079 Securitatea Retelelor Varianta PDF V3

7/31/2019 079 Securitatea Retelelor Varianta PDF V3

1/43

1

Securitatea reelelor Microsoft

Concepte generale

Securitatea reelelor de calculatore este un subiect destul de complicat dar

foarteactual,ncondiiilencare, dincen ce mai multe persoane au acces lacalculatoare conectate n reea i la resursele distribuite n diferite reele decalculatoare. Nu numai administratorii ci i utilizatorii trebuie s fie interesai desecuritatea reelelor, s neleag riscurile i s aplice cele mai potrivite soluiipentru asigurarea securitii datelor i a transmisiilor de date. Securitateareelelor i a calculatoarelor care le compun se refer la datele pstrate,inclusiv mesajele e-mail, baze de date cu coninut confidenial, tranzacii icomponente de tranzacii de tipul e-commerce. Pentru c tot mai mulispecialiti IT sunt preocupai de asigurarea securitii reelelor de calculatoareau aprut organizaii specializate. SANS (http://www.sans.org) este lider n

cercetarea, certificarea i instruirea n domeniul securitii informaiei. InstitutulSANS (SysAdmin, Audit, Network, Security) a fost nfiinat n 1989 caorganizaie de cercetare i colarizare. El pune la dispoziia celor interesaicunotinele i experiena profesionitilor n securitate IT. Buletinele informative,rezumate ale studiilor i cercetrilor, alerte de securitate identificate suntinformaii gratuite i sunt ntotdeauna o surs de inspiraie pentru rezolvareaproblemelor i a incidentelor de securitate.

Evaluarea gradului de protecie a unei reele sau a unui calculator pornete dela identificarea ameninrilor i a vulnerabilitilor: ameninrile sunt pericole

care pot influena buna funcionare, iar vulnerabilitile sunt punctele slabe princare se pot exercita atacuri att din interiorul ct i din exteriorul reelei. Celemai comune ameninri, care gsesc din pcate i bree de securitate,respectiv vulnerabiliti prin care pot manifesta, sunt: furtul de date, furtul decoduri surs ale aplicaiilor aflate n dezvoltare, furtul de identitate prin folosireainformaiilor i a datelor cu caracter privat ca urmare a expunerii acestora ntr-un mod necontrolat, instalarea i lansarea n execuie a software-ului maliiosi, nu n ultimul rnd, dezastrele naturale.

Asigurarea securitii folosete conceptul de management al riscurilor cu scopul

de a gsi cele mai bune rspunsuri i reacii n faa ameninrilor cunoscute.Managementul riscurilor are la baz studiul atent al criteriilor i condiiilor deapariie a riscurilor, impactul ameninrii asupra reelei i a calculatoarelor careo compun, valoarea estimat a pagubelor i costurile implementrii soluiilorcare pot asigura securitatea. n urma unei astfel de evaluri se poate decidecare este rspunsul cel mai bun n faa ameninrilor i care sunt cele mai bunereacii la apariia incidentelor de securitate.
http://www.sans.org/http://www.sans.org/http://www.sans.org/


2/43

2

n domeniul reelelor de calculatoare, securitatea se refer la adoptarea dectre administratorul de reea a celor mai potrivite strategii, care s protejezereeaua i resursele accesibile prin reea fa de accesul neautorizat. n plus,administratorul de reea va avea grij s msoare i s monitorizeze periodiceficiena sau lipsa de eficien a msurilor implementate.

Un posibil scenariu de securitate a reelelor ncepe cu autentificareautilizatorilor, n mod normal prin folosirea unui cont de utilizator i a unei parole.Parola este ceva ce utilizatorul tie, cunoate i se spune despreautentificarea de acest tip c este o autentificare cu un singur factor.Autentificarea prin doi factori folosete n plus ceva ce are utilizatorul, cum arfi un jeton, un card, un telefon mobil. Autentificarea prin trei factori cuprinde iceva ce este utilizatorul: amprenta digital sau palmar, imaginea scanat aretinei, amprenta vocal. O dat autentificat, ar trebui s intre n funciuneprocedurile i politicile de acces prin care utilizatorul este autorizat sfoloseasc numai anumite resurse i servicii disponibile n reea. Autentificareai autorizarea utilizatorilor nu sunt suficiente n faa unui software maliios trimisprin reea, cum sunt viruii, viermii, caii troieni. Protecia antivirus i sistemelede detecie a intruziunilor ar putea fi o soluie bun n acest caz. Ar mai finevoie de proceduri specializate pentru monitorizarea traficului de date n reea,

n cutarea traficului neateptat i pentru identificarea comportamentuluineobinuit, chiar bizar, al unor servicii sau aplicaii. Evenimentele trebuie

jurnalizate i analizate ulterior. Se ntmpl s fie nevoie cteodat detransmisii criptate de date ntre calculatoare din reea, cu scopul de a asigura

confidenialitatea informaiilor.Securitatea reelelor este o component a sistemului de securitate a informaiei.Securitatea informaiei se refer n general la protejarea informaiei i asistemelor informatice fa de accesul neautorizat, utilizarea, expunerea,modificarea i distrugerea informaiei. Securitatea are n vedere asigurareaconfidenialitii, integritii i a disponibilitii informaiei. Procedurile istrategiile de securitate implementate au rolul de a specifica administratorilor iutilizatorilor n general cum s foloseasc aplicaiile i echipamentele astfel

nct s asigure securitatea informaiei la nivelul organizaiei.


3/43

3

Aprarea n profunzime i managementul riscului

Informaia trebuie protejat pe toat durata de via, de la obinere pn lautilizarea ei final, complet. Ea va fi protejat cnd se afl n micare, la fel cai n varianta static. Informaia poateparcurge mai multe stadii de prelucrare iva trebui s fie protejat i n timpulprelucrrii.

Robusteea oricrui sistem este egal cucea a verigii celei mai slabe. Folosindstrategia aprrii n profunzime, dac oprocedur de aprare nu este suficientpentru a asigura protecia datelor, atunciurmtoarea va putea oferi proteciaateptat.

n sens larg, procesul de management alriscului const din:

1. identificarea i estimarea valorii bunurilor care au legtur cu informaia,cu pstrarea i folosirea ei n siguran. Se includ aici: persoane,

ncperi i cldiri, componentele hardware, cele software, datele nseleindiferent de forma n care sunt pstrate format electronic, tiprituri,manuscrise.

2. evaluarea ameninrilor: condiii de for major identificabile, accidente,acte de rea voin care i au originea n interiorul sau n exteriorul

organizaiei.3. evaluarea vulnerabilitilor i, pentru fiecare vulnerabilitate identificat,

estimarea probabilitii ca aceast vulnerabilitate s fie exploatat,folosit; va fi nevoie i de identificarea i evaluarea politicilor,procedurilor, standardelor care ar putea fi aplicate n calitate decontramsuri asociate vulnerabilitilor identificate.

4. calcularea impactului pe care l are fiecare vulnerabilitate asuprabunurilor; va fi folosit analiza cantitativ i calitativ.

5. identificarea, selectarea i implementarea contramsurilor potrivite:politici, proceduri de securitate.

6. evaluarea eficienei aplicrii politicilor i procedurilor de securitate;aplicarea msurilor de securitate nu ar trebui s afecteze productivitateamuncii i nici desfurarea n bune condiii a activitilor curente aleorganizaiei.


4/43

4

Unele riscuri ar putea fi acceptate, pornind de la valoarea mic a bunurilorafectate de acel risc, de la frecvena mic de apariie a unui anume risc i de laimpactul nesemnificativ asupra desfurrii activitilor organizaiei. Altele pot fidiminuate, atenuate prin alegerea i implementarea celor mai potriviteproceduri i politici de securitate. n anumite situaii riscurile pot fi transferateprin externalizarea unor operaii i activiti sau prin asigurarea bunurilor

implicate prin polie de asigurare.Riscurile pot fi diminuate, atenuate prin implementarea procedurilor, politicilor, amsurilor de securitate.

Nivelulmsurilor desecuritate

Descriere

Administrativ

Controlul administrativ const din documente scrise careconin politicile, procedurile, standardele, ghidurile aprobatede ctre managementul organizaiei. Ele formeaz cadrul ncare se desfoar toate activitile organizaiei respective.Documentele informeaz asupra modului n care sedesfoar activitatea curent, asupra regulilor iregulamentelor aflate n vigoare. n astfel de documente artrebui s apar, de exemplu, regulile de folosire a parolelor,regulile de utilizare a echipamentelor i a componentelorsoftware, mpreun cu eventualele sanciuni aplicabile nsituaia nerespectrii lor.

Software

Msurilor aplicabile prin componente software sunt cele princare poate fi monitorizat (supravegheat) i controlat accesulutilizatorilor la informaiile de orice fel i la calculatoare.Controlul accesului poate fi implementat prin: parole,proceduri sau servicii de tip firewall, sisteme pentrudetectarea intruziunilor n reea, liste de tip ACL (Access

Control List vezi permisiuni la fiiere, foldere, obiecteActive Directory), proceduri pentru criptarea datelor i atransmisiei de date, proceduri pentru securizareadocumentelor (vezicriptarea fiierelor).Msuri de securitate importante sunt cele implementate caefect al principiului privilegiul cel mai mic. Conformacestui principiu, oricrei persoane, program sau processistem nu i se vor acorda dect privilegiile minime, suficiente


5/43

5

pentru rezolvarea sarcinilor. Un exemplu de abatere de laacest principiu este reprezentat de deschiderea de sesiunefolosind un cont cu privilegii de administrare doar pentrucitirea mesajelor e-mail i navigarea prin Internet. Un altexemplu este cel al unei persoane (cont utilizator) care aacumulat n timp anumite privilegii acordate cu titlul temporar

dar care nu i-au fost retrase, poate niciodat. Un caz similareste cel al persoanelor crora li s-au schimbat sarcinile deserviciu sau au promovat i care cumuleaz privilegiilevechi cu cele noi, acolo unde, n fond, nu ar fi de dorit aaceva.

Fizic

Msurile aplicabile la nivel fizic se refer la posibilitile demonitorizare (supraveghere) i control al accesului

persoanelor n cldire, n ncperile unde sunt depozitatesursele de informaii i nu n ultimul rnd la calculatoare.Separarea sarcinilor este o regul care merit avut nvedere. De exemplu, un programator nu ar trebui s fie nacelai timp i administratorul unui server sau al unei bazede date: sunt roluri, respectiv responsabiliti, care trebuieseparate unele de altele.

Securitatea reelelor este guvernat de trei principii fundamentale:

I. Aprarea n profunzime

Aprarea n profunzime este definit drept o combinaie de operaii,persoane (execut operaiile) i tehnologii legate de securitate reelei.

Aprarea n profunzime presupune existena mai multor niveluri deaprare, de protecie. Un singur nivel de protecie este de cele maimulte ori insuficient. n eventualitatea existenei mai multor straturi sau

niveluri de protecie, dac unul dintre ele este spart, atunci celermase vor putea oferi pe mai departe protecia necesar.

II. Privilegiul minim

Privilegiul minim este acordarea unui minim de privilegii pentru fiecareutilizator al resurselor reelei. Privilegiile maxime induc vulnerabiliti,poteniale bree de securitate care pot fi fructificate.

III. Minimizarea suprafeei de atac


6/43

6

Minimizarea suprafeei de atac se refer la existena unui numr ctmai mic de puncte care ar putea fi exploatate de un intrus atacator,fie el din interior sau din afar.

Securitate unei reele seobine prin implementareaunui proiect de securitate.Proiectul are n vedereconstruirea unei strategii desecuritate, n care vor fidefinite i proiectateprocedurile de securitate celemai potrivite pentru protejareareelei. Implementarea acestor proceduri va asigura securitatea reelei.

Bunurile care vor fi protejate prin aplicarea politicilor i a procedurilor desecuritate sunt plasate n locuri diferite i se prezint n forme di ferite. Proiectulde securitate al reelei va trebui s cuprind politici i proceduri care sprotejeze fiecare arie de reea fade ameninrile i vulnerabilitile identificate

n aria respectiv.

Ameninri

Ameninarea este pericolul sau vulnerabilitatea care se poate materializa la unmoment dat. Ameninrile vin din direcii diferite: de la un atacator care tiefoarte bine ce vrea s obin, de la aplicaii prost sau insuficient configurate, dela utilizatori care i depesc ndatoririle. Ameninrile se materializeaz uneori

n atacuri.Atacurile au motivaii din cele mai diverse: rzbunare, spionaj, publicitate,satisfacie personal (inclusiv hobby), terorism.

Cele mai multe ameninri, respectiv atacuri, survin pe fondul unorvulnerabiliti comune, obinuite:

parole slabecnd nu se folosesc deloc parole, parolele folositesunt cele implicite sau unele predictibile;

software neupgradat nu s-au aplicat corecii de securitate (patch-

uri) pentru vulnerabiliti cunoscute; hardware i software incorect configurat utilizatorii au preamulte privilegii, aplicaiile ruleaz folosind un cont sistem;

inginerii sociale dintre ingineriile sociale cea mai simpl esteresetarea parolei de administrare sau a altei parole, ca urmare a uneicereri venite prin telefon de la o persoana creia nu i se verificidentitatea;


7/43

7

securitate slabla conexiunile la Internet porturile nefolosite nusunt securizate, router, switch, firewallsunt folosite impropriu.

transfer necriptat de date pachetele ce compun operaiile deautentificare circul n clar n reea sau date importante sunt transmisenecriptat prin Internet.

De cele mai multe ori atacurile se desfoar respectnd acelai model:1. amprentarean acest stadiu atacatorul studiaz reeaua. Va obine

toate informaiile public disponibile, despre organizaie, conducere,angajai, va scana porturile pe toate calculatoarele la care poateajunge, va accesa toate resursele disponibile prin Internet.

2. penetrarea Dup identificarea i localizarea vulnerabilitilorurmeaz ncercarea, testarea accesului la reea i la resursele dinreea. Cel mai expus loc: serverul de web.

3. evaluarea privilegiilor dup penetrarea reelei are loc evaluareaprivilegiilor: atacatorul ncearc s obin privilegii de administrare saude nivel component a sistemului. Eventual ncearc folosirea unuicont sistem pentru crearea unui cont nou de utilizator cu privilegii deadministrare. De multe ori configurarea implicit i las atacatoruluisuficient libertate pentru a obine acces n reea fr prea mult efort.

4. exploatarea dup obinerea privilegiilor necesare, atacatorulexploateaz situaia

5. tergerea urmelorn final atacatorul va ncerca s-i tearg urmele

spre a nu-i fi detectate aciunile. Vor fi terse conturile create i intrrilerelevante din jurnale.

Posibilitatea de a anticipa ameninrile este de mare ajutor n identificarea iimplementarea regulilor de securitate care vor proteja reeaua. Ameninrile seschimb suficient de des, cel puin n aceeai msur n care se schimb itehnologiile. Modelul ameninrilor este tehnica folosit pentru anticipareaaciunilor care ar putea fi ntreprinse de un potenial atacator n lipsa msurilorde securitate. Modelul ameninrilor este n fond o abordare structurat careidentific breele de securitate, lacunele msurilor de securitate aplicate la un

moment dat. Ameninrile descoperite vor sta la baza planului de managemental riscului: anticipnd ameninri posibile se poate opera n direcia reduceriiriscurilor. Pentru identificarea ameninrilor la adresa securitii reelei i ainformaiilor se vor folosi diagramele reelei, informaii despre configurrilespecifice ale calculatoarelor (hardware i software) ca i cele relative laconfigurarea aplicaiilor. n plus, sunt de folos diagrame care identific fluxuldatelor / documentelor.

Ameninrile, oricare ar fi ele, respect modelul STRIDE:


8/43

8

S T R I D E

Spoofing Pcleal, neltorie

Tampering Falsificare, corupere

Repudiation Nerecunoatere, renegare, refuz, negare

Informationdisclosure

Divulgare, dezvluire de informaii

Denialofservice

Refuzarea serviciului

Elevationof

privilege

Ridicarea, creterea privilegiilor

Analiza riscurilor

Riscul este posibilitatea de a suferi o pierdere pentru care se calculeazimpactul, importana i dimensiunea pagubelor care pot rezulta. Managementulriscului este procesul prin care sunt identificate i analizate riscurile la care seadaug planul de operaii care previn riscurile i reduc pagubele. Analizariscurilor cuprinde o component calitativ i una cantitativ.

Analiza calitativ este cea care evalueaz impactul i importana pierderilorprovocate. De cele mai multe ori, analiza calitativ are loc prin estimareaprobabilitii ca ameninarea s se produc i prin evaluarea importanei, aimpactului evenimentului. nmulind probabilitatea cu impactul (importana) seobine riscul relativ, folosit n vederea ordonrii riscurilor dup prioriti sauimportan.

Analiza cantitativ se refer la msurarea pagubelor, eventual exprimarea lorfinanciar. n aceeai categorie intr i evaluarea costurilor necesare pentrureducerea probabilitii de materializare a unei ameninri i respectiv, celepentru diminuarea pagubelor.

Bunurile care au nevoie de protecie prin aplicarea msurilor de securitate sunt:


9/43

9

Tip ExempleEchipamente hardware Calculatoare desktopi laptop-uri

Rutere i switch-uriMediile de comunicaii i cele folosite pentru salvri (backup)

Componente software CD-uri sau DVD-uri folosite pentru instalarea sistemelor deoperare i a aplicaiilorImagini ale sistemelor de operare care pot fi transferate de laun calculator la altul

Aplicaii, fiiere cu comenzi, proceduriDocumentaie Politici i proceduri legate de securitate i de implementarea

regulilor de securitateDiagrame i planuri ale reelei i ale cldirilor unde estedesfurat reeaua

Date Informaii despre angajaiInformaii despre clieni i furnizoriOrice alte informaii specifice

Informaiile folosite i cele transmise nafar pot fi ordonate dup gradul lor deexpunere ctre exterior:

Strategie Definiie Exemplu

Acceptare Riscul exist i va fiacceptat ca atare

Nu va fi ntreprins nimic special

Atenuare Va fi redus expunerea larisc

mpotriva viruilor va fi folosit un produsantivirus

Transfer Responsabilitatea asuprariscului va fi transferatmcar parial asupra alteipri

Pentru gzduirea unui websiteva fi gsit unpartener care s i asume ridcul

Eliminare Riscul va fi eliminat, anulatprin eliminarea expuneriiresursei

Oprirea din funciunea site-ului webdac nupoate fi asigurat protecia datelorconfideniale

Secret

Confidential

Privat Public


10/43

10

Schi de securitate pentru resurse fizice

Un atacator care are acces la resursele fizicecalculatoare, cldiri, ncperileserverelorar putea penetra foarte uor reeaua i ar putea avea acces nmod implicitla informaiile confideniale i secretele organizaiei. Securizareaaccesului fizic necesit preocupare i efort! Succesul proteciei la nivelulresurselor fizice se traduce n fapt prin securizarea accesului la resurse.Protecia software nu mai este suficient dac atacatorul are acces fizic lacalculatoare sau la componentele reelei. Din acest motiv vor fi protejate:cldiri, zone din interiorul cldirilor, conexiunile reelelor, echipamentelehardware. Fr protecie fizic, atacatorul ar putea ncrca un program caltroian care s trimit caracterele tastate (n primul rnd parole) undeva la olocaie din Internet.

Ameninrile obinuite la nivelul resurselorfizice sunt:

Furtul calculatoarelor

Instalarea aplicaiilor subversive Sabotarea infrastructurii

Instalarea de hardware i / sau software de ascultare a reelei iurmrire a aplicaiilor lansate n execuie de angajai

Protejarea resurselor fizice are loc prin securizarea calculatoarelor din reea ia accesului la ele. Calculatoarele portabile au nevoie de un tratament special,fiind cele mai vulnerabile la furt i sabotaj. Nu n ultimul rnd ar trebui tratatepierderile datorate dezastrelor fizice: cutremure, incendii, inundaii, vandalism,

terorism, etc.Exist mai multe metode de protecie; alegerea uneia sau a alteia se va facecomparnd costurile i gradele de securitate obinute prin diferitele metode:

Angajarea paznicilor

Folosirea ecusoanelor de identificare, a legitimaiilor, insignelor,cardurilor de acces, etc.

Supravegherea video

Folosirea unei singure ci de acces att pentru intrare ct i pentru

ieirea din incinte, inclusiv cldirea principal Protejarea cablurilor pentru a nu fi ascultate sau redirecionate

Aezarea monitoarelor i a tastaturilor departe de ferestre

tergerea tablelor din slile de conferin, de ntlnire, de instruire, etc.

Stabilirea unor reguli stricte n situaia mutrii calculatoarelor dintr-oreea n alta


11/43

11

Eliminarea din calculatoare a unitilor de CD, DVD, i a dischetelor

instalarea de ncuietori (lacte)

Restricionarea accesului n camerele serverelor i acolo unde suntarhive

Restricionarea accesului la reeaua locala LAN din spaiile publice:holuri, secretariate, bufete, sli de conferin. etc.

Calculatoarele portabile, ca i celelalte echipamente mobile, au nevoie detratament i atenie speciale. Sunt folosite din ce n ce mai mult n vedereaconectrii la reelele organizaiilor i la reeaua Internet. Chiar dac utilizatoriinu pstreaz informaii secrete pe aceste echipamente, ele pot deine informaiide autentificare ce ar putea fi exploatate de atacatori (ex.: nume de utilizatori iparole, certificate). Calculatoarele portabile sunt dotate cu interfee wireless802.11. Conexiunile wireless nesecurizate ofer vulnerabiliti, mai ales nlocuri publice aglomerate cum sunt aeroporturile, slile de conferin, etc.

Planul de recuperarea datelor n urma incidentelor deosebite ar putea avea nvedere urmtoarele:

Pstrarea seturilorbackupn afar sediului organizaiei

Existena dublurilor pentru servere i date (redundan)

Schi de securitate pentru computere

Ciclului de via al unui calculator i se pot aplica modele de securitate, care s

prevad operaii sigure i corecte. Ameninrile la care sunt expusecalculatoarele pe durata ciclului de via sunt:

instalarea iniial: lipsa proteciei antivirus, configurri incorecte, paroleslabe pentru conturile de administrare

configurrile iniiale de securitate: folosind machete neverificate,machete implicite (ex. machetele implicite de tipul SecutityTemplates)

configurrile suplimentare, n funcie de rolul ndeplinit de calculatoare:ar putea fi incorecte, insuficiente, incomplet testate

aplicarea actualizrilor de securitate pentru sistemele de operare iaplicaii: fr testri serioase

ncheierea activitii: atenie la echipamentele care pstreazinformaii, la hard discurile rmase i care pot fi refolosite cu reaintenie

Schia de securitate pentru calculatoare va face referire la toate stadiile cicluluide via al calculatoarelor:


12/43

12

instalarea va avea loc ntr-o reea izolat de cea propriu-zis

vor fi fcute actualizri ori ce cte ori va fi nevoie: upgrade, updatepentru servicepacks, patch, aplicaii, produse antivirus

regimul parolelor administratorilor va fi strict reglementat, la fel ca i celal tuturor utilizatorilor

se vor folosi fiiere cu comenzi pentru instalarea i configuraresistemelor de operare, a aplicaiilor i serviciilor

vor fi folosite imagini sigure ale sistemelor de operare sau reinstalri oride cte ori este nevoie

se va folosi dac este posibil - RIS (Remote Installation Service)pentru instalarea i configurarea automat a sistemelor de operare i aaplicaiilor

instalarea, configurarea i actualizrile vor fi fcute de o persoan de

ncredere

Schi de securitate pentru conturile utilizatorilor

Conturile sunt folosite cu scopul de asigura accesul utilizatorilor la resurselereelei. Numai utilizatorii cunoscui i a cror identitate poate fi verificat voravea acces la resursele reelei. Fiecrui utilizator i corespunde un contutilizator i o parol. Dac un intrus atacator obine acces la un cont privilegiatatunci va obine acces autorizat la resursele reelei. Conturilor utilizatorilor lesunt asociate aciunile pe care ei le pot ntreprinde: utilizatori diferii au nevoiede reguli de securitate diferite:

Utilizatori externi utilizatori anonimi care au acces la serviciile Webcu aspect public, utilizatori Webautentificai, care au acces la site-urileWebprotejate, utilizatori parteneri

Utilizatori interniangajai i conducere (personalul organizaiei), decele mai multe ori utilizatori neprivilegiai

Administratori utilizatori cu privilegii administrative, conturi folosite deservicii, aplicaii, componente sistem, administratori ai datelor,administratori ai serviciilor

Conturile utilizatorilor dobndesc privilegii din urmtoarele surse:

Drepturiuser rights

Permisiuni la resurse (ACL, DACL)

Aria de vizibilitate - conturi locale, conturi n domeniu

Apartenena la grupuri


13/43

13

Privite astfel vulnerabilitile principale ale conturilor sunt:

Parolele prea slabe, identice pentru mai multe conturi, nemodificatela timp, pstrate local, scrise pe hrtiei uitate

Privilegii prea mari i prea multe pentru utilizatori n raport cusarcinile i aciunile lor

Folosirea conturilorcontul Administrator folosit atunci cnd nu estenevoie, conturi active chiar dac nu mai sunt folosite

Schia de securitate pentru conturi, inclusiv cele din domeniu, se va construipornind de la premiza c fiecrui cont i sunt asociate numai acele privilegiicare i sunt strict necesare. n acelai timp, fiecare cont va fi folosit numai nscopul pentru care a fost creat.

A_G_DL_P (Account, Global Group, Domain Local, Permissions) estemodelul preferat de Microsoft pentru asocierea permisiunilor ndomeniu.

La asigurarea drepturilor i a permisiunilor se vor folosi rolurilendeplinite de persoane n organizaie.

Pentru pstrarea consistenei grupurilor se va folosi RestrictedGroups

Securitatea va fi controlat i gestionat centralizat

Pentru construirea schemei de securitate sunt importante nivelurile dencredere acordate utilizatorilor (persoane), respectiv:

Cine gestioneaz conturile i parolele? Cine obine informaii despre conturi i respectiv cine cunoate

informaiile nscrise n conturile utilizatorilor?

n general, se recomand crearea unor proceduri bine descrise i structurate(eventual chiar fiiere script) pentru:

crearea / tergerea conturilor, distribuirea parolelor, monitorizareacrerii noilor conturi i a blocrii / tergerii celor nefolosite.

atribuirea drepturilor i a permisiunilor

n plus, administratorii vor fi ateni la: apartenena la grupuri (Restrictedgroups), folosirea conturilor administrative i a condiiilor n care sunt folositeconturile cu privilegii administrative. Se recomand folosirea pentruadministrare a procedurilor Terminal Servicen mod RemoteAdministrationsau a modului de lucrurunas.


14/43

14

Schi de securitate pentru autentificarea utilizatorilor

Autentificarea valideaz corectitudinea informaiilor de acreditare (credentials)pe care le posed un utilizator. Pentru reelele Microsoft Windows, metodele deautentificare difer n funcie de locul i modul n care un cont acceseazreeaua.

Proiectul de securitate referitor la autentificare va trata toate tipurile deautentificri folosite n reea, inclusiv aplicaiile care folosesc propriileprotocoale de autentificare. Autentificrile sunt diferite n funcie de modul ncare utilizatorul se conecteaz la reeaua local LAN: direct, de la distan(remote), sau prin Internet.

Vulnerabilitile cele maicunoscute sunt:

parole transmise n clar (necriptat)

parole interceptate de programele cal troian

software mai vechi care folosete metode slabe de autentificare criptri slabe

interceptarea pachetelor de autentificare

Cerinele de autentificare vor fi determinate pornind de la:

1) identificarea cerinelor de autentificare n funcie de sistemul deoperare folosit (Windows 95, Windows 98, Windows XP, 2000,Windows Vista, Windows 7, etc.)

2) identificarea cerinelor de compatibilitate ale aplicaiilor

3) strategia impus pentru autentificare

Protocoalele folosite de sistemele de operare Microsoft Windows pentruautentificare sunt:

LAN Manager Folosit de sisteme de operare mai vechi;

Nesigur;

Folosete challenge and response;

NTLM Folosit de sistemul de operare Windows NT 4.0;

Folosit de sistemele de operare Windows 2000 siurmtoarele pentru conturile locale;

Folosete challenge and response;


15/43

15

NTLM v.2 Apare la Windows 95 i urmtoarele;

Este un NTLM mai sigur, prin adugarea securitii la nivelde sesiune i a criptrii;

Autentific mutual clientul i serverul;

Kerberos Folosit pentru conturile din domeniu, ncepnd cu Windows2000:

Autentific mutual clientul i serverul;

Accept smart card;

Serviciul IIS 5.0 (Web) este responsabil de autentificarea utilizatorilor nurmtoarele condiii:

anonim Permite accesul utilizatorilor la site-ul Web fr s fienecesar prezentarea informaiilor de acreditare, ianume fr ca utilizatorul s se identifice prin nume iparol. Toi utilizatorii anonimi vor fi n fapt autentificaidrept IUSR_NumeServer.

de baz (basic) Trimite numele i parola n clar prin reea (necodificat,necriptat). Ca s poat folosi acest mod deautentificare, utilizatorul trebuie s poat face log onlocal la serverul IIS. Toate browser-ele Web admitautentificarea basic; poate fi folosit i cu servereproxy.

Se recomand folosirea acestei forme de autentificarenumai mpreun cu SSL(Secure Socket Layer).

prin rezumat(digest)

Folosete nume i parol la care se adaug o valoarealeatoare pentru crearea unui hash care va

mbunti autentificarea nmodel basic. Serverul IIS

trebuie s fie membru al domeniului; conturileutilizatorilor din domeniu care vor avea acces la siteau proprietatea parole pstrate n Active Directoryfolosind criptarea reversibil (reversibleencryption).


16/43

16

integrat Windows Un calculator pe care ruleaz IE 4.0 sau superiorasigur automat autentificarea utilizatorului: suntfolosite numele i parola pstrate n cache.

Implicit IIS 5.0 folosete Kerberos, dar va folosi i

NTLM dac autentificarea prin Kerberos eueaz.Nu poate fi folosit cu proxy.

Prin certificate Utilizatorul sau calculatorul se vor autentifica laserverul Webprin folosirea unei chei private asociatecertificatului X509. Certificatul este asociat (map)unui cont utilizator local sau din domeniu.

Este cea mai sigur metod de autentificare pentruserverele IIS 5.0

Autentificarea utilizatorilor aflai la distan (remote) este necesar n condiiilefolosirii conexiunilor prin linii telefonice (dial-up) sau prin VPN (Virtual PrivateNetwork reea virtual privat). Pot fi folosite urmtoarele protocoale deautentificare:

CHAP Challange Handshake Authentication Protocol, protocolde autentificare de tipulchallenge response.

Folosete pentru hash algoritmul Message Digest 5(MD5); Hash=aopti, a tcea, a sta linitit; acest algoritmcodific rspunsul la provocarea pe care o lanseazserverul aflat la distan (fat de utilizator).

Parola trebuie pstrat n Active Directory folosindcriptarea reversibil (reversible encryption), ceea ceintroduce vulnerabiliti. Pe de alt parte, CHAP nupermite criptarea datelor.

MS-CHAP Similar cu CHAP; nu cere ca parola s fie accesibil princriptare reversibil.

MS-CHAP v.2 Include: autentificarea mutual, chei separate pentrutrimitere i recepionare, chei de sesiune generateautomat, pornind de la parola utilizatorului.


17/43

17

EAP-TLS Extensible Authentication Protocol Transport LayerSecurity; ofer: autentificare, integritatea datelor,confidenialitate; folosete autentificarea mutual,negocierea algoritmilor de criptare; transmiterea /recepionarea cheilor de sesiune este sigur; esteasigurat integritatea mesajului.

Poate fi folosit mpreun cu cardurile smart card i estecel mai sigur protocol de autentificare.

Autentificarea multifactor este tipul de autentificare prin care i se cereutilizatorului s ofere mai multe informaii de acreditare (credentials), cum ar fi:coduri de acces (PIN) , componente fizice (chei, jetoane), informaii biometriceindividuale (voce, amprente). Autentificarea multifactor crete siguranaaccesului i a lucrului n reea. Este recomandat mai ales pentru utilizatorii de

la distan, acolo unde verificarea identitii lor nu este posibil. Este evidentutilitatea acestor metode pentru conturile care au privilegii de administrare, canivel suplimentar de securitate.

Schi de securitate pentru date

Securitateadatelor se definete i prin controlul asupra modului n care are locaccesul la date. Controlul se exercit prin asignarea permisiunilor. Potenialiiatacatori ar putea, n anumite condiii, s suprascrie permisiunile pentru acontrola ei accesul la date. Pentru controlul accesului la resurse se folosescdou tipuri de informaii: jetoanele software de acces ale utilizatorilor i listeleDACL/ACL (Discretionary Access Control List): jetoanele indic n generaldrepturile utilizatorilor, DACL/ACL arat permisiunile la obiectele din ActiveDirectoryi la cele din sistemul de fiiere NTFS, respectiv, dosare i fiiere.

Cnd utilizatorul este autentificat, calculatorul pe care acesta l folosete vaprimi i va pstraun jeton care conine: identificatorul de securitate al contuluiutilizatorului (SID), identificatorii SID ai fiecrui grup (local sau din domeniu) dincare face parte utilizatorul i lista drepturilor de care dispune (user rights). nsituaia accesului la o resurs, SID-urile din jeton se compar cu celeDACL/ACL asociate resursei.

Datele (informaiile) dintr-o organizaie sunt vulnerabile fa de ameninriinterne i externe, provenite de cele mai multe ori prin:

incorecta configurare a permisiunilor

insuficienta securitate fizic a datelor i a accesului la suporturile dedate

stricciuni aduse datelor (alterare, criptare incorect)


18/43

18

Configurarea la nivel fizic i logic a securitii datelor va ncepentotdeauna de la asigurarea minimului de permisiuni de acces la date pentrutoi utilizatorii, respectiv pentru fiecare dintre ei: utilizatorii vor avea un minimde permisiuni, suficientnumai pentru exercitarea atribuiilor de serviciu.

A_G_DL_P este un modelul folosit pentru implementarea securitii pornind dela rolurile ndeplinite de utilizatori ntr-o organizaie. Modelul plaseaz conturi ngrupuri, grupurile n alte grupuri (locale domeniului) i le asociaz acestora dinurm permisiuni i dac este cazul drepturi.

Permisiunile NTFS funcioneaz cnd un utilizator acceseaz resurse aflate peun volum NTFS; volumul poate fi local sau la distan. Permisiunile de partajareau efect cnd este vorba de date aflate n reea, la distan fa de utilizator.

Toate obiecteledosare i fiiere aflate n componena unui volum NTFS auun proprietar, care are ntotdeauna permisiunea de a controla permisiunileasociate acelei resurse. Aceast posibilitate a proprietarului ar putea fi o arm

subversiv n politica de securitate.Efs encrypted file system este un instrument puternic n protejarea isigurana datelor. Folosit incorect ns, poate face ca utilizatori legitimi s numai poat avea acces la datele de care au nevoie. Acolo unde exist politicireferitoare la criptarea datelor trebuie s existe i unele pentru recuperareadatelor criptate.

Schia de securitate a transmisiei de date

Datele sunt vulnerabile i pe timpul transmiterii; vulnerabilitile cele mai

cunoscute n aceast situaie sunt legate de execuia a unor operaiiruvoitoare:

Monitorizarea neautorizat areelei i a traficului de datedin reea

Observarea traficului de autentificareCitirea pachetelor e-mailObservarea traficului de managementCitirea pachetelor de criptare wireless

Pclal (Spoofing) Identificarea i folosirea abuziv a adreselorIP pentru a face ca pachetele s par a fitransmise din reeaua local

Falsificarea pachetelor ICMPTrimiterea de e-mail-uri falsificateModificarea (alterarea)datelor

Interceptarea i modificarea datelor

Denial of service (negareaserviciului)

Inundarea unui calculator / serviciu cumesajeFolosirea mai multor calculatoare care trimitmesaje inundnd reeaua.


19/43

19

Schia de securitate pentru transmiterea datelor are ca punct de plecaresecurizarea comunicaiilor prin reea, nivelurile modelului cu patru straturi(niveluri) implementat de protocolul TCP/IP. Fiecare nivel este vulnerabil n felulsu; pe de alt parte nu tot traficul trebuie securizat ntotdeauna.

Metode de securizare recomandate

aplicaieSecure Socket Layer (SSL), Transport Layer Security(TLS), S/MIME (Security Multiuse Internet MailExtensions, 802.1x

reeaIPSec

Tunel IPSec

Legtura de dateSwitch-uri n loc de hub-uri

Autentificare la nivel de port

fizic

Securitate strict la nivel fizic: ncperi, cabluri,echipamente, incinte

Restricii de acces la reeaua LAN din zone de accespublic

Securitatea reelei perimetru

Terminologiadin domeniul securitii reelelor de calculatoare include termenul

de zon demilitarizat sau DMZ (demilitarized zone). DMZ este o subreeafizic sau logic care conine servicii cu vizibilitate extern: servere de web, demail, servere DNS. Reeaua DMZ se mai numete i reeaua perimetru, cu

nelesul c restul reelei, rmas dup decuparea zonei DMZ, este protejat,marcat printr-o frontier de securitate. Scopul existenei reelelor DMZ sauperimetru este cel de a aduga un nivel suplimentar de securitate pentrureeaua LAN a unei organizaii. Componentele din DMZ i numai ele suntexpuse ctre exterior. Pachetele de date dintre reeaua DMZ i reeaua LANvor fi filtrate pentru ca restul reelei s fie protejat de eventualele intruziuni ale

atacatorilor. Filtrele vor asigura comunicaia limitat, strict controlat, dintrecomponentele DMZ i componentele reelei LAN. Rolul de legtur intrereeaua DMZ i Internet, pe de o parte, i reeaua LAN pe de alt parte este

ndeplinit de serviciile firewall.

Reeaua perimetru (DMZ) conine:

conexiunile directe la Internet

legturi WAN dedicate


20/43

20

subreele ecranate, zone protejate special pentru c sunt expuseaccesului din reele publice

clieni VPN

conexiuni wireless

Vulnerabilitilecunoscute provin din aceea c perimetrul este zona cu ceamai mare expunere la reelele publice: Internet, acces de la distan,conexiuni cu birouri (filiale, sucursale) aflate la distan. Vulnerabilitileapar prin:

expunerea intenionat sau neintenionat a informaiilor despre reea:scanarea porturilor, TCP/UDP, scanarea perimetrului ICMP, analizapachetelor

controlul incomplet asupra infrastructurii: servere Web neautorizate,conexiuni uitate, clieni VPN necontrolai, aplicaii necontrolate

expunerea voluntar sau involuntar a calculatoarelor: urmrile suntatacuri asupra serviciilor, expunerea informaiilor despre conturi, viermie-mail, acces neautorizat la date, distrugerea datelor.

Perimetrul este, prin definiie, un loc unde ncrederea este limitat: sepresupune c zona nu este sigur, c poate fi oricnd atacat. Securitateaperimetrului se construiete cu un firewall sau paravan de securitate i cuechipamente hardware specializate. Soluia Microsoft pentru servicii de tipfirewalleste serverul Internet Security and Acceleration Server(ISA)

Exist urmtoarele tipuri de configurare a serverului firewall, respectiv de

constituire a perimetrului:

host bastion serverulfirewall este conexiuneaprincipal pentru accesulla Internet alcalculatoarelor dinreeaua intern. Cafirewall, calculatorulbastion este proiectat s le

apere pe celelalte mpotrivaatacurilor direcionate ctreinterior. Bastionul folosete douadaptoare de reea: unul conectat la reeaua intern, unul la reeauaInternet. Aceast configuraie izoleaz fizic reeaua intern de intruiidin Internet.


21/43

21

Configuraie cu trei dininumit cteodat i cu treipicioare - ofer utilizatorilor din

Internet acces limitat laresursele reelei, interzicndtraficul nedorit cu calculatoareledin LAN. Se folosete un firewallcutrei adaptoare de reea: unulconectat la LAN, unul la reeauaecranat, protejat (alta dect LAN) i al treilea la Internet. Izoleaztraficul intern i reeaua intern de Internet i permite accesul limitatdin Internet i din reeaua local la reeaua ecranat.

Configuraie spate nspate plaseazsubreeaua ecranat ntredou firewall-uri: unulconectat la Internet, cellaltla reeaua local, intern.Exist un singur punct deacces din Internet la reeaua

local i acela cere s treciprin dou firewall-uri.

Mecanismele de securitate implementate prin serviciile firewallsunt:

Filtrarea pachetelor

Reguli noi de rutare a pachetelor

Inspecia strii pachetelor

Gatewayntre aplicaii

Servicii publicate i care devin astfel disponibile n condiii controlatedin reeaua Internet

Autentificarea utilizatorilor n vederea accesului ctre exterior, ctrereeaua Internet

Detectarea intruilor, respectiv utilizatori din afar care ncearc accesla resursele protejate prin firewall


22/43

22

Reacii la apariia incidentelor de securitate

Securitatea reelelor este n fond un exerciiu de prevenire: evenimentelemajore ar putea s nu apar, dac activitatea de prevenire a avut loc i dactoate procedurile stabilite au fost aplicate corect. De multe ori ns, aprareaproiectat este strpuns de atacatori. n urma unui atac nu mai rmn dectminimizarea pagubelor, aprecierea rapid a urmrilor i rspunsul la apariiaincidentului. Procedura de rspuns se compune din paii de urmat dupapariia incidentului.

Auditul este modalitatea prin care se pot nregistra (nscrie, pstra)evenimentele petrecute deja. Jurnalele acestor evenimente pot releva informaiidespre atacuri ntreprinse asupra resurselor reelei.

Politica de audit a unei organizaii trebuie s includ rspunsuri la urmtoarelentrebri:

Ce tipuri de evenimente vor fi supravegheate (audit)?

Ce instrumente de audit se vor folosi?

Cum vor fi investigate evenimentele care au trezit suspiciuni?

Ct timp vor fi pstrate jurnalele?

Cine analizeaz evenimentele i ct de des?

Cum s fie pstrate dovezile?

Procedura de rspuns la incidente coninepaii i aciunile de ntreprins dupapariia incidentului. Scopul existenei procedurii este limitarea pagubelor i

ncercarea de a rspunde organizat, controlat i eficient la un incident petrecutanterior.

Planul de declanare a rspunsului este o activitate organizatoric carecuprindela rndul ei mai muli pai:

1) Constituirea i instruirea echipei care gestioneaz rspunsurile laincidente;

2) Dezvoltarea planului de comunicare: ntre membrii echipei i cuceilali angajai;

3) Construirea planului de identificare a atacului i, dac este posibil, aatacatorului;

4) Construirea i revizuirea periodic a politicilor;

5) Documentarea incidentelordup apariia lor;

Rspunsul la incidente va fi temeinic pregtit pentru a putea aciona deplin ieficient. Primul i cel mai important aspect al rspunsului va fi protejarea isigurana vieii oamenilor. Abia dup aceea va fi vorba despre: protejarea


23/43

23

informaiilor secrete, a celor confideniale, a altor informaii, protejareacomponentelor hardware i a celor software. La sfrit se va avea n vedereminimizarea pagubelor.

Echipansrcinat cu stabilirea i declanarea rspunsurilor la incidente desecuritate va fi compus din ct mai puini membri, pentru a asigura rapiditatei eficien n declanarea aciunilor. n general, membrii acestei echipe artrebui s poat ndeplini urmtoarele roluri:

specialist n securitateevalueaz i investigheaz incidentele desecuritate;ofer sfaturi i soluii

administrator reeleiofer informaii despre configuraia reelei i acalculatoarelor; particip la evaluareapagubelor;

conducereia decizii critice, de la caz la caz, privindrspunsurile la incidente i msura n careincidentele vor fi fcute publice;

consilier pentru problemelegislative

sftuiete conducerea cu privire la aciunilejudiciare i condiiile de desfurare;

Indiciile apariiei incidentelor de securitate sunt diferite i nu ntotdeaunasigure. Semne asociate posibilelor incidente pot proveni din mai multe locuri, ca

de ex.: Scderea performanelor reelei i a sistemelor n general;

Calculatoare care cad i se restarteaz misterios;

Conturi de utilizator folosite n condiii i la momente cel puin ciudate;

Creterea numrului de evenimente de audit nregistrate ntr-uninterval de timp;

Utilizatorii raporteaz incidente;

Apar informaii despre un nou virus; Software-ul specializat detecteaz intrui;

Dup detectare, incidentul va fi analizat. Cele mai importante informaii ce vorfi obinute prin analiz sunt:

Simptomelecum a aprut i cum se manifest atacul;

Originea care este punctul de origine i dac se poate face olegtur ntre originea incidentului i un prezumtiv atacator;


24/43

24

Punctul de intrarecum i pe unde a ptruns atacul, eventul dacexploateaz o vulnerabilitate cunoscut;

Inteniace intenioneaz atacatorul s obin i dac folosete vreunmodel pentru desfurarea atacului;

Gravitateacare sunt riscurile i ct de grave sunt, sau ar putea fi

mai trziu impactul i /sau pagubele; Expunerea ce sisteme au fost compromise prin expunerea la atac i

n ce constau pagubele

Limitarea pagubelorar trebui s fie rspunsul imediat i prompt:

Deconectarea de la reea a calculatoarelor (echipamentelor) afectate ia celor care dein date importante;

Deconectarea organizaiei de la Internet, blocarea unor porturi TCP /UDP;

Instalarea de componente de actualizare upgrade, patch, antivirus,componente pentru detectarea intruilor;

Schimbarea parolelor pentru utilizatori;

Schimbarea cheilor software;

Schimbarea componentelor de protecie fizic: ncuietori, lacte, chei,carduri de acces, etc.

Dup rezolvare, incidentul va fi documentat cu minuiozitate. Toate informaiileobinute prin analiz vor fi sistematizate spre a fi apoi introduse n noile politici

i proceduri de securitate, dac este cazul.


25/43

25

Evaluarea securitii reelelor de calculatoare

MBSA (Microsoft Baseline Security Analyzer)

Microsoft Baseline Security Analyzereste

unul dintre programele folosite pentruidentificarea problemelor legate desecuritate i a actualizrilor de securitatenecesare unui computer unde ruleaz unsistem de operare Microsoft. MBSAscaneaz configuraia hardware isoftware existent, identific posibilelebree de securitate i indic operaiile deexecutat n acest sens, inclusivactualizrile de care are nevoie sistemul. MBSA poate fi descrcat gratuit de pesite-ul Microsoft.

Cteva soluii Microsoft pentru securitateareelelor

EFS - Encrypting File System

Encrypting File Systemeste soluia pentru pstrarea sigur a datelor pe harddiscuri formatate NTFS. EFS permite utilizatorilor s-i cripteze propriile fiiere.

Criptarea i decriptatea fiierelor se face prin folosirea unui certificat specialdestinat acestui scop.

1. Cnd un utilizator cripteaz un fiierpentru prima data, EFS verific dacexist n local certificate storeun certificatcare poate fi utilizat pentru EFS.

2. n situaia n care un astfel de certificat nu exist, EFS va lansa o cererepentru un certificat de tip EFS. Cererea este n mod tradiional adresat uneiautoriti de certificare. Dac n reea nu funcioneaz niciun server carepoate elibera certificate, atunci certificatul va fi generat local de ctresistemul de operare.


26/43

26

Se genereaz n continuare un numraleator numit File Encryption Key (FEK),cheia pentru criptarea fiierului.Caracteristicile acestei chei suntdependente de sistemul de operare.

3. EFS preia cheia public i cripteaz

fiierul.

Recuperarea fiierelor, n cazul n carecertificatul utilizatorului devine inaccesibil(de ex. a fost ters profilul utilizatoruluisau i-a fost modificat parola), poate fifcut de agentul recuperator (RecoveryAgent). Agentul recuperator folosete uncertificat adecvat care i permite s

decripteze fiiere pe care nu le-a criptat.

Certificatul agentului recuperator poate fiobinut de la o autoritate de cerificare saupoate fi generat local, de ctre sistemul deoperare.


27/43

27

n situaia existenei unui domeniu ActiveDirectory, obiectele Group Policy Object(GPO) pot fi folosite pentru stabilireaagentului recuperator. Administratorul dedomeniu este n mod implicit agentulrecuperator. Cheia privat a

administratorului de domeniu (agentrecuperator) se afl pe primul controler dedomeniu creat. Aceast cheie trebuieimportat de la controlerul dedomeniu ifolosit pe calculatorul unde se afl fiierulde recuperat.

EFS file sharing este o facilitate a sistemelor de operare Windows XP iWindows Server 2003 i permite partajarea accesului la un fiier criptat, intremai muli utilizatori.

Securitatea unui server membru in domeniu

Securitatea unei reele depinde de setrile de securitate realizate pentru fiecaredin serverele din reea. O bre de securitate la un singur server poatecompromite ntreaga reea.

Pentru a menine un mediu securizat vor fi avute n vedere urmtoarele soluii:

aplicarea ultimului service pack i a actualizrilor de securitate(security updates) disponibile

folosirea politicilor Group Policypentru:

o dezactivarea serviciilor care nu sunt necesare. Oriceserviciu care ruleaz poate reprezent un potenial punctde atac. Cu att mai mult unul nefolosit niciodat.

o implementarea de politici pentru parole securizate,utilizarea de parole ct mai complexe (in nici un cazfolosirea de parole vide !!)

o dezactivarea LAN Manager i a autentificrii de tip NTLMv1,n cazul n care nu sunt absolut necesare; autentificareaNTLM v1 este folosit la sistemele de operare ceva maivechi

o restricionarea dreptului de deschidere a unei sesiuni localela un server (Log on locally)

folosirea utilitarului Microsoft Baseline Security Analyzer (MBSA)pentru scanarea configuraiilor aflate n funciune i identificareaposibilelor probleme de securitate


28/43

28

restricionarea accesului fizic la servere, prin plasarea lor in camerencuiate sau bine pzite

securizarea contului de administrator, de ex., prin folosirea parolelordiferite pentru fiecare administrator local al fiecrui server,restricionarea grupurilor cu drepturi administrative prin utilizarea deRestricted Groups, redenumirea contului de administrator

separarea conturilor de utilizator i a celor cu privilegii administrative:niciodat un cont cu privilegii de administrare nu va fi folosit pentruoperaii uzuale (mail, rularea aplicaiilor standard, navigare peInternet). Va fi folosit Secondary Logon(run as) pentru administrare,atunci cnd este posibil.

folosirea permisiunilor NTFS pentru securizarea folderelor i a fiierelor

stabilirea unei politici de audit pentru detectarea modificrilor care potaprea la nivelul configurrilor care au legtur cu securitatea

restricionarea accesului la serverele din reeaua local folosindWindowsFirewall, eventual configurarea lor centralizat prin folosireaGPO

crearea unei structuri de uniti organizaionale in ActiveDirectorycares permit construirea i legarea corespunztoare a obiectelor GPOnecesare

utilizarea machetelor de securitate (security template) pentruconfigurarea regulilor de securitate. Testarea regulilor de securitate

nainte de aplicarea lor in mediul real asigurarea sincronizrii timpului, avnd n vedere c protocolul

Kerberosnu permite autentificarea dac diferena de timp ntre client iserver este mai mare de 5 minute. Serviciul W32Time asigursincronizarea dintre serverele membre ale domeniului i controlerul dedomeniu, utiliznd protocolul Network Time Protocol(NTP)

se recomand folosirea unui smart card pentru deschiderea desesiune, ca administrator

restricionarea staiilor de unde poate deschide sesiune administratorul

evitarea rulrii pe controlerul de domeniu a altor servicii dect celestrict necesare n funcionarea unui controler de domeniu. Serecomand ca administrarea domeniului s se fac de la un altcalculator membru al domeniului, evitndu-se deschiderea de sesiuneefectuat chiar de la controlerul de domeniu.

crearea de grupuri administrative cu drepturi specifice pentruexecutarea unor anumite operaii bine determinare cum ar fi:


29/43

29

administrator de OU, administrator de server DNS, server WINS,DHCP etc.

Utilitarul Security Configuration Wizard

Security Configuration Wizard (SCW) este componenta folosit pentruconfigurarea rapid a serverelor, n funcie de cerinele de funcionalitate (Webserver, domain controller, DNS, etc.). Prin programul Security ConfigurationWizardse pot dezactiva serviciile care nu sunt necesare, se pot bloca porturi,se poate modifica coninutul din regitrii (registry). Configurrile operate pot fisalvate ntr-un fiier, de unde vor fi aplicate ulterior. Acelai fiier poate fi folositpentru configurarea mai multor calculatoare.


30/43

30

Servere securizate in funcie de rolul n reea

controlerul de domeniu:va fi plasat ntr-un loc sigur, la care s nu aib acces dect personalul

autorizat

se recomand s existe cel puin dou controlere de domen iu, pentrusiguran

se recomand replicarea securizat a traficului DNS asociat, folosindIPSec sau replicarea ActiveDirectory, pentru situaia n care zona DNSeste inclus n AD

se recomand redimensionarea jurnaleloreventlog,pentru pstrarea acat mai multe informaii in cazul unui atac (16 MB)

se recomand pstrarea bazei de date Active Directory i a fiierelorjurnal (log) asociaten locuri diferite, eventual pe un discuri separate

se recomand dezactivarea serviciilor nenecesare i blocarea porturilornefolosite

urmrirea evenimentelor se va face prin procedurile de audit.Recomandrile minimale sunt cele din tabelul de mai jos:

Audit policy Setari minimale recomandate

Audit account logon events Success, Failure

Audit account management Success, Failure

Audit directory service accessSuccess, Failure

Audit logon events Success, Failure


31/43

31

Audit policy Setari minimale recomandate

Audit object accessla latitudinea administratorului, in funciede modelul de securitate ales

Audit policy change Success

Audit privilege use No auditing (eventual)

Audit process tracking No auditing

Audit system events Success

Serverul DNS

dac este posibil, se recomand folosirea modelului de server DNS cubaza de date a serviciului integrat n ActiveDirectory

este necesar de multe ori dezactivarea dynamic updatesau folosireadynamic update secure

se recomand restricionarea transferului de zone

este util activarea setrii Secure cache against pollution, pentru ampiedica preluarea de date eronate (de obicei in mod intenionat) dincache-ul altor servere

este recomandat redimensionarea jurnalelor DNS (log), recomandat 16MB

Serverul DHCP

se vor monitoriza ncercarea i introducerea n reea a unui nou serverDHCP, neautorizat

se recomand restricionarea accesului la jurnalele (log) DHCP

este necesar de cele mai multe ori creterea dimensiunii jurnalelorDHCP

se vor restrnge drepturile administrative la serverul DHCP, ce vor fiacordate numai persoanelor autorizate s administreze i / sau sopereze asupra serverului DHCP

Serverul WINS

Se recomand restricionarea accesului la serverul WINS; vor aveaacces la server numai utilizatorii cu drept de administrare

n cazul n care se folosete procedura de replicare ntre servereleWINS, se recomand monitorizarea replicrii datelor ntre servere WINS


32/43

32

se recomand activarea jurnalizrii (logging) WINS

de cele mai multe ori se recomand folosirea intrrilor statice controlate strictn baza de date WINS,n locul nregistrrilor dinamice

Serverul de fiiere

vor fi strict configurate permisiunile NTFS i a cele de partajare

se recomand utilizarea i configurarea exemplarelor shadow

Machete de securitate

Securitatea unei reele nu este complet dacnu este rezolvat i securitatea calculatoarelorclient, calculatoare cunoscute i sub numele de

staii de lucru.Cele mai rspndite metode pentru asigurareai urmrirea funcionrii regulilor de securitatepentru calculatoarele din reea sunt urmtoarele:

aplicarea machetelorde securitate (security

template); machetelede securitate suntfiiere cu extensia .infcare pot fi utilizate princomponenta SecurityTemplates a consoleimmc.


33/43

33

utilizarea sistemului de fiiere NTFS

redimensionarea jurnalelor pentru evenimente

supravegherea accesului prin proceduri de audit

configurarea corect a browser-uluiInternetExploreri a oricrui alt browser.

utilizareaori de cte ori este posibil amachetelor .adm, ca de ex. cele furnizatede Office Resource Kit, n vedereaimplementrii unor reguli de securitatespecifice aplicaiilor sau pachetelor deaplicaii

protejarea accesului prin proceduri i componente de tip Windowsfirewall

implementarea politicilorrestrictive inclusiv celelegate de restricii softwarefa de utilizarea anumitoraplicaii instalate - folosindobiecte GPO (Group PolicyObject)


34/43

34

WSUS (Windows Server Update Services)

WSUS este instrumentul folosit pentru gestionarea i distribuirea actualizriloraduse sistemelor de operare i aplicaiilor, n vederea rezolvrii vulnerabilitilorlegate de securitate i a problemelor de stabilitate.

n mod tradiional, administratorii acceseaz frecvent site-urile Microsoft pentru

gsirea actualizrilor (coreciilor) potrivite. De obicei le descarc manual, letesteaz i, dac se potrivesc mediului de operare, le distribuie pecalculatoarele care au nevoie de ele, fcnd o actualizare manual acomponentelor.

Microsoft Updateeste un siteWeb folosit pentru actualizarea componentelorsoftware: sisteme de operare, aplicaii, drivere, alte componente - legate desecuritate i stabilitate. Site-ul este permanent actualizat (el nsui) oferind celemai noi actualizri i corecii pentru sistemele de operare din familia Microsoft.

Actualizrile (coreciile) sistemelor de operare pot fi:

actualizri critice: corecii de securitate i alte actualizri importante,legate mai ales de securitatea calculatoarelor i a reelelor

recomandri: fiiere a cror descrcare este recomandat, de obiceicomponente de tip service pack

instrumente: utilitare de interes

actualizri pentru Internet i multimedia: ultimele modificri adusecomponentelor Internet Explorer, Windows Media Player; etc.

componente adiionale: caracteristici pentru desktop i componenteale sistemelor de operare n general

caracteristici multilingvistice: meniuri, cutii de dialog, suport pentrulucrul n alt limb dect engleza

ghiduride utilizare i de instalare

Actualizarea automat este o caracteristicconfigurabil a sistemelor de operare Windows,prin care se instaleaz i configureazcomponente sistem, fr intervenia

utilizatorului. Actualizrile provin dindescrcarea automat a unor fiiere de laMicrosoft Update Web sau de la un serverWSUS. Configurarea actualizrii automate estecontrolat n mod centralizat de ctreAdministrator.

Instalarea componentelor actualizate i a corecturilor poate avea loc:


35/43

35

automat: componentele sunt descrcate automat i instalate la unmoment de timp programat. Acesta este modul de lucru recomandatpentru c opereaz modificri valabile pentru toi utilizatorii.

descrcare automat instalare la cerere: actualizrile se descarcautomat dar nu sunt instalate dect la cererea administratorului.

notificare: actualizrile nu sunt nici descrcate nici instalate automat.Administratorii (cu sesiuni locale deschise la respectivul server)primesc notificri referitoare la componentele care admit actualizri ila posibilitatea descrcrii i instalrii lor.

anularea actualizrii automate: nu apar notificri despre actualizri icorecii.

WSUS (Windows Server Update Service) este o component opionalpentru sistemele de operare Windows Server 2003. Serviciul poate fi descrcatde pe site-ul Webal Microsoft. Va aciona ca un punct central al reelei, folosit

pentru distribuirea actualizrilor necesare calculatoarelor client i serverelor.WSUS poate oferi servicii de actualizare pentru: sisteme de operare, pentruMicrosoft Office, Exchange Server, SQL Server. WSUS va fi instalat pe unserver din reea i va fi configurat astfel nct s-i sincronizeze coninutul cucel al site-ul Microsoft Update Web, ori de cte ori actualizrile sunt disponibile.Sincronizarea se face automat sau manual ce ctre administrator.


36/43

36


37/43

37


38/43

38

WSUS este versiunea server pentru Microsoft Update care poate rula intr-oreea local icare permite centralizarea instalrii de actualizri software intr-o

organizaie: vor fi instalate numai anumite actualizri, cele aprobate de ctre unadministrator. Serverul WSUS contacteaz Microsoft Update pentru a obinelista de update-uri existente i eventual necesare. Clienii folosesc AutomaticUpdates Clientcu ajutorul cruia se conecteaz la serverul WSUS, de unde vorfi preluate actualizrile. Fiecare computer poate fi plasat intr-un grup decomputere i pot fi aprobate update-uri diferite pentru fiecare grup in parte.


39/43

39

Specificarea serverului WSUS ce va fi folosit de ctre clieni se face cu ajutorulobiectelor GPO.

Dup instalare, serverului WSUS se va sincroniza cu Microsoft Update.Sincronizarea se se va face manual sau automat, la anumite intervale de timpdefinite de administrator. Update-urile ce vor ajunge la clieni trebuie aprobatede ctre administrator. Marcajele care indic tipul de aprobare sunt:

Installrealizeaz instalarea

Detect Only - nu face instalare ci sunt doar detectate, cutate,componentele care ar avea nevoie de un update

Remove pentru dezinstalarea anumite update-uri , de ex cele care in urmainstalrii au produs probleme

Decline nu se va face instalarea aceluiupdate

Calculatoarele din reea fac parte n modautomat din grupurile All Computers iUnassignedComputers. Un computer poate fiscos ns din acest ultim grup i introdus inaltul.


40/43

40

Pentru fiecare grup de computere se pot stabili politici diferite de aprobare aupdate-ului.

Adugarea la un grup de computere se poate face fie specificnd acest lucrufolosind un GPO, fie adugnd manual din interfaa WSUS fiecare client ngrupul dorit.


41/43

41

Propunere de tem practic

1. Identificai ameninrile specifice reelei dvs. Ajutai-v de orice diagram,desen, tabel care descrie reeaua de calculatoare, amplasareacalculatoarelor i a echipamentelor de comunicaii n reea, modul de lucru n

general. Evaluai probabilitatea de materializare a fiecrei ameninri,impactul sau paguba suferit. Paguba poate fi la fel de important i nsituaia unei pierderi materiale dar i a pierderii de imagine, de credibilitate.

Completai tabelul ameninrilor identificate i a vulnerabilitilor care pot fispeculate, fie din interior fie din exterior.

Exemplu:

Ameninare Vulnerabiliti

Probabilitatea

dematerializare

Impact,pierdere,pagub

(Evaluare

1 .10)

Rang,prioritate

(Probabilitatea

*Paguba)

Expunerea ifolosirea improprie adatelor cu caractersecret, confidenial,sau de alt natur

Se regsescaici toateelementele STRIDE

Acces neautorizat la bazade date 0,7 9 0,63

Parola administratoruluieste cunoscut de multlume

Acces fizic la serverul cubaza de date unde estepermanent deschis osesiune de administrator

Server nesupravegheat,incinta cu acces aproapeliber

Atac din exterior prinInternet


42/43

42

Utilizatorineautorizaiau acces ladate

Periclitarea funcionrii

serverului Web

Se regsesc aici elementele STRDE

Informaiile sunt publice deci nusunt expuse neautorizat.

Oprirea /

blocareaserviciului,alterarea

informaiilor

(atac dinexterior sau din

interior)

mic de

imagine

?

(va fievaluat

ulterior)

Serverul Webnuse afl ntr-oreea protejat(DMZ,

perimetru,firewall)

Accesul lapagina / paginileWebeste public(frautentificare)

2. Revizuii tabelul ameninrilor i vulnerabilitilor. Identificai pentru fiecarevulnerabilitate o soluie de rezolvare: de eliminare cu totul a vulnerabilitiisau mcar de diminuare a pierderilor, a pagubelor.

3. Ordonai vulnerabilitile dup importan, dup rang. Vei obine o primform a strategiei de securitate care ar putea fi implementat, dac v

ndreptai atenia asupra soluiilor, aciunilor, operaiilor care trebuientreprinse pentru diminuarea sau eliminarea pagubelor, respectiv reducereavulnerabilitilor. Vulnerabilitile pot fi tratate acum drept riscuri.Managementul riscului se va referi de aici ncolo la: care dintre riscuri(vulnerabiliti) sunt mai importante dect altele, ce riscuri trebuie rezolvatemai nti, ce riscuri vor fi analizate mai trziu, care sunt costurile aplicriimsurilor de securitate pe care le-ai stabilit.

4. Revizuii tabelul ameninrilor / vulnerabilitilor / riscurilor. Verificai dacsoluiile de securitate pe care le-ai construit respect cerinele teoretice ipractice ale securitii reelelor:

Aprarea n profunzime: reea, calculator, aplicaie, date


43/43

Regulile, msurile de securitate sunt aplicate: administrativ, software,fizic

Privilegiul minim: utilizatorii dispun de minimul necesar i suficient deprivilegii pentru rezolvarea sarcinilor

Suprafaa de atac din exterior (Internet) este minim

Riscurile: acceptate, atenuate, transferate, eliminate

Revizuii n consecin tabelul ameninrilor /vulnerabilitilor / riscurilor icompletai pe de o parte ameninri / vulnerabiliti i pe de alt parte aciuni/ msuri de eliminare sau diminuare a pagubelor.

5. Construii un plan de aciune pentru situaia n care apare un incident desecuritate. Pentru cunoaterea mai bun a condiiilor i contextului n care aaprut incidentul trebuie s fie pregtite din vreme jurnale de evenimente ipoate alte proceduri de audit. Folosii i un registru (jurnal) n care s fie

nscrise incidentele de securitate care au avut loc. Orice revizuire ulterioara tabelului cu vulnerabiliti va porni de la incidentele, evenimentelesemnalate i nscrise n jurnal.

Ce ai nvat n acest modul?

s identificai i s evaluai ameninri, vulnerabiliti i riscuri

s analizai riscuri i s evaluai pagubele

s evaluai gradul de securitate a unei reele i a fiecrei componente nparte

s concepei msurile de securitate cele mai potrivite pentru asigurareasecuritii unei reele

s construii i la nevoie s impunei reguli de securitate pentru reeaua

pe care o administrai s cretei gradul de securitate a reelei pe care o administrai

s construii un plan de aciune pentru situaia n care apar i sunt detectateincidente de securitate

079 Securitatea Retelelor Varianta PDF V3

Documents

Transcript of 079 Securitatea Retelelor Varianta PDF V3