kako jim uspeva in kako se braniti
DESCRIPTION
Kako jim uspeva in kako se braniti. Miha Pihler, MCSA, MCSE, MCT, CISSP Microsoft MVP – Windows Security. Miha Pihler. MCSA, MCSE, MCT, CISSP Microsoft MVP – Windows Security SloWUG Community Lead www.slowug.org. Agenda. Varovanje v globino Fizični nivo varnosti Zunanje omrežje - PowerPoint PPT PresentationTRANSCRIPT
Vaš partner za varovanje informacijKonferenca INFOSEK 2008 - FORUM
Kako jim uspeva in kako se braniti
Miha Pihler, MCSA, MCSE, MCT, CISSPMicrosoft MVP – Windows Security
Konferenca INFOSEK 2008 - FORUM
Miha Pihler
MCSA, MCSE, MCT, CISSP
Microsoft MVP – Windows Security
SloWUG Community Lead
► www.slowug.org
Konferenca INFOSEK 2008 - FORUM
Agenda
► Varovanje v globino
► Fizični nivo varnosti
► Zunanje omrežje
► Notranje omrežje
► Računalniki
► Aplikacije
► Podatki
► Zaključek
Konferenca INFOSEK 2008 - FORUM
Varovanje v globino
► Varovanje v globini (angl. Defense in depth)
► NSA
► http://en.wikipedia.org/wiki/Defense_in_depth_(computing)
► V primeru ko kateri drugi nivo odpove podatke še zmeraj varuje naslednji nivo
► Prenosniki in šifriranje podatkov
Konferenca INFOSEK 2008 - FORUM
Agenda
► Varovanje v globino
► Fizični nivo varnosti
► Zunanje omrežje
► Notranje omrežje
► Računalniki
► Aplikacije
► Podatki
► Zaključek
Konferenca INFOSEK 2008 - FORUM
Fizični nivo varnosti
► Napadi na oddaljene lokacije
► Varovanje oddaljenih lokacij?► Osveščenost ljudi na oddaljenih lokacijah?► Pogosto polni dostop do centralne lokacije
► Socialni inženiring
► Omrežje je varno…
Konferenca INFOSEK 2008 - FORUM
Fizični nivo varnosti
► Kako se braniti?
► Ne pozabite na varnostne ukrepe!► Filtriranje prometa
Konferenca INFOSEK 2008 - FORUM
Agenda
► Varovanje v globino
► Fizični nivo varnosti
► Zunanje omrežje
► Notranje omrežje
► Računalniki
► Aplikacije
► Podatki
► Zaključek
Konferenca INFOSEK 2008 - FORUM
Zunanje omrežje
► Zunanje omrežje (angl. Perimeter network)
► (DMZ, SSN, …)
► Požarni zidovi
► Tudi požarni zidovi ne vidijo vsega zla (npr. SSL/TLS, VPN, SSH, …)
► Vedno več napadov se seli na aplikacijski nivo
Konferenca INFOSEK 2008 - FORUM
Zunanje omrežje
► Izhodni promet iz DMZ?
► Ali je res potreben?
► Kako se braniti?
► Omejen dostop do interneta iz DMZ (kar je res nujno potrebno)
► Zaključevanje SSL, VPN in drugih šifriranih povezav ter preverjanje prometa (IDS, IPS)
Konferenca INFOSEK 2008 - FORUM
Agenda
► Varovanje v globino
► Fizični nivo varnosti
► Zunanje omrežje
► Notranje omrežje
► Računalniki
► Aplikacije
► Podatki
► Zaključek
Konferenca INFOSEK 2008 - FORUM
Notranje omrežje
► IDS in IPS naprave
► Šifriran promet (SSL/TLS, VPN, SSH, …)
► NAP (Network Access Protection)
► Izhodni promet?
► SMTP?► P2P?► IRC?
Konferenca INFOSEK 2008 - FORUM
Notranje omrežje
► Kako se braniti?
► Politika dostopa oddaljenih lokacij do centralne lokacije
► Izhodni SMTP promet naj gre preko centralnega SMTP strežnika
► Zapiranje P2P prometa!► Zapiranje drugega prometa (IRC, IM, …)► Prehodni strežniki (Proxy)
AV skeniranje Avtentikacija uporabnikov
Konferenca INFOSEK 2008 - FORUM
Agenda
► Varovanje v globino
► Fizični nivo varnosti
► Zunanje omrežje
► Notranje omrežje
► Računalniki
► Aplikacije
► Podatki
► Zaključek
Konferenca INFOSEK 2008 - FORUM
Računalniki
► Zapuščanje (varnega dela) omrežja
► Kraja prenosnikov s podatki (šifriranje)
► Osebni požarni zidovi
► http://www.krneki.net/rootkits/
► USB ključki?
► Poganjanje programov
► Dovoljenja?
Konferenca INFOSEK 2008 - FORUM
Računalniki
► Kreiranje lastne zlonamerne kode
► Orodja:
► Senna One Exe Maker► MoleBox*► UPX► …
► Dovoljenja na računalnikih
Konferenca INFOSEK 2008 - FORUM
Agenda
► Varovanje v globino
► Fizični nivo varnosti
► Zunanje omrežje
► Notranje omrežje
► Računalniki
► Aplikacije
► Podatki
► Zaključek
Konferenca INFOSEK 2008 - FORUM
Aplikacije
► Aplikacije
► Spletne aplikacije
► XSS, ► SQL, XML, … “injections”
► Večina današnjih napadov izvira iz napadov na aplikacije
Konferenca INFOSEK 2008 - FORUM
Aplikacije
► 21,5% XSS
► 14% SQL “Injections”
► 9,5% php “includes”
► 7,9 "buffer overflows“
► 14.9.2006
► Cca. 90% vseh strani ima XSS ranljivosti
► 9.4.2008 Jeremiah Grossman, WhiteHat Security
Konferenca INFOSEK 2008 - FORUM
Aplikacije
► Kako se braniti?► Preverjanje vnosov!► Preverjanje vnosov!► Preverjanje vnosov!
► Preverjanje vnosov
► Vsa polja na spletni strani (vključno s “Search”)► Na strani odjemalca► Na strani strežnika/aplikacije
► Testiranje spletne strani!
Konferenca INFOSEK 2008 - FORUM
Aplikacije
► Orodje:► Proxy orodje: Fiddler http://www.fiddlertool.com/fiddler/
► Viri:► http://blogs.msdn.com/hackers/default.aspx► http://www.hellosecureworld.com/► http://msdn.microsoft.com/en-us/library/ms998378.aspx► http://msdn.microsoft.com/en-us/security/aa973814.aspx► http://msdn.microsoft.com/en-us/library/7kh55542.aspx
► Gostovanje spletne strani?
Konferenca INFOSEK 2008 - FORUM
Agenda
► Varovanje v globino
► Fizični nivo varnosti
► Zunanje omrežje
► Notranje omrežje
► Računalniki
► Aplikacije
► Podatki
► Zaključek
Konferenca INFOSEK 2008 - FORUM
Podatki
► Kraja podatkov
► Cilj napada Odvisno od napadalca
► Šifriranje podatkov
► Kaj storiti v primeru izgube ključev?
► USB ključki?
Konferenca INFOSEK 2008 - FORUM
Podatki (kraja podatkov maj – junij 2008)
► Walter Reed Patient Data Exposed (2.6.2008)
► BPO Owner Allegedly Stole and Sold Former Customer's Data (29.5.2008)
► Doctor Resigns After Donated Computer Compromises Patient Data (20.5.2008)
► Used Server Held 5,000 SSNs (21.5.2008)
► Bank of New York Mellon Backup Tape Lost (22.5.2008)
► Stolen Bank of Ireland Laptops Held Other Banks' Info, Too (25.5.2008)
► Another Data Security Breach for Pfizer (12.5.2008)
► Sensitive Hong Kong Immigration Dept. Document Leaked Through Filesharing Network (9.5.2008)
► Attacker Stole 1.4 Gigabytes of Data in Three Weeks (6.5.2008)
► Hundreds of Laptops Missing at U.S. Dept of State. (2.5.2008)
► Nine Memory Sticks Stolen from Hong Kong Hospitals (5.5.2008)
Konferenca INFOSEK 2008 - FORUM
Podatki► Kako se braniti?
► Varnostna politika
► Uporabe (službenega) računalnika► Ravnanja s podatki
Zakonske obveznosti?
► Šifriranje podatkov► BitLocker (Windows Vista – Business in Enterprise)► TrueCrypt (http://www.truecrypt.org/)► PGP (http://www.pgp.com/)*
Konferenca INFOSEK 2008 - FORUM
Agenda
► Varovanje v globino
► Fizični nivo varnosti
► Zunanje omrežje
► Notranje omrežje
► Računalniki
► Aplikacije
► Podatki
► Zaključek
Konferenca INFOSEK 2008 - FORUM
Zaključek -- Kaj dejansko deluje?
► Uporabniki brez odvečnih pravic!
► Omejevanje prometa proti internetu
► Iz DMZ► Iz LAN (SMTP, P2P, …)► Šifriran promet?
► Preverjanje aplikacij
► Spletne aplikacije!► Druge aplikacije
Konferenca INFOSEK 2008 - FORUM
Zaključek -- Kaj dejansko deluje?
► Varnostna politika
► Redno preverjanje politike na požarnih zidovih! Odstranjevanje nepotrebnih pravil!
► Uporaba računalnikov (prenosniki)► Dostop do zaupnih informacij► Prenos zaupnih informacij► VPN in oddaljeni dostopi
