AACIMP 2010 Summer School lecture by Andrey Rodionov. "Information Technologies" stream. "Security of Information and Communication Systems" course. More info at http://summerschool.ssa.org.ua

1. Безопасность информационно-
коммуникационных систем
Андрей Родионов
Национальный технический университет
Украины «КПИ»
Физико-технический институт
Andrey.Rodionov@gmail.com

2. План лекции
 Общее о средствах и механизмах защиты
 Архитектура ИКС
 Механизмы защиты в ИКС
 Средства централизованного управления
ресурсами ИКС
 Наиболее распространенные ошибки, которые
приводят к уязвимостям в ПО
 Уязвимости в Веб-прилож ениях
 SDL, Фаззинг

3. Демонстрации технологий
 Виртуализация ОС
 Solaris Trusted Extensions
 XSpider
 MS Active Directory
 Trend Micro
 Уязвимости в Web-приложениях (SQL-inj,
XSS)

4. С чем у Вас ассоциируется
«информационная безопасность
»?
Назовите угрозы и механизмы защиты,
которые Вы знаете

5. Наличие отдельных механизмов защиты
не всегда обеспечивает безопасность
системы
 http://www.youtube.com/watch?v=gQbUzJUkBXg

6. Механизмы защиты
 Не против всякой угрозы могут существовать
механизмы защиты (к примеру, уязвимости в
прилож ениях)
 Иногда выгоднее изначально правильно
построить систему чем потом тратиться на ее
защиты (к примеру, в Unix-системах вирусы
почти отсутствуют)
 Применение механизмов и средств защиты
долж быть экономически оправданным
но

7. Кроме механизмов защиты защищенность
системы определяется
 Качеством программного и программно-
аппаратного обеспечения всех уровней;
 Настройкой параметров программного и
программно-аппаратного обеспечения;
 Архитектурой системы;
 Пользователями и информационной средой в
котором работает компьютерная система;
 Организацией защиты информации в
организации.

8. Из одной статьи
"Х быстрои безжалостноахватывал
з рынокпроникая
, во
многие государственные органы управления, устанавливая там
свои программы и не забывая в каж дой из них предусмотреть
маленькое такое «шпионское окошко». Своеобразных «ручных
привратников», которые позволяли ему без спроса и без
уведомления заходить в любую систему, брать любые объемы
конфиденциальной информации и незаметно уходить с
богатым «уловом». О чем это мы? То ж Министерство
е
юстиции, к примеру, складирует у себя в базах всю
информацию о сделках с недвиж имостью: кто, как, за сколько
купил тот или иной земельный участок. А Х уж все знает:
е
фамилии, имена, суммы платеж , посредников и т.д."
ей

9. Что следует знать для работы в
сфере ИБ
 Атаки могут осуществляться на разные уровни и
компоненты системы
 Поэтому рассмотрим архитектуру ИКС
 Защита долж быть комплексной, на всех
на
уровнях системы
 Поэтому рассмотрим средства и механизмы
обеспечения безопасности на всех уровнях
 Управление безопасностью (и антивирусной)
долж быть централизованным
но
 Поэтому рассмотрим средства для централизованного
управления безопасностью

10. Угрозы безопасности информации
в КС
 Все угрозы направлены на нарушение
следующих свойств информации:
 Конфиденциальности (пример - атака sniffing) - состояние
информации, при котором доступ к ней осуществляют
только субъекты, имеющие на него право,
 Целостности (пример - атака spoofing) - избежание
несанкционированной модификации информации,
 Доступности (пример - атака DoS/DDos) - избеж ание
временного или постоянного сокрытия информации от
пользователей, получивших права доступа,
 Наблюдаемости

11. Для обеспечения безопасности строится комплексная
система защиты информации (КСЗИ)

12. Уровни системы
 Уровень сети —
отвечает за
взаимодействие
 Уровень ОС
 Уровень систем
управления базами
данных (СУБД)
 Уровень прикладного ПО

13. Типы приложений
 Клиентские
 Клиент-серверные (двух-уровневые)
 Распределенные и много-уровневые
 Облачные прилож ения
 Cloud Computing Video
 http://www.youtube.com/watch?v=aD5VcKXHmus

14. Двух- и трех– уровневая
архитектура прилож ений
 Возмож ность использования
различных языков
программирования для
различных компонентов
 Централизация компонентов
 Балансировка нагрузки
 Более эффективный доступ к
данным
 Улучшенная защита
 Более простой доступ к
внешним ресурсам

16. Комплекс средств защиты
 Идентификация и аутентификация
 Управление доступом
 Регистрация и аудит
 Обеспечение целостности
 Криптографические функции
 Антивирусная защита

17. Особенности защиты СУБД
 Наиболее распространенные СУБД
 Архитектура СУБД
 Отдельная учетная запись для СУБД в
операционной системе и ее права
 Настройка прав внутри СУБД, средствами
самой СУБД
 Внутренние средства защиты СУБД
 Взаимодействие внешних прилож ений с БД

18. Виртуализация приложений с
помощью виртуализации ОС
 Гибкое распределение ресурсов между
виртуальными системами (CPU, сетевые карты,
память, размеры, …)
 Полная независимость зон, в случае краха или
проникновения в одну из зон, это никак не повлияет
на другие зоны
 В каждой зоне есть свой отдельный набор
пользователей (включая администратора)
 Основа для «облачных вычислений»

19. Защищенные ОС
 Что такое защищенная ОС?
 Любая ли ОС обеспечивает защиту?

20. Функции ОС и безопасность
 Основныефункции ОС
 Управлениепроце ссами и потоками
 Управлениепамятью
 Управлениеввод -вывод
ом ом
 Управлениеф айлами (файловыесисте )
мы
 Под е касе воговзаимод йствия
д рж те е
 Защитад анных
 Инте е
рф йспользовате ля

21. Модель угроз для ОС
 Сканированиеф айловой системы
 Хищ ниеклю вой инф
е че ормации
 Подборпароле й
 Сборкамусора
 Превыш ниеполномочий
е
 Программныезаклад ки
 «Жадные » программы

22. Solaris Trusted Extensions
 ОС с мандатной политикой
разграничения доступа к объектам
системы
 Строгое разделение ролей
Администратора и Администратора
безопасности

24. Принципы построения
корпоративной сети
 Требуемая функциональность сети
 Зависимость сервисов и служ меж собой
б ду
 Территориальное размещение объектов
системы
 Структура организации (отделы,
департаменты)
 Производительность сети
 Политика безопасности в системе

25. Сервисы корпоративной сети
 Сетевые служ (DNS, DHCP)
бы
 СКБД (Microsoft SQL Server, Oracle, DB2, MySQL)
 Серверы прилож ений (JavaEE, WebSphere, .NET
Framework, MSMQ)
 Веб-серверы и Веб-сервисы (Apache, GlassFish, IIS,
WebSphere)
 Электронная почта (SMTP, POP3 , IMAP)
 Сервисы для общей работы (SharePoint, Lotus Nоtes,
Lotus Connection, Collaboration server)
 Корпоративные прилож ения (СЭД, ERP, CRM)

26. Сервіси Технології
Мережеві пристрої Маршрутизатори, комутатори, Routers,
switches, load balancers
Мережеві сервіси DNS, DHCP, WINS
Сервіси міжмережевої Міжмережеві екрани периметру,
фільтрації трафіку та доступу демілітаризованої зони, внутрішні сегменти
мережі, проксі-сервера
Сервіси для централізованого Microsoft Active Directory, Oracle Identity
керування та моніторингу Manager, IBM Tivoli Identity Manager, LDAP
корпоративною мережею
Системи керування базами СКБД Microsoft SQL Server, Oracle, DB2, MySQL
даних
Пристрої збереження даних Direct-attached storage (DAS), network attached
storage (NAS), storage area network (SAN)
Cервери застосувань Забезпечуть роботу корпоративних
застосувань: JavaEE, .NET Framework, COM+
and Message Queuing Services (MSMQ)
Веб-сервіси та веб-сервери Apache, GlassFish, IIS, WebSphere
Сервер електронної пошти SMTP, POP3 , IMAP
Операційні системи на хостах Windows, Linux, Solaris, AIX, …
мережі

27. Пример структуры сети

29. Принципы выделения сегментов в
сети
 Security
 Projects/special applications
 Performance/bandwidth
 Broadcasts/traffic flow
 Departments/specific job types

30. Сетевые средства безопасности
 DMZ  Firewalls
 VLAN  Proxy
 NAT  IDS/IPS
 Sub-netting
 NAC (Network  Honeypot
Access Control)  DLP (Data Loss
 VPN Prevention)

31. Security Auditing Tools
 Service Mapping Tools  Penetration Testing
 Nmap Tools
 Hping  Core Impact
 Vulnerability Assessment  Metasploit
Tools  XSpider
 Nessus
 RedSeal
 Packet Capture Tools
 Tcpdump
 Wireshark/Tshark

32. BackTrack
 Information Gathering: This category includes tools for DNS mapping, Whois, Finger, and mail
scanning.
 Network Mapping: Port and services mapping, OS fingerprinting, and VPN discovery.
 Vulnerability Identification: Tools to identify service, SQL, VoIP, and http vulnerabilities.
 Penetration: Tools to exploit vulnerabilities and compromise systems. Metasploit is the primary
application.
 Privilege Escalation: LAN Sniffers, password sniffers, and spoofing tools are here.
 Maintaining Access: Backdoors, rootkits, and tunneling applications for retaining access after
exploiting.
 Radio Network Analysis: Wireless sniffers, scanners, and cracking tools
 VoIP & Telephony Analysis: VoIP cracking and recording tools
 Digital Forensics: Disk editors, file system dump tools, and hexeditors for recovering evidence
from deleted and hidden files.
 Reverse Engineering: Malware analysis tools, application debug tools, hex and assembly tools.

33. Сегмент и служ для управления
бы
корпоративной сетью
 Необходимо централизованное управление
и мониторинг ресурсов сети:
 Компьютерами
 Программным обеспечением
 Учетными записями пользователей
 Прочими ресурсами
 Управление сетевым и коммуникационным
оборудованием

34. Средства для централизованного
управления корпоративной сетью
 Microsoft Active Directory
 Identity Manager (Sun Microsystems, Oracle,
IBM, Novell)
 IBM Tivoli
 System Center Configuration Manager (formely
SMS), System Center Operations Manager
(formely MOM)
 Microsoft Forefront Security
 Cisco Works

35. Identity management

36. Уязвимости в ПО

37. Причина уязвимостей в ПО
 Уязвимости в ПО являются следствием
сложности кода, невнимательности, но в
большей мере непрофессионализма
разработчиков

38. Самые распространенные
уязвимости
 Buffer overflow, integer overflow
 SQL/Script Injection
 Cross-Site Scripting (XSS)
 Unlimited Resource Consumption (DoS)
 Information Leakage

39. Уязвимости Веб-приложений
 Как показывает опыт компании Positive
Technologies по проведениютестовна
проникновение и аудитов
информационной безопасности -
уязвимости в Web-прилож ениях одни из
наиболее распространенных недостатков
защиты сетевой безопасности

40. Уязвимости Веб-приложений

41. Пример логической структуры сети

42. Cross Site Scripting
 Видео
http://www.virtualforge.de/vmovie.php

44. Пример уязвимости
«инъекция SQL»
Найти такие ошибки позволяет, например, ввод
в формы различных некорректных данных,
неправильно отформатированных данных,
служебных символов

45. Пример эксплуатации уязвимости
«инъекция SQL»
1) создаемхранимуюпроцедуру
http://www.xxx.gov.ua/documents.php?cat_id=33&sort=document_code exec('create
procedure test as update documents set document_code=''814'' where
document_code=''813''') select * from documents order by acceptor &dir=
2) вызываемхранимуюпроцедуру
http://www.xxx.gov.ua/documents.php?cat_id=33&sort=document_code exec test
select * from documents order by acceptor &dir=
3) удаляемхранимую процедуру
http://www.xxx.gov.ua/documents.php?cat_id=33&sort=document_code DROP
PROCEDURE test select * from documents order by acceptor &dir=
4) возвращаем
предыдущееначение
з
http://www.xxx.gov.ua/documents.php?cat_id=33&sort=document_code update
documents set document_code='813' where document_code='814' select * from
documents order by acceptor &dir=

46. Уязвимости «Information Leakage» and
«Predictable Resource Location»
 Демонстрация
 http://www.dstszi.gov.ua/dstszi/services
 http://www.sbu.gov.ua/sbu/services

47. Buffer overflow
 (DATA)(DATA)(...)
 (NEWDATA)(DATA)(DATA)(...)
 (ADDR)(DATA)(DATA)(...)
 (.a........)(ADDR)(DATA)(DATA)(...) char[10]


48. Sheep overflow

49. Рекомендации по безопасности,
касающиеся языка C#
 http://msdn.microsoft.com/ru-
ru/library/ms173195.aspx