Polityka bezpieczeństwa i zarządzanie systemem

Transkrypt

Polityka bezpieczeństwa i zarządzanie systemem wykrywania
intruzów IDP
 i aktywnej ochrony przed atakami
Współczesnym systemom IDS zarzucane jest, że baza sygnatur ataków analizowana
jest przez nie w sposób nielogiczny (np. komunikacja do serwera DNS analizowana jest pod
kątem ataków HTTP), a sensory wykrywają i rejestrują zdarzenia nieistotne z punktu widzenia
bezpieczeństwa sieci chronionej. Wynika to z faktu, że polityka bezpieczeństwa większości
systemów IDS w ogóle nie uwzględnia chronionego systemu informatycznego (tzn. na
sensorach IDS można globalnie włączyć lub wyłączyć sygnatury ataków bez możliwości
uwzględniania jakiej komunikacji sieciowej powinny dotyczyć).
Baza sygnatur
Kategoria 1
Sygnatura 1
Sygnatura 2
Dla każdego sensora IDS należy włączyć lub wyłączyć
ponad 1000 stale dodawanych sygnatur ataków.
Kategoria 2
Sygnatura 1
Sygnatura 2
Akcja 1
Akcja 2
Dla każdej sygnatury należy ustalić akcję
sensora IDS.
Kategoria 3
Sygnatura 1
Sygnatura 2
Wszystkie włączone sygnatury sprawdzane są względem
całości ruchu sieciowego.
Polityka bezpieczeństwa „starej” generacji systemu IDS
Większość obecnie dostępnych systemów IDS była tworzona w latach 1995-1997.
W tamtym czasie baza sygnatur IDS nie przekraczała 100 rekordów. Rozwój i skomplikowanie
środowiska sieciowego oraz duża, stale zwiększająca się liczba znanych ataków wymagają
efektywności funkcjonowania systemów IDS. Najbardziej założone i czasochłonne dla IDS są
operacje wykonywane na bazie sygnatur (m.in. dopasowywanie sygnatur ataków do
rejestrowanego ruchu sieciowego). Baza sygnatur składa się bowiem z dużej liczby definicji
podstawowych ataków (ponad 1.000 rekordów) oraz dodatkowo definicji różnych mutacji tych
ataków.
Polityka bezpieczeństwa i zarządzanie systemem wykrywania intruzów IDP i aktywnej ochrony przed atakami
Dla efektywnego funkcjonowania zabezpieczeń polityka bezpieczeństwa IDS powinna
jednoznacznie ustalać, jaki ruch sieciowy podlega inspekcji przez określone sensory oraz czego
należy w nim szukać (tzn. jakich rodzajów ataków). Istotne stało się tworzenie precyzyjnej
polityki bezpieczeństwa IDS. Samo zidentyfikowanie ruchu sieciowego (tzn. odczyt nagłówka
pakietu) odbywa się bowiem w czasie wielokrotnie krótszym od czasu potrzebnego na analizę
dużej bazy sygnatur.
Intrusion Detection and Prevention (IDP) to nowa generacja systemów zabezpieczeń
sieciowych, do których należy OneSecure (obecnie NetScreen IDP). Przyjęta koncepcja
polityki bezpieczeństwa IDP umożliwia sprawne utrzymanie jej logicznej spójności i poprawności
oraz efektywne jej zarządzanie.
Polityka bezpieczeństwa IDP składa się ze zbioru reguł jednoznacznie ustalających,
jaki ruch sieciowy podlega inspekcji przez określone sensory IDP, czego należy w
nim szukać (tzn. jakich rodzajów ataków) oraz jakie działanie powinien podejmować
system zabezpieczeń w razie wykrycia tych zdarzeń.
Dla porównania, polityka bezpieczeństwa systemów IDS „starej generacji” ustala jedynie,
jakie sygnatury powinny być włączone na określonym sensorze i jaka powinna być dla każdej z
nich podejmowana akcja sensora IDS. Utrzymanie poprawnej logicznie oraz efektywnej polityki
bezpieczeństwa systemu IDS „starej generacji” przy obecnie bardzo dużej liczbie (rzędu 1.500),
na bieżąco rozwijanej bazy sygnatur jest ogromnie czasochłonne.
1
IDP należy do nowej generacji systemów wykrywania intruzów i przeciwdziałania
atakom. Daje administratorom rozbudowane narzędzia do monitorowania i kontroli ruchu
sieciowego, niedostępne w „starej generacji” systemach IDS. Konfiguracja IDP wynika
bezpośrednio z przyjętej polityki bezpieczeństwa systemu informatycznego. IDP został
zaprojektowany tak, aby nie było konieczności dostosowywania polityki bezpieczeństwa do
możliwości zastosowanej technologii zabezpieczeń (m.in. rezygnowania z pożądanych funkcji
bezpieczeństwa na skutek ograniczeń technologii zabezpieczeń).
1
IDP został zaprojektowany przez Nir Zuk. Wcześniej Nir Zuk pracował w Check Point, gdzie opracował architekturę i kierował
rozwojem wielu produktów (m.in. FireWall-1, VPN-1).
© 2003 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
2
Konsola administratora IDP
System IDP jest administrowany z centralnej konsoli zarządzającej (patrz rysunek).
Wszystkie zabezpieczenia IDP w sieci, bez względu na lokalizację funkcjonują zgodnie z jedną,
spójną polityką bezpieczeństwa przedsiębiorstwa.
Konsola GUI umożliwia utrzymanie jednej, centralnej polityki bezpieczeństwa
przedsiębiorstwa w zakresie wykrywania intruzów i aktywnego blokowania ataków
3
Funkcjonalność IDP
IDP to system zabezpieczeń sieciowych realizujący zadania wykrywania intruzów (IDS)
oraz w czasie rzeczywistym blokujący ataki. IDP potrafi skutecznie blokować ataki w
odróżnieniu do zwykłych systemów IDS, które nasłuchując sieć identyfikują zdarzenia w czasie
gdy intruzi wykonali już ataki na chronione zasoby i w praktyce nie są w stanie ich zablokować.
Nawet jeżeli zwykły IDS powiadomi o zdarzeniu Firewall to jest to już po fakcie. System IDP
funkcjonuje w trybie in-line jako aktywna brama sieci, bezpośrednio na drodze przepływu ruchu
sieciowego.
System IDP wykrywa i blokuje intruzów przed uzyskaniem dostępu do chronionych zasobów
IDP umożliwia wykrywanie prób skanowania, penetracji i włamań, ataków typu Exploit
(poziomu sieci i aplikacji), ataków destrukcyjnych typu (D)DoS oraz innych technik stosowanych
przez hakerów. Sensory IDP są dostarczane jako dedykowane, gotowe do wdrożenia
urządzenia Appliance. Przepływność urządzeń IDP wynosi ponad 400 Mb/s. Mogą
funkcjonować w trybie in-line (tzn. ruch sieciowy przepływa przez urządzenie) oraz Sniffer
(urządzenie nasłuchuje ruch sieciowy). W trybie pracy in-line sensory IDP mogą zostać
wdrożone jako router lub bridge.
4
Architektura systemu IDP
System zabezpieczeń IDP posiada w pełni trójwarstwową architekturę - sensory, serwer
zarządzania i interfejs GUI. Umożliwia ona sprawne wdrożenie zabezpieczeń i zarządzenie
bezpieczeństwem sieci.
IDP składa się z następujących komponentów:
•
Sensory IDP - analizują całość ruchu sieciowego, wykrywają i blokują ataki oraz
wymuszają ustaloną politykę bezpieczeństwa,
•
Serwer zarządzania (IDP Management Server) - przechowuje i zarządza wszystkimi
sygnaturami ataków, bazą logów oraz zbiorem polityk bezpieczeństwa.
•
Interfejs GUI - graficzne narzędzia do zarządzania IDP, umożliwiające
administratorowi wykonywania swoich zadań z dowolnego miejsca w sieci.
IDP może zostać wdrożony w architekturze rozproszonej (tzn. wszystkie komponenty
oddzielnie) lub scentralizowanej, gdzie serwer zarządzania i sensor IDP funkcjonują na jednym
urządzeniu. Całość zarządzania IDP oraz obsługa logów odbywa się na centralnym serwerze
zarządzania.
Polityki bezpieczeństwa są tworzone na serwerze zarządzania i instalowane na sensory
IDP w sieci. Komunikacja sieciowa pomiędzy wszystkimi komponentami IDP jest zabezpieczona
kryptograficznie. Sensory IDP mogą funkcjonować w trybie in-line lub sniffer. Pracując w trybie
in-line sensory IDP mogą zostać wdrożenie w architekturze odpornej na awarie (HA).
5
Techniki detekcji ataków
System zabezpieczeń IDP wykorzystuje wiele metod identyfikacji i ochrony przed
atakami. Metody detekcji ataków włączone są w zależności od kontrolowanego ruch sieciowego.
Analiza danych za pomocą poszczególnych metod detekcji odbywa się w tym samym czasie
(przetwarzanie współbieżne). Zapewnia to wysoką wykrywalność ataków bez obniżania
wydajności.
Zastosowany w IDP mechanizm Multi-Method Detection (MMD) zawiera następujące
metody detekcji:
•
Stateful Signatures - wykrywanie znanych ataków w oparciu o bazę sygnatur. Pełnostanowe sygnatury zawierają dane na temat wzorca ataku oraz rodzaju komunikacji,
gdzie takie zdarzenie może wystąpić. Ruch sieciowy poddawany jest analizie
kontekstowej przez co w dużym zakresie eliminowane są fałszywe alarmy (tzw. false
positives). Wzorce ataków wyszukiwane są tylko w wybranej komunikacji sieciowej,
zapewniając w ten sposób dużą efektywność kontroli i wydajność zabezpieczeń.
•
Protocol Anomalies - wykrywanie niezgodności ruchu sieciowego ze standardami
określonych protokołów (m.in. RFC). W praktyce zdarza się, że intruzi w celu
zmylenia zabezpieczeń, bądź ukrycia rzeczywistych ataków generują ruch sieciowy
odbiegający od przyjętych norm i standardów.
•
Backdoor Detection - wykrywanie aktywności "koni trojańskich" oraz prób
nieupoważnionego dostępu do chronionych systemów poprzez tzw. "włazy"
(backdoor). Detekcja odbywa się poprzez porównywanie ruchu sieciowego ze
znanymi wzorcami działań intruzów oraz analizę heurystyczną transmitowanych
pakietów.
•
Traffic Anomalies - identyfikowanie działań w sieci, uznawanych za niedozwolone lub
podejrzane, które są realizowane w formie wielu, różnych połączeń (np. skanowanie
portów). Analizie poddawane są połączenia w określonych przedziale czasowym.
•
IP Spoofing - wykrywanie ruchu sieciowego ze sfałszowanymi adresami IP nadawcy
pakietów (IP Spoofing). Intruzi często wykorzystują technikę IP Spoofing, żeby ukryć
rzeczywiste źródło ataku. IDP wykrywa IP Spoofing porównując adresy IP w
pakietach z adresami wykorzystywanymi w sieciach wewnętrznych.
•
Layer 2 - wykrywanie ataków i działań podejrzanych na poziomie warstwy 2 modelu
OSI i adresacji MAC (np. ARP cache poisoning). Jest to szczególnie wartościowe w
przypadku kontroli przez IDP sieci wewnętrznych.
•
Denial of Service Detection - wykrywanie ataków destrukcyjnych i destabilizujących
(Denial-of-Service, DoS). Ataki DoS realizowane są zwykle poprzez wysyłanie do
serwera usługi dużej liczby odpowiednio spreparowanych zapytań, które wyczerpują
jego zasoby (np. SYN-Flood).
•
Network Honeypot - wczesne wykrywanie i rozpoznawanie działań intruzów poprzez
stosowanie techniki "honeypot". IDP w trakcie skanowania, penetracji lub próby
włamania do chronionego systemu przedstawia intruzom fikcyjne informacje nt. usług
dostępnych na serwerach.
6
Przegląd narzędzi zarządzania
Serwer zarządzania IDP odpowiada za scentralizowane tworzenie i wdrażanie polityki
bezpieczeństwa przedsiębiorstwa w zakresie wykrywania i blokowania ataków i innych działań
niedozwolonych, a także konsolidowanie zdarzeń (logów, alarmów) rejestrowanych na wielu
sensorach w sieci i składowanie ich w centralnej bazie danych. Administratorzy z dowolnego
miejsca w sieci mogą zarządzać całym systemem IDP z użyciem dedykowanych, graficznych
narzędzi.
Interfejs GUI składa się z sześciu podstawowych komponentów:
•
Security Policy Editor - edytor polityki bezpieczeństwa umożliwiający tworzenie
różnego rodzaju reguł (m.in. Main, SYN-Protector, Network Honeypot, Backdoor
Detection, Traffic Anomalies, Sensor Settings Rulebases) i wdrażanie ich na
wybrane sensory IDP w sieci.
•
Dashboard - wyświetla w czasie rzeczywistym najbardziej istotne statystyki z
funkcjonowania sieci i zabezpieczeń. Zawiera następujące sekcje: Host Watch List,
Source Watch List, Attack Summary, Reports i Device Status.
Graficzna konsola IDP przedstawia aktualny stan bezpieczeństwa sieci
7
•
Object Editor - zarządzanie obiektów2, na których operuje system zabezpieczeń
IDP. Do podstawowych obiektów można zaliczyć Network Object (np. sieć, host,
serwer, sensor), Service Object (np. FTP, HTTP, Telnet) oraz Attack Object (np.
sygnatury ataków i anomalii protokołów).
•
Log Viewer - przeglądanie i analizowanie zdarzeń rejestrowanych przez sensory IDP
zgodnie z ustaloną polityką bezpieczeństwa. Wyświetla rekordy logów w formacie
tabeli z możliwością definiowania specyficznych reguł filtracji i selekcji danych.
Administrator w czasie rzeczywistym analizuje zdarzenia zarejestrowane przez sensory IDP
2
•
Device Monitor - przedstawia aktualny stan sensorów IDP i serwera zarządzania
(m.in. procesora, pamięci operacyjnej, procesów zabezpieczeń) oraz alarmuje
administratora w razie wystąpienia sytuacji wyjątkowych.
•
Reports – generuje różnego rodzaju raporty na podstawie zdarzeń zarejestrowanych
przez sensory IDP.
Obiekty polityki bezpieczeństwa IDP mogą zostać także zaimportowane ze stacji zarządzającej Check Point FireWall-1 za
pomocą protokołu CPMI API (OPSEC).
8
Polityka bezpieczeństwa IDP
Polityka bezpieczeństwa IDP składa się ze zbioru reguł opisujących zasady
funkcjonowania zabezpieczeń. Reguły definiowane są za pomocą graficznego edytora Policy
Editor. Edytor polityki bezpieczeństwa zawiera pięć sekcji:
•
Main – podstawowe zasady monitorowania sieci,
niedozwolonych i podejrzanych oraz eliminowania ataków,
•
Backdoor Detection – analiza ruchu sieciowego (m.in. badanie heurystyczne) pod
kątem wykrywania interakcyjnych sesji, wskazujących na istnienie aplikacji typu
Trojan lub Backdoor,
•
Network Honeypot – prezentowanie nieprawdziwych informacji na temat usług
systemu informatycznego w razie wykrycia nieupoważnionych prób dostępu,
•
SYN-Protector – ochrona serwerów przed atakami Syn Flood,
•
Traffic Anomalies - wykrywanie podejrzanych działań w sieci (np. skanowanie
portów TCP i UDP).
wykrywania
działań
Administrator definiując reguły kontroli ruchu sieciowego może wybrać tryb konfiguracji
Basic, zawierający tylko podstawowe ustawienia lub Advanced, bardziej szczegółowo
określający działanie IDP (View | Main Rulebase).
Jaki ruch sieciowy
podlega inspekcji?
Czego należy szukać (m.in.
jakich rodzajów ataków)?
Jakie działania należy podejmować
w razie wykrycia zdarzenia?
9
Pole Match jednoznacznie identyfikuje ruch sieciowy podlegający kontroli.
Kto inicjuje
komunikację
(klient)?
Z kim odbywa się
komunikacja
(serwer)?
Czy po zidentyfikowaniu komunikacji
IDP poddaje ją kontroli względem
następnych reguł?
Definiując reguły IDP w trybie Advanced występuje dodatkowe pole Service, określające
protokoły i usługi sieciowe poddawane kontroli.
Pole Look For identyfikuje zdarzenia i ataki, które IDP powinien wykrywać.
10
Pole Action określa sposób działania IDP po zidentyfikowaniu zdarzenia.
Jaką akcję
podejmuje
IDP?
W jaki sposób
powiadamia
administratora?
Gdzie
obowiązuje
reguła?
System IDP po wykryciu zdarzenia może podejmować różne działania w zależności od
trybu w jakim funkcjonuje:
•
none – brak reakcji,
•
ignore – ignorowanie ruchu sieciowego,
•
close client & server – zamknięcie sesji i wysłanie pakietu RST do klienta i serwera
aplikacji,
•
close client – zamknięcie sesji i wysłanie pakietu RST do klienta aplikacji,
•
close server – zamknięcie sesji i wysłanie pakietu RST do serwera aplikacji,
(tylko w trybie in-line)
•
drop packet – zablokowanie pakietu bez wysyłania pakietu RST,
•
drop connection – zablokowanie połączenia bez wysyłania pakietu RST.
11
Administrator IDP może być powiadomiony o zdarzeniu w następujący sposób:
•
logging – zapis informacji o zdarzeniu w logu,
•
alarm – zdarzenie wyświetlane jest na konsoli jako alarm (flaga w Log Viewer),
•
session – opis zdarzenia zawiera dodatkowo informacje o liczbie pakietów w sesji,
liczbie bajtów oraz czasie jej trwania,
•
SNMP Trap – komunikat zwrotny do menadżera SNMP,
•
syslog – przesłanie informacji o zdarzeniu do serwera SYSLOG,
•
send email – przesłanie informacji o zdarzeniu pocztą (e-mail),
•
run script – uruchomienie określonego skryptu lub aplikacji,
•
log packets – logowanie pakietów przed wystąpieniem zdarzenia i/lub po
wystąpieniu zdarzenia (np. w celu dokładnego przeanalizowania ruchu sieciowego).
Ustawienia poszczególnych sposobów powiadamiania IDP dokonywane są w menu
Tools | Preferences.
12
Definiując reguły IDP w trybie Advanced występują dwa dodatkowe pola:
•
IP Action – akcja podejmowana po wykryciu zdarzenia na kolejnych pakietach w
ramach tej komunikacji (np. blokowanie przez określony czas pakietów z adresu IP,
z którego wykryto atak),
•
Severity – priorytet zdarzenia.
Uwaga: Ustawienia IP Action powinny zostać dobrze przemyślane przed ich
zastosowaniem. Jest to bardzo „mocny” mechanizm w rękach administratora, którego
zastosowanie należy jednak odpowiednio zaplanować. Umożliwia on blokowanie wszelkich
działań intruzów w razie gdy zostało przez IDP wykryte ich niedozwolone zachowanie. Przede
wszystkim nie należy stosować IP Action jako reakcję na ataki, które mogą potencjalnie być
wykonane z innych adresów IP (np. IP Spoofing, adresy IP w wysyłanych przez intruzów
pakietach zostały sfałszowane,).
13
System IDP dokonuje analizy ustalonego ruchu sieciowego, wykonując m.in. badania
heurystyczne pod kątem wykrywania interakcyjnych sesji, wskazujących na istnienie na
chronionych serwerach aplikacji typu Trojan lub Backdoor.
Dla przykładu, wszystkie sesje z serwerem FTP,
za wyjątkiem protokołu FTP są analizowane
pod kątem istnienia aplikacji Backdoor/Trojan.
W razie wykrycia nieupoważnionych prób dostępu do chronionych serwerów
zabezpieczenia IDP prezentują intruzom nieprawdziwe informacje na temat dostępnych tam
usług systemu informatycznego.
Dla przykładu, w razie próby dostępu do usług FTP i WWW
kontrolera domeny Windows 2000 intruzi uzyskują tylko
„pozorny” dostęp do serwera, a wszystkie ich działania są
monitorowane i rejestrowane.
14
Ochrona serwerów w sieciach chronionych przed atakami DoS (destabilizujące,
destrukcyjne) wykorzystującymi technikę SYN Flood. System IDP może po zauważeniu ataku
wysłać pakiet RST do serwera TCP (metoda passive), bądź na czas dokładnego rozpoznania
ataku zestawić z serwerem tymczasową sesję TCP (metoda relay).
System IDP wykrywa podejrzane działania (np. skanowanie portów TCP/UDP) i reaguje
na nie zgodnie z ustaleniami polityki bezpieczeństwa.
15
Analiza i raportowanie rejestrowanych zdarzeń
System IDP w czasie rzeczywistym wykrywa niedozwolone i podejrzane działania jak
skanowanie, próby penetracji i włamań, ataki typu Exploit (poziomu sieci i aplikacji), ataki
destrukcyjne i destabilizujące (D)DoS oraz wiele innych technik stosowanych przez hakerów.
Detekcja ataków odbywa się z użyciem różnych metod stosowanych w zależności od rodzaju
analizowanego ruchu (m.in. Stateful Signatures, Anomaly Detection, Network Honeypot,
Spoofing Detection, Backdoor Detection).
Administrator na bieżąco dokonuje analizy bezpieczeństwa systemu informatycznego z
użyciem dedykowanych narzędzi. Za pomocą Log Viewer przegląda i selekcjonuje zdarzenia
zarejestrowane przez poszczególne sensory IDP. Specjalne narzędzia Log Investigator
umożliwiają dokładne rozpoznanie sposobu prowadzenia oraz zakresu ataków.
16
Zdarzenia zarejestrowane w logu IDP mogą zostać zapisane do innego formatu (m.in.
pliku PDF). Na ich podstawie administrator można także tworzyć raporty pod kątem analizy
określonego zachowania lub stanu bezpieczeństwa (np. najczęściej skanowane serwery,
najczęściej wykonywane ataki, wykaz ataków o największym poziomie zagrożenia). Raporty
mogą być w razie potrzeby dostrajane z użyciem dostępnych dla każdego z nich kryteriów
(np. przedziały czasowe, rodzaj wyświetlanego wykresu).
Osoby zainteresowane mogą bliżej zapoznać się z polityką bezpieczeństwa IDP uruchamiając konsolę
systemu zabezpieczeń w trybie Demo (server: *local, username i password dowolne). Konsolę dla
systemów operacyjnych Windows można skopiować ze strony ftp://mozilla.clico.pl/pub/o/idpgui_install.exe
Dostępna jest także konsola IDP na Linux.
17

Polityka bezpieczeństwa i zarządzanie systemem

Transkrypt

Podobne dokumenty

Kolumny chirurgiczne z regulacją wysokości: Kolumny chirurgiczne

Projekt Tebe II - art-bud

ActiveJet A-DP600 kaseta barwiąca kolor fioletowy do drukarki

Kostecka-Tomaszewska Luiza - HANDEL I FINANSE 2015 V

Ruszyła wymiana starych zapór ZyXEL

paryż-beauvais - Poznań

Informacje lokalne - Polskie Radio Szczecin

MEDIOLAŃSKIE PROWOKACJE CENOWE - Poznań