Sigurnosne prijetnje i mjere zaštite IT infrastrukture
-
Upload
nikola-milosevic -
Category
Education
-
view
361 -
download
0
description
Transcript of Sigurnosne prijetnje i mjere zaštite IT infrastrukture
![Page 1: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/1.jpg)
Copyright © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.
The OWASP Foundation
OWASP
http://www.owasp.org
Sigurnosne prijetnje i mjere zaštite IT infrastrukture
Beograd, 2013.
Mladen Kostrešević[email protected]
![Page 2: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/2.jpg)
168Aktivnih Projekata
![Page 3: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/3.jpg)
198Aktivnih lokalnih grupa
![Page 4: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/4.jpg)
OWASP
Agenda:
- Prijetnje i mjere zaštite po svim nivoima ISO OSI modela
- Sistemi za detekciju/prevenciju/analizu napada
- Prijedlog IT infrastrukture sa visokim stepenom zaštite
![Page 5: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/5.jpg)
OWASP
Zaštita po nivoima ISO OSI(Open Systems Interconnection) modela
![Page 6: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/6.jpg)
OWASP
Sigurnost fizičkog sloja
Fizička zaštita objekta u kome se nalazi IT infrastruktura: - Sistemi kontrole pristupa prostorijama:
- Alarmni sistemi (detekcija provala, požara ili poplave) - Video nadzor - Zaštita na nivou rack ormara i komunikacionih linkova
![Page 7: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/7.jpg)
OWASP
Sigurnost drugog nivoa
Najčešće prijetnje:
-CAM (content addressable memory) table flooding
-ARP(address resolution protocol) poisoning
- STP(spanning tree protocol) attack
- DHCP attack
- VLAN(virtual LAN) hopping
![Page 8: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/8.jpg)
OWASP
Sigurnost drugog nivoa(1) - CAM(Content Addressable Memory) Table Flooding
Alat za napad: dsniff – macof, filesnarf, mailsnarf, msgsnarf, urlsnarfZaštita: “Port security”
![Page 9: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/9.jpg)
OWASP
Sigurnost drugog nivoa(2) - DHCP Napadi
1. zauzimanje svih dostupnih IP adresa - DHCP Starvation, vrsta DOS-a2. lažni DHCP server, slika:
Alat za napad: Yersinia – za kombinaciju oba napada, Cain&AbelZaštita: 1. “Port security” i 2.“DHCP Snooping”
![Page 10: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/10.jpg)
OWASP
Dodatak: Temelj sigurnosti - zaštita prvog i drugog nivoa OSI modela
- implementirati odgovarajuće mjere fizičke sigurnosti
- onemogućiti slobodne portove na mrežnim svičevima
- uključiti zaštitne mehanizme u STP protokola(Root guard)
- uključiti zaštitne mehanizme DHCP protokola(DHCP snooping)
- uključiti zaštitu protiv lažnih IP paketa(IP source guard)
- uključiti zaštitu od ARP/MAC napada (dynamic ARP inspection, Port security)
![Page 11: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/11.jpg)
OWASP
Sigurnost na mrežnom i transportnom nivou
PrijetnjaPrijetnja OpisOpis
IP Spoofing IP Spoofing Lažiranje izvorne IP adrese Lažiranje izvorne IP adrese
(Distributed) Denial of Service(Distributed) Denial of Service Uskraćivanje usluge (poseban Uskraćivanje usluge (poseban oblik DDoS)oblik DDoS)
Teardrop Teardrop Greške prilikom sastavljanja Greške prilikom sastavljanja fragmentisanih paketafragmentisanih paketa
SYN Flood SYN Flood ““bombardovanje” lažnim bombardovanje” lažnim zahtjevima za uspostavljanje TCP zahtjevima za uspostavljanje TCP konekcijekonekcije
ICMP attackICMP attack““bombardovanje” ICMP bombardovanje” ICMP zahtjevima sa lažnom izvornom IP zahtjevima sa lažnom izvornom IP adresomadresom
Alati: Hping, ?Zaštita: IP Source Guard, Firewall, VPN(Virtual Private Network)...
Najčešće prijetnje:
![Page 12: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/12.jpg)
OWASP
Sigurnost na mrežnom i transportnom nivou(1) - Firewall
Filtriranje saobraćaja: “stateless” i “statefull”
![Page 13: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/13.jpg)
OWASP
Sigurnost na mrežnom i transportnom nivou(2) - Stateful Firewall
Stateful firewall
![Page 14: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/14.jpg)
OWASP
Sigurnost na mrežnom i transportnom nivou(3) - Virtuelne privatne mreže
VPN konekcija između dvije udaljene lokacije
IPSec protokol: AH(Authentication Header), ESP(Encapsulated Security Payload), IKE(Internet Key Exchange)
![Page 15: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/15.jpg)
OWASP
Sigurnost na mrežnom i transportnom nivou(4) - IPSec protokol
Transportni i tunnel način rada ESP protokola iz IPSec grupe
![Page 16: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/16.jpg)
OWASP
Sigurnost nivoa sesije i prezentacije
- upotreba SSL/TLS protokola
-Neophodna je autentikacija servera pomoću serverskih sertifikata-Poželjna autentikacija klijenta pomoću klijentskih sertifikata(smart kartice) -Garantuje se: autentikacija, integritet, tajnost i neporecivost poruke
![Page 17: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/17.jpg)
OWASP
Sigurnost aplikacionog nivoa:
Kategorizacija napada:
- Napadi vezani za autentikaciju (brute force..)- Napadi vezani za autorizaciju (Credential/Session prediction..)- Napadi na klijentsku stranu (XSS..)- Napadi vezani za izvršavanje naredbi (SQL, XPATH i LDAP injection)- Otkrivanje povjerljivih informacija (Directory indexing..)- Logički napadi (DoS..)
Alati : Hydra, Burp..itd. http://sectools.org/Zaštita: kriptografija, aplikacioni firewall, kontrola inputa, zdrav razum..
![Page 18: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/18.jpg)
OWASP
Sigurnost aplikacionog nivoa: web aplikacije
The OWASP Top 10 Project – Lista najčešćih prijetnji z 2013 : A1 Injection A2 Broken Authentication and Session Management A3 Cross-Site Scripting (XSS) A4 Insecure Direct Object References A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Missing Function Level Access Control A8 Cross-Site Request Forgery (CSRF) A9 Using Components with Known Vulnerabilities A10 Unvalidated Redirects and Forwards
![Page 19: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/19.jpg)
OWASP
Sigurnost aplikacionog nivoa: Mjere za poboljšanje sigurnosti:
- digitalno potpisivanje i digitalni sertifikati
- upotreba aktuelnih kriptografskih biblioteka (Md5 više nije IN)
- aplikativni firewall (primjer mod_sec za Apache web server)
Neke mogućnosti WAF-a:
- provjera TCP handshake- blokada injection napada- zaštita podataka (kreditne kartice i sl)- zaštita XML-a i Web servisa- Filtriranje tipa (upload)fajlova- Zaštita HTTP sesije / cookie-a - Blacklists
![Page 20: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/20.jpg)
OWASP
- Dvofaktorska autentikacija pomoću smart kartica
- Dvofaktorska autentikacija pomoću tokena
Sigurnost aplikacionog nivoa -> Zaštita login podataka i sistema autentikacije
![Page 21: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/21.jpg)
OWASP
Sistemi za detekciju i prevenciju napada
- Alati koji analiziraju mrežni saobraćaja i detektuju/blokiraju napade
- Nevidljivi za krajnje korisnike
- Osnovni načini rada: 1. prepoznavanje šablona 2. prepoznavanje anomalija(statistika)
- Podjela:1. Host intrusion detection/prevention systems2. Network intrusion detection/prevention systems3. Hybrid intrusion/prevention detection systems
- Primjeri: AIDE, OSSEC, Snort
![Page 22: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/22.jpg)
OWASP
Implementacija IDS/IPS u IT infrastrukturi
1. centralizovan sistem ili 2. distribuiran sistem, slika:
- upotreba “port mirroring” ili network TAP uređaja
![Page 23: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/23.jpg)
OWASP
Sistemi za privlačenje i analizu napada – Honeypot
- sistemi specijalno dizajnirani da privuku napadača, omoguće mu jednostavan pristup sistemu, i lako praćenje njegovih aktivnosti.
Osobine:
- skreću pažnju napadača od stvarnog sistema- omogućavaju uvid u tehnike koje napadači koriste- ohrabruju napadača da se što duže zadrži na sistemu
Podjela:
- sistemi za privlačenje napada niske interakcije- sistemi za privlačenje napada srednje interakcije-sistemi za privlačenje napada visoke interakcije
- Projekat: “HoneyNet” – mreža za privlačenje i alalizu napada
![Page 24: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/24.jpg)
OWASP
Logički prikaz IT infrastrukture
Javna DMZ Integraciona DMZ
Ostale državne službeIT infrastruktura e-Uprave
Korisnici e-Uprave
ZaposleniDB DMZ
Zaposleni – VPN,rad od kuće
WANWAN
Honeypot
Firewall
Firewall
Firewall Firewall
Administratori
Upravljačka zona
Firewall
Privatna DMZ
LANLAN
FirewallHoneypot
InternetInternet
![Page 25: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/25.jpg)
OWASP
Javna DMZ:
- Web serveri (Web node)- DNS serveri (DNS node)- Web proxy serveri (Proxy node)- Email serveri (Email node)- Sigurnosni serveri (Security node)
Privatna DMZ:
- Aplikacioni serveri- Intranet serveri- Interni DNS serveri- Interni Email serveri-...
![Page 27: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/27.jpg)
OWASP
Zaključak
-ne postoji “tajni ključ” koji nam garantuje potpunu sigurnost sistema
- paralelno sa evolucijom informaciono-komunikacionih sistema evoluiraju i sigurnosne prijetnje i oblici napada
- pažljivom implementacijom zaštite na svim nivoima i primjenom preporuka iz prakse moguće je rizik svesti na razumnu mjeru
![Page 28: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/28.jpg)
OWASP
Dodatak: Evidencija(engl. logging) pristupa sistemu:
![Page 29: Sigurnosne prijetnje i mjere zaštite IT infrastrukture](https://reader036.fdocuments.us/reader036/viewer/2022081504/554fb175b4c905ad218b528d/html5/thumbnails/29.jpg)
OWASP