Bezpieczeństwo systemów komputerowych.
Transkrypt
Bezpieczeństwo systemów komputerowych.
Bezpieczeństwo systemów komputerowych. Temat seminarium: Systemy wykrywania włamań. Przegląd, zastosowanie. Autor: Łukasz Gientka Systemy wykrywania włamań. Przegląd, zastosowanie. Seminarium 2004 – PP, SKiSR Systemy wykrywania włamań. Przegląd, zastosowanie. Plan prezentacji Wprowadzenie Co nie jest systemem IDS Przykłady systemów wykrywania włamań Program Snort Podsumowanie Seminarium 2004 – PP, SKiSR 2 Systemy wykrywania włamań. Przegląd, zastosowanie. Wprowadzenie System wykrywania włamań – IDS (ang. Intrusion Detection System) jest narzędziem administracyjnym, dzięki któremu administrator zostanie w porę zaalarmowany o intruzach oraz będzie mógł prześledzić sposób ataku. Wykorzystuje si ę je głównie jako uzupełnienie ochrony realizowanej przez zapory ogniowe. Działaj ą w modelu hostowym lub sieciowym. Seminarium 2004 – PP, SKiSR 3 Systemy wykrywania włamań. Przegląd, zastosowanie. Wprowadzenie (2) Podstawowe pojęcia: - identyfikacja - reakcja - monitorowanie - sygnatury zachowań a. dynamiczne, b. statyczne - analiza protokołów Seminarium 2004 – PP, SKiSR 4 Systemy wykrywania włamań. Przegląd, zastosowanie. Co nie jest systemem IDS ? - systemy badaj ące przepustowość sieci, narzędzia do wykrywania luk w zabezpieczeniach systemów operacyjnych i usług sieciowych (skanery bezpieczeństwa), np. Cyber Cop Scanner, - systemy wykrywaj ące wszelkiego rodzaju programy złośliwe, np. wirusy, konie trojańskie, robaki (worm), bakterie, bomby logiczne, - - zapory ogniowe, systemy zabezpieczeń, także systemy kryptograficzne, np. VPN, SSL, S/MIME, Kerberos, Radius itd. - Seminarium 2004 – PP, SKiSR 5 Systemy wykrywania włamań. Przegląd, zastosowanie. Przykłady systemów IDS RealSecure firmy Internet Security System. Funkcjonowanie tego systemu bazuje na technikach wykrywania nadużyć (ang. misuse detection), uzupełniony o mechanizm wykrywania anomalii (ang. anomaly detection). Został zaimplementowany w formie modułów inspekcyjnych, analizuj ących ruch w sieci oraz działanie użytkowników w systemie operacyjnym. System cechuje architektura rozproszona, na która składają się trzy podstawowe komponenty: - Network Sensor - OS Sensor - Workgroup Manager Seminarium 2004 – PP, SKiSR 6 Systemy wykrywania włamań. Przegląd, zastosowanie. Przykłady systemów IDS (2) Network Sensor – jest uruchamiany na dedykowanych stacjach, w newralgicznych punktach sieci. Analizuje pakiety przesyłane w sieci pod kątem znanych wzorców włamań. OS Sensor – jest modułem przeznaczonym do analizowania zdarzeń rejestrowanych w logach systemowych. Wykrywa ewentualne nieautoryzowane działanie użytkownika, których identyfikacja nie jest możliwa w czasie rzeczywistym. Workgroup Manager – służy do zarządzania i nadzorowania wszystkich stacji RealSecure. Całość może zostać zintegrowana z platformą HPOpenView i Tivoli. Seminarium 2004 – PP, SKiSR 7 Systemy wykrywania włamań. Przegląd, zastosowanie. Przykłady systemów IDS (3) RealSecure Engine – instalowane na komputerze z dwiema kartami sieciowymi działaj ący w oparciu o konfiguracje utajnioną. Przepustowość sieci – wsparcie dla technologii 10/100 Ethernet oraz Gigabit Ethernet (3Com 3C905B-C, Intel Pro 1000/F). Seminarium 2004 – PP, SKiSR 8 Systemy wykrywania włamań. Przegląd, zastosowanie. Przykłady systemów IDS (4) ICEPack firmy Network ICE – zdalne instalowanie i zarządzanie oprogramowanie klienckie – BlackICE Agent, Sentry i Guard monitoruje w czasie rzeczywistym ruch we wszystkich warstwach, wykonuj ąc pełna analizę protokołów. W razie wykrycia działań noszących znami ę włamania blokowany jest dostęp do chronionego komputera i wysyła zawiadomienie o ataku do ICEcap Manager. Seminarium 2004 – PP, SKiSR 9 Systemy wykrywania włamań. Przegląd, zastosowanie. Przykłady systemów IDS (5) ICEcap Manager – centralny moduł zarządzający systemu. BlackICE Agent – moduł jest instalowany na każdym komputerze w chronionej sieci (stacja robocza, notebook ze zdalnym dostępem, serwer). BlackICE Sentry – agent sieciowy, instalowany na dedykowanym komputerze, monitoruje ruch skierowany do dowolnego urządzenia – drukarka, router, firewall. BlackICE Guard – działa podobnie jak Sentry, z tą różnicą, że potrafi odci ąć ruch niepożądanych pakietów. SQLDatabase – baza zawierająca sygnatury ataków aktualizowana on-line. Seminarium 2004 – PP, SKiSR 10 Systemy wykrywania włamań. Przegląd, zastosowanie. Przykłady systemów IDS (6) Cisco Secure IDS – dedykowane urządzenie sieciowe wyposażone w oprogramowanie. Sensory Cisco IDS dostarczane są w trzech odmianach i pracuj ą pod okrojoną wersj ą systemu Sun Solaris. Secure Sensor – dedykowana sonda oparta na platformie jednolub dwuprocesorowej Intel Pentium III 400 MHz, zaopatrzona w dwa interfejsy sieciowe, z których jeden komunikuje się z Directorem, zaś drugi nasłuchuje ruch sieciowy (hub pośredniczący lub przeł ącznik korzystaj ący z funkcji kopiowania ruchu na port). IOS Firewall IDS – router ze specjalizowanym oprogramowaniem. Obsługuje tylko 59 sygnatur. Komunikacja z Directorem odbywa się po ogólnym porcie i jest szyfrowana. Director – zrządza maksymalnie 50 sensorami ale zalecane jest 15. Tworzy się systemy hierarchiczny, ze wskazaniem na jeden odpowiedzialny za podejmowanie decyzji o działaniu na wypadek ataku. Seminarium 2004 – PP, SKiSR 11 Systemy wykrywania włamań. Przegląd, zastosowanie. Przykłady systemów IDS (7) Inne systemy: - eTrust Intrusion Detection firmy Computer Associates http://www3.ca.com - NetProwler firmy Axent Technologies (Symantec) http://www.axent.com - Intruder Alert firmy Axent Technologies http://www.symantec.com Seminarium 2004 – PP, SKiSR 12 Systemy wykrywania włamań. Przegląd, zastosowanie. Program Snort Seminarium 2004 – PP, SKiSR 13 Systemy wykrywania włamań. Przegląd, zastosowanie. Program Snort (2) W typowej konfiguracji Snort jest pojedynczym procesem podsłuchuj ącym pakiety pojawiające się na wskazanych interfejsach. Można go wi ęc wykorzystać analogicznie do typowego sniffera takiego jak tcpdump. Kolejną funkcją Snorta jest możliwość zapisywania przechwyconych pakietów w różnych formatach, co pozwala na wykorzystanie go jako czujnika, zbieraj ącego interesuj ące ślady, przekazywane następnie do centralnej analizy. Jednak kluczowym elementem Snorta są właśnie moduły przeszukiwania zebranych informacji pod kątem wydarzeń interesuj ących z punktu widzenia bezpieczeństwa lub poprawnego funkcjonowania sieci. Seminarium 2004 – PP, SKiSR 14 Systemy wykrywania włamań. Przegląd, zastosowanie. Program Snort (3) O tym, jakie pakiety będą zalogowane i ewentualnie wzbudzą alarm decydują preprocesory. Moduły te analizują różne cechy charakterystyczne pakietów na różnych warstwach TCP/IP, mogąc wykrywać wszystkie ataki związane z błędną fragmentacją pakietów IP jak i błędnym kodowaniem Unicode w zapytaniach protokołu tak wysokiej warstwy jak HTTP. Preprocesory przygotowuj ą także strumień danych dla kolejnych modułów IDS, na przykład dekoduj ąc Unicode lub kodowanie stosowane przez HTTP. Seminarium 2004 – PP, SKiSR 15 Systemy wykrywania włamań. Przegląd, zastosowanie. Program Snort (4) http_decode - konwertuj ąc na ASCII znaki zakodowane w postaci szesnastkowej, portscan - wykrywa próby skanowania portów, frag2 - defragmentuje i normalizuje dane przychodzące w postaci fragmentów, stream4 - preprocesor analizuj ący strumienie TCP, unidecode - dekoduje znaki zakodowane jako Unicode, oraz wykrywa nielegalne kodowania, rpc_decode - normalizuje żądania po protokole RPC, telnet_decode - usuwa z sesji TELNET i FTP binarne ciągi mogące utrudnić wyszukiwanie sygnatur ataków, bo - wyszukuje w pakietach UDP próby połączeń konia trojańskiego, arpspoof - wykrywa podejrzane pakiety ARP, spade - eksperymentalny preprocesor wykrywający statystyczne anomalie w ruchu TCP/IP w stosunku do charakterystyki zaobserwowanej w ci ągu określonego przedziału czasu Seminarium 2004 – PP, SKiSR 16 Systemy wykrywania włamań. Przegląd, zastosowanie. Program Snort (5) Przykładowe reguły IDS: - alarm dla wszystkich pakietów TCP przychodzących z portu 110 i zawieraj ącego ci ągi znaków sugeruj ące, że list zawiera załącznik VB Script, czyli najczęściej wirusa. alert tcp any 110 -> any any (msg:"Virus - Mail .VBS"; content:"multipart"; content:"name="; content:".vbs"; nocase; sid:793; classtype:misc-activity; rev:3;) Seminarium 2004 – PP, SKiSR 17 Systemy wykrywania włamań. Przegląd, zastosowanie. Program Snort (6) - podejrzenie ataku po napotkaniu pakietów IP z ustawionym bitem flagi More Fragments oraz deklarowanym rozmiarem 408 bajtów alert ip $EXTERNAL_NET any -> $HOME_NET any (msg:"DOS Jolt attack"; fragbits: M; dsize:408; classtype:attempted-dos; sid:268; rev:1;) Seminarium 2004 – PP, SKiSR 18 Systemy wykrywania włamań. Przegląd, zastosowanie. Program Snort (7) Skąd brać reguły? - http://www.snort.org/snort-db/ - http://whitehats.com/ids/ Reagowanie na ataki: - zapisanie zawartości do pliku, - przerwanie połączenia, - wywołanie zewnętrznych poleceń. Seminarium 2004 – PP, SKiSR 19 Systemy wykrywania włamań. Przegląd, zastosowanie. Program Snort (8) Alerty: - zarejestrowanie w dzienniku systemowych (syslog) - zarejestrowanie w pliku w postaci fast lub full - wyświetlenie okienka WinPopup z alertem na stacji roboczej administratora - wysłanie alertu na gniazdo uniksowe, - zapisanie przechwyconego pakietu w binarnym formacie tcpdump do analizy za pomocą popularnych narzędzi - zapisanie alertu oraz pakietu w postaci dialektu XML znanego jako SNMP, - wysłanie pułapki SNMP do wskazanego hosta, - zapisanie rekordu w formacie CSV, - zapisywanie kompletu danych w formacie unified, - zapisanie rekordu do lokalnej lub zewnętrznej bazy danych przez odpowiednie ODBC Seminarium 2004 – PP, SKiSR 20 Systemy wykrywania włamań. Przegląd, zastosowanie. Program Snort (9) Podsumowanie: - SnortSnarf - http://www.silicondefense.com/software/snortsnarf/ - Silicon Defense - http://www.silicondefense.com/ - CodeRed Seminarium 2004 – PP, SKiSR 21 Systemy wykrywania włamań. Przegląd, zastosowanie. Podsumowanie Zdolność produktu do wykrywania intruzów zależy od jego architektury i zakresu konfigurowania wymaganego od użytkownika. Wi ększość produktów oparta jest na technice agentów, co oznacza, że wymagaj ą posadowienia modułów agentów w newralgicznych punktach sieci. Zadaniem tych agentów jest zbieranie informacji o możliwych atakach. Agenci wykrywają naruszenia ustalonych reguł polityki ochrony i wysyłają powiadomienia o takich naruszeniach na konsolę zarządzania. Systemy oparte na agentach są lepsze dla sieci przełączanych, w których nie istnieje pojedynczy punkt przej ścia dla całego ruchu. Zamiast strzec pojedynczego połączenia agent monitoruje cały ruch wychodzący i przychodzący do urządzenia, na którym rezyduje, tak więc intruz nie może ukryć się wewnątrz przełącznika. Seminarium 2004 – PP, SKiSR 22 Systemy wykrywania włamań. Przegląd, zastosowanie. Podsumowanie (2) Według szacunków IDC obroty na tym rynku wzrosły z 20 mln USD w 1997 r. do 100 mln w roku ubiegłym, a w 2005 r. są przewidywane na poziomie ponad 0,5 mld USD. Przy dzisiejszych zautomatyzowanych narzędziach hakerskich, którymi mogą posługiwać si ę nawet amatorzy, sieci korporacyjne są szczególnie narażone na niepożądane penetracje stąd konieczność wdrażania i utrzymywania systemów IDS. Seminarium 2004 – PP, SKiSR 23 Systemy wykrywania włamań. Przegląd, zastosowanie. Bibliografia: - E. Amoroso, Wykrywanie intruzów, Wydawnictwo RM, Warszawa 1999. P. Dorosz, P. Kazienko, Systemy wykrywania intruzów, VI Krajowa Konferencja Zastosowa ń Kryptografii ENIGMA 2002, Warszawa 14-17 maja 2002 r. - - http://www.hacking.pl - http://www.networld.pl - http://www.iss.net - http://www.clico.pl - http://www.cisco.com - http://www.ncsa.com - http://www.symantec.com - http://www.axent.com - http://www3.ca.com - http://www-rnks.informatik.tu-cottbus.de/en/security/idsbody.html - http://www.snort.org Seminarium 2004 – PP, SKiSR 24 Systemy wykrywania włamań. Przegląd, zastosowanie. KONIEC (nareszcie ) Seminarium 2004 – PP, SKiSR 25