Lectures for 2008 - KTH

More documents

Recommendations

Info

KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS ___________________________________________________________________________ systembelastningar förlorade funktionalitet eller kraschade. Morris dömdes 1990 till tre års villkorligt fängelse, 400 timmars samhällstjänst samt böter på $10 000 65 . Förutom det rättsliga efterspelet stängdes Morris av från vidare studier vid Cornelluniversitetet. En effekt av Internetmasken och det bryska IT-säkerhetsmässiga uppvaknandet ledde till var skapandet av incidenthanteringscenters så som CERT/CC (Computer Emergency Response Team Coordination Center) och CIAC (Computer Incident Advisory Capability). Det går att dra åtminstone par viktiga tekniska slutsatser från denna tidiga incident. Den första observationen är att masken var kapabel att sprida sig till olika operativsystem på olika hårdvara. Masken medflyttade färdigkompilerad objektkod som den nyttjade beroede på vilket operativsystem som målsystemet hade. Detta ledde till att den lyckades få en så pass bred spridning som den fick. En annan observation är att den bara spred sig i binär form och hade krypterat, visserligen med en enkel algoritm, den överförda binärerna för att försvåra analys. 3.2 Virusskydd Virusskydd brukar normalt användas på klientdatorerna eller på filservrar. Ur ett nätsäkerhetsperspektiv kan virusskydd användas i kombination med brandväggar eller liknande utrustning för att automatiskt viruskontrollera överförd information, till exempel data överförda via FTP, HTTP eller e-post. En annan viktig aspekt är att ha antivirusprogram installerade på bastiondatorer i brandväggsområdet - för att undvika att dessa blir drabbade av virus eller angrepp från maskar. Ofta finns det tyvärr vita fläckar på nätet – maskiner som inte har virusskydd installerat. Bärbara datorer är ett sorgebarn som ofta släpar efter i uppdatering eller inte underhålls alls, vilket ofta ställer till problem när dessa flyttas mellan hemarbetsplatser och det interna nätverket. Andra oskyddade system kan vara skrivar-, databas-, applikationsservrar, inpassagesystem och liknande som glöms bort eller man anser det vara onödigt att skydda. En annan vanligt förekommande vit fläck på virusskyddskartan är system som baserat på annat än Windows. Stora serverlösningar baserade på UNIX, Linux, VMS och liknande brukar sällan förses med något antivirusskydd. Att ha dessa medvetna eller okända undantag är självbedrägligt. Ett relaterat problem, som kommer av att inte alla maskiner har antivirusskydd, är att dessa maskiner gör att maskar kan dröja sig kvar på internnätet och ställa till problem långt efter själva uppstädning, hanteringen av AV-uppdatering och patchning gjorts klart. Det är viktigt att understryka att antivirusprogram i sig inte är ett fullgott skydd mot skadlig kod såsom virus, nätmaskar och liknande. Det finns många exempel där antivirusprogrammen reagerat för sent – efter infektion, eller inte alls på ett angrepp eller infektion. Många moderna maskar, virus och liknande använder många metoder för att undvika upptäckt. En metod är att komma in via ett hål i ett program, ofta via någon variant av buffertöverskrivningsattack, och sedan bara existera i minnet, vilket gör det svårt för antivirusprogrammen att upptäcka 65 Lawrence Kestenbaum (1990) Robert Morris Sentencing. http://www.potifos.com/morris.html Copyright (c) 2003-2008 Robert Malmgren AB. All rights reserved Sid 60 (139)
KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS ___________________________________________________________________________ infektionen. Andra metoder är att undvika upptäckt är att avaktivera antivirusprogram, personliga brandväggar och liknande. Kompletterande skydd mot skadlig kod är att säkra upp system, applikationer och utrustning med olika metoder. Det mest uppenbara skyddet är att följa nyhetsflödet över funna säkerhetsbrister och ha snabba och väl fungerande rutiner för införande av uppdateringar, fixar, patchar och temporära säkerhetsomkonfigurationer. Andra uppsäkrande metoder är att låsa till operativsystem och applikationer mer än vad som är vanligt att man gör i dagsläget. Några mer handgripliga skydd är att använda interna brandväggar, nyttja IDS-teknologi som ett sätt att upptäcka och eventuellt begränsa spridning och även nyttja honungsfällor på vissa dedicerade nätanslutna datorer där varje anslutning och aktivitet bevakas och hanteras. Detta ger ett mer komplett skydd än enbart antivirusprogramvara. Ett mer övergripande typ av skydd är att ha en väl utformat nätarkitektur där man har bra kontroll över alla externa ut- och ingångar, vad och hur utrustning får anslutas till nätet, ha en strukturerad indelning i säkerhetszoner och liknande. Genom skydd på nätverksnivå kan man också förebyggande mot att bli drabbad av maskar samt att det förhindrar okontrollerat spridande om man väl blir drabbad av ett sådant problem. Copyright (c) 2003-2008 Robert Malmgren AB. All rights reserved Sid 61 (139)
Page 1 and 2:
KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 3 and 4:
Page 5 and 6:
Page 7 and 8:
Page 9 and 10: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 59: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 111 and 112:
Page 113 and 114:
Page 115 and 116:
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139:
show all

Lectures for 2008 - KTH

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?