-
Osnove sigurnosti Microsoft Osnove sigurnosti Microsoft
mremrežžnih sustavanih sustava
Dubravko Sever
Sveuččččilišni raččččunski centar (SRCE)
-
MreMrežžno okruno okružženje je onoliko enje je onoliko sigurno
kolika je siguran sigurno kolika je siguran najranjiviji
najranjiviji segtmentsegtment
-
SadrSadržžajaj� Uvod� Sigurnosna politika� Microsoft Solution
Framework� Prijetnje sigurnosti� Fizička zaštita resursa� Zaštita
mrežnih računala� Zaštita servisa i korisničkih računa� Zaštita
autentikacije� Zaštita podataka� Zaštita podataka u prijenosu�
Zaštita rubova mreža
-
UvodUvod
-
Prijetnje Prijetnje
� Prijetnje� Virusi� Crvi� Unutarnji napadi� Vanjski Napadi�
Problemi sa dozvolama
Korisnik
Grupa
Domena
Unutarnji napdačiVanjski napadači
Virusi
Crvi
Pogrešna prava
-
KljuKljuččni principi sigurnostini principi sigurnosti� Dubinska
zaštita
� Osigurava zaštitu na nekoliko nivoa
� Dovoljna prava� Osigurava korisniku onoliko prava koliko mu je
potrebno za obavljanje zadatka
� Minimiziranje površine napada� Reduciranje točaka koje su
možda osjetljiva na napad
� Sigurnosni plan počiva na dva principa:� Korisnik mora imati
pristup resursima� Računalna mreža zahtjeva sigurnu, dijeljenu
infrastrukturu
-
Sigurnosni dizajn i implementacijaSigurnosni dizajn i
implementacija
� Sigurnosni dizajn� Osigurava logičku i pažljivo promotrenu
strategiju za osiguravanje
IT vlasništva� Osigurava da je sigurnost primijenjena unutar
organizacije u
kontroliranim i logičkim načelima� Kreiranje sigurnosnih
politika i procedura
� Implementacija sigurnosti� Primjena politike i procedura
kreiranih putem sigurnosnog dizajna� Osigurava da primjena
konzistentna
-
Elementi Microsoft okoline Elementi Microsoft okoline
� Sigurnost na fizičkoj razini� Slabo osigurana zgrada
organizacije� Podatkovni kanali� Kraña hardvera
� Računala� Napad tijekom inicijalne instalacije� Pogreška
konfiguracija osnovne sigurnosti
� Korisnički računi� Neprilagoñene privilegije� Nepravilno
korištenje Administratorskog računa� Slabe lozinke
-
Elementi Microsoft okolineElementi Microsoft okoline�
Autentikacija
� Presretanje lozinki� Inkompatibilnost sa softverom� Loša
enkripcija
� Podaci� Konfiguracija prava� Problemi sa harverom� Oštećeni
podaci
� Prijenos podataka� Predstavljanje s lažnom adresom� Mijenjanje
podataka� Uskraćivanje usluga
� Granice mreže� Izlaganje mrežnih informacija� Manjak kontrole
infrastrukture� Izlaganje računala napadaču
-
Faze oblikovanja sigurnostiFaze oblikovanja sigurnosti
� Kreiranje tima za oblikovanje sigurnosti� Okupljanje ljudi
različitih profila u cilju pokrivanja svih aspekta sigurnosti
organizacije
� Modeliranje prijetnji� Predviñanje prijetnji resursima
� Procjena rizika� Analiziranje prijetnji u cilju predviñanja
štete izvršavanja prijetnji (vrlo važno managmentu, prikaz
gubitka)
� Oblikovanje sigurnosnih mjera� Kreiranje politika i procedura
u cilju neomogućavanja prijetnji
� Detekcija i reakcija� Detektiranje dogañaja i reakcija na
incident
� Održavanje sigurnosti� Kreiranje politike održavanja mrežne
sigurnosti
-
Sigurnosna politikaSigurnosna politika
-
Sigurnosna politikaSigurnosna politika
� Sigurnosna politika je niz individualnih politika i uputa koje
se kreiraju kako bi se upravljalo sigurnošću i osiguralo pravilnu
uporabu tehnologije i procesa unutar organizacije
� Dokument RFC 2196: Site Security Handbook� Kako oblikovati
sigurnost i kreiranje sigurnosnih procedura
Politika fizičke razinePolitika tehničke razinePolitika
administrativne razine
-
Razine sigurnosne politikeRazine sigurnosne politike
� Politika administrativne razine� Politiku nije moguće
nametnuti putem OS-a, aplikacija i fizičkom
kontrolom� Ostvaruje se putem potpisivanja različitih izjava
odnosno sankcija
� Politika tehničke razine� Politika koju je moguće provesti
alatima ugrañenim u OS� Koristeći sustave autentikacije i
autorizacije
� Politika fizičke razine� Politika se provodi kontrolama
kretanja
-
Relacija izmeñu politike i proceduraRelacija izmeñu politike i
procedura
� Sigurnosna politika� Javne i industrijske regulative�
Sigurnosni zahtjevi dobara organizacije� Sve sigurnosne prijetnje
dobrima organizacije� Dobara organizacije potencijalno izloženih
prijetnjama� Narav organizacije
� Sigurnosne procedure� Na koji način zadovoljiti stvorenu
politiku� Pojašnjeni koraci na koji način implementirati zadanu
politiku
-
Osnovni razlozi zakazivanja politike Osnovni razlozi zakazivanja
politike
� Najčešći razlozi zašto politika zakazuje� Nije forsirana�
Teško za razumjeti� Teško pronaći definiciju pravila� Isteko vijek
valjanosti� Previše usmjerena� Nije podržana od strane uprave
organizacije
� Načela koja treba pratiti� Pišite jednostavne procedure�
Dobite podršku uprave organizacije� Osigurajte da se politika ne
kosi sa produktivnošću� Koristite što više tehnologiju za
nametanje� Osigurate jednostavnu dostupnost politike zaposlenicima�
Osigurate posljedice u slučaju kršenja politike
-
Microsoft Microsoft SolutionSolution
FrameworkFramework(MSF)(MSF)
-
Prednosti MSFPrednosti MSF--a kod kreiranja a kod kreiranja
sigurnosnog planasigurnosnog plana
� Što je MSF?� MSF je promišljen i discipliniran pristup IT
projektima temeljen na nizu principa, modela, disciplina,
koncepata, smjernica kao i niz isprobanih metoda
� Sastoji se od 5 faza izgradnje rješenja:� Faza prikupljanja
inputa� planiranje� izgradnja� stabilizacija� implementacija
-
Prikaze faza i meñufaza MSFPrikaze faza i meñufaza MSF--aa
Prikupljanje inputa
Vizija/smijer
Planiranje
Odobreni plan
IzgradnjaZavršetak izgradnje
Stabilizacija
Slanje na uvid
Implementacija
Kraj implementacije
MSF
-
Faza prikupljanja podataka o Faza prikupljanja podataka o
mremrežžnoj sigurnostinoj sigurnosti
Prikupljanje inputa
Vizija/smijer
MSF
� Cilj je steći sliku:� Trenutnog dizajna sigurnosti� Način na
koji je implementirana� Način na koji se upravlja sigurnošću
� Kreiranje tima� Kreiranje inicijalnog tima � Način
organizacije izvedbe rješenja� Kreiranje načina komunikacije
tima
� Kreiranje vizije, prikaz cilja sigurnosnog rješenja
-
Faza planiranja mreFaza planiranja mrežžne sigurnostine
sigurnostiPrikupljanje inputa
Vizija/smijer
Planiranje
Odobreni plan
MSF
� Kreiranje:� Kreiranje modela prijetnji� Plan rizika� Kreiranje
razvojnog i testnog okruženja
� Kreiranje specifikacije novog sigurnosnog rješenja, kreiranje
metrike
-
Faza izgradnje mreFaza izgradnje mrežžne sigurnosti ne
sigurnosti � Kreiranje skice plana kako
će sigurnost biti dizajnirana, implementirana i održavana
� Ciljevi faze:� Kreiranje koncepta testiranja i simuliranja
� Kreiranje skice sigurnosnog plana u cilju sinkronizacije
izvedbenog tima
� Kompletiranje sigurnosnog plana, politika i procedura
-
Faza stabilizacijeFaza stabilizacije� Cilj faze je testiranje
rješenja
način na koji je dizajniran, kako će biti primjenjiv te na koji
način održavan
� Uključuje:� Završavanje svih testiranja, aktivnosti (procedure
implementacija, skripta, edukativni materijali, najčešći
problemi)
� Implementacija rješenja u “pilot” timu, kao i ispravljanje
pronañenih propusta
-
Faza implementacijeFaza implementacije� Primjena politike i
procedura
prema unaprijed kreiranom dizajnu
� Razmatranje povratnih informacija
� Uključuje:� Edukacija tima i korisnika sigurnosnog rješenja, u
cilju održavanja rješenja
� Implementacija rješenja na svim područjima mrežne
sigurnosti
-
Prijetnje sigurnostiPrijetnje sigurnosti
-
ZaZaššto napadaju?to napadaju?
� Postoji mnogo razloga zašto napadači pokušavaju kompromitirati
vaše mrežno okruženje:� Osveta – razmislite koga ste netom opustili
☺� Špijunaža - razotkrivanje tajni� Publicitet – kako prstom
uprijeti u sebe� Osobno zadovoljstvo - napadači iz hobija (napadam
jer znam i mogu)
� Terorizam – napadači napadaju iz vrlo zlih namjera kao
ugrožavanja tuñih života
-
Tko napada?Tko napada?
� Tko su ONI:� Početnici- manjeg opsega znanja (koriste tuñe
alate ), nisu svjesni posljedica
� Srednji napadači - želja za dokazivanje, napadaju uglednije
mete
� Napredni napadači - vrlo malog broja, ali predstavljaju veliku
opasnost sustavu, vrlo često za sobom ostavljaju male i ne
ostavljaju tragove
-
Tipovi mreTipovi mrežžnih napadanih napada� Prisluškivanje
� Problem kod komunikacija koja se odvija kao “čisti tekst”�
Mijenjanje podataka
� Nakon čitanja podataka, napadač ima mogućnost promjene
podataka bez da pošiljatelj ili primatelj to sazna
� Lažiranje identiteta� Poznato kao lažiranje IP adrese�
Zaobilazi ACL
� Razbijanje lozinki� Vrlo čest način napada � Slabost OS-a ili
aplikacija čija provjera identiteta putuje mrežom kao “čisti
tekst”
-
Tipovi mreTipovi mrežžnih napadanih napada� Ukraćivanje usluge
(Denial of Service, DOS)
� Onemogućuje normalno korištenje resursa� “Man in the Middle”
(MITM)
� Napadač se nalazi na kanalu izmeñu tražitelja resursa i
resursa� Napadač ima mogućnost, nadgledavanja, spremati kopije i
mijenjati
sadržaj komunikacije� Komprimirani ključ
� Napadač nekom od metoda saznaje ključ koji koristi za
interpretiranje sadržaja spremljenog u sigurnosnom obliku
� Snifferi� Aplikacija omogućuje nadgledanje, kopiranje i
modifikaciju kompletnog
prometa koji se prenosi� Problem nekriptiranog sadržaja
� Napadi aplikativnog sloja� Napadaju servise i pokušavaju
zaobići kontrole pristupa
-
MITMMITM(demo)(demo)
Server/gateway192.168.0.1/24
00-0C-29-F4-20-31Interface: 192.168.0.1 --- 0x10003
Internet Address Physical Address Type 192.168.0.5
00-50-56-c0-00-01 dynamic
Žrtva192.168.0.5/24
00-50-56-C0-00-01Interface: 192.168.0.5 --- 0x3
Internet Address Physical Address Type 192.168.0.1
00-0c-29-f4-20-31 dynamic
� Koristi tehnologiju mrežnog trovanja ARP tablica ili
tehnologiju lažiranja DNS odgovora
� Koristi “njuškanje” u svrhu otkrivanja sadržaja (wireshark,
dsniff)
-
MITMMITM(demo)(demo)
� Što je sumnjivo?
-
DemoDemo
Potvrda tvrdnje (telnet)
-
Tipovi ranjivostiTipovi ranjivosti
� Većina napada uspijeva zbog iskorištavanja dobro poznatih
ranjivosti i slabosti (javno dostupne)
� Tipovi mrežnih ranjivosti:� Razina korisničkih zaporki� Razina
Korisničkih prava� Razina Servisa
� VAŽNO: implementirati zaštićenu kontrolu revizijskih logova na
svim razinama (syslog)
-
STRIDE model prijetnjiSTRIDE model prijetnji
PretvaranjePokušaj pristupa sustavu pomoću
lažnog identiteta
Podizanje prava
Korisnik sa manjim pravima preuzima identitet
privilegiranijeg
korisnka
Uplitanje Neautorizirana promjena podatala
OdbijanjeKorisnik odbija da je izvršio akcoju
ili transakciju
Povreda inforacija
Neželjeno čitanje privatnih podatakla
Uskraćivanje uluge
Djelovanje onemogućavanjem usluge
� Strukturalni pristup predviñanja potencijalnih prijetnji
informacijskoj sigurnosti
� Predviñanjem prijetnji moguće je preaktivno reducirati
rizik
� Model uključuje� Pretvaranje-Spoofing� Uplitanje-Tampering�
Odbijanje-Repudiation� Povreda
informacija-Informationdisclosure
� Uskraćivanje usluge-Denial of Service� Podizanje prava-
Elevation of privilege
-
FiziFiziččka zaka zašštita resursatita resursa
-
ŠŠto zato zašštititi?tititi?
� Svaka je organizacija najosjetljivija iznutra� Zaštiti je
potrebno:
� Poslužitelje� Stolna računala� Prijenosna računala� Usmjernike
i preklopnike� Fizičke medija- kablove� Bežične medija
� Zaštita mora biti:� Serijska� Mogućnost otkrivanja� Mjere
usporavanja zlouporabe resursa
-
NaNaččini fiziini fiziččke zake zašštitetite� Zaštita
resursa:
� Angažiranje zaštitara� Implementacija video nadzora�
Korištenje identifikacijskih kartica� Ulaz samo na glavni ulaz
� Zaštita stolnih računala:� Procedura prilikom iznošenja
računala� Onemogućavanja vanjskih jedinica� Kontroliranje prijave
na lokanu mrežu
-
Problem prijenosnih raProblem prijenosnih raččunalaunala�
Posebno osjetljivi na otuñenja (kolodvori, aerodromi)
� Načini zaštite:� Edukacija korisnika o potencijalnim
prijetnjama� Korištenje harverskih brava i alarma� Korištenje
biometrije za prijave� Koristiti enkripciju datotečnog sustav�
Izbjegavati držanje osjetljivih podataka
-
ZaZašštita od prirodnih nepogodatita od prirodnih nepogoda
� Zaštita sigurnosnih kopija� Čuvati kopiju sigurnosnih kopija
na udaljenoj lokaciji� Koristi sefove za čuvanje osjetljivih
sigurnosnih kopija
� Redudantni poslužitelji� Omogućava prenošenje servisa na
sekundarni poslužitelj
� Redudantna oprema� Oprema ili rezervni dijelovi namijenjeni
oporavku kritičnih servisa
VAŽNO: Imati isprobanu proceduru oporavaka servisa
-
ZaZašštita mretita mrežžnih ranih raččunalaunala
-
Tipovi sigurnosnih postavkiTipovi sigurnosnih postavki
� Ojačavanje klijenta� Microsoft nudi velik broj sigurnosnih
predložaka� Windows XP Security Guide v2� Korištenje zabrana
pokretanja neautoriziranih programa
� Ojačavanje polužitelja� Windows Server 2003 Security Guide i
Windows 2003 Security
Hardening Guide� Poslužitelj ojačavati prema ulogama (DC, File
Server, Print
Server)
� Upravljanje zakrpama� Osigurava proaktivnu zaštitu od
ranjivosti� Security Guidance for Patch Managment
-
Tipovi sigurnosnih postavkiTipovi sigurnosnih postavki
� Antivirusna zaštita� Štiti računala od malicioznih kodova�
Svaki proizvoñač osigurava bazu potpisa poznatih malicioznih
kodova
� Distribuirani vatrozidi� Omogućuje zaštitu svakog pojedinog
računala ili poslužitelja� Upravljani centralizirano pomoću
zacrtane politike
-
ŽŽivotni vijek raivotni vijek raččunalaunala� Instalacija
računala
� Instalacijske greške i virusi� Osigurati postavljanje
Administratorske lozinke
� Inicijalna zaštita� Omogućiti osnovnu zaštitu prije stavljanja
računala na mrežu
� Zaštita prema ulozi� Osigurati računalo prema ulozi u
organizaciji
� Distribucija zakrpi� Osiguravati računalu zadnje (testirane)
zakrpe programskih
proizvoda
� Micanje računala iz uporabe� Osigurati da se na računalu ne
nalaze osjetljivi sadržaji
-
Instalacija raInstalacija raččunalaunala� Sigurna instalacija
uključuje
� Implementacija sigurne osnovne konfiguracija OS-a i
aplikacija� Instalacija uloga potrebnih za funkcioniranje sustava�
Konfiguracija osnovnih korisničkih računa i lozinka� Osigurati ne
postojanja kompromitiranih datoteka� Korištenje povjerljive osobe
za radni zadatak
� Sigurni načini instalacije� Izoliranom mrežom� Ažurnim
medijima� Skriptama� Korištenjem slika diska� Korištenjem RIS-a
-
Inicijalna zaInicijalna zašštitatita
� Formiranje inicijalne zaštite provodi se u nekoliko koraka�
Kreiranje predložaka prema unaprijed zacrtanoj politici
(operacijskih sustava, aplikacija, servisa)
� Kreiranje predložaka za primjeru prethodno kreiranog
predloška� Testiranje primjene predloška, testiranje na testnoj
skupini� Implementacija inicijalne zaštite
� Pokušati primijeniti inicijalnu zaštitu pomoću GP-a
-
ZaZašštita prema ulozitita prema ulozi
� Zaštita prema ulozi radne skupine (osobna računala) ili prema
ulozi (mrežni poslužitelj)
� Osigurati zaštitu prema� Mogućim prijetnjama ulozi računala�
Prema vrijednosti podataka (informacija) na računalu� Koristiti
usluge tima stručnjaka za svaku pojedinu ulogu
-
Distribucija zakrpiDistribucija zakrpi
� Sva računala na neki način moraju imati osigurane zakrpe
� Microsoft nudi nekoliko načina distribucije zakrpi� Microsoft
Update� Windows Server Update Service� System Managment Server
2003
� Sustavi imaju mogućnost pravljenja revizije i obavješćivanja o
stanju zakrpi
-
Sustavi za provjeru stanja Sustavi za provjeru stanja
sigurnosnih postavkisigurnosnih postavki
� Microsoft nudi nekoliko alata za optimizaciju sigurnosnih
postavki� Microsoft Security Assessment Tool (MSAT) � Microsoft
BaseLine Security Analyzer (MBSA)� Security Configuration
Wizard
� Testiranje pokušajem penitracije u sustav� Nessus ili sličan
alat� Korištenje usluga druge osobe
-
Micanje raMicanje raččunala iz uporabeunala iz uporabe� Računalo
nakon dotrajalosti mora se na pažljivi način
otkloniti iz okoline
� Računala� ROM, Flash memorije moraju biti očišćeni� HDD mora
biti uništen ili sadržaj pregažen (FORMAT nije dovoljan)
� Prijenosni mediji� Osigurati da se ni u jednoj jedinici ne
nalaze prijenosni mediji
� Dokumentacija� Osigurati uništavanje “ribbon” traka pisača�
Svu osjetljivu dokumentaciju potrebno je uništiti
-
ZaZašštita servisa i korisnitita servisa i korisniččkih kih
raraččunauna
-
Osnove zaOsnove zašštite servisatite servisa
� Osnovna pravila� Dobro poznavanje sustava (WMI, SC)�
Korištenje principa dovoljnih ovlasti� Korištenje principa
dovoljnih servisa
� Načini pokretanja servisa� Local Service, ograničava
djelovanje servisa na jedno računalo� Network Service, korištenje
mrežne autentikacije (manja prava)� Local System, korištenje
servisa šire primjene� Administrativni račun, izbjegavati, nužno
promatranje i dodatna zaštita
-
Osnova zaOsnova zašštite servisatite servisa
� Microsoft Windows 2003 koristi princip dovoljne razine prava�
Fokusirati se na zaštitu dodatnih servisa (SQL Server, Exchange
Server i dr)� Koristiti GP u svrhu upravljanja servisima
� Princip dovoljnih servisa� Servisi dostatni za normalno
pružanje usluge� Onemogućiti pokretanje nepotrebnih servisa�
Izbjegavati nesigurne servise (telnet)� Izbjegavajte iste servise
na više poslužitelja
-
Osnove zaOsnove zašštite korisnitite korisniččkih rakih
raččunauna� Kreirati razinu povjerenja
� Rangirati korisnike prema povjerenju� Rangirati korisnike
prema razini pristupa informacijama
� Kreirati proces za kreiranje i brisanje računa� Nadgledati
kreiranje novih korisnika� Korisnike koji se ne koriste onemogućiti
ili izbrisati� Uključuje i proceduru distribucije zaporki
� Kreirati proces dodavanja ovlasti � Dodjeljivati prava prema
zacrtanoj politici
� Definirati proces nadgledanja i primjene prava� Koristiti
restrikcijske grupe� Omogućiti reviziju upravljanja korisničkim
računima
� VAŽNO PRAVILO: Koristiti Administratorski račun ako je to
zbilja nužno
-
Upravljanje zaporkamaUpravljanje zaporkama
� Duljina trajanja zaporke� Trajanje zaporke prije nego li je
potrebno promijeniti
� Nametanje povijesti zaporke� Onemogućiti ponavljanje zaporke u
zadanom periodu
� Minimalna dužina zaporke� Minimalni broj znakova kojeg zaporka
mora sadržavati� Obično je duljina 7, preporuča se 10 znakova
� Kompleksnost zaporke (passfilt.dll)� Sadržava ime i prezime
korisnika� Sadrži barem 6 znaka� Koristi grupe mala i velika slova,
brojke, specijalni znakovi
-
Upravljanje zaporkamaUpravljanje zaporkama
� Zaključavanje računa� Broj pokušaja prije nego mehanizam
zaključa korisnički račun� Zaštita od “Brutte force” napada� Moguća
zlouporaba mehanizma u cilju uskraćivanja usluge
� Potrebno je � Paziti kako se daju incijalne zaporke,
izbjegavati zaporke kao “password” ili %username%
� Educirati korisnike na načine kako čuvati lozinke (ne lijepiti
po monitorima), korištenje mehanizma Keepass
-
ZaZašštita tita autentikacijeautentikacije
-
Slabosti Slabosti autenikacijeautenikacije
Ranjivost Opis
zaporka
Lozinka se prenosi u čitljivom obliku«hash» lozinke se prenosi
mrežomTrojanski konj čita zaporku
Kompatibilnost
Stariji softveri koriste zastarjele autentikacijske
metodeAutentikacisjki protokoli su oslabljeni u kombinaciji sa
starijim aplikacijamaSlaba kompatibilnost na ne Microsoft
proizvodima
EnkripcijaStariji aplikacije koriste slabu autentikacijuStariji
operacijski sustavi koriste slabe autentikacisjke metodeNapadač
presreće i mijenja aitentikacijske pakete
� Kraña korisničkih identifikatora� Napadač nakon ulaska u mrežu
prvo pokušava dohvatiti korisničke identifikatore (ime računa i
zaporka)
� Koristi metode, pronalaska ranjivosti zaporki ili
nekompatibilnosti ili loše enkripcije
� Nakon što napadač jednom “probije” zaštitu autentikacijevrlo
ga je teško ili nemoguće otkriti
-
Microsoft Microsoft autentikacijskiautentikacijski
mehanizmimehanizmi
� Microsoft koristi sučelje s nazivom Security ServiceProvider
Interface (SSPI)
� LAN Manager� Nesigurni protokol� Koristi se na novijim
operacijskim sustavima za pristup na MS-DOS, Windows 95, Windows
98
� NT LAN Managet (NTLM)� Osnovni protokol Windows NT domene�
Lokalni računi Windows XP-a i Windows Viste� Sigurniji od Lan
Manager-a� Nesiguran zbog max duljina 2x7 znakova, kao i konverzije
u velika slova (Ophcrack)
-
Microsoft Microsoft autentikacijskiautentikacijski
mehanizmimehanizmi
� NTLM verzije 2 (NTMLv2)� Vrlo siguran LAN Manager temeljeni
protokol za autentikaciju(Windows XP i Windows Vista)
� Na starijim verzijama OS-a dostupan putem instalacije
ekstenzija podrške Active Directoryu
� NTMLv2 osigurava dvosmjernu autentikaciju i dodatno osiguranje
osiguravanjem sesije
� Kerberos verzije 5� Osnovni autentikacijski protokol Microsoft
domene od Windows 2000
� Implementacija kompatibilna sa RFC 1510� Podržava ekstenzije
za podršku pametnim karticama
-
MreMrežžni ni perimetarperimetar� Označava točku gdje naša mreža
ulazi u sferu mreže koju
ne poznajemo� Uključuje sustave
� Internet konekcije� Poslovni partneri� Virtualne privatne
mreže (VPN)� Pozivne mreže
� Jedan način obrane korištenjem oblika karantene� Network
Access Quarentine (NAP Windows 2008) ili NetworkAccess Control
(CISCO)
-
Microsoft NAPMicrosoft NAPPoslužitelji za
ažurira
njePolitika zadovoljena
� Network Access Protection� Komponenta Windows 2008 Server�
Kontrolira zdravlje mrežnog ureñaja koji ulazi u
korporativnu mrežu
-
Odabir mreOdabir mrežžne ne autentikacijeautentikacije�
Integracija Windows autentikacija sa UNIX mrežnim
stanicama Kerberosom� Potrebno omogućiti DES za sve UNIX
korisničke račune� Podesiti Service Principal Name (SPN)�
Sinkronizirati satove (5 minuta), eliminiranje ponavljanja
autentikacijskih poruka
� LAN Manager i NTML � Kompatibilnost sa OS-ovima starijih
generacija� SAM baza sadrži NT hash i LM hash� Eliminirati LM hash
(http://support.microsoft.com/kb/299656)� Ne postoji način u
potpunosti onemogućiti NTML� Pokušati dodati dodatni sloj zaštite
NTMLv2 session
-
Odabir mreOdabir mrežžne ne autentikacijeautentikacije za Web za
Web korisnikekorisnike
� Anonymous autentikacija� Ne zahtjeva osobne identifikatore�
Račun oblika IUSR_ime_poslužitelja
� “Basic” autentikacija� Šalje identifikatore kao čisti tekst
(Base64 kodirani)� Korisnik mora imati mogućnost lokalne prijave na
poslužitelj� Obavezno implementirati SSL
� “Digest” autentikacija� Mrežom šalje hash (naprednija Basic
autentikacija)� IIS mora biti član Active Directory domene�
Korisnik sprema zaporku u AD u reversno kriptiranom obliku
� Napredna “Digest” autentikacija� Administrator kreira zaporku
u Message Digest 5 (MD5) obliku� Zaporka putuje mrežom
kriptirana
-
Odabir mreOdabir mrežžne ne autentikacijeautentikacije za Web za
Web korisnikekorisnike
� Integrirana Windows autentikacija� Internet Explorer (IE 4.0)
u svrhu autentikacije koristi trenutne korisničke
identifikatore
� IIS 6.0 koristi Kerberos, ako ne uspije prelazi na NTML
� Autentikacija certifikatom� Prijava korištenjem osobnog X.509
certifikata (koristeći svoj privatni ključ)
� Certifikat se povezuje sa korisnikom spremljenog u lokalnoj
korisničkoj bazi ili Active Directoryu
� Najsigurniji oblik autentikacije, meñutim zahtjeva
implementiranu Infrastrukturu javnog ključa (PKI)
� Dokument “Managing a Windows Server 2003 Public
KeyInstrastructure”
-
Odabir mreOdabir mrežžne ne autentikacijeautentikacije za VPN za
VPN korisnikekorisnike
� Challenge Handshake Authentication Protocol (CHAP)� Definiran
RFC 1994� Koristi MD5 algoritam � Periodički provjerava identitet
korisnika (“playback attack”)� Protokol podržan od većine
proizvoñača� Veliki sigurnosni nedostatak čuvanja zaporke u
reverzibilnom obliku
� Microsoft- CHAP� Donosi poboljšanje čuvanja zaporke u
nereverzibilnom obliku� Ranjiv je na offline razbijanje korisničkog
Hasha� MS-CHAPv2 uključuje dvosmjernu autentikaciju, odvojene
ključeve ta slanje i primanje podataka, ključevi nisu temeljeni na
korisničkoj zaporci
� CHAP i MS-CHAP sigurni su koliko i zaporka
-
Odabir mreOdabir mrežžne ne autentikacijeautentikacije za VPN za
VPN korisnikekorisnike
� Extensible Authentication Protocol- Transport LayerSecurity
(EAP-TLS)� Osigurava autentikaciju, integritet podataka i
povjerljivost podataka
� Koristi dvosmjernu autentikaciju, protokole kriptiranja,
sigurnu razmjenu ključeva sesija
� Jedna od najsigurnijih autentikacijskih protokola
� Remote Authentication Dial-in User Service (RADIUS)� Microsoft
implementacija Internet Authentication Service (IAS)� Omoguće
prijenos sustava autentikacije na daljinu (niz proxy
poslužitelja)
-
ZaZašštita podatakatita podataka
-
ŠŠto je zato je zašštita podataka?tita podataka?
� Osiguranje podataka znači kontrolirati pristup koristeći
dozvole
� Čuvanja najvrjednijeg resursa organizacije
� Modeliranje grupa korisnika prema pristupu podacima
� Implementirati reviziju� Čitanja� Mijenjanja� Brisanja
-
Kontrola pristupaKontrola pristupa
� Microsoft OS koristi pristupnu oznaku i DACL� Pristupna oznaka
sadrži korisnička prava� DACL kontrolira prava korisnika na
lokalnom računalu, objektima Active Directorya, datotekama
NTFS-a
� Pristupna oznaka� Korisnik je prima prilikom autentikacije�
Sadrži sigurnosni identifikator (engl. Security identifier, SID)
korisnika, pripadnosti grupe i liste prava
� DACL (engl. Discretionaly Access Control List)� Sastoji se od
niza sigurnosnih upisa (engl. Access Control Entry, ACE)
� Usporeñuje se korisnikov SID (ili grupe) sa SIDom DACL-a
-
Model kontrole pristupaModel kontrole pristupa� Pojednostavljuje
primjenu kontrole pristupa objektima
� Microsoft implementira AGDLP model
� Dijeljenje datoteka implementirati na razini NTFSa� Vlasnik
(Owner) ima najveća prava
-
ZaZašštita kriptiranjemtita kriptiranjem
� Encrypting File System (EFS) Microsoft programski pogon
namijenjen zaštiti datotečnih sustava (NTFS)
� Koristi asimetričnu kriptografiju za kriptiranje simetričnog
ključa
� Nedostaci� Windows 2000 posjeduje agenta za oporavak (lokalni
administrator)
� Problem što se dogaña s dokumentom prije kriptiranja
� Windows Vista i Windows 2008 koriste BitLocker� Transparent
mode rada� Autentikacijski mod rada� Usb mod rada
-
Kriptiranje Kriptiranje EFSaEFSa
Simetrični ključ(SK)
Datoteka KriptiranjeKriptirana datoteka
Kriptiranje
Kriptiran
je
Kriptirana Datoteka s SK u zaglavlju
Kriptirani SC
KriptiranjeJavni kluč
-
DekriptiranjeDekriptiranje EFSaEFSa
-
ZaZašštita podataka u prijenosutita podataka u prijenosu
-
MreMrežžna arhitekturana arhitektura� Mrežni segment sastoji se
od dva ili više ureñaja koji
komuniciraju meñusobno (logički i fizički)
� Osnovne tehnike zaštite podataka u prijenosu� Osiguravanjem
bežične mreže� Osiguravanjem Internet protokola (IPSec)�
Segmentiranjem mreže
� Sigurnost se provodi ovisno o mrežnom sloju� Aplikacijski
sloj� Mrežni sloj� Podatkovni sloj� Fizički
-
Aplikacijski slojAplikacijski sloj
� SSL ili TSL (engl.Transport Layer Security� Kombinacija
asimetrične i simetrične kriptografije� Osiguravaju kriptiranu
sesiju, integritet i autetikaciju poslužitelja� Koriste digitalne
certifikate� Najslabija karika KORISNIK
� DEMO (dnsSpoofing i SSL)
� Server Message Block (SMB)� Obostrana autentikacija za
dijeljenje datoteka i pisača� Potpisivanjem osigurava integritet u
prijenosu (opcionalno)
� Secure/Multipurpose Internet Mail Extensions (S/MIME)�
Razmjena digitalno potpisanih i kriptiranih email poruka� S/MIME
zahtjeva korištenje digitalnih certifikata
-
MreMrežžni slojni sloj� Koristeći IPSec štiti se prijenos
podataka na mrežnom
sloju� Metode kojima se ostavruje IPSec
� DES, 56-bitni simetrični ključevi (ne smatraju se sigurnim)�
Trostruki DES, koristi 128 bitni simetrični ključ i DES algoritam�
SHA1 (engl.Secure Hash Algorithm 1), generira 160 bitni hash(više
se ne smatra sigurnim)
� MD5, generira 128 bitni hash� DH, (Diffie-Hellman),
asimetrična kriptografija
� Problem IPSec� Odražavana se na monitoring sustave� Utječe na
performanse sustava� Utječe na pouzdanost IDSa
-
IPsecIPsec uspostava komunikacijeuspostava komunikacije
Inicirana komunikacija
Provjerena politika
Sigurno povezivanje
Osigurana komunikacija
-
Podatkovni i fiziPodatkovni i fiziččki slojki sloj� Osigurati
autentikaciju na preklopnicima
� Koristiti 802.1x
� Zamijeniti hubove preklopnicima
� Ograničiti kretanje� Uvesti kontrole ulaska u osjetljive
dijelove organizacije� Onemogućavanje direktnog povezivanja na
opremu
� Onemogućiti korištenje LAN-a na javnim mjestima� Mjesta na
kojima napadač može pristupiti LAN-u
� Korištenje VPN-a � L2TP ili PPTP
-
ZaZašštitatita rubova mrerubova mrežžaa
-
Rub mreRub mrežžee� Routeri, Firewall, poslužitelji koji su
mostovi prema
nepoznatom svijetu (Internet)
� Predstavljaju ulaznu točku napadača izvan organizacije�
Direktnim pristupom, skeniranjima� Posredstvom vanjskog servisa
kojim se kompromitira privatna mreža
� Rubovima mreža se ne vjeruje, i stavlja se u posebnu
pozornost
-
NaNaččini zaini zašštite rubnih mretite rubnih mrežžaa�
Grupiranjem rubnih servisa
� Web Servera� NNTP servera� VPN servera� SMTP servera (Exchange
2007 nudi dobro rješenje)
� Različitim firewallima� Paket filterima� Pravilima
preusmjeravanja� Inspekcijom paketa � ISA � Aplikacijskim
Gatewayima
-
NaNaččini zaini zašštite rubnih mretite rubnih mrežžaa�
Osiguranjem autentikacije
� Implementacijom revizijskih servisa
� Sustavim IDS i IPS� Analiziranjem prometa� Automatsko
reagiranje
-
ZakljuZaključčakak� Osigurati sigurnost
� Sigurnosnom politikom i procedurama� Koristeći koncept
dubinske zaštite� Edukacijom korisnika
� Korisnici kritični element sustava zaštite� Osigurati
korisniku onoliko prava koliko mu je dovoljno� Sigurnosni protokoli
ne mogu protiv ljudske nepažnje
