Not Almanach short-cut within Networking (in Polish)
1. Wydział Fizyki, Astronomii i Informatyki Stosowanej
Praca magisterska
Badanie bezpieczeństwa informacji i usług
dla sieci w instytucji
Tomasz Stanisław Pelczar
Kraków 2012
2. Plan wystąpienia:
1. Wprowadzenie
2. Bezpieczeństwo a Internet
3. Systemy firewall i ich zastosowanie
4. Zabezpieczenia przed uszkodzeniami i utratą danych
5. Eksperyment obliczeniowy zrealizowany przy użyciu autorskiego
narzędzia programowego
6. Wnioski i podsumowanie
3. 1. Wprowadzenie
Bezpieczeństwo jest fundamentalnym aspektem korzystania z
wszelkiego typu usług związanych z komputerem (edycja
tekstu, przetwarzanie danych, komunikacja itp.).
Utrata danych może być nie tylko koniecznością powtarzania
wielu prac programistycznych, planistycznych, inżynierskich,
prototypowych, modelowych, walidacyjnych, statutowych czy
organizacyjnych, ale nawet przyczyną upadku firmy i wielką
stratą finansową.
Włamanie do systemu komputerowego jest utożsamiane z
kradzieżą danych lub uszkodzeniem portalu, które mogą na
długo zablokować lub uniemożliwiać rozwój gospodarczo-
ekonomiczny w danym sektorze produkcyjnym.
Zarówno włamania, jak i utraty danych, są przyczyną utraty
klientów przedsiębiorstwa a co za tym idzie mogą doprowadzić
do bankructwa oraz utraty ogromnej ilości czasu dla wszystkich.
4. 1. Wprowadzenie
Celem pracy była:
- prezentacja podstawowych metod zabezpieczenia
systemów komputerowych,
- charakterystyka przybliżająca kluczowych kwestii z punktu
widzenia całej infrastruktury sieciowej modelu ISO/OSI
(TCP/IP),
- prezentacja technik ochrony danych dla poszczególnej
warstwy,
- napisanie programu, pozwalającego na ocenę
zabezpieczenia systemów sieciowych dla całego danego
systemu autonomicznego dowolnego typu instytucji,
- sprawdzenie poprawności oceny bezpieczeństwa przy
użyciu tego programu.
5. 2. Bezpieczeństwo a Internet
Internet jest jednym z głównych współczesnych mediów,
służących do wymiany danych, sprzedaży, kupna, informowania itp.
Stąd też bezpieczeństwo Internetu jest podstawą jego działania.
Podstawowe zagrożenia to:
włamanie do systemu komputerowego,
kradzież komputera wraz z danymi czy kopii zapasowej,
utrata niejawności informacji, zwłaszcza informacji
sklasyfikowanych wynikających z zaniedbań w przekazywaniu haseł
czy materiałów zużytych i uszkodzonych,
utrata integralności informacji na drodze nielegalnej modyfikacji
danych poprzez np. szkodliwe oprogramowanie, podmianę sprzętu,
spoofing czy monitorowanie sieci zdalnej,
utrata dostępności do usług systemu i do informacji.
6. 2. Bezpieczeństwo a Internet
Dla bezpieczeństwa połączeń sieci lokalnych z Internetem
można stosować na przykład systemy typu firewall (tzw. ściany
ogniowe) sprzętowe lub programowe. Stosowane są też różne
metody szyfrowania danych przy pomocy współczesnych
algorytmów (DES, IDEA, RSA, DSA, RC2,RC4 etc) czy PGP.
Bezpieczeństwo połączeń sieci lokalnych z Internetem
może też być zagwarantowane przy użyciu specjalnych
protokołów sieciowych, takich jak: SSH (ang. Secure Shell),
OpenSSH, SHTTP (ang. Secure HTTP), PCT (ang. Private
Communication Technology), SSL (ang. Secure Socket Layer),
TSL (ang. Transport Layer Security) czy DNSsec.
8. 3. Systemy Firewall i ich zastosowanie
Zasada działania systemów Firewall polega na filtrowaniu
wszystkich datagramów IP, segmentów TCP, UDP, DNS, FTP,
HTTP, ICMP, TFTP, Telnet, SNMP, IGMP (etc) wchodzących oraz
wychodzących do/z lokalnych sieci komputerowych przyłączanych
do Internetu. Filtrowane są następujące dane:
- nagłówki pakietów,
- dane, które są w treści pakietów (szukanie wirusów, spamu
itp.),
- adresy pochodzenia danych oraz zmierzania danych,
- porty sesji i aplikacji, używanych do przesyłania danych.
9. 3. Systemy Firewall i ich zastosowanie
Przykład bardziej zaawansowanego zastosowania systemu
Firewall możliwy do stosowania dla sieci mobilnych i zdalnych :
10. 4. Zabezpieczenia przed uszkodzeniami i utratą danych
Dla zabezpieczenia przed uszkodzeniami i utratą danych
stosuje się:
zabezpieczenia kryptograficzne jak na przykład standard
blokowego szyfrowania danych DES, FEAL czy RC5, algorytmy
z kluczem publicznym jak RSA, Pohlinga-Hellmana czy
ElGamala czy też algorytmy wymiany kluczy Diffiego-Hellmana,
certyfikaty bezpieczeństwa jak protokół X.509 łączący
stosowanie kryptografii z kluczem publicznym czy Verisign
działający na zasadzie podpisu elektronicznego,
systemy backup, które zabezpieczają przed utratą
danych np. pożaru czy mechanicznego uszkodzenia
automatycznie zapisując dane na taśmach, płytach czy dyskach
zewnętrznych,
macierze RAID (ang. Redundant Array of Independent
Disks) czyli współpraca dwóch lub więcej dysków dla efektów IT.
11. 5. Eksperyment obliczeniowy zrealizowany przy użyciu
autorskiego narzędzia programowego
W ramach eksperymentu obliczeniowego został napisany
system w języku C++, którego celem była ocena istniejącej sieci
lokalnej pod kątem zabezpieczeń informacji i usług ważnych z
punktu widzenia każdego typu wielkości systemu autonomicznego
czyli systemów firewall, logowania do systemu i komunikacji
telefonicznej, systemu przeciwpożarowego oraz monitoringu etc.
Na podstawie danych udzielanych przez administratora można
dokonać praktycznej oceny bezpieczeństwa sieci i zaproponować
metodę zwiększenia bezpieczeństwa systemu.
12. 5. Eksperyment obliczeniowy zrealizowany przy użyciu
autorskiego narzędzia programowego
Przykładowe określanie jakości systemu przeciwpożarowego w
budynku z sieciami lokalnymi :
13. 5. Eksperyment obliczeniowy zrealizowany przy użyciu
autorskiego narzędzia programowego
Przykładowe badanie jakości systemu firewalla sprzętowego dla
sieci lokalnych :
14. 5. Eksperyment obliczeniowy zrealizowany przy użyciu
autorskiego narzędzia programowego
Przykładowe badanie jakości systemu firewalla programowego dla
sieci lokalnych :
15. 5. Eksperyment obliczeniowy zrealizowany przy użyciu
autorskiego narzędzia programowego
Przykładowe badanie jakości systemu haseł i passwordów dla sieci
lokalnych :
16. 5. Eksperyment obliczeniowy zrealizowany przy użyciu
autorskiego narzędzia programowego
Przykładowe badanie jakości zdalnego logowania do systemu
dla sieci lokalnych :
17. 5. Eksperyment obliczeniowy zrealizowany przy użyciu
autorskiego narzędzia programowego
Przykładowe badanie jakości wykonywania bezpiecznego
telefonu do systemu :
18. 5. Eksperyment obliczeniowy zrealizowany przy użyciu
autorskiego narzędzia programowego
Przykładowe badanie jakości wykonywania monitoringu
systemowego budynku i okolic :
19. 5. Eksperyment obliczeniowy zrealizowany przy użyciu
autorskiego narzędzia programowego
W ramach eksperymentu zostały przeprowadzone badania
zabezpieczeń 3 instytucji:
1) szkoły ponadpodstawowej (gimnazjum)
2) wyższej szkoły w Krakowie
3) małej firmy produkcyjnej zatrudniającej 200 osób.
Ad 1) Przyjęto, że szkoła posiada 2 sale po 20 stanowisk, sieć
WiFi, dwa przełączniki 24 portowe oraz router WiFi. Uzyskane
wyniki dla szkoły przedstawiono na poniższym slajdzie.
20. 5. Eksperyment obliczeniowy zrealizowany przy użyciu
autorskiego narzędzia programowego
Uzyskane wyniki dla szkoły ponadpodstawowej :
- stwierdzono, że system jest dość dobrze zabezpieczony.
21. 5. Eksperyment obliczeniowy zrealizowany przy użyciu
autorskiego narzędzia programowego
Ad 2) W przypadku wyższej uczelni przyjęto, że system posiada:
kilka sal po 24 komputery, 6 przełączników, 1 router firmy
Linksys, firewall sprzętowy firmy Cisco, system monitorowania
sal ćwiczeniowych.
Stwierdzono, że system jest zabezpieczony w 81%, co oznacza,
że system dobrze zabezpieczony. Tym niemniej można
poprawić jego stopień bezpieczeństwa przez integrację
obydwóch firewalli.
22. 5. Eksperyment obliczeniowy zrealizowany przy użyciu
autorskiego narzędzia programowego
Uzyskane wyniki estymacji obliczeniowej na podstawie
przeliczenia wszystkich parametrów dla wyższej uczelni
23. 5. Eksperyment obliczeniowy zrealizowany przy użyciu
autorskiego narzędzia programowego
Ad 3) W przypadku małej firmy produkcyjnej liczącej 200
pracowników sieć posiada: 120 komputerów, 8 przełączników, 3
routery. System nie posiadał żadnych firewalli programowych.
Stwierdzono, że system jest zabezpieczony w 91%. Może być
poprawione bezpieczeństwo systemu poprzez instalację (lub
reinstalację) systemów firewalli sprzętowego i programowego.
.
.
24. 5. Eksperyment obliczeniowy zrealizowany przy użyciu
autorskiego narzędzia programowego
Uzyskane wyniki obliczeniowe dla małej firmy produkcyjnej
zatrudniającej około 200 osób :
.
.
25. 5. Wnioski i podsumowanie
Bezpieczeństwo w sieciach komputerowych można zamknąć
na zasadzie optymalizacji, automatyzacji, elastyczności i precyzji
działania oraz zastosowania kryptografii, algorytmów szyfrowania z
kluczami symetrycznymi i publicznymi, podpisem cyfrowym,
zarządzaniem kluczami publicznymi, bezpieczeństwem
komunikacji (Ipsec, ściany ogniowe etc), protokołami
uwierzytelniania, bezpiecznej poczcie elektronicznej, bezpiecznym
stronom WWW ze szczególna uwaga na ruchomy kod i wysokiej
jakości baz danych.
26. 5. Wnioski i podsumowanie
Najbezpieczniejszym zachowaniem i profilaktyką jest standardowy
certyfikowany firewall, brak dostępu dla podmiotów z zewnątrz ze
zdalnymi urządzeniami, zasłony dymne dla kluczowych informacji lub
urządzeń, sprawdzone oprogramowanie, znane strony i pośrednicy
usługi WWW oraz regularne kopie zapasowe na wytrzymałych
nośnikach jakie są możliwe na przykład dzięki zastosowaniu materiałów
grafenowych, który zachowuje przy tym cechy doskonałego medium.
Napisane narzędzie programowe pozwala w sposób mierzalny na
podstawie analizy sieci na stwierdzenie, w jakim stopniu jest on
zabezpieczony. System umożliwia przeprowadzenie ulepszenie systemu
poprzez dokonanie zmian, które podnoszą jego bezpieczeństwo.