osnove bezbednosti i zaŠtite is
DESCRIPTION
OSNOVE BEZBEDNOSTI I ZAŠTITE IS. Metodološko tehnološke osnove. Tema 7: SERVISI I MEHANIZMI ZAŠTITE -Tehnologije zaštite računarskog sistema-. CILJEVI. Razumeti : značenje termina servis zaštite prirodu različitih podela servisa zaštite - PowerPoint PPT PresentationTRANSCRIPT
20.04.23 UNIVERZITET SINGIDUNUM - FPI
1
OSNOVE BEZBEDNOSTI I ZAŠTITE IS
Tema 7:
SERVISI I MEHANIZMI ZAŠTITE
-Tehnologije zaštite računarskog sistema-
Metodološko tehnološke osnove
20.04.23 UNIVERZITET SINGIDUNUM - FPI
2
CILJEVI
Razumeti:• značenje termina servis zaštite• prirodu različitih podela servisa zaštite• koncept opšteg, sveobuhvatnog modela servisa zaštite• servise zaštite u distribuiranom IKT sistemu• proces implementacije servisa zaštite• servise poverljivog provajdera zaštite (TTPS)• značaj tehnologije zaštite RS i RM• opštu podelu alata (mehanizama i protokola) za zaštitu RS i RM• osnovne alate za zaštitu RS • koncept višeslojne zaštite
20.04.23 UNIVERZITET SINGIDUNUM - FPI
3
TERMINI
• Servisi zaštite (primarni i sekundarni) • Sistemi za detekciju i sprečavanje upada u RS
(HIDPS)• Host-orijentisani alati • Kriptografski mehanizam• Mehanizmi zaštite NOSSS• Skeneri sadržaja • Skeneri zaštite RS
20.04.23 UNIVERZITET SINGIDUNUM - FPI
4
SERVISI ZAŠTITE
• Primarni: upravljački, operativni, tehnički• Sekundarni za: podršku, oporavak• Tehnički orijentisan model servisa zaštite:
– Kriterijum: primarna funkcionalna namena – Kontekst: međuzavisnosti primarnih i sekundarnih servisa – Klasifikacija u servise za:
• podršku (proaktivnu) • sprečavanje (proaktivno) • oporavak (reaktivan)
20.04.23 UNIVERZITET SINGIDUNUM - FPI
5
Bezbednosna misija
Bezbednosna misija sistema zaštite:
– raspoloživst podataka i informacija (RS ili funkcija RS, aplikacija, servisa…),
– integritet podataka i informacija (RS…)– poverljivost podataka, informacija (RS…)– Uključujući:
• odgovornost do individualnog nivoa• garantovanu bezbednost (security assurance)
20.04.23 UNIVERZITET SINGIDUNUM - FPI
6
Bezbednosni ciljevi- primarni-
1. Zaštita raspoloživosti p/i: – tehnička i funkcionalna– od namernog/slučajnog neovlašćenog korišćenja
p/i, resursa IS i odbijanja servisa (DoS/DDoS)
2. Zaštita integriteta p/i: – sadržaja p/i,konfiguracije, sesije, konekcije
3. Zaštita poverljivosti p/i:– uskladištenih, procesiranih i prenošenih
20.04.23 UNIVERZITET SINGIDUNUM - FPI
7
Bezbednosni ciljevi-sekundarni-
(4). Utvrđivanje odgovornosti (prava i obaveza):– korisnika-od glavnog menadžera do individualnog nivoa– Princip: zahteva se u politici zaštite– Uključuje: neporecivost, odvraćanje, izolaciju grešaka, detekciju,
sprečavanje upada, oporavak, normativni okvir
(5). Garantovana bezbednost (assurance):– osnova za sticanje poverenja da U/O/T k/z korektno rade – bitan je bezbednosni cilj, – neprekidan je proces (ciklično se obnavlja),– obezbeđena realizacijom bezbednosnih ciljevaa (1-4), kroz:
korektnu implementacija k/z dovoljan nivo zaštite od slučajnih grešaka (korisnika ili hw/sw) dovoljnu otpornost s/z na namerni proboj ili zaobilaženje
20.04.23 UNIVERZITET SINGIDUNUM - FPI
8
Međuzavisnost bezbednosnih ciljeva
Poverljivost
Integritet
Integritet
Poverljivost
Raspoloživost
Poverljivost Integritet
Utvrđena odgovornost
Poverljivost Integritet
Garantovana bezbednost (assurance)
20.04.23 UNIVERZITET SINGIDUNUM - FPI
9
Korisnik ili
proces
Resurs IS
Poverljivostttransakcija
Autentifikacija
Autorizacija
Kontrola pristupa
Detekcija upada
Neporecivost
Nadzor i revizija
Dokaz o celovitosti
Restauracija bezbednog stanja
Zaštićene komunikacije (od otkrivanja, zamene, modifikacije, …)
Identifikacija (i imenovanja)
Upravljanje kriptološkim ključevima
Administracija sistema zaštite
Sistemska zaštita (najmanje privilegija, ponovno korišćenje, separacija procesa i.t.d.)
Servisi za sprečavanje
Servisi za oporavak
Servisi za podršku
Legenda:
Opšti tehnički modelservisa zaštite
20.04.23 UNIVERZITET SINGIDUNUM - FPI
10
Servisi zaštite u distribuiranom IS
• fizički i logički distribuirani (domen zaštite, RM)
• svi servisi konačno zavise od mehanizama OS
• garantovana bezbednost (pouzdanost) s/z je ključni elemenat bezbednosti IS
• pouzdanost s/z obuhvata sve kapacitete zaštite
• upravljanje sistemom je drugi važan aspekat efikasnih mera zaštite
20.04.23 UNIVERZITET SINGIDUNUM - FPI
11
Distribuirani servisi zaštite
Garantovana bezbednost (pouzdanost) sistema
Servisi zaštite OS (SZOS)
DSZVN
DSZVN
DSZVN SZOS
Servisi zaštite na nižim nivoima
SZOS
Servisi zaštite na srednjem nivou
SZOS
Sevisi zaštite korisničkih i klijent-servera aplikacija
Upravljanje sistemom
Garantovana bezbednost (pouzdanost) sistema
DSZVN- distribuirani servisi zaštite na više nivoaSZOS -servisi zaštite operativnog sistema (NOSSS)
20.04.23 UNIVERZITET SINGIDUNUM - FPI
12
Garantovana bezbednost
• poverenje da su ispunjeni svi ciljevi zaštite• direktno zavisi od arhitekture IKT sistema i kontrola zaštite • razvijene su tehnologije za merenje bezbednosnih nivoa (SSE
CMM)• Garantovana bezbednost se može povećati sa:
– primenom manje kompleksnih tehničkih rešenja,– korišćenjem poverljivih/pouzdanih komponenti IS/SZ– modularnim projektovanjem sistema (ograničava uticaj proboja i
ranjivosti) – implementacijom IDS/IPS komponenti – implementacijom komponenti za oporavak sistema– integracijom tehnologije adekvatne okruženju
20.04.23 UNIVERZITET SINGIDUNUM - FPI
13
NOSSS servisi zaštite
• Servisi zaštite OS – Svaki s/z u krajnjem zavisi od NOSSS (Native OS Security Subsystem) – Ako su ovi servisi slabi, s/z IS može se zaobići/probiti– Bezbednost IS ne može biti veća od bezbednosti nosećeg OS– Neki servisi ostaju na posebnom logičkom nivou OS – Neki distribuirani servisi su implementirani kroz distribuirane mehanizme
na nekoliko nivoa (nižem, srednjem, aplikativnom nivou)
Primer: – identifikacija i autentifikacija– korisnički interfejs (na aplikativnom nivou, prezent., sesijskom,
mrežnom)
20.04.23 UNIVERZITET SINGIDUNUM - FPI
14
Servisi zaštite u domenu zaštite (D/Z)
• Koncept domena zaštite: – osnova i okruženje zaštite IS na bazi
zajedničke politike zaštite– skup aktivnih entiteta (lica, procesa, uređaja),
njihovih informacionih objekata – obezbeđuje restrikciju toka i/p i procesa
unutar i između D/Z – demilitarizovana zona (DMZ) deli domene
zaštite (Primeri)
20.04.23 UNIVERZITET SINGIDUNUM - FPI
15
20.04.23 UNIVERZITET SINGIDUNUM - FPI
16
Domeni zaštite (D/Z)
• Podela: logički i fizički • Podela IS sistema u D/Z analogna fizičkoj zaštiti:
− ograda oko zgrade = različiti tipovi logičkih barijera (firewalls)− kapija = gateways − fizičko obezbeđenje = tehnički i proceduralni servisi zaštite (AC, IAA)
• D/Z se definišu pomoću jednog/više kriterijuma:− fizički (n.p.r. zgrade, kamp, region, i.t.d.)− poslovni procesi (tj. personal, finansije, i.t.d.)− mehanizmi zaštite (tj. na nivou OS, na nivou RM i.t.d.)
• Ključni elementi: − fleksibilnost − projektovana i implementirana zaštita − međusobne relacije domena
• Bezbednosni efekat deljenja IS u D/Z (gataways):− ograničava oštećenja u slučaju proboja sistema zaštite
20.04.23 UNIVERZITET SINGIDUNUM - FPI
17
RAZVOJ I IMPLEMENTACIJA SERVISA ZAŠTITE
• Vrše organizacije ili poverljivi provajder zaštite • U skladu sa GAISP i najboljom praksom zaštite • Za celokupni životni ciklus sistema zaštite • Projektovanje servisa zaštite kroz 6 faza:
– Faza 1: Inicijacija (priprema) – Faza 2: Procena– Faza 3: Rešavanje (dizajniranje ili projektovanje)– Faza 4: Implementacija– Faza 5: Operativni rad– Faza 6: Odlaganje
20.04.23 UNIVERZITET SINGIDUNUM - FPI
18
KLASIFIKACIJA ALATA ZA ZAŠTITU
ALATI ZAŠTITE
HOST ORIJENTISANI
ALATI
MREŽNO ORIJENTISANI
ALATI
INFRASTRUKTURNI ALATI
PKI
Smart kartice i kriptografski
moduli
Autentifikacioni uređaji
Autentifikacija i autorizacija
Integritet sistema
Kontrola pristupa sistemu
Monitoring sistema
Poverljivost i integritet podataka
Poverljivost i integritet RM
Autentifikacija i autorizacija
Monitoring RM
Kontrola pristupa RM
Integritet mreže
20.04.23 UNIVERZITET SINGIDUNUM - FPI
19
KLASIFIKACIJA ALATA ZA ZAŠTITU RS/RM
• Servisno orijentisana, za:– kontrolu pristupa RS/RM
• identifikaciju, autentifikaciju i autorizaciju u RS/RM
– monitoring sistema zaštite RS/RM – zaštitu integriteta RS/RM– zaštitu poverljivosti, integriteta i raspoloživosti
p/i
20.04.23 UNIVERZITET SINGIDUNUM - FPI
20
MEHANIZMI ZAŠTITE RS-HOST ORIJENTISANI-
• Bezbednosni, apstraktni slojevi RS: – Koncept slojevite zaštita – OS najznačajniji apstraktni sloj – NOSSS određuje najviši nivo zaštite IS
Baza podataka
Srednji sloj
Operativni sistem
Aplikacije
20.04.23 UNIVERZITET SINGIDUNUM - FPI
21
Identifikacija
Autentifikacija
Autorizacija
Computer
KorisniciKo
risnič
ki pro
fili
zašti
teAC
datot
eka
Baza podataka
Programske biblioteke
Audit log datoteka
Pisač izveštaja
Izveštaj
Generički servis kontrole pristupa (AC)
20.04.23 UNIVERZITET SINGIDUNUM - FPI
22
Servis i mehanizmi za upravljanje pristupom
1. Servis logičke kontrole pristupa (AC):– obavezna (MAC- Mandatory Access Control) – diskreciona (DAC- Descretionary Access Control) – na osnovu uloga (RBAC- Role Based AC)
• MAC i RBAC- na osnovu utvrđenih pravila• DAC -vlasnik sistema upravlja AC svojom odlukom
2. Mainframe mehanizmi za logičku AC: • Identifikacija: predstavljanje identiteta korisnika sistemu (korisničko ime)• Autentifikacija: verifikacija identiteta korisnika (lozinka, PIN,
biometrika…)• Autorizacija: upravljanje pravima pristupa legalnih korisnika (R,W,M..)• Log in: obezbeđuje generisanje kontrolnih tragova
20.04.23 UNIVERZITET SINGIDUNUM - FPI
23
Mehanizmi za upravljanje pristupom (2)
1. Sw mehanizmi za logučku AC mainfraim RS nalazi se u većini NOSSS savremenih RS
2. Razvijena su univerzalna rešenja za kontrolu pristupa RS u LAN RM
Primer: EUA - Enterprise User Administration: – interaktivno rade sa postojećim NOSSS – centralizuju upravljanje sa AC u distribuiranom okruženju
Proizvod: ESM (Enterprise Security Mnagement), korisi ga Informatika AD, Beograd
20.04.23 UNIVERZITET SINGIDUNUM - FPI
24
Mehanizmi za upravljanje pristupom (3)
3. EUA softverski mehanizmi:– upravljanje sa pravima pristupa u velikom broju OS, b/p i
aplikacija sa sopstvenim modelom zaštite – obezbeđuju centralnu administraciju prava pristupa svim
slojevima sw na različitim platformama – ne implementiraju direktno sam AC mehanizam u OS
• Nedostaci su EUA:– težak pregled AC podataka iz više platformi – potreba upravljanja promenama na kontrolnim nalozima – ograničeno kretanje administratora – neefikasan tok procesa autorizacije sa niskim nivoom
automatizacije
20.04.23 UNIVERZITET SINGIDUNUM - FPI
25
Skener zaštite RS (SZRS)
• SZRS kontrolišu integritet RS:– Periodično monitoriše stvarnu konfiguraciju platforme,
poredi sa predefinisanom, a neki automatski koriguju– Mogu raditi na svim apstrakcionim nivoima (retki su na
aplikativnom) – Glavna upotreba - skeneri ranjivosti OS (manjih IS)– Ranjivost RS: greške hw, greške sw, greške u konfiguraciji– Skeneri zaštite za osiguranje bezbednog okruženja (sr. i
veći IS) • Ocena efektivnost SZRS meri se kroz redukciju rizika:
1. Dovođenjem osnovne konfiguracije S/Z na željeni nivo rizika
2. Efikasnom/efektivnom korekcijom ranjivosti S/Z (kontrolama zaštite)
20.04.23 UNIVERZITET SINGIDUNUM - FPI
26
Aktuelnakonfiguracija
Ciljnakonfiguracija
Softverski agent
Upravljačka stanica
Kontrolna stanica
Izveštaj
Skener ranjivostiu IKTS srednje veličine
20.04.23 UNIVERZITET SINGIDUNUM - FPI
27
Antivirusni programi (AVP)
• ispituje otkriveni maliciozni program (M/P)• identifikuje osobene strukture kôda (potpis,definiciju, heš, DS)• detektuje prisustvo poznatih M/P skeniranjem OS, b/p i
aplikacije, tražeći potpise M/P uskladištenih u bazi podataka definicija
• kada otkrije M/P sa poznatom definicijom aktivira se set instrukcija za uklanjanje (izolaciju) te definicije
• teže je kad se koristi Kz za skrivanje potpisa M/P • savremeni AVP su dizajnirani za aplikativni sloj OS:
– mogu skenirati veliki obim objekata, – poseduju napredne tehnike (dešifrovanje, uklanjanje u karantin)
- Koncept -
20.04.23 UNIVERZITET SINGIDUNUM - FPI
28
Skeneri sadržaja (SS)
• komplementarni su AVP
• evaluiraju sadržaje (poruka e-pošte ili preuzete sa Interneta) u odnosu na predefinisane politike zaštite
• izvršavaju akcije ako ne ispunjava zahteve politika zaštite
• obično ispituju pakete u prenosu između dva sistema
• rade na aplikativnom nivou
20.04.23 UNIVERZITET SINGIDUNUM - FPI
29
Skeneri sadržaja (SS)-1
• SS su potencijalno moćniji od AVP detekcije: – slede pravila na bazi različitih kriterijuma – nisu ograničeni na statička svojstava M/P
a. Jednostavni skeneri sadržaja e-pošte: – vrše leksičku analizu i odlažu u karantin poruke sa
predefinisanim rečima ili frazama
b. Sofisticirani skener sadržaja:– rade u realnom vremenu – otkrivaju prisustvo mobilnih kodova (Java, JavaSkript i
ActiveX)
20.04.23 UNIVERZITET SINGIDUNUM - FPI
30
Skeneri sadržaja (SS)-2
Većina SS obezbeđuje:• više načina reagovanja na povredu politike zaštite • administratoru da konfiguriše akcije na bazi pravila• odlaganje u karantin ili brisanje dodataka e-pošte • odbacivanje poruka u junk direktorijum • blokiranje preuzetih sadržaj mobilnih kodova • prenos sumnjivih sadržaja TTPS provajderu na
analizu • logovanje i slanje alarma korisniku
20.04.23 UNIVERZITET SINGIDUNUM - FPI
31
Web filteri
Namena za:
• Prepoznavanje i odgovor na sadržaj
• Filteri e-pošte imaju ugrađene AVP
• AVP počinju ugrađivati funkcionalnosti SS
• Dva mehanizma zaštite (AVP i SS) konvergiraju u jedinstven mehanizam zaštite
20.04.23 UNIVERZITET SINGIDUNUM - FPI
32
Skeneri sadržaja i e-mail filteri
• Detektuju potencijalne povrede sistema zaštite
analizom: – preuzetih mobilnih kodova i e-mail poruka
• Izvršavju akcije odgovora na pretnje
• Iste tehnike za zaštitu integriteta OS i podataka
• Mogu detektovati ugrađene slike i interpretirati tekst i smestiti ih u karantin za dalju analizu
20.04.23 UNIVERZITET SINGIDUNUM - FPI
33
Monitoring zaštite RS - IDPS (Intrusion Detection&Protction Systems)
1. Sistemi za detekciju i sprečavanje upada u RS - HIDPS (Host IDPS) i RM - NIDPS (Network IDPS):
• prepoznaju indikacije pokušaja upada
• upozoravaju korisnika ili koriguju akcije (IPS)
• analiziraju podatke o upadu
• razlikuju se po načini rada i tipu informacija koje procesiraju
• obično dizajnirani za određene OS
• koriste različite mehanizme za detekciju upada na bazi : – potpisa, anomalija i pseudorelacione analize kontrolnih tragova
• kombinaciju mehanizme potpisa i detekcije anomalija
• vrše proveru integriteta datoteka (heš vrednosti)
•
20.04.23 UNIVERZITET SINGIDUNUM - FPI
34
Monitoring zaštite RS-IDPS (1)
• Detektori upada u RS (IDS):– brzo ažuriraju definicije napada – vrše direktnu intercepciju i interpretaciju pristupa – generalno-imaju dobre sisteme izveštavanja – glavna ranjivost - mogućnost proboja u log datoteku
• Sistemi za sprečavanje upada u RS – IPS: – pored funkcija IDS omogućava inteligentne zamke za
napadača (tipa ćupa meda-honey pot) i korektivnu akciju– skreću pažnju i izučavaju osobenosti napadača – preventivno štite od sledećeg napada
Primer: IPS koncept – COBRADOR, ISS
20.04.23 UNIVERZITET SINGIDUNUM - FPI
35
Žrtvovana mašina
Simulirano okruženje
Log datoteka
Monitoring program
Napadač
IPS koncept
20.04.23 UNIVERZITET SINGIDUNUM - FPI
36
Mehanizmi za upravljanje log datotekama
• Obezbeđuju:– selektivan pristup log dat. kontrolnih tragova
bezbednosno relevantnih događaja– zaštitu svim slojevima sw u RS, filtriranjem
podataka na osnovu pravila– skupljanje i kombinovanje login informacija sa
različitih platformi – administratoru da prati napade ili indikacije
Primeri: Splunk 4.0, Zenoss itd.
20.04.23 UNIVERZITET SINGIDUNUM - FPI
37
Mehanizmi za upravljanje log datotekama (1)
• Problemi korišćenja log datoteka:– veliki obim podataka za analizu– zahtev za jasna pravila za proaktivnu i reaktivnu analizu – praćenje sumnjive aktivnosti koje se šire kroz mrežu
• Nedostaci filtracije log podataka:– mogu se odstraniti važne informacije – teško prepoznavanje podataka istog tipa na različitim platf.– označavanje tragova za proaktivnu ili reaktivnu analizu– sinhronizacija časovnika za konsolidaciju hronologije napada – usmeravanje alata za analizu logova web lokacija na b.
događaje umesto - posete klijenata
20.04.23 UNIVERZITET SINGIDUNUM - FPI
38
Kriptografski mehanizmi
• Mehanizmi za zaštitu poverljivosti i integriteta p/i:• Transformišu (ne skrivaju) informacije - Kz ključem • Ovlašćeni korisnici poseduju:
– isti ključ (simetrična kriptografija) – odnosni ključ iz matematičkog para javnog/privatnog ključa
(asimetrična kript. ili PKI-Public Key Infrastructure)
• Samo određena grupa korisnika može izvući OT • Ključ: bezbednost više u ključu nego u algoritmu • Algoritam: nemoguće čuvati u tajnosti u
komercijalnom okruženju • Tajnost ključa: problem upravljanja Kz ključem
20.04.23 UNIVERZITET SINGIDUNUM - FPI
39
Kriptografski mehanizmi -1
• Integrišu servise zaštite: autentifikacije, poverljivosti, integriteta i neporecivosti informacija
• U NOSSS RS: zaštita integriteta i poverljivosti p/i - šifrovanje celog HD, b/p, datoteka, bita (Vista)
• U RM: šifrovanje podataka u prenosu, autentifikacija i neporecivost (češće primene)
• Zaštita integriteta p/i manje očigledna primena: – od originalnih p/i pravi se hash otisak (sažetak) - MD
(Massage Digest), koji se šifruju – ako se izmene p/i - ne može se rekontsruisati hash – vlasnik može dokazati verifikacijom - poseduje ključ – skeneri zaštite - koriste hash za detekciju izmene datoteka
20.04.23 UNIVERZITET SINGIDUNUM - FPI
40
20.04.23 UNIVERZITET SINGIDUNUM - FPI
41
20.04.23 UNIVERZITET SINGIDUNUM - FPI
42
Zaključak
1. Model sveobuhvatnih servisa zaštite obuhvata primarne i sekundarne (tehničke i netehničke) servise zaštite i njihove međuzavisnosti i komplementarnosti.
2. Podela u logičke i fizičke domene zaštite ograničava oštećenja u slučaju proboja sistema zaštite.
3. Objektno-orijentisana klasifikacija deli tehničke alate (T/A) na host-orijentisane, mrežno orijentisane i infrastrukturnu podršku (PKI, smart kartice i autentifikacioni uređaji)
20.04.23 UNIVERZITET SINGIDUNUM - FPI
43
ZAKLJUČAK-1
4. U odnosu na servise zaštite T/A se dele na alate za: autentifikaciju i autorizaciju (RS ili RM) – protokoli, uređaji, zaštitu integriteta (RS ili RM) – skeneri sistema zaštite, kontrolu pristupa (RS ili RM), monitoring (RS ili RM) - IDS, IPS i Kz mehanizme za zaštitu poverljivosti, integriteta (uključujući autentifikaciju i neporecivost) i raspoloživosti p/i i servisa.
5. Važno je razumeti razlike između integriteta informacija i podataka, RS i RM.