениях  SDL, Фаззинг
    • Демонстрации технологий  Виртуализация ОС  Solaris Trusted Extensions  XSpider  MS Active Directory  Trend Micro  Уязвимости в Web-приложениях (SQL-inj, XSS)
    • С чем у Вас ассоциируется «информационная безопасность »? Назовите угрозы и механизмы защиты, которые Вы знаете
    • Наличие отдельных механизмов защиты не всегда обеспечивает безопасность системы  http://www.youtube.com/watch?v=gQbUzJUkBXg
    • Механизмы защиты  Не против всякой угрозы могут существовать механизмы защиты (к примеру, уязвимости в прилож ениях)  Иногда выгоднее изначально правильно построить систему чем потом тратиться на ее защиты (к примеру, в Unix-системах вирусы почти отсутствуют)  Применение механизмов и средств защиты долж быть экономически оправданным но
    • Кроме механизмов защиты защищенность системы определяется  Качеством программного и программно- аппаратного обеспечения всех уровней;  Настройкой параметров программного и программно-аппаратного обеспечения;  Архитектурой системы;  Пользователями и информационной средой в котором работает компьютерная система;  Организацией защиты информации в организации.
    • Из одной статьи "Х быстрои безжалостноахватывал з рынокпроникая , во многие государственные органы управления, устанавливая там свои программы и не забывая в каж дой из них предусмотреть маленькое такое «шпионское окошко». Своеобразных «ручных привратников», которые позволяли ему без спроса и без уведомления заходить в любую систему, брать любые объемы конфиденциальной информации и незаметно уходить с богатым «уловом». О чем это мы? То ж Министерство е юстиции, к примеру, складирует у себя в базах всю информацию о сделках с недвиж имостью: кто, как, за сколько купил тот или иной земельный участок. А Х уж все знает: е фамилии, имена, суммы платеж , посредников и т.д." ей
    • Что следует знать для работы в сфере ИБ  Атаки могут осуществляться на разные уровни и компоненты системы  Поэтому рассмотрим архитектуру ИКС  Защита долж быть комплексной, на всех на уровнях системы  Поэтому рассмотрим средства и механизмы обеспечения безопасности на всех уровнях  Управление безопасностью (и антивирусной) долж быть централизованным но  Поэтому рассмотрим средства для централизованного управления безопасностью
    • Угрозы безопасности информации в КС  Все угрозы направлены на нарушение следующих свойств информации:  Конфиденциальности (пример - атака sniffing) - состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право,  Целостности (пример - атака spoofing) - избежание несанкционированной модификации информации,  Доступности (пример - атака DoS/DDos) - избеж ание временного или постоянного сокрытия информации от пользователей, получивших права доступа,  Наблюдаемости
    • Для обеспечения безопасности строится комплексная система защиты информации (КСЗИ)
    • Уровни системы  Уровень сети — отвечает за взаимодействие  Уровень ОС  Уровень систем управления базами данных (СУБД)  Уровень прикладного ПО
    • Типы приложений  Клиентские  Клиент-серверные (двух-уровневые)  Распределенные и много-уровневые  Облачные прилож ения  Cloud Computing Video  http://www.youtube.com/watch?v=aD5VcKXHmus
    • Двух- и трех– уровневая архитектура прилож ений  Возмож ность использования различных языков программирования для различных компонентов  Централизация компонентов  Балансировка нагрузки  Более эффективный доступ к данным  Улучшенная защита  Более простой доступ к внешним ресурсам
    • Комплекс средств защиты  Идентификация и аутентификация  Управление доступом  Регистрация и аудит  Обеспечение целостности  Криптографические функции  Антивирусная защита
    • Особенности защиты СУБД  Наиболее распространенные СУБД  Архитектура СУБД  Отдельная учетная запись для СУБД в операционной системе и ее права  Настройка прав внутри СУБД, средствами самой СУБД  Внутренние средства защиты СУБД  Взаимодействие внешних прилож ений с БД
    • Виртуализация приложений с помощью виртуализации ОС  Гибкое распределение ресурсов между виртуальными системами (CPU, сетевые карты, память, размеры, …)  Полная независимость зон, в случае краха или проникновения в одну из зон, это никак не повлияет на другие зоны  В каждой зоне есть свой отдельный набор пользователей (включая администратора)  Основа для «облачных вычислений»
    • Защищенные ОС  Что такое защищенная ОС?  Любая ли ОС обеспечивает защиту?
    • Функции ОС и безопасность  Основныефункции ОС  Управлениепроце ссами и потоками  Управлениепамятью  Управлениеввод -вывод ом ом  Управлениеф айлами (файловыесисте ) мы  Под е касе воговзаимод йствия д рж те е  Защитад анных  Инте е рф йспользовате ля
    • Модель угроз для ОС  Сканированиеф айловой системы  Хищ ниеклю вой инф е че ормации  Подборпароле й  Сборкамусора  Превыш ниеполномочий е  Программныезаклад ки  «Жадные » программы
    • Solaris Trusted Extensions  ОС с мандатной политикой разграничения доступа к объектам системы  Строгое разделение ролей Администратора и Администратора безопасности
    • Принципы построения корпоративной сети  Требуемая функциональность сети  Зависимость сервисов и служ меж собой б ду  Территориальное размещение объектов системы  Структура организации (отделы, департаменты)  Производительность сети  Политика безопасности в системе
    • Сервисы корпоративной сети  Сетевые служ (DNS, DHCP) бы  СКБД (Microsoft SQL Server, Oracle, DB2, MySQL)  Серверы прилож ений (JavaEE, WebSphere, .NET Framework, MSMQ)  Веб-серверы и Веб-сервисы (Apache, GlassFish, IIS, WebSphere)  Электронная почта (SMTP, POP3 , IMAP)  Сервисы для общей работы (SharePoint, Lotus Nоtes, Lotus Connection, Collaboration server)  Корпоративные прилож ения (СЭД, ERP, CRM)
    • Сервіси Технології Мережеві пристрої Маршрутизатори, комутатори, Routers, switches, load balancers Мережеві сервіси DNS, DHCP, WINS Сервіси міжмережевої Міжмережеві екрани периметру, фільтрації трафіку та доступу демілітаризованої зони, внутрішні сегменти мережі, проксі-сервера Сервіси для централізованого Microsoft Active Directory, Oracle Identity керування та моніторингу Manager, IBM Tivoli Identity Manager, LDAP корпоративною мережею Системи керування базами СКБД Microsoft SQL Server, Oracle, DB2, MySQL даних Пристрої збереження даних Direct-attached storage (DAS), network attached storage (NAS), storage area network (SAN) Cервери застосувань Забезпечуть роботу корпоративних застосувань: JavaEE, .NET Framework, COM+ and Message Queuing Services (MSMQ) Веб-сервіси та веб-сервери Apache, GlassFish, IIS, WebSphere Сервер електронної пошти SMTP, POP3 , IMAP Операційні системи на хостах Windows, Linux, Solaris, AIX, … мережі
    • Пример структуры сети
    • Принципы выделения сегментов в сети  Security  Projects/special applications  Performance/bandwidth  Broadcasts/traffic flow  Departments/specific job types
    • Сетевые средства безопасности  DMZ  Firewalls  VLAN  Proxy  NAT  IDS/IPS  Sub-netting  NAC (Network  Honeypot Access Control)  DLP (Data Loss  VPN Prevention)
    • Security Auditing Tools  Service Mapping Tools  Penetration Testing  Nmap Tools  Hping  Core Impact  Vulnerability Assessment  Metasploit Tools  XSpider  Nessus  RedSeal  Packet Capture Tools  Tcpdump  Wireshark/Tshark
    • BackTrack  Information Gathering: This category includes tools for DNS mapping, Whois, Finger, and mail scanning.  Network Mapping: Port and services mapping, OS fingerprinting, and VPN discovery.  Vulnerability Identification: Tools to identify service, SQL, VoIP, and http vulnerabilities.  Penetration: Tools to exploit vulnerabilities and compromise systems. Metasploit is the primary application.  Privilege Escalation: LAN Sniffers, password sniffers, and spoofing tools are here.  Maintaining Access: Backdoors, rootkits, and tunneling applications for retaining access after exploiting.  Radio Network Analysis: Wireless sniffers, scanners, and cracking tools  VoIP & Telephony Analysis: VoIP cracking and recording tools  Digital Forensics: Disk editors, file system dump tools, and hexeditors for recovering evidence from deleted and hidden files.  Reverse Engineering: Malware analysis tools, application debug tools, hex and assembly tools.
    • Сегмент и служ для управления бы корпоративной сетью  Необходимо централизованное управление и мониторинг ресурсов сети:  Компьютерами  Программным обеспечением  Учетными записями пользователей  Прочими ресурсами  Управление сетевым и коммуникационным оборудованием
    • Средства для централизованного управления корпоративной сетью  Microsoft Active Directory  Identity Manager (Sun Microsystems, Oracle, IBM, Novell)  IBM Tivoli  System Center Configuration Manager (formely SMS), System Center Operations Manager (formely MOM)  Microsoft Forefront Security  Cisco Works
    • Identity management
    • Уязвимости в ПО
    • Причина уязвимостей в ПО  Уязвимости в ПО являются следствием сложности кода, невнимательности, но в большей мере непрофессионализма разработчиков
    • Самые распространенные уязвимости  Buffer overflow, integer overflow  SQL/Script Injection  Cross-Site Scripting (XSS)  Unlimited Resource Consumption (DoS)  Information Leakage
    • Уязвимости Веб-приложений  Как показывает опыт компании Positive Technologies по проведениютестовна проникновение и аудитов информационной безопасности - уязвимости в Web-прилож ениях одни из наиболее распространенных недостатков защиты сетевой безопасности
    • Уязвимости Веб-приложений
    • Пример логической структуры сети
    • Cross Site Scripting  Видео http://www.virtualforge.de/vmovie.php
    • Пример уязвимости «инъекция SQL» Найти такие ошибки позволяет, например, ввод в формы различных некорректных данных, неправильно отформатированных данных, служебных символов
    • Пример эксплуатации уязвимости «инъекция SQL» 1) создаемхранимуюпроцедуру http://www.xxx.gov.ua/documents.php?cat_id=33&sort=document_code exec('create procedure test as update documents set document_code=''814'' where document_code=''813''') select * from documents order by acceptor &dir= 2) вызываемхранимуюпроцедуру http://www.xxx.gov.ua/documents.php?cat_id=33&sort=document_code exec test select * from documents order by acceptor &dir= 3) удаляемхранимую процедуру http://www.xxx.gov.ua/documents.php?cat_id=33&sort=document_code DROP PROCEDURE test select * from documents order by acceptor &dir= 4) возвращаем предыдущееначение з http://www.xxx.gov.ua/documents.php?cat_id=33&sort=document_code update documents set document_code='813' where document_code='814' select * from documents order by acceptor &dir=
    • Уязвимости «Information Leakage» and «Predictable Resource Location»  Демонстрация  http://www.dstszi.gov.ua/dstszi/services  http://www.sbu.gov.ua/sbu/services
    • Buffer overflow  (DATA)(DATA)(...)  (NEWDATA)(DATA)(DATA)(...)  (ADDR)(DATA)(DATA)(...)  (.a........)(ADDR)(DATA)(DATA)(...) char[10] 
    • Sheep overflow
    • Рекомендации по безопасности, касающиеся языка C#  http://msdn.microsoft.com/ru- ru/library/ms173195.aspx