bezpieczeństwo sieci i odtwarzanie po awarii
DESCRIPTION
Bezpieczeństwo sieci i odtwarzanie po awarii. d r inż . Maciej Miłostan Instytut Informatyki , Politechnika Poznańska. Czyli jak chronić sieć przed nieautoryzowanym dostępem. Bezpieczeństwo sieci. Internet a intranet. Internet = źódło informacji - PowerPoint PPT PresentationTRANSCRIPT
Bezpieczeństwo sieci i odtwarzanie po awarii
dr inż. Maciej MiłostanInstytut Informatyki,
Politechnika Poznańska
BEZPIECZEŃSTWO SIECICzyli jak chronić sieć przed nieautoryzowanym dostępem
Internet a intranet Internet = źódło informacji Internet = źródło zagrożeń dla
użytkowników intranetuUdostępnianie zasobów i swoboda
komunikacjiOchrona sieci przed agresorami i
intruzami
Struktura sieciPołączenie ze światem
zewnętrznym, czyli InternetemPotrzeby użytkowników,
bezpieczeństwo danych a struktura sieci
Podział sieci wewnętrznej na segmenty
Zapora ogniowa (firewall)Minimalizacja zagrożenia z
zewnątrzPersonalizacja (na poziomie
komputera) zasad dostępuOchrona przed niektórymi wirusamiBrak ochrony przed zagrożeniami z
wnętrza IntranetuPodatne na awarie (dotyczy
rozwiązań programowych)
Reguły na zaporach sieciowych(firewall)
ProtokółKierunek komunikacjiStan połączenia
StanoweBezstanowe
Filtracja na poziomie pakietówFiltracja na poziomie sesjiLiczba połączeń itp.
Jedna zapora czy dwieIn
tern
etDMZ
Personalizacja dostępuUżytkownik – w zasadzie grupy
użytkowników (Problem: użytkownik może statycznie ustawić cudzy adres)
Adres IPDHCP i adres fizyczny
IP + MACPersonalizacja ustawień zapory
ogniowejMożliwość zlokalizowania
użytkownikaMożliwość wyłączenia portu, do
którego wpięty jest komputer użytkownika
MaryBob
IEEE 802.1X Protokół uwierzytelniania w sieciach
LAN:bezprzewodowychprzewodowych
ftp://ftp.dlink.it/FAQs/802.1x.pdf
Sys. op. wspierający ten standard
802.1x Standard ten definiuje kontrolę dostępu opartą na modelu
klient-serwer wraz z protokołami uwierzytelniania uniemożliwiającymi dostęp do sieci nieautoryzowanym urządzeniom za pośrednictwem publicznie dostępnych portów. Serwer uwierzytelniania przeprowadza uwierzytelnianie każdego klient, który podłącza się do sieci zanim zaoferuje mu jakąkolwiek usługę.
IEEE 802.1X
Bazujące na portachPort na przełączniku aktywowany dopiero
po uwierzytelnieniu Bazujące na adresach fizycznych
Wielu użytkowników może używać tego samego portu jednocześnie i istnieje możliwość ograniczenia liczby adresów MAC, które się komunikują przy jego użyciu
802.1x - definicje Adres multikastowy dla protokołu EAPOL
(Extensible Authentication Protocol over LAN), czyli tzw. Port Access Entity (PAE)
Umożliwia przełącznikom rozpoznawanie właściwych pakietów
802.11x - role Klienta Uwierzytelniającego (przełącznik) Serwera
OTP = hasło jednorazowe
802.11x scenariusze
Sieci VLANSieć VLAN (Virtual Local Area
Network) to logiczne zgrupowanie urządzeń sieciowych lub użytkowników.
Użytkownicy sieci oraz urządzenia pogrupowane według pełnionych funkcji, działu firmy itp., niezależnie od ich fizycznego położenia w sieci
Ramka Ethernetu
Ethernet II
802.3 vs Ethernet II
VLAN
Dynamiczne VLAN-yPorty automatycznie przypisują się
do odpowiedniego VLANuSkąd wiedzą do jakiego VLANu się
przypisać:W trakcie uwierzytelniania
przełącznik otrzymuje od serwera radius VLAN ID klienta
MONITORING I SYSTEMY DETEKCJICzy sieć jest bezpieczna i działa prawidłowo?
Czy sieć jest bezpieczna?Analiza logówMonitorowanie sieci (NETFLOW,
CFLOW, SFLOW, IPFIX, SNMP, PORT STATS, MRTG)
Aktualizacja reguł firewallaAktualizacja krytycznych systemów
Cele atakówUzyskanie dostępu do danychW celu przejęcia kontroli nad
systememW celu zniszczenia systemu
IDSDetekcja zagrożeń Alarmy - “Hej, coś jest nie tak!”Monitorowanie - sondyMechanizmy reakcji na zdarzeniaSystemy detekcji intruzów = prosta
idea
Idea a praktyka Co jest włamaniem lub jego proba, a co nie? Jakie są metody włamań? Jakie luki występują w systemach? Czy wiedza systemu IDS jest aktualna? Czy system może działać w pełni automatycznie? Sekwencja działań może być rozciągnięta w
czasie Sekwencja działań może być rozbita pomiędzy
różne sesje Poprawnie działający system może być
wykorzystany do ataku na inny system (np. DRDoS)
Ataki DoS DoS – atak typu odmowa usługi (np. SYN
flood) Distributed DoS – rozproszony atak typu DoS
(wiele źródeł ataku, zwykle jeden cel) Distributed Reflected DoS – fałszowanie
pakietów SYN, tak by pakiet SYN/ACK był wysyłany do atakowanego komputera
SYN (sq.#1)
ACK(sq. #2)
Problemy w IDS Problem 1.: Jakie metody można użyć? Problem 2.: Jaka powinna być struktura
systemów wykrywania włamań? Problem 3.: Co to jest włamanie? Problem 4.: Jak zidentyfikować
tożsamość intruza?
Problem 5.: Jak korelować informacje? Problem 6.: Jak złapać intruza w
pułapkę? Problem 7.: Jak reagować na
incydenty?
Pułapki internetowePodejrzany użytkownikSystem rzeczywistySystem wykrywania włamańSystem pułapkaAspekty prawne
Reagowanie na incydentyPodjęcie działań i decyzji
zmniejszających ryzyko dalszego naruszenia bezpieczeństwa
Ocena wpływu incydentu na działanie systemu i firmy
Ewentualne zawiadomienie organów ściagania o popełnienu przestępstwa
ARCHIWIZACJA DANYCH I PLANY ODTWARZANIA
Zapewnianie ciągłości procesów biznesowych
Po co archiwizować Wymogi prawne Zapewnienie ciągłości biznesu Groźba utraty danych
Na czym archiwizować dane
StreameryMacierze dyskowe – RAIDBiblioteki taśmoweDyski magnetoptyczneZdalny mirroringPłyty CD/DVDMikrofilmyDyski magnetyczne
Wybór technologiiAwarie a błędy użytkowników
(istotne w kontekście RAID)Koszty technologiiMiejsce składowania danychKoszty przechowywaniaOgraniczenia technologiiSystemy krytyczne i zapasowe
centra danychSieci SAN
Czym jest storage?
Jakie są koszty składowania danych?
Jakie są przewidywania?
Granice możliwości
SASServer Attached Storage. Jest to pamięć masowa przyłączana do zwykłego serwera znajdującego się w sieci w celu składowania danych.
Sieć NASNetwork Attached Storage. Stacje pamięci masowych są przyłączane do sieci jako kolejne maszyny.
Cechy:• Brak wydzielonej części do wymiany danych• Interfejs iSCSI lub protokoły bazujące na przesyłajaniu plików• Serwer kontrolujący (niekonieczny)
Protokoły używane przez NAS
Common Internet File ServicesNetwork File SystemNetWare Core Protocol
Stary slajd, ale architektura aktualna (z dokładnością do
transferów)
Sieć SANStorage Area Network. Jest to sieć mająca za zadanie wyłącznie gromadzenie danych, złożona ze stacji pamięci masowych. Kontrolę nad nią sprawują specjalne serwery.
Przykładowa architektura sieci ze storagem i innymi
elementami
DHCPRADIUS
WWW MAILFile server
DMZ
Intranet
FRouter brzegowy
SAN
Bilioteka taśmowa
Bilioteka taśmowa
Bilioteka taśmowa
Fiber channel Produkty Fibre Channel pracowały z
przepływnościami: początkowo odpowiednio 1 Gb/s oraz 2 Gbit/s. W 2006 standardy dla szybkości 4 Gbit/s i
10 Gbit/s zostały ratyfikowane Standard 8 Gbit/s został także opracowany i od
połowy roku 2008 są już dostępne w sprzedaży przełączniki z portami FC o tej szybkości.
Produkty oparte o standardy 1, 2, 4 i 8 Gbit/s powinny ze sobą współpracować, jakkolwiek standard 10 Gbit/s wymaga całkowitej zmiany.
Warstwy FC FC0 Warstwa fizyczna zawierająca kable,
światłowody, złącza, itp. FC1 Warstwa łącza danych która implementuje
kodowanie 8b/10b i dekodowanie sygnałów. FC2 Warstwa sieci, zdefiniowana przez standard
FC-PH, zawierający rdzeń protokołu FC. FC3 Warstwa implementująca zewnętrzne funkcje
które rozciągają się pomiędzy wieloma portami urządzenia FC.
FC4 Warstwa aplikacji lub enkapsulacji protokołów wyższych warstw, odpowiedzialna jest za przesyłanie danych innych protokołów po protokole FC.
TECHNOLOGIA RAIDMacierze dyskowe, czyli jak nie stracić danych
Zabezpieczenia sprzętowe - RAID
Zabezpieczenia sprzętowe stanowią jeden z podstawowych elementów polityki bezpieczeństwa przedsiębiorstwa. Najważniejszym obiektem zabezpieczeń jest serwer danych.
Podstawowym zabezpieczeniem sprzętowym jest zagregowanie dysków w macierz dyskową RAID (Redundant Array of Inexpensive Disks), co umożliwia ochronę pamięci masowej przed awarią dysku, a tym samym stanowi to ochronę przed utratą danych.
RAID programowy- architektura RAID sprzętowy- architektura
Poziomy architektury RAID
RAID-0 RAID-0 (ang. striping - podział danych, zapis paskowy) jest podstawową, a zarazem i najszybszą wersją RAID‘ a. W architekturze tej dane przynależne do jednego logicznego napędu dzieli się na bloki (klastry), które zapisywane są kolejno na wszystkich zainstalowanych dyskach. Bloki przyporządkowywane są do napędów fizycznych poprzez rotację. Pierwszy blok zapisywany jest na pierwszym dysku, drugi na drugim, itd.
Architektura RAID-0
Poziomy architektury RAID- c.d.
RAID-1 Standard RAID-1 znany jest przede wszystkim jako zapis lustrzany (ang. mirroring). W architekturze tej dane przynależne do jednego logicznego napędu przechowywane są jednocześnie (w takiej samej postaci) na dwóch dyskach. Ten koncepcyjnie prosty system jest jednak dosyć drogi w eksploatacji. Wadą jest bowiem wykorzystanie tylko połowy sumarycznej pojemności zainstalowanych dysków.
Architektura RAID-1
Poziomy architektury RAID- c.d.
RAID-2 Architektura, podobnie jak RAID-0, implementuje podział danych (striping). Jedyną różnicą w stosunku do RAID- 0 jest wielkość podziału - w tym przypadku podział danych następuje na poziomie bitów. Dodatkowo, dla większego bezpieczeństwa, dane mogą być przechowywane jednocześnie na kilku nośnikach (mirroring) bądź też może dla nich być wyznaczana informacja kontrolna - parzystość. Ostatni przypadek stanowi podwaliny standardu RAID-3
Poziomy architektury RAID- c.d.
RAID-3 Architektura RAID-3 stanowi rozszerzenie architektury RAID-0. Dane, podobnie jak w RAID-0, zapisywane są naprzemiennie na zainstalowanych dyskach (ang. striping), a dodatkowy dysk służy do przechowywania informacji kontrolnej - parzystości. Napędu tego nie uwzględnia się przy określaniu szerokości paska. Parzystość wyznaczana jest oddzielnie dla każdego paska.Pojemność elementarnego klastra (bloku) w standardzie RAID-3 wynosi jeden bajt lub jedno słowo.
Architektura RAID-3
Poziomy architektury RAID- c.d.
RAID-4 Architektura RAID-4 stanowi odmianę architektury RAID-3. Główną wadą RAID-3 jest zbyt mały rozmiar klastra - jeden bajt lub jedno słowo. Skutkuje to zbytnim obciążeniem wszystkich dysków macierzy, które muszą naprzemiennie obsługiwać praktycznie każde odwołanie do macierzy.W architekturze RAID-4 rozmiar klastra jest znacznie większy - równy fizycznemu rozmiarowi sektora dysku bądź też rozmiarowi sprzętowego bufora wejścia-wyjścia. Zapewnia to znacznie mniejszy stopień obciążenia poszczególnych napędów i daje dobre efekty, zwłaszcza przy długich, sekwencyjnych odczytach danych.Obecnie każdy sprzętowy kontroler RAID-3 pozwala jednocześnie na pracę w standardzie RAID-4.
Poziomy architektury RAID- c.d.
RAID-5 Poważną wadą architektur RAID-3, RAID-4 jest zbyt duże obciążenie dysku z informacją o parzystości. Każdy zapis danych wymusza również zapis i na tym dysku, co skutecznie obniża wydajność systemu. Technologia RAID-5 omija to uniedogodnienie. Informacja o parzystości umieszczana jest dla kolejnych pasków w różnych lokacjach. Dla pierwszego paska na ostatnim dysku, dla drugiego - na przedostatnim itd.
Architektura RAID-5
Najpopularniejsze RAIDy RAID 0 – zero bezpieczeństwa w przypadku
awarii pojedynczego dysku RAID 1 – lustrzana kopia dysku RAID 10 – lustrzana kopia każdego z dysków
tworzących raid 0. RAID 5 – pojedyncza parzystość, przetrwa
awarie jednego dysku (ale odbudowa macierzy jest kosztowna, uwaga na awarie drugiego dysku)
RAID 6 – przetrwa awarie dwóch dysków (podwójna parzystość)
SŁÓW KILKA O ZASILACZACH
Zasilanie, to podstawa
Zabezpieczenia sprzętowe- c.d.
Zastosowanie zasilaczy awaryjnychCzęsto zdarza się, że występują wahania napięcia sieciowego lub nawet jego brak. Skutecznym rozwiązaniem chroniącym przed uszkodzeniem sprzętu (płyta główna, dyski) jest zastosowanie zasilacza awaryjnego, który reaguje natychmiastowo sygnalizując wystąpienie awarii i podtrzymując napięcie sieciowe. Stosowanie zasilaczy awaryjnych jest bardzo powszechne i dotyczy nie tylko serwera, ale także stacji roboczych pracujących w sieci lokalnej.
Zastosowanie zasilaczy typu hot-swapNagłe wahania napięcia lub inne nieprawidłowości zasilania mogą spowodować uszkodzenie zasilacza serwera. Dlatego powszechnie stosuje się serwery z dwoma lub trzema zasilaczami typu hot-swap, które mogą być wymienione pod napięciem bez konieczności wyłączania serwera.
KOPIE ZAPASOWE I PLANY ODTWARZANIA POAWARII
Informatyce dzielą się na tych co robią „backupy” i na tych co jeszcze nie robią
Wybór technologi (cd.) Identyfikacja krytycznych procesów i danych Określenie okna backup'u Określenie dopuszczalnego czasu
niedostępności po awarii Określenie czasu przez, który chcemy
przechowywać kopie archiwalne Określenie czasu, który jest potrzebny na
odtworzenie danych przy wykorzystaniu danej technologii
Określenie czasu potrzebnego na odtworzenie procesów
Disaster recovery plan Disaster recovery – plan gwarantujący
dostępność danych i aplikacji w określonym czasie po zdarzeniu o charakterze katastrofalnym
Klasyfikacja planów odtwarzania po awarii: Tier 0 – Do nothing, no off-site data Tier 1 – Offsite vaulting Tier 2 – Offsite vaulting with a hot site Tier 3 – Electronic vaulting Tier 4 – Electronic vaulting to hot site (active
secondary site) Tier 5 – Two site two phase commit Tier 6 – Zero data loss
Rodzaje zagrożeńLokalneLogiczneKatastrofy
Rodzaje stratStraty bezpośrednie i pośrednieStraty bezpośrednie:
Zmniejszenie przychodówSpadek wydajności pracyKary za opóźnienia
Straty pośrednie:Utrata klientówUtrata wiarygodnościKorzyści utraconeKoszty przestoju
Koszty przestojuKoszty przestoju różnych rodzajów
aplikacji [$/min] (USA, 1998)Call location: $27 000 /mine-commerce: $10 000 / minCustomer service center: $3 700 / minPoint of sale: $3 500 / min
Parametry profilów DRRTO – czas potrzebny na
odtworzenie danych – jak długo biznes może działać bez systemu
RPO – okres czasu pracy systemu z jakiego utracimy dane na skutek awarii
BWO - “Okno backupowe”, czas potrzebny na wykonanie kopii
Retencja - Okres przechowywania na nośnikach
Koszty przestoju i koszt technologii
Pieniądze
Czas
Koszt technologiiStraty wynikające z przestoju systemu
Systemy macierzowe i klastroweSystemy macierzowe
Zabezpieczają przed skutkami awarii dysku, kontrolera
Pełna nadmiarowośćRównoległa struktura połączeń
Systemy klastroweSzerszy zakres ochronyEliminacja “single point of failure”Ułatwienie zarządzania – w sensie np.
wymiany węzłów
Prędkości transmisji Czas przesłania 1TB danych w [min]:
10Mbps – 13653,33100Mbps – 1365,333SAN FCP (scsi-3) 2Gbps – 68,27OC -255 ATM 13,21 Gbps – 10,34SAN + DWDM 200 Gbps – 0,68
Nie zapominajmy o prędkości samych dysków – w przypadku pojedynczego SSD jest to max 500MB/s przy sekwencyjnym odczycie i maks. 20 000 IOPS dla odczytów losowych przy blokach 4K
Tworzenie planów
BWORPORTO
Start projektu
Analiza procesów
Analiza ryzyka
Opisy procesów, tworzenie procedur
Plany odtwarzania
Sposób ochronydanych
TESTYZarządzaniezmianami
PodsumowanieZapora ogniowa System IDSFizyczna ochrona danych i
archiwizacjaPlany na wypadek awarii