De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Systeembeveiliging Cursus informatiebeveiliging Eric Laermans – Tom Dhaene.

Verwante presentaties


Presentatie over: "Systeembeveiliging Cursus informatiebeveiliging Eric Laermans – Tom Dhaene."— Transcript van de presentatie:

1 Systeembeveiliging Cursus informatiebeveiliging Eric Laermans – Tom Dhaene

2 Bedreigingen vandaag Enkele trends sociale netwerken Blackhole Java Android Mac OS X ransomware gerichte aanvallen (“targeted attacks”) “cyberwar” naast “cybercrime” en “hacktivism” Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) 2

3 Bedreigingen vandaag Sociale netwerken kwetsbare wachtwoorden  of gehackte databanken met slecht beveiligde wachtwoorden  of onveilige “password recovery” besmette host overnemen account  bv. Facebook, Twitter  verspreiden van malware-links  oplichterij (“scams”) Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) 3

4 Bedreigingen vandaag Blackhole meest “populaire” malware epxloit kit  geschat op ongeveer 30% van bedreigingen op het Web  Software-as-a-Service niet beperkt tot Windows  ook Linux en Mac OS X Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) 4

5 Bedreigingen vandaag Blackhole werking typisch hacken van website  toevoegen van JavaScript-malware  doorsturen naar Blackhole site –verandert zeer vaak (dagelijks) analyseren van waar doorgestuurd werd  belangrijk voor betaling “leden” analyseren systeem + kwetsbaarheden slachtoffer  Java en Flash als zorgenkinderen afleveren malware-payload verbeteren van werking exploit kit op basis van vergaarde info  o.a. geslaagde aanvallen + systeem slachtoffer Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) 5

6 Bedreigingen vandaag Java (en Flash, en andere plugins) bron van veel kwetsbaarheden  en dus exploits –sandbox niet altijd waterdicht  Flashback trojan treft Mac computers in 2012 –kwetsbaarheid was al twee maand vroeger weggewerkt voor Java zelf, maar niet voor Java voor Mac OS X (beheerd door Apple) oplossing  Java (en Flash) uitzetten voor browsers –tenzij echt nodig en voor vertrouwde sites »best in aparte browser  overschakelen naar HTML5 vermijdt gebruik van niet altijd veilige plugins Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) 6

7 Bedreigingen vandaag Android toenemend marktaandeel smartphones/tablets  dus ook interessanter doelwit vrij open voor applicaties  dus ook gemakkelijker voor malware  typisch niet via officiële Google Play store risico’s  vervalste software  stelen van data  stelen van SMS-berichten (voor bankauthenticatie)  onderdeel van botnet Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) 7

8 Bedreigingen vandaag Mac OS X gestegen marktaandeel, ook in bedrijven  dus interessanter doelwit  ondanks degelijk beveiligingsmodel van OS X –BSD-afkomst soms via Java of Flash ook reservoir voor Windows-malware  risico bij dual-boot of gevirtualiseerde Windows- sessies  anders alleen een risico voor derden protectie voor Mac geen luxe meer Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) 8

9 Bedreigingen vandaag Ransomware heel oude techniek (1989)  maar nu in “verbeterde” vorm terug blokkeert systeem  eist dan “losgeld” om systeem te deblokkeren  ergste geval: sterke encryptie van volledige harde schijf –meestal onherstelbare schade Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) 9

10 Bedreigingen vandaag Gerichte aanvallen (“targeted attacks”) meeste malware voor breed doelwit  Windows, Mac OS X, Android,…  payload soms wel gericht tegen specifiek doelwit –bv. DDoS van botnet  nadeel: grote groep (potentiële) slachtoffers  voordeel: gemakkelijk detecteerbaar –klassieke protectiesoftware volstaat –zelfs voor traditionele polymorfe malware »analyseren van onderdeel dat voor mutaties zorgt Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) 10

11 Bedreigingen vandaag Gerichte aanvallen (“targeted attacks”) Server-Side Polymorphism (SSP)  mutatiecode alleen op server –niet meer toegankelijk voor anti-malware –moeilijker op te sporen »nood aan detectie op basis van gedrag  gebruikt in o.a. Blackhole exploit-kit Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) 11

12 Bedreigingen vandaag Gerichte aanvallen (“targeted attacks”) aanvallen tegen welbepaald doelwit  overheden  specifiek bankauthenticatiesysteem  maar zelfs KMO’s –vaak zwakkere beveiliging –vooraf analyseren van specificiteiten  veel malware vandaag slechts in zeer beperkt aantal exemplaren verspreid aanvallen waarvan payload alleen welbepaald doelwit treft Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) 12

13 Bedreigingen vandaag “Cyberwar” naast “cybercrime” en “hacktivism” gelinkt aan fenomeen van gerichte aanvallen aanvallen (vermoedelijk) georganiseerd door staten (VS, China, Rusland,…) vaak andere doelwitten dan klassieke computers  industriële systemen –SCADA (supervisory control and data acquisition) –niet altijd optimaal gewapend tegen aanvallen –gevolgen potentieel veel erger Duqu, Stuxnet, Flame,… Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) 13

14 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 14 Malware contractie van “malicious software”  software met kwaadaardige bedoeling –dus niet: spam, bug, hoax,… –…maar niet altijd los van deze problemen in de volksmond: “virus” meest bekende aspect van informatiebeveiliging  in de media  misschien een beetje overschat als probleem zie ook boek H. 21 (online)

15 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 15 Malware Kort historisch overzicht (1) 1981: eerste virus breekt uit ... op Apple II computers (PC bestaat nog niet) 1983: eerste virus op PC (alleen in testlab)  beveiligingsexperiment van Fred Cohen (doctoraatsstudent aan de University of Southern California, USA) 1986: eerste virus voor PC breekt uit  Brain: waarschijnlijk uit Pakistan, besmet de bootsector van 360kiB diskettes, richt geen schade aan

16 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 16 Malware Kort historisch overzicht (2) 1988: de Morris-worm breekt uit op MIT  besmet daarna Cornell en Stanford, en na één dag ongeveer het hele (toenmalige) internet  eerste paniekuitbraak op internet (niet de laatste!) 1989: eerste Trojaans paard  meegeleverd met een diskette die informatie over AIDS bevat  alleen betalingsgegevens voor diskette bleven zichtbaar  verspreidt zich niet, maar zorgt wel voor heibel 1992: eerste virus voor Windows breekt uit

17 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 17 Malware Kort historisch overzicht (3) 1996: eerste virus voor Windows 95 breekt uit 1997: eerste virus voor Linux breekt uit 1999: Melissa Word macro-virus breekt uit  eerste virus dat adressenboek van Outlook plundert om zich via talrijke s te verspreiden sindsdien:  steeds meer, steeds sneller

18 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 18 Mogelijkheden van malware Malware is software kan dus ook wat normaal programma kan  geheugen opeisen  schrijven, wissen van bestanden  communiceren met netwerk  typisch zelfde rechten als gewone gebruiker bij “zorgvuldig” ontwerp  zich toeëigenen van “administrator”-rechten –door uitbuiten van bugs bv.  uitvoeren van gereserveerde taken –openzetten van een achterdeur of “backdoor”

19 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 19 Illustraties van malware Valkuil (“trapdoor”) niet-gedocumenteerd toegangspunt tot software  laat toe toegangsbeveiligingsprocedure te omzeilen –nuttig als test voor programmeur bij ontwerp… –…maar gevaarlijk indien niet verwijderd bij productiesoftware –…of indien geïmplementeerd met kwaad opzet te activeren door bv. speciale invoer vaak moeilijk te blokkeren door besturingssysteem

20 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 20 Illustraties van malware Logische bom kwaadaardige software die actief wordt als zekere (logische) voorwaarden vervuld zijn  bv. datum, aanwezigheid/afwezigheid bepaalde bestanden,… vaak het werk van misnoegde of afgedankte werknemers  vooral systeembeheerders (met meestal “administrator”-toegang) kunnen gevaar zijn interne bedreiging: extra gevaarlijk

21 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 21 Illustraties van malware Worm autonoom programma; propageert van netwerk tot netwerk  moet connecteren met andere netwerken –via bestaande ( )programma’s –via eigen programma  mogelijk massale hoeveelheid computers te besmetten  op lokaal systeem: mogelijk klassiek malwaregedrag –openzetten van “backdoor” of achterdeur (toegang voor andere malware of hackers) –gebruik besmette computer als zombie

22 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 22 Illustraties van malware Spyware verzamelt en verstuurt informatie (systeeminformatie, wachtwoorden,...) over gebruiker adware  een iets onschuldigere versie van spyware, met als bedoeling het toesturen van gerichte reclame vaak verpakt in normaal ogende software specifieke software om deze soort malware te detecteren  meestal niet door standaard virusscanners

23 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 23 Illustraties van malware Traditioneel virus programma dat ander programma kan “besmetten”  niet autonoom, heeft dragerprogramma nodig  wijzigt programma door toevoegen van eigen code  vermenigvuldigt zich door andere programma’s te besmetten (bevat stuk code dat hiervoor zorgt) overigens alle functionaliteiten van gewone software meestal specifiek voor bepaald besturingssysteem, soms ook van hardwareplatform  maakt gebruik van specifieke zwakheden

24 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 24 Illustraties van malware Virus: verschillende fasen slapende fase  wacht op activatie (niet voor alle virussen) –bv. datum, aanwezigheid van ander programma,… propagatie/replicatie  vermenigvuldigt zich door andere programma’s of systeembestanden te besmetten –typisch wanneer besmet programma uitgevoerd wordt –besmette programma’s zorgen dan zelf mee voor propagatie

25 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 25 Illustraties van malware Virus: verschillende fasen activatie  als zekere voorwaarden vervuld zijn (voldoende aantal kopies van zichzelf gecreëerd, datum,…) uitvoering  uitvoering van de functionaliteit van het virus

26 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 26 Malware Uitbuiten van zwakheden van software “exploits” bugs in browsers, programmas, OS,…  bv. buffer overflow, die verloop van programma wijzigt zeer gevaarlijk als bug voorkomt in deel van het programma met verhoogde privileges  uitvoering mogelijk van software met verhoogde privileges gevaarlijkste aanvallen  niet zomaar te vermijden door voorzichtigheidsregels te respecteren

27 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 27 Malware Principiële illustratie van buffer overflow Programma Return-adres Stack Buffer Programma Return-adres Stack Buffer Malware Return-adres

28 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 28 Maatregelen tegen malware Virusscanner vermijden dat malware systeem binnenraakt  niet altijd 100% mogelijk opvangen van malware-infectie  detectie van infectie  identificatie van betrokken malware  verwijdering van sporen die malware achtergelaten heeft –herstellen van oorspronkelijke toestand van besmette bestanden/programma’s

29 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 29 Maatregelen tegen malware Virusscanner 1e generatie  herkenning signatuur van malware –onderdeel van virus is meestal onveranderlijk »bitsequentie herkennen  lengte van programmabestanden bijhouden –wijzigingen zijn teken van mogelijke infectie  vereist wel kennis van malware –geregeld updaten van definitiebestanden

30 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 30 Maatregelen tegen malware Virusscanner 2e generatie  verfijning van herkenningspatroon –analyse van werking van malware –zoeken naar encryptieonderdeel en sleutel –zoeken naar onderdelen die terugkomen in polymorf virus  verificatie van de data-integriteit van programmabestanden –berekening van (al dan niet versleutelde) hashwaarde van deze bestanden

31 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 31 Maatregelen tegen malware Virusscanner nieuwere generaties  identificeren van malware op basis van acties –i.p.v. op basis van structuur van malware –aantal acties eerder beperkt »wijzigen van programma- en systeembestanden –laat toe onbekende malware te detecteren  wapenwedren met nieuwe malware  opvangen van malwareactiviteit door programma eerst in geëmuleerd systeem uit te voeren –geen rechtstreekse toegang tot systeemmiddelen »dus ook geen schade mogelijk –vertraging van uitvoering van programma’s

32 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 32 Maatregelen tegen malware Voorzichtigheid meeste malware-infecties kunnen vermeden worden door elementaire voorzorgsmaatregelen  vandaag hoofdbron van malware –open geen onbekende of potentieel gevaarlijke e- mail-attachments (*.exe, *.vbs, *.pic,…) »automatisch blokkeren mogelijk –schakel macro’s uit voor documenten –open geen onverwachte attachments

33 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 33 Maatregelen tegen malware Voorzichtigheid meeste malware-infecties kunnen vermeden worden door elementaire voorzorgsmaatregelen  installeer geen communicatiediensten (ftp-server, telnet-server,…) als deze niet nodig zijn  hou definitiebestanden van virusscanner up-to-date –centrale verdeling of automatische updates mogelijk  zorg voor tijdig oplappen van bekende beveiligingslekken –wacht niet te lang met het installeren van patches

34 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 34 Firewalls Firewall aangebracht tussen lokaal netwerk en internet  bedoeld als beveiligingsmuur tegen aanvallen van buitenaf  controleert alle inkomend en uitgaand verkeer –geen andere toegang tot lokaal netwerk mogelijk –alarmen voor abnormaal gedrag mogelijk  legt beperkingen op aan netwerkverkeer –alleen verkeer toegelaten in beveiligingsbeleid  moet zelf immuun zijn tegen ongeoorloofde toegang –vereist betrouwbaar systeem / veilig besturingssysteem  zie ook boek H. 22 (online)  zie ook cursus communicatienetwerken

35 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 35 Firewalls Firewall-controles controle van diensten/richting  welke internetdiensten ( , WWW,…) zijn toegankelijk –interne diensten van buitenaf –externe diensten van binnenuit controle van gebruikers  toegangscontrole tot diensten afhankelijk van gebruiker, wat authenticatietechniek vereist gedragscontrole  controle hoe diensten gebruikt worden (bv. spamfilter, filter voor bepaalde websites, beveiliging tegen DoS,…)

36 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 36 Firewalls Beperkingen beveiliging van de perimeter van een bedrijf  geen beveiliging tegen interne aanvallen of medeplichtigheid van binnenuit geen beveiliging tegen aanvallen die firewall omzeilen  mogelijke andere toegangspunten tot LAN kwetsbaar (draadloos, inbeltoegang,…) beperkte beveiliging tegen malware  scannen van alle inkomend verkeer hierop soms geïntegreerd in firewall, maar wel kostelijk qua rekentijd

37 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 37 Firewalls Enkele types pakketfilter (“packet filter”) gateway op circuitniveau (“circuit-level gateway”) gateway op applicatieniveau of proxy (“application-level gateway”)

38 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 38 Firewalls: pakketfilter Pakketfilter eenvoudigste component  router analyseert elk inkomend en uitgaand IP- pakket  beslist op basis van filterregels welke pakketten doorgelaten worden en welke tegengehouden worden Internet LAN

39 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 39 Pakketfilter Filterregels op basis van informatie in IP- pakket IP-adres van afkomst IP-adres van bestemming adres (afkomst/bestemming) voor transportniveau  TCP- of UDP-poort (definieert applicaties als HTTP of SMTP) gebruikt transportprotocol routerinterface waarop pakket toekomt of naartoe gaat

40 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 40 Pakketfilter Mogelijke standaardpolitiek voor filterregels (“forward policy”) “Block”/“discard”  wat niet expliciet toegelaten is, is verboden –voorzichtiger,… –…maar hinderlijker voor gebruikers –geleidelijk opbouwen van toelaatbare diensten “Allow”/“forward”  wat niet expliciet verboden is, is toegelaten

41 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 41 Pakketfilter Voordelen basisbeveiliging eenvoudig, snel en vrij goedkoop (redelijk) transparant voor applicaties en gebruikers niet-cryptografisch (dus ook geen sleutelbeheer)

42 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 42 Pakketfilter Nadelen geen bescherming tegen aanvallen op applicatieniveau  alle instructies voor bepaalde applicatie worden toegelaten als applicatie toegelaten wordt geen gebruikersauthenticatie fouten in configuratie zijn snel gemaakt

43 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 43 Pakketfilter Problemen risico voor IP-spoofing  laten geloven aan firewall dat pakket afkomstig is van toegelaten netwerk  af te weren door geen inkomende pakketten toe te laten met een IP-adres uit het lokale netwerk –merk op dat dit niet werkt als externe netwerken toegang moeten krijgen  te vermijden door IPSec te gebruiken fragmentatie-aanval  opdelen van IP-pakket in zeer kleine fragmenten, zodat informatie over TCP-header in ander IP-pakket zit  af te weren door zulke kleine pakketten te verwerpen

44 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 44 Pakketfilter Verbetering: “stateful inspection” bij opzetten TCP-connectie  server gebruikt vaste TCP-poort (waarde < 1024)  gebruiker krijgt voor sessie TCP-poort dynamisch toegekend (poort vanaf 1024) –deze poort is enkel geldig voor 1 sessie –dus niet bruikbaar voor vaste regeltabel van filter –wel door dynamische tabel aan te maken van opgezette connecties met dynamisch toegekende TCP-poorten

45 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 45 Firewalls: gateway op circuitniveau Gateway op circuitniveau werkt als doorgeefluik op TCP-niveau  of soms ook op UDP-niveau gateway interne communicatie externe communicatie client server

46 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 46 Gateway op circuitniveau Voordelen gateway hoeft applicatie niet te kennen generisch t.a.v. gebruikte applicaties geschikt om geauthentiseerd verkeer door firewall toe te laten te combineren met proxy servers (zie later)  vooral voor applicaties waarvoor geen proxy servers bestaan Nadelen niet in staat om applicatiespecifieke bedreigingen op te vangen  bv. Java applets, ActiveX,…

47 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 47 Gateway op circuitniveau SOCKS meest gekende voorbeeld van gateway op circuitniveau vereist enkele aanpassingen aan de software van de client of aan de TCP/IP-stack  om SOCKS-specifieke calls te ondersteunen  toevoegen van SOCKS-library aan client software –hercompileren van broncode –geen probleem voor open source –anders afhankelijk van softwareleverancier »typische internetbrowsers zijn zo gewijzigd

48 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 48 Gateway op circuitniveau SOCKS versie 4:  basiselementen van een gateway op circuitniveau voor TCP  “authenticatie” op basis van username versie 5:  uitbreiding voor UDP  ondersteuning voor IPv6  onderhandeling over authenticatiemethode: –wachtwoord (zwak) of Kerberos v.5 (sterk)

49 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 49 Firewalls: proxy Gateway op applicatieniveau of proxy voor specifieke applicatie  bv. HTTP, SMTP, FTP,… verkeer voor deze applicatie kan alleen via proxy

50 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 50 Firewalls: proxy Gateway op applicatieniveau of proxy proxy heeft toegang tot volledig protocol  interne gebruiker vraag dienst aan bij proxy  proxy verifieert en valideert aanvraag –kan ook voor (zwakke of sterke) authenticatie van client zorgen –mogelijkheid bepaalde onderdelen van dienst niet te ondersteunen  stuurt aanvraag naar buiten door en retourneert resultaat naar gebruiker  het verschil met een gateway op circuitniveau is dat een proxy het volledige (applicatie)protocol kan analyseren

51 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 51 Proxy Gateway op applicatieniveau of proxy FTP SMTP HTTP proxy interne communicatie externe communicatie

52 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 52 Proxy Voordelen veiliger dan pakketfilters of gateways op circuitniveau  niet beperkt tot informatie in IP-pakketten –toegang tot het volledige protocol van de applicatie  beperkt aantal (toelaatbare) applicaties te onderzoeken –andere toepassingen kunnen dan standaard geweigerd worden  veel gemakkelijker auditing/logging te voorzien

53 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 53 Proxy Nadelen vereist aanpassingen van gebruikersprocedures:  eerst aanmelden aan proxy server, dan pas aan eindbestemming  of aanpassingen aan applicatie (zeldzaam) specifiek voor 1 welbepaalde applicatie (FTP, HTTP,…) veel meer verwerking per connectie  ontdubbelde connectie niet alle diensten ondersteunen proxies even gemakkelijk  niet mogelijk als protocolspecificatie niet bekend is, wat wel eens het geval is met “proprietary” software (SAP,…)

54 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 54 Firewalls: bastion Bastion kritisch voor beveiliging binnen netwerkperimeter  blootgesteld aan aanvallen van buitenuit  typisch gebruikt als gateway voor systeem wenselijke eigenschappen  beveiligde versie van besturingssysteem  alleen essentiële diensten worden geïnstalleerd –proxy-applicaties (DNS, FTP, SMTP, authenticatie van gebruikers,…) –alleen minimaal nodige instructies van applicaties worden geïmplementeerd  mogelijk sterke authenticatie voor toegang tot proxydiensten

55 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 55 Firewalls: bastion Bastion wenselijke eigenschappen  softwarecode voor proxymodules sterk vereenvoudigd en ontworpen voor beveiligde werking  alle verkeer wordt gelogd, wat gedetailleerde auditinformatie biedt  proxies onderling onafhankelijk, gemakkelijk vervangbaar  behalve configuratiebestand heeft proxy geen schijftoegang nodig  laat betrouwbare scheiding tussen netwerkconnecties toe  …

56 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 56 Firewalls: enkele (basis)configuraties Praktisch voor niet al te kleine systemen  firewall niet beperkt tot 1 enkel toestel (pakketfilter of gateway)  combinatie van verschillende elementen  hierna enkele basisconfiguraties

57 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 57 Simple dual-homed firewall Internet bastion beschermd netwerk

58 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 58 Dual-homed firewall Internet bastion externe pakketfilter beschermd netwerk interne pakketfilter

59 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 59 Dual-homed firewall Internet bastion externe pakketfilter beschermd netwerk interne pakketfilter extern subnetwerk intern subnetwerk publieke informatieserver modem

60 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 60 Screened host firewall, single-homed bastion Internet bastion pakketfilter publieke informatieserver beschermd netwerk

61 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 61 Screened subnet firewall Internet bastion externe pakketfilter beschermd netwerk interne pakketfilter subnetwerk publieke informatieserver modem

62 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 62 Firewalls Persoonlijke firewalls software op PC  minimale perimeter (PC i.p.v. volledig netwerk)  beperktere functionaliteit  beperktere betrouwbaarheid –draait onder standaard besturingssysteem  wel nuttig als basisprotectie tegen externe problemen

63 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 63 Firewalls Slotbemerkingen firewalls lossen niet alle beveiligingsproblemen op  alleen efficiënt als alle inkomend en uitgaand verkeer via firewall gaat –gevaar van draadloze toegangspunten en inbelmodems  geen bescherming tegen interne bedreigingen –inclusief binnengehaalde malware beveiliging van een lokaal netwerk als een versterkte burcht is een vrij middeleeuws concept de beste beveiliging zal niet weerstaan aan de creativiteit van interne gebruikers

64 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 64 Intrusiedetectie Doel van intrusiedetectie detecteren van aanval  tijdens aanval  na aanval geen vervanging van preventie  wel complementair  opvangen van aanvallen die niet konden afgeweerd worden zie ook boek H (online), p. 20-8vv.

65 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 65 Intrusiedetectie Nut van intrusiedetectie bij voldoende snelle detectie  identificeren en verwijderen van indringer voordat schade aangericht is ook bij latere detectie  zo snel mogelijk schade evalueren en herstellen afschrikkingsmiddel  risico voor aanvaller om ontmaskerd te worden verzamelen van informatie over aanvalstechnieken

66 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 66 Intrusiedetectie Veronderstelling indringer gedraagt zich anders dan legitieme gebruiker  meetbaarheid van dit verschil  reële situatie: overlap tussen beide gedragingen –dus vals-positieve en vals-negatieve besluiten legitieme gebruiker indringer overlap

67 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 67 Praktische benaderingen Statistische detectie van abnormaal gedrag op basis van informatie over gedrag van legitieme gebruikers over lange periode gebruikt statistische tests om te bepalen of gebruik normaal is drempeldetectie (“threshold detection”)  definieert drempels (onafhankelijk van gebruiker) voor frequentie waarmee diverse gebeurtenissen optreden profielgebaseerd (“profile based”)  stelt profiel van activiteiten van elke gebruiker op  detecteert mogelijke veranderingen hierin

68 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 68 Praktische benaderingen Op regels gebaseerde (“rule-based”) detectie poging om stel regels op te stellen om te bepalen of gedrag dat van indringer is detectie van anomalieën (“anomaly detection”)  ontwikkelen van regels om afwijkingen van vroegere gebruikspatronen te ontdekken identificatie van indringing (“penetration identification”)  expertsysteem dat zoekt naar verdacht gedrag bv. netwerk-IDS SNORT (http://www.snort.org)http://www.snort.org

69 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 69 Praktische benaderingen Onderscheid tussen beide benaderingen statistische aanpak tracht normaal, verwacht gedrag te definiëren  geschikt tegen indringers die trachten iemands account te misbruiken (“masquerader”) aanpak op basis van regels tracht geschikt gedrag te definiëren  geschikt tegen legitieme gebruikers die misbruik maken van hun rechten of trachten toegang te krijgen tot middelen waartoe ze geen toegang mogen krijgen (“misfeasor”)

70 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 70 Audits Auditverslagen (“audit records”) fundamenteel onderdeel van IDS verslagen van gebruikersactiviteit: invoer voor IDS “native audit records”  onderdeel van meeste multigebruikersbesturingssystemen  geen extra software vereist…  …maar niet altijd in meest geschikt formaat detectiespecifieke auditverslagen  verzamelt informatie specifiek voor IDS  mogelijk systeemonafhankelijk  nadeel: 2 auditprogramma’s op hetzelfde systeem

71 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 71 Audits Auditverslagen (“audit records”) mogelijke inhoudsstructuur  gebruiker  handeling  voorwerp van de handeling  mogelijke “exception” voor handeling  gebruik van systeemmiddelen  tijdsstempel ontbinding van gebruikerhandelingen in elementaire stappen zie ook boek H (online), p – 20-11

72 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 72 Statistische detectie Drempeldetectie tellen van aantal maal dat specifieke gebeurtenis optreedt over zeker tijdsinterval bij overschrijding van drempel (grens voor redelijk aantal), vermoeden van intrusie op zichzelf weinig efficiënt  veel vals-positieve en vals-negatieve besluiten  wel nuttig in combinatie met andere technieken

73 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 73 Statistische detectie Profielgebaseerd profiel bestaat typisch uit reeks parameters voor individuele gebruiker of groep gebruikers basisinvoer: auditverslagen  ontwerper definieert metrieken voor gebruikersgedrag  analyse van auditverslagen over tijdspanne levert activiteitsprofiel voor gemiddelde gebruiker –definiëren van typisch gedrag  analyse van actuele auditverslagen laat vergelijking toe met typisch gedrag –detecteren van mogelijke intrusie

74 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 74 Statistische detectie Profielgebaseerd mogelijke metrieken  teller (“counter”, positief, strikt stijgend) –bv. tellen van aantal inlogpogingen door gebruiker in tijdspanne van 1 uur  meter (“gauge”, positief) –bv. aantal connecties voor 1 gebruikersapplicatie  interval timer (tijdsduur tussen gebeurtenissen) –bv. tijdsduur tussen opeenvolgende inlogpogingen  gebruik van systeemmiddelen (over zekere periode) –bv. gebruikte rekentijd voor uitvoering programma

75 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 75 Statistische detectie Profielgebaseerd tests om anomalieën in gemeten activiteit te bepalen  gemiddelde waarde en standaardafwijking  multivariate statistische modellen –correlatie tussen veranderlijken  Markov-processen –overgangswaarschijnlijkheden tussen toestanden  tijdreeksen  operationeel model –op basis van wat a priori abnormaal geacht wordt, eerder dan op basis van auditverslagen

76 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 76 Op regels gebaseerd Detectie van anomalieën vergelijkbaar met statistische detectie  regels automatisch afgeleid uit historische auditverslagen om normaal gedrag te beschrijven –voor gebruikers, programma’s, terminals,…  actueel gebruik wordt getoetst aan stel regels –voor efficiëntie van deze aanpak: groot aantal regels vereist (duizenden of meer)  ook hier geen a priori kennis vereist van kwetsbaarheden van het systeem

77 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 77 Op regels gebaseerd Identificatie van indringing volledig verschillende aanpak  op basis van expertsysteem  gebruik van regels om gekende intrusiebenaderingen of intrusies die gebruik maken van gekende kwetsbaarheden te identificeren –ook bruikbaar om verdacht gebruik op te sporen (zelfs binnen perken van “normaal” gebruik) –regels specifiek voor gebruikt platform –regels opgesteld door “experten” »kwaliteit regels afhankelijk van kwaliteit experten –actuele auditverslagen getoetst aan regels

78 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 78 Op regels gebaseerd Identificatie van indringing volledig verschillende aanpak  mogelijke heuristieken –gebruikers lezen geen bestanden in directories van andere gebruikers –gebruikers hebben normaal slechts toegang tot schijf via hogere-niveau-functies uit besturingssysteem »in tegenstelling tot malware bv. –gebruikers kopiëren geen systeembestanden

79 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 79 Intrusiedetectie Praktische bruikbaarheid compromis maken tussen  capaciteit in het detecteren van werkelijke intrusies –meeste intrusies moeten gedetecteerd kunnen worden  beperken van het aantal maal dat loos alarm optreedt –anders worden waarschuwingen uiteindelijk gewoon genegeerd –meeste systemen hebben hiermee nog altijd een probleem

80 Intrusiepreventie Intrusiepreventiesystemen I(D)PS  “intrusion (detection and) prevention systems” extensie van traditionele IDS  niet alleen monitoring/logging van activiteit  ook actief tussenkomen bij detectie van intrusie –pogen intrusie te blokkeren »bv. droppen van ongewenste pakketten –dus noodzakelijk “in-line”  kan nuttig zijn om (D)DoS te bestrijden –op voorwaarde dat toegangsbandbreedte voldoende is Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) 80

81 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 81 “Honeypots” “Honeypot” nepsysteem om aanvaller af te leiden  bedoeling –aanvaller afleiden van kritische systemen –informatie verzamelen over aanvallersgedrag  bevatten nepinformatie –legitieme gebruikers zullen geen toegang zoeken –elke poging tot toegang dus verdacht  aanvallen tegen honeypot moeten lijken te slagen –gevoelig intrusiedetectiesysteem nodig om aanvallen te analyseren


Download ppt "Systeembeveiliging Cursus informatiebeveiliging Eric Laermans – Tom Dhaene."

Verwante presentaties


Ads door Google