ENSA - Biztonságos rendszerüzemeltetés - Részletes tematika

Átírás

1 1. fejezet: A hálózat részei A hálózat részei: csomópontok, backbone, szegmensek, alhálózatok. Útválasztás, útválasztók. Hálózati topológiák: gyűrű, busz, fa, hibrid. Hálózati eszközök: Access Point, Router, Switch, Hub, Modem, hálózati kártyák, Bridge, NLB-eszközök, Repeater. Az egyes eszköztípusokon áthaladó forgalom lehallgatási módszerei. Fizikai hálózati kapcsolattípusok: szinkron, aszinkron, vezetékes, drótnélküli. Réz és optika. Digitális jelszóródás, adatmaradványok. Az UTP-kábel kiosztása. Simplex, half duplex, duplex kommunikáció. Crossover kábel. CSMA/CD, ütközések (collision), alapszintű DoS-támadás. A számítógépek felépítése: központ egység (CPU), memóriatípusok, perifériák. Maradandó és nem maradandó (volatile) tárolás. CIA! Confidentality, Integrity, Availability. Az információ állapotai: tárolás, átvitel, feldolgozás. Operations Security (OPSEC). Informatikai eszközök újrahasznosításával kapcsolatos tudnivalók, megbízható adattörlés. Adatmegosztás hálózaton keresztül. 2. fejezet: Hálózati protokollok ARP-protokoll, IP-címzés: dinamikus és statikus. Többkártyás (multihomed) gépek. Egynél több IP-cím megadása egy fizikai kártyán. Virtuális hálózatok. ICMP. Ping of death. ICMP Redirect támadás. TCP/IP, IP-cím osztályok. Alkalmazásprotokollok és támadási felületeik: Telnet, BOOTP, DHCP, FTP, TFTP, SNTP, SMTP, IRC, NNTP, SNMP, SLP, HTTP, HTTPs, RPC, RDP. Routing protokollok: RIP, OSPF, BGP. Radius. VoIP (ezzel egy külön tananyagunk foglalkozik részletekbe menően). 3. fejezet: Protokollanalízis Az IP-protokoll mezői: Identification, Flags, IP-címek (Source, Destination), Fragment bit, Time To Live. Adatfolyam-titkosítás IPSec-kel. ISAKMP/Oakley. Üzemmódok: Encapsulated Security payload, Authenticated Header. IPv6 protokollmezők, működés. A TCP-protokoll mezői: Flags (SYN, ACK, FIN, RST, PSH, URG), portszámok, Sequence Number, Window (és Window Scaling), ellenőrzőösszeg, padding. A TCP-szabvány, és az egyes implementációkból fakadó biztonsági problémák. OS Fingerprint. TCP-szekvenciaszámok. TCP- és UDP-támadások. SYN Attack. DoS-, DDOS-támadás. A TCP Sliding Window működése. Háromutas kézfogás (handshake) TCP-csatornaállapotok: nyitott, hallgat, lezárt, szűrt. A TCP-réteg meghívása programból. TCP-algoritmusok: Appropriate Byte Counting (ABC), Additive Increase Multiplicative Decrease (AIMD), Selective Acknowledgement (SACK), TCP Friendly Rate Control (TFRC). Átvitel-, teljesítmény és válaszidőbecslések TCP esetén. TCP-hibák: csomagvesztés, duplázódás, Checksum hiba, csomagsorrend-csere, szűk keresztmetszetek. 1/8 oldal

2 4. fejezet: DNS Névfeloldás: a DNS protokoll, a névtér elemei, TLD-k, kiszolgálószerepek (cache-only, resolver), zóna transzfer, DNS-rekordok (SOA, NS, A MX, PTR) és ezek biztonsági vonzatai. A DNS szerepe a hálózati infrastruktúrában, a DNS Server Service telepítése, tulajdonságainak beállítása. Tisztázásra kerülő fogalmak: zónák (primary, secondary, stub, AD-integrált), zónatranszfer, forward és reverse lookup, rekurzív és iteratív kérdés, autoritatív válasz, round robin, root hint, DNS suffix, forwarder kiszolgáló, rekordok (SOA, A, NS, MX, PTR, CNAME, SRV stb.), dinamikus DNS. DNS-hierarchia kialakítása delegáció segítségével. 5. fejezet: A fizikai védelem megerősítése A fizikai védelem jelentősége, betörési lehetőségek. Ki (lesz) a felelős? A fizikai biztonságot veszélyeztető események: természeti (áradás, tűz, földrengés), emberi (lopás, terrorizmus, háború, áramszünet). Kukabányászat (Dumpster Diving). A fizikai védelem szintjei: épület, recepció, iroda. Személyek azonosítása, autentikáció: Smart Card, Proximity Card, biometrikus azonosítás (és annak pontossága): ujjlenyomat, hang, retina, arc, tenyér, írisz. Irodai biztonság: laptoplopás, asztali gépek eltulajdonítása. Ellopott laptopok felkutatási lehetőségei: XTool Computer Tracker. Szerverek, mentőegységek fizikai biztonsága. Boot floppy, bootolás hálózatról, DVD-ről, pendrive-ról. Egyéb adattemetők: fax, pendrive, nyomtatók merevlemeze. Ipari kamerák, megfigyelés. Kulcsok, kulcshozzáférési procedúra. Becsempészés: talált pendrive-szindróma. TEMPEST. 6. fejezet: A Network Security Administrator feladatai A hálózatbiztonsági szakember (Network Security Administrator) felelősségi- és felségterülete. IT-biztonság fejlesztése, karbantartása, implementálása. Kiszolgálók, hálózati eszközök, tűzfalak, rendszerfájlok, mentések megtervezése, bevezetése, karbantartása, felügyelete, eltávolítása. Jelszavak kezelése (kibocsátás, megváltoztatás, visszavonás). Adathordozók szállítása. Gyanús esetek észlelése, jelentése. Vészforgatókönyvek kidolgozása, használata. Adatok akár távoli vészmegsemmisítése (ellopott laptopok). Kiszuperált adathordozók osztályozása, esetleges újrahasznosítása, vagy bezúzása. Szerzői jogsértő tevékenységek észlelése, kezelése. Dokumentálás, naplóelemzés. Bűnesetek észlelése, kezelése. Bűvszavak: COMSEC, INFOSEC, HUMINT 7. fejezet: Biztonsági szabványokkal (is) foglalkozó testületek ICANN, ISO, CCITT, ITU, ANSI, IEEE, NIST, W3C, WASC. E testületek feladatainak rövid ismertetése. Biztonsági szabványok. 2/8 oldal

3 8. fejezet: Biztonsági házirend (Security Policy), szabálysértések, katasztrófa-elhárítás A biztonsági házirend elemei, a házirend szerepe. Felhasználói, jelszó, partnerházirend. Biztonsági szintek, feladatkörök, rotáció. A kommunikáció biztonsága. Az alkalmazottak felelőssége, számonkérhetősége és a házirend megsértésének retorziója. Biztonsági incidensek lekezelésének rendje. biztonsági házirend. A Security Awareness Program. Mit értünk szabálysértés alatt? Besorolások. Típusok. Jelentéskészítés illetékessége. Lépésenkénti leírások. Szabálysértések kezelése. Szabálysértés kezelés felépítése. Szabálysértés kezelés hat lépése (PICERF): felkészülés, azonosítás, behatárolás, megszüntetés, állapot visszaállítása, ellenőrzés. Szabálysértés kezelő csapat: alapkövetelmények, kommunikációs lehetőségek, együttműködés, stages? Mi akadályozhatja egy sikeres csapat összeállítását? Szabálysértési csapat feladatai: reakció, proaktív tevékenység, biztonsági minőségbiztosítás. Katasztrófaelhárítás tervezése (DRP). Általános áttekintés és típusok. Mi is az a DRP? Alapelvek. Típusok: szinkron és aszinkron rendszerek. Backup site. Kis és nagy rendszerek visszaállítási stratégiák. Vészhelyzet kezelés. Biztonsági mentés stratégia tervezés. DRP folyamat: szervezés, képzés, bevezetés, végrehajtás. DRP tesztelés: végrehajtás, lépések, forgatókönyvek. DRP csapat: képzés. Üzleti folyamatok leltár. Üzleti folyamatosság tervezése: esetleges katasztrófa elemzés, kockázatelemzés, szabályok, szabványok, folyamatok, vizsgálat. Üzleti folyamatosság kezelése. Hat mítosz az üzleti folyamatosságról és a katasztrófaelhárításról. Katasztrófa megelőzése. 9. fejezet: IEEE szabványok A 802-es szabványcsalád fontosabb elemei: CSMA/CD Security Wireless LAN 802.1X fejezet: Tűzfalak, csomagszűrés és Proxy Biztonsági lehetőségek: felhasználók, hálózatok elválasztása. Többszörös felépítésű tűzfalak. Feladatok. Szoftveres, hardveres tűzfalak. Típusok: csomagszűrés, alacsony szintű átjárók, alkalmazásszintű tűzfalak. PIX tűzfal: alapvető, magas szintű lehetőségek. Szabályok és tiltások kialakításának stratégiái. Skálázhatóság. Felépítés: kéthelyszínes, ellenőrzött gép és hálózati architektúra. Támadási és biztonsági feladatok. Betörés elleni védekezés. 3/8 oldal

4 Központosítás és dokumentációk. Többrétegű tűzfalvédelem. Telepítési stratégiák: ellenőrzök gépek, két router, egy tűzfal, demilitarizált zóna, DMZ ellenőrzött hálózat, DMZ többszörös tűzfallal, ellenőrzött átjáró. Különleges és ellenirányú tűzfalak. Előnyök, hátrányok. Veszélyek: firewalking, banner grabbing, backdoor. A tűzfalak korlátai. Személyi tűzfalak: ZoneAlarm, Norton, McAfee, Windows personal. Személyi hardveres tűzfalak: LinkSys, Netgear, PIX. Naplóelemzés: logok, tűzfaldetektálás, importálás, archiválás. Eszközök: szabályépítő, Wflogs. Tűzfalak összehasonlítása: T-REX, SQUID, WinGate, Symantec Enterprise Firewall, Windows beépített tűzfal /RRAS packet filter. Tűzfalteszterek: Firewalk, Ftester, Firewall Leak TEster. Alkalmazásrétegbeli átjárók: NAT, csomagszűrés (feladat, priorizálás, töredezettség, töredezettségelemzés, normális-abnormális csomagminták elemzése). IP fejlécek, szűrési technológiák (stateful, stateless, dynamic). Szűrőszabályok, előnyök, hátrányok. TCP, UDP mezők. Proxyszerverek: szabályok, routolt, hálózati környezet, URL-ek engedélyezése, tiltása. Proxyvezérlés: transzparens proxy, Socks. Hitelesítési eljárások, típusok. Proxyalapú tűzfalak, alkalmazásproxy. Menedzselt proxyszerverek. Biztonság és hozzáférés-vezérlés. Reverse Proxy. Csomagszűrő és Proxy összehasonlítás. 11. fejezet: Előretolt helyőrség és mézescsuprok Bastion host felépítése: gép kiválasztása, hardver, OS kiválasztása. Konfigurálás. Fizikai, hálózati elhelyezés, saját védelem kialakítása. Védeni szándékolt szolgáltatások kiválasztása (UNIX különlegességek). Fiókok, szükségtelen szolgáltatások tiltása. Biztonsági mentés. Biztonsági házirendek. Honeypot története: általános leírás, előnyök, hátrányok. Választás szempontok. Csalétek létrehozása. Csalétek kutatása. Osztályozás. Kis-közepesmagas kihasználtságú mézescsupor. Házilag gyártott eszközök: portnaplózás, ketrec, csapda. Gyári eszközök: Deception toolkit, Jackpot. Mézraktár (honeynet): működés, honeynet projekt, pozicionálás, ismert problémák. Típusok: Elosztott, első-második generációs, virtuális. 12. fejezet: Hálózati hibaelhárítás A hálózati hibaelhárítás stratégiái, a hiba felismerése, diagnosztizálása. Probléma megértése, hibakeresés. Hálózatmonitorozás (ping, traceroute, access point figyelés), teljesítmény monitorozása, protokollanalízis. Eszközkezelő használata. Magas rendelkezésreállás, NLB, fürtök. Hálózati kapcsolatok hibakeresése, elhárítása. Hálózati eszközök (hálózati kártya, átjáró, bridge, router, hub, switch, kábelmodem, USB, IEEE 1394) hibakeresése. Leggyakoribb hibák kezelése: NetBIOS névütközés, IP-cím ütközés, rossz NIC, DNS hibák, kevés sávszélesség, spyware miatt lassú hálózat. Vezeték nélküli eszközök: általános beállítási hibák, SSID, titkosítás, biztonsági beállítások. TCP/IP hibaelhárítás: ping, tracert, arp, telnet, nbstat, netstat, ftp, nslookup, NTP, POST kártya, memória tesztelők, elektromos hálózati szabályok, krimpelők, mérőműszerek, kábeltesztelők. 4/8 oldal

5 13. fejezet: Routerek védelme Átjárók általános ismerkedés. Metrika. Többszörös útválasztás. Útvonalak típusai. Route protokollok. Hardveres routerek operációs rendszere (IOS). IOS eszköztár. Router konfiguráció: külső-belső források, beüzemelés, konfigurációs fájlok betöltése, TFTP konfigurálás, konfigurációs mód, CLI konfigurációs mód. Működési módok. Alapvető utasítások. IP útválasztás: IP route táblák, RIP. Átjáró hibajavítás: eszközök, kapcsolódási hibák, PPP, frame relay, X.25, ISDN. Átjáróbiztosítás: jelszavak, jelszavak titkosítása, fiókok létrehozása, munkamenetek időtúllépése, Cisco Discovery Protocol, extra kapcsolatok kezelése, BOOTp, TCP és UDP szolgáltatások, ARP, SNMP, NTP protkollok biztosítása. Finger. Rendszernaplók elemzése. Hálózati forgalom szűrése: ACL létrehozása, bevezetése, monitorozása. CAR. SSH konfigurálása, egyéb hitelesítési metódusok. Az átjáróbiztosítás további komponensei. Tesztelési eszközök. 14. fejezet: Az operációs rendszer biztonságossá tétele A BIOS biztonságossá tétele, boot sorrend. Windows registry. Windows szolgáltatások ( , virtuális szerverek, sharepoint, antivírus, folyamatok) konfigurálása. DACL, objektum jogosultságok, NTFS jogosultságok, megosztások. Antivírus, antispyware, antispam. Linux biztonságossá tétele. PAM (Pluggable Authentication Module). Unix rendszerek biztonsága. Kliensoldali operációs rendszerek (XP, Vista, Windows 7, Windows 8.1) biztonságossá tétele. 15. fejezet: Patch menedzsment Red Hat Up2Date Patch Utility telepítése. Red Hat Up2Date Patch Utility parancssori kezelése. A Microsoft frissítések típusai. Microsoft frissítési procedúra. Azonosítás, felmérés, beszerzés, tesztelés, telepítés, ellenőrzés. Frissítőeszköz: Qchain. Windows Update Services. Ellenőrző eszköz: MBSA. MBSA grafikus felület. MBSA parancssori mód. Egyéb frissítéskezelési eszközök: BES, Shavlik, PatchLink, SecureCentral PatchQuest. 16. fejezet: Alkalmazások biztonsága Az alkalmazásbiztonság fontossága. Miért olyan nehéz a Webes biztonság? Alkalmazások fenyegetettsége és ellenintézkedések. Webes alkalmazások biztosítása. Beágyazott alkalmazásbiztonság. Kód biztosítása. Általános hibák: puffertúlcsordulás, formázott karakterlánc sérülékenységek, hitelesítés, hozzáférés, titkosítás. Tippek-trükkök a biztonságos kódoláshoz. Kódellenőrző alkalmazások: ITS4, RATS, Flawfinder. Távoli felügyelet biztosítás. Telekommunikációs rendszerek. Hangátviteli kapcsolatok biztonságossá tétele. EMBASSY (Embedded Application Security). 5/8 oldal

6 17. fejezet: Webes biztonság, böngészés Hálózati eszközök. Hálózat tervezése. Fizikai helyszín és kalózeszközök. Hálózati címek. Kapcsolat vizsgálata: tacert, traceroute. Hálózati eszközök tesztelése. Hálózati címek módosítása. Klienshitelesítés: hitelesítő technológiák. Korlátozott hozzáférés. Böngészési forgalom elemzése. Kliensoldali információ. Biztonságos kliens adattovábbítás. Hordozható alkalmazás. Rossz szándékú kód azonosítása. Böngésző biztonsági beállítások. Szerveroldali programozás (CGI): CGI script, mechanizmusok, változók, külső szkriptek, szerveroldali beépülők, dinamikus kód, alkalmazáskód biztosítása. Webalkalmazás bemenő adatainak ellenőrzése. Puffertúlcsordulás ellenőrzése. Szerveroldali adatfeldolgozás áttekintése. 18. fejezet: biztonság alapok. Típusok. komponensek: fejlécek, fejlécek működése, fejlécek vizsgálata, olvasása, fejlécek olvasása különböző levelezőprogramokban, mezők és értékek, címlisták, feladók és címzettek. A levélküldési folyamat, mint veszélyforrás. Levelezőszerverek. Levelezéstitkosítás és -hitelesítés. Protokollok: S/MIME, PGP, SMTP, POP, IMAP, http. Kliens/szerver architektúra. biztonsági kockázatok. Malware. csalás. Vírusok. Átjáró vírusellenőrző. Outlook vírusok. Csatolmányok biztonságos kezelése. További kockázatok: levélszemét (spam), védekezés, spamszűrés, bomba, lánclevél. Hogyan védenek az biztonsági eszközök: GfiMailEssentials, SpamAware. 19. fejezet: Autentikáció: titkosítás, kriptográfia, digitális aláírás Tokenek (RSA SecureID, SmartCard). VeriSign authentikáció. Titkosítások. Titkosító rendszerek, tűzfalak, integritás. Szimmetrikus kulcsok, publikus kulcsok. Algoritmusok (RSA, RC2, RC4, XOR). Népszerű titkosítások analízise: szimmetrikus vs. aszimmetrikus, hash, PGP, X.509, SSL. IPSec és protokolljai (AH, ESP). IPSec szintek, szabályok. Kriptográfia: története, matematikai háttér, algoritmusok, DES, 3DES, HMAC/MD5. Digitális aláírások. PKI. 20. fejezet: Virtuális magánhálózatok (VPN) Technológiai áttekintés. VPN osztályozás. Alagutak. Alagúttípusok. Alagútprotokollok. PPTP: áttekintés, vezérlő kapcsolatok, biztonság és hátrányok. L2TP áttekintés. SSTP VPN, IKEv2 VPN. VPN biztonság. VPN kapcsolódás: SSH, PPP, Koncentrátor, egyéb módszerek. VPN beállítás. DHCP 6/8 oldal

7 beállítások. Internet Authentication Service (IAS) telepítése. IAS konfiguráció. Távoli hozzáférés házirend összeállítása. VPN kiszolgáló konfiguráció. VPN és DHCP kiszolgáló összerendelése. Távoli kliensek konfigurációja. Klienskapcsolat ellenőrzése. VPN házirendek. VPN regisztráció és jelszavak. VPN kockázatok. Bevezetés előtti felmérés: naplózás. Bevezetés közbeni felmérés: naplózás. Bevezetés utáni felmérés és vizsgálat. 21. fejezet: Vezetéknélküli hálózatok biztonsága Általános ismertető a Wi-Fi -ről. Összetevők: Access Point, kártyák, antennák, USB adapterek, modem, router, gateway, GSM állomások. Technológiák: PCS, TDMA, CDMA, ARDIS, BlueTooth, Ultra WireBand. Eszközök: PDA, BlackBerry. SSID. Támadások: MitM, DoS, Social Engineering, Weak Key, Dictionary, Birthday. Hotspotok. WEP, WAP. Eszközök, programok. Titkosítási metódusok. WPA. RADIUS hitelesítés. DHCP szolgáltatások. PKI infrastruktúra vezetéknélküli hálózatra. Hibaelhárítás. 22. fejezet: Hálózati támadástípusok Pillanatnyi statisztikák. Támadási formák fenyegetés, támadás, exploitok. Hackerek besorolása. Támadások besorolása: trójai, vírus, féreg, rootkit. Átverések. Spam. Adatszivárgás. Phising (adathalászat). Betárcsázás. Social Engineering. Jelszótörés. Szimatolás. Szimatolás típusok. Weboldalak átalakítása. SQL injection. Kábel lehallgatás. War Driving, War Chalking, War Flying. Adatelárasztás-támadás. Elosztott adatelárasztásos támadás. Puffer túlcsordulás. 23. fejezet: Behatolásellenőrző rendszerek (IDS) Bevezetés az IDS technológiákba. Technológiai visszatekintés. Koncepciók: architektúra, monitorozási stratégiák, analízis típusok, időzítés, célok meghatározása, vezérlési feladatok. Behatolás ellenőrzés szervezeti szinten: technológia kiválasztása, telepítése, karbantartása. IDS vázolása, fontossága. Összesített elemzés IDS-szel. IDS típusok hálózati alapon: hagyományos, elosztott architektúra. Végrehajtási koncepció: figyelmeztetés, felügyelet törvényszéki folyamat. Hálózati szintű felügyelet: jogosulatlan hozzáférés, adatlopás, DoS, jogosulatlan jelszóhasználat, csomagátformázás, elárasztás. Eszközök: NetRanger, Bro, Arpwatch, Psad, ippl. IDS kliensgépeken: központi felügyelet, elosztott valósidejű kliensfelügyelet. Végrehajtási koncepció: felügyelet, kárkezelés, engedélyezési folyamat. Kliensalapú ellenőrzés: jogosultsági próbálkozások, kritikus hozzáférés és módosítások, biztonsági beállítások változtatásai. Eszközök: Host sentry, KFSensor, LIDS, SNARE, Tiger. Kliens/hálózati alapú IDS összehasonlítás. Hibrid IDS: bevezetés, komponensek, kommunikáció a komponensek között, adatok átadása, eszköz: LibSafe. Elosztott IDS: bevezetés és előnyök, komponensek. Protokoll alapú IDS. Hálózati működés elemzés. Egységes fenyegetéskezelés. IDS telepítése. Minták: hálózati, kliens, vegyes hálózati minták. Kiértékelési folyamatok: Igaz/Hamis, Pozitív/Negatív. Beavatkozási műveletek: minta alapján, anomália alapján. IDS eszközök: Snort, BlackICE, M- 7/8 oldal

8 ICE, Secure4Audit (audigguard), Emerald, Nides, SECUREHOST, GFI EventsManager. Behatolást megelőző eszközök (IPS). Stratégiák. Kockázatok. Határvédelmek. Adatáramlás IDS és IPS között: csomagvizsgálatok, szűrés, tárolás, töredezettség, adatfolyamok, tűzfalak. IPS eszközök: Sentivist, StoneGate IPS, McAfee. IDS, IPS összehasonlítása. IDS ellenőrzőlista. 24. fejezet: Naplóelemzés Események logolása. Logfájlok (apache, IIS). Logfájl limitek. Betörési kísérletek monitorozása (szkriptelés, passzív keresés, EventCombMT). Loganalizáló eszközök: UserLock, WSTOOl, ASDIC, Tenshi, SpoofMAC, Gentle MAC PRO, Log Manager, LogSentry, SL2, Flog, Simple Log Clustering Tool, xlogmaster, GeekTool, Dumpel.exe, Watchlog, LogDog, LogController, Newsyslog, Spinlogs, System Log Rotation Service, Bzip2. Logok biztonságossá tétele. 25. fejezet: Adatszivárgás, hiányosságok felmérése Adatszivárgás, DRM. Hiányosságok felmérése. Hiányosságok osztályozása. Eszközök a hatékony elemzéshez. Személyzet kiválasztása az elemzéshez. Biztonsági rések felmérésének módszertana: Felmérés. Azonosítás. Elemzés. Kiértékelés. Megvalósítás. Elemző eszközök működési elve. Eszközök kiválasztása: SAINT, Nessus, BindView, Nmap, Ethereal, Retina, Sandcat Scanner, Vforce, NVS-Team, Checklist, Tool: ScanIT Online. 8/8 oldal