Bezpieczeństwo sieci i odtwarzanie po awarii

Bezpieczeństwo sieci i odtwarzanie po awarii

dr inż. Maciej MiłostanInstytut Informatyki,

Politechnika Poznańska

BEZPIECZEŃSTWO SIECICzyli jak chronić sieć przed nieautoryzowanym dostępem

Internet a intranet Internet = źódło informacji Internet = źródło zagrożeń dla

użytkowników intranetuUdostępnianie zasobów i swoboda

komunikacjiOchrona sieci przed agresorami i

intruzami

Struktura sieciPołączenie ze światem

zewnętrznym, czyli InternetemPotrzeby użytkowników,

bezpieczeństwo danych a struktura sieci

Podział sieci wewnętrznej na segmenty

Zapora ogniowa (firewall)Minimalizacja zagrożenia z

zewnątrzPersonalizacja (na poziomie

komputera) zasad dostępuOchrona przed niektórymi wirusamiBrak ochrony przed zagrożeniami z

wnętrza IntranetuPodatne na awarie (dotyczy

rozwiązań programowych)

Reguły na zaporach sieciowych(firewall)

ProtokółKierunek komunikacjiStan połączenia

StanoweBezstanowe

Filtracja na poziomie pakietówFiltracja na poziomie sesjiLiczba połączeń itp.

Jedna zapora czy dwieIn

tern

etDMZ

Personalizacja dostępuUżytkownik – w zasadzie grupy

użytkowników (Problem: użytkownik może statycznie ustawić cudzy adres)

Adres IPDHCP i adres fizyczny

IP + MACPersonalizacja ustawień zapory

ogniowejMożliwość zlokalizowania

użytkownikaMożliwość wyłączenia portu, do

którego wpięty jest komputer użytkownika

MaryBob

IEEE 802.1X Protokół uwierzytelniania w sieciach

LAN:bezprzewodowychprzewodowych

ftp://ftp.dlink.it/FAQs/802.1x.pdf

Sys. op. wspierający ten standard

802.1x Standard ten definiuje kontrolę dostępu opartą na modelu

klient-serwer wraz z protokołami uwierzytelniania uniemożliwiającymi dostęp do sieci nieautoryzowanym urządzeniom za pośrednictwem publicznie dostępnych portów. Serwer uwierzytelniania przeprowadza uwierzytelnianie każdego klient, który podłącza się do sieci zanim zaoferuje mu jakąkolwiek usługę.

IEEE 802.1X

Bazujące na portachPort na przełączniku aktywowany dopiero

po uwierzytelnieniu Bazujące na adresach fizycznych

Wielu użytkowników może używać tego samego portu jednocześnie i istnieje możliwość ograniczenia liczby adresów MAC, które się komunikują przy jego użyciu

802.1x - definicje Adres multikastowy dla protokołu EAPOL

(Extensible Authentication Protocol over LAN), czyli tzw. Port Access Entity (PAE)

Umożliwia przełącznikom rozpoznawanie właściwych pakietów

802.11x - role Klienta Uwierzytelniającego (przełącznik) Serwera

OTP = hasło jednorazowe

802.11x scenariusze

Sieci VLANSieć VLAN (Virtual Local Area

Network) to logiczne zgrupowanie urządzeń sieciowych lub użytkowników.

Użytkownicy sieci oraz urządzenia pogrupowane według pełnionych funkcji, działu firmy itp., niezależnie od ich fizycznego położenia w sieci

Ramka Ethernetu

Ethernet II

802.3 vs Ethernet II

VLAN

Dynamiczne VLAN-yPorty automatycznie przypisują się

do odpowiedniego VLANuSkąd wiedzą do jakiego VLANu się

przypisać:W trakcie uwierzytelniania

przełącznik otrzymuje od serwera radius VLAN ID klienta

MONITORING I SYSTEMY DETEKCJICzy sieć jest bezpieczna i działa prawidłowo?

Czy sieć jest bezpieczna?Analiza logówMonitorowanie sieci (NETFLOW,

CFLOW, SFLOW, IPFIX, SNMP, PORT STATS, MRTG)

Aktualizacja reguł firewallaAktualizacja krytycznych systemów

Cele atakówUzyskanie dostępu do danychW celu przejęcia kontroli nad

systememW celu zniszczenia systemu

IDSDetekcja zagrożeń Alarmy - “Hej, coś jest nie tak!”Monitorowanie - sondyMechanizmy reakcji na zdarzeniaSystemy detekcji intruzów = prosta

idea

Idea a praktyka Co jest włamaniem lub jego proba, a co nie? Jakie są metody włamań? Jakie luki występują w systemach? Czy wiedza systemu IDS jest aktualna? Czy system może działać w pełni automatycznie? Sekwencja działań może być rozciągnięta w

czasie Sekwencja działań może być rozbita pomiędzy

różne sesje Poprawnie działający system może być

wykorzystany do ataku na inny system (np. DRDoS)

Ataki DoS DoS – atak typu odmowa usługi (np. SYN

flood) Distributed DoS – rozproszony atak typu DoS

(wiele źródeł ataku, zwykle jeden cel) Distributed Reflected DoS – fałszowanie

pakietów SYN, tak by pakiet SYN/ACK był wysyłany do atakowanego komputera

SYN (sq.#1)

ACK(sq. #2)

Problemy w IDS Problem 1.: Jakie metody można użyć? Problem 2.: Jaka powinna być struktura

systemów wykrywania włamań? Problem 3.: Co to jest włamanie? Problem 4.: Jak zidentyfikować

tożsamość intruza?

Problem 5.: Jak korelować informacje? Problem 6.: Jak złapać intruza w

pułapkę? Problem 7.: Jak reagować na

incydenty?

Pułapki internetowePodejrzany użytkownikSystem rzeczywistySystem wykrywania włamańSystem pułapkaAspekty prawne

Reagowanie na incydentyPodjęcie działań i decyzji

zmniejszających ryzyko dalszego naruszenia bezpieczeństwa

Ocena wpływu incydentu na działanie systemu i firmy

Ewentualne zawiadomienie organów ściagania o popełnienu przestępstwa

ARCHIWIZACJA DANYCH I PLANY ODTWARZANIA

Zapewnianie ciągłości procesów biznesowych

Po co archiwizować Wymogi prawne Zapewnienie ciągłości biznesu Groźba utraty danych

Na czym archiwizować dane

StreameryMacierze dyskowe – RAIDBiblioteki taśmoweDyski magnetoptyczneZdalny mirroringPłyty CD/DVDMikrofilmyDyski magnetyczne

Wybór technologiiAwarie a błędy użytkowników

(istotne w kontekście RAID)Koszty technologiiMiejsce składowania danychKoszty przechowywaniaOgraniczenia technologiiSystemy krytyczne i zapasowe

centra danychSieci SAN

Czym jest storage?

Jakie są koszty składowania danych?

Jakie są przewidywania?

Granice możliwości

SASServer Attached Storage. Jest to pamięć masowa przyłączana do zwykłego serwera znajdującego się w sieci w celu składowania danych.

Sieć NASNetwork Attached Storage. Stacje pamięci masowych są przyłączane do sieci jako kolejne maszyny.

Cechy:• Brak wydzielonej części do wymiany danych• Interfejs iSCSI lub protokoły bazujące na przesyłajaniu plików• Serwer kontrolujący (niekonieczny)

Protokoły używane przez NAS

Common Internet File ServicesNetwork File SystemNetWare Core Protocol

Stary slajd, ale architektura aktualna (z dokładnością do

transferów)

Sieć SANStorage Area Network. Jest to sieć mająca za zadanie wyłącznie gromadzenie danych, złożona ze stacji pamięci masowych. Kontrolę nad nią sprawują specjalne serwery.

Przykładowa architektura sieci ze storagem i innymi

elementami

DHCPRADIUS

WWW MAILFile server

DMZ

Intranet

FRouter brzegowy

SAN

Bilioteka taśmowa

Bilioteka taśmowa

Bilioteka taśmowa

Fiber channel Produkty Fibre Channel pracowały z

przepływnościami: początkowo odpowiednio 1 Gb/s oraz 2 Gbit/s. W 2006 standardy dla szybkości 4 Gbit/s i

10 Gbit/s zostały ratyfikowane Standard 8 Gbit/s został także opracowany i od

połowy roku 2008 są już dostępne w sprzedaży przełączniki z portami FC o tej szybkości.

Produkty oparte o standardy 1, 2, 4 i 8 Gbit/s powinny ze sobą współpracować, jakkolwiek standard 10 Gbit/s wymaga całkowitej zmiany.

Warstwy FC FC0 Warstwa fizyczna zawierająca kable,

światłowody, złącza, itp. FC1 Warstwa łącza danych która implementuje

kodowanie 8b/10b i dekodowanie sygnałów. FC2 Warstwa sieci, zdefiniowana przez standard

FC-PH, zawierający rdzeń protokołu FC. FC3 Warstwa implementująca zewnętrzne funkcje

które rozciągają się pomiędzy wieloma portami urządzenia FC.

FC4 Warstwa aplikacji lub enkapsulacji protokołów wyższych warstw, odpowiedzialna jest za przesyłanie danych innych protokołów po protokole FC.

TECHNOLOGIA RAIDMacierze dyskowe, czyli jak nie stracić danych

Zabezpieczenia sprzętowe - RAID

Zabezpieczenia sprzętowe stanowią jeden z podstawowych elementów polityki bezpieczeństwa przedsiębiorstwa. Najważniejszym obiektem zabezpieczeń jest serwer danych.

Podstawowym zabezpieczeniem sprzętowym jest zagregowanie dysków w macierz dyskową RAID (Redundant Array of Inexpensive Disks), co umożliwia ochronę pamięci masowej przed awarią dysku, a tym samym stanowi to ochronę przed utratą danych.

RAID programowy- architektura RAID sprzętowy- architektura

Poziomy architektury RAID

RAID-0 RAID-0 (ang. striping - podział danych, zapis paskowy) jest podstawową, a zarazem i najszybszą wersją RAID‘ a. W architekturze tej dane przynależne do jednego logicznego napędu dzieli się na bloki (klastry), które zapisywane są kolejno na wszystkich zainstalowanych dyskach. Bloki przyporządkowywane są do napędów fizycznych poprzez rotację. Pierwszy blok zapisywany jest na pierwszym dysku, drugi na drugim, itd.

Architektura RAID-0

Poziomy architektury RAID- c.d.

RAID-1 Standard RAID-1 znany jest przede wszystkim jako zapis lustrzany (ang. mirroring). W architekturze tej dane przynależne do jednego logicznego napędu przechowywane są jednocześnie (w takiej samej postaci) na dwóch dyskach. Ten koncepcyjnie prosty system jest jednak dosyć drogi w eksploatacji. Wadą jest bowiem wykorzystanie tylko połowy sumarycznej pojemności zainstalowanych dysków.

Architektura RAID-1

Poziomy architektury RAID- c.d.

RAID-2 Architektura, podobnie jak RAID-0, implementuje podział danych (striping). Jedyną różnicą w stosunku do RAID- 0 jest wielkość podziału - w tym przypadku podział danych następuje na poziomie bitów. Dodatkowo, dla większego bezpieczeństwa, dane mogą być przechowywane jednocześnie na kilku nośnikach (mirroring) bądź też może dla nich być wyznaczana informacja kontrolna - parzystość. Ostatni przypadek stanowi podwaliny standardu RAID-3

Poziomy architektury RAID- c.d.

RAID-3 Architektura RAID-3 stanowi rozszerzenie architektury RAID-0. Dane, podobnie jak w RAID-0, zapisywane są naprzemiennie na zainstalowanych dyskach (ang. striping), a dodatkowy dysk służy do przechowywania informacji kontrolnej - parzystości. Napędu tego nie uwzględnia się przy określaniu szerokości paska. Parzystość wyznaczana jest oddzielnie dla każdego paska.Pojemność elementarnego klastra (bloku) w standardzie RAID-3 wynosi jeden bajt lub jedno słowo.

Architektura RAID-3

Poziomy architektury RAID- c.d.

RAID-4 Architektura RAID-4 stanowi odmianę architektury RAID-3. Główną wadą RAID-3 jest zbyt mały rozmiar klastra - jeden bajt lub jedno słowo. Skutkuje to zbytnim obciążeniem wszystkich dysków macierzy, które muszą naprzemiennie obsługiwać praktycznie każde odwołanie do macierzy.W architekturze RAID-4 rozmiar klastra jest znacznie większy - równy fizycznemu rozmiarowi sektora dysku bądź też rozmiarowi sprzętowego bufora wejścia-wyjścia. Zapewnia to znacznie mniejszy stopień obciążenia poszczególnych napędów i daje dobre efekty, zwłaszcza przy długich, sekwencyjnych odczytach danych.Obecnie każdy sprzętowy kontroler RAID-3 pozwala jednocześnie na pracę w standardzie RAID-4.

Poziomy architektury RAID- c.d.

RAID-5 Poważną wadą architektur RAID-3, RAID-4 jest zbyt duże obciążenie dysku z informacją o parzystości. Każdy zapis danych wymusza również zapis i na tym dysku, co skutecznie obniża wydajność systemu. Technologia RAID-5 omija to uniedogodnienie. Informacja o parzystości umieszczana jest dla kolejnych pasków w różnych lokacjach. Dla pierwszego paska na ostatnim dysku, dla drugiego - na przedostatnim itd.

Architektura RAID-5

Najpopularniejsze RAIDy RAID 0 – zero bezpieczeństwa w przypadku

awarii pojedynczego dysku RAID 1 – lustrzana kopia dysku RAID 10 – lustrzana kopia każdego z dysków

tworzących raid 0. RAID 5 – pojedyncza parzystość, przetrwa

awarie jednego dysku (ale odbudowa macierzy jest kosztowna, uwaga na awarie drugiego dysku)

RAID 6 – przetrwa awarie dwóch dysków (podwójna parzystość)

SŁÓW KILKA O ZASILACZACH

Zasilanie, to podstawa

Zabezpieczenia sprzętowe- c.d.

Zastosowanie zasilaczy awaryjnychCzęsto zdarza się, że występują wahania napięcia sieciowego lub nawet jego brak. Skutecznym rozwiązaniem chroniącym przed uszkodzeniem sprzętu (płyta główna, dyski) jest zastosowanie zasilacza awaryjnego, który reaguje natychmiastowo sygnalizując wystąpienie awarii i podtrzymując napięcie sieciowe. Stosowanie zasilaczy awaryjnych jest bardzo powszechne i dotyczy nie tylko serwera, ale także stacji roboczych pracujących w sieci lokalnej.

Zastosowanie zasilaczy typu hot-swapNagłe wahania napięcia lub inne nieprawidłowości zasilania mogą spowodować uszkodzenie zasilacza serwera. Dlatego powszechnie stosuje się serwery z dwoma lub trzema zasilaczami typu hot-swap, które mogą być wymienione pod napięciem bez konieczności wyłączania serwera.

KOPIE ZAPASOWE I PLANY ODTWARZANIA POAWARII

Informatyce dzielą się na tych co robią „backupy” i na tych co jeszcze nie robią

Wybór technologi (cd.) Identyfikacja krytycznych procesów i danych Określenie okna backup'u Określenie dopuszczalnego czasu

niedostępności po awarii Określenie czasu przez, który chcemy

przechowywać kopie archiwalne Określenie czasu, który jest potrzebny na

odtworzenie danych przy wykorzystaniu danej technologii

Określenie czasu potrzebnego na odtworzenie procesów

Disaster recovery plan Disaster recovery – plan gwarantujący

dostępność danych i aplikacji w określonym czasie po zdarzeniu o charakterze katastrofalnym

Klasyfikacja planów odtwarzania po awarii: Tier 0 – Do nothing, no off-site data Tier 1 – Offsite vaulting Tier 2 – Offsite vaulting with a hot site Tier 3 – Electronic vaulting Tier 4 – Electronic vaulting to hot site (active

secondary site) Tier 5 – Two site two phase commit Tier 6 – Zero data loss

Rodzaje zagrożeńLokalneLogiczneKatastrofy

Rodzaje stratStraty bezpośrednie i pośrednieStraty bezpośrednie:

Zmniejszenie przychodówSpadek wydajności pracyKary za opóźnienia

Straty pośrednie:Utrata klientówUtrata wiarygodnościKorzyści utraconeKoszty przestoju

Koszty przestojuKoszty przestoju różnych rodzajów

aplikacji [$/min] (USA, 1998)Call location: $27 000 /mine-commerce: $10 000 / minCustomer service center: $3 700 / minPoint of sale: $3 500 / min

Parametry profilów DRRTO – czas potrzebny na

odtworzenie danych – jak długo biznes może działać bez systemu

RPO – okres czasu pracy systemu z jakiego utracimy dane na skutek awarii

BWO - “Okno backupowe”, czas potrzebny na wykonanie kopii

Retencja - Okres przechowywania na nośnikach

Koszty przestoju i koszt technologii

Pieniądze

Czas

Koszt technologiiStraty wynikające z przestoju systemu

Systemy macierzowe i klastroweSystemy macierzowe

Zabezpieczają przed skutkami awarii dysku, kontrolera

Pełna nadmiarowośćRównoległa struktura połączeń

Systemy klastroweSzerszy zakres ochronyEliminacja “single point of failure”Ułatwienie zarządzania – w sensie np.

wymiany węzłów

Prędkości transmisji Czas przesłania 1TB danych w [min]:

10Mbps – 13653,33100Mbps – 1365,333SAN FCP (scsi-3) 2Gbps – 68,27OC -255 ATM 13,21 Gbps – 10,34SAN + DWDM 200 Gbps – 0,68

Nie zapominajmy o prędkości samych dysków – w przypadku pojedynczego SSD jest to max 500MB/s przy sekwencyjnym odczycie i maks. 20 000 IOPS dla odczytów losowych przy blokach 4K

Tworzenie planów

BWORPORTO

Start projektu

Analiza procesów

Analiza ryzyka

Opisy procesów, tworzenie procedur

Plany odtwarzania

Sposób ochronydanych

TESTYZarządzaniezmianami

PodsumowanieZapora ogniowa System IDSFizyczna ochrona danych i

archiwizacjaPlany na wypadek awarii