Bezpieczeństwo systemów komputerowych.

Transkrypt

Bezpieczeństwo systemów komputerowych.
Temat seminarium:
Systemy wykrywania włamań. Przegląd,
zastosowanie.
Autor: Łukasz Gientka
Systemy wykrywania włamań.
Przegląd, zastosowanie.
Seminarium 2004 – PP, SKiSR
zastosowanie.
Plan prezentacji
Wprowadzenie
Co nie jest systemem IDS
Przykłady systemów wykrywania włamań
Program Snort
Podsumowanie
2
zastosowanie.
Wprowadzenie
System wykrywania włamań – IDS (ang. Intrusion Detection
System) jest narzędziem administracyjnym, dzięki któremu
administrator zostanie w porę zaalarmowany o intruzach oraz
będzie mógł prześledzić sposób ataku.
Wykorzystuje si ę je głównie jako uzupełnienie ochrony
realizowanej przez zapory ogniowe.
Działaj ą w modelu hostowym lub sieciowym.
3
zastosowanie.
Wprowadzenie
(2)
Podstawowe pojęcia:
-
identyfikacja
-
reakcja
-
monitorowanie
-
sygnatury zachowań
a. dynamiczne,
b. statyczne
- analiza protokołów
4
zastosowanie.
Co nie jest systemem IDS ?
-
systemy badaj ące przepustowość sieci,
narzędzia do wykrywania luk w zabezpieczeniach systemów
operacyjnych i usług sieciowych (skanery bezpieczeństwa), np.
Cyber Cop Scanner,
-
systemy wykrywaj ące wszelkiego rodzaju programy złośliwe, np.
wirusy, konie trojańskie, robaki (worm), bakterie, bomby logiczne,
-
-
zapory ogniowe,
systemy zabezpieczeń, także systemy kryptograficzne, np. VPN,
SSL, S/MIME, Kerberos, Radius itd.
-
5
zastosowanie.
Przykłady systemów IDS
RealSecure firmy Internet Security System. Funkcjonowanie tego
systemu bazuje na technikach wykrywania nadużyć (ang. misuse
detection), uzupełniony o mechanizm wykrywania anomalii (ang.
anomaly detection). Został zaimplementowany w formie modułów
inspekcyjnych, analizuj ących ruch w sieci oraz działanie
użytkowników w systemie operacyjnym.
System cechuje architektura rozproszona, na która składają się trzy
podstawowe komponenty:
-
Network Sensor
-
OS Sensor
-
Workgroup Manager
6
zastosowanie.
(2)
Network Sensor – jest uruchamiany na dedykowanych stacjach,
w newralgicznych punktach sieci. Analizuje pakiety przesyłane w
sieci pod kątem znanych wzorców włamań.
OS Sensor – jest modułem przeznaczonym do analizowania
zdarzeń rejestrowanych w logach systemowych. Wykrywa
ewentualne nieautoryzowane działanie użytkownika, których
identyfikacja nie jest możliwa w czasie rzeczywistym.
Workgroup Manager – służy do zarządzania i nadzorowania
wszystkich stacji RealSecure. Całość może zostać zintegrowana z
platformą HPOpenView i Tivoli.
7
zastosowanie.
(3)
RealSecure Engine – instalowane na komputerze z dwiema
kartami sieciowymi działaj ący w oparciu o konfiguracje utajnioną.
Przepustowość sieci – wsparcie dla technologii 10/100 Ethernet
oraz Gigabit Ethernet (3Com 3C905B-C, Intel Pro 1000/F).
8
zastosowanie.
(4)
ICEPack firmy Network ICE – zdalne instalowanie i zarządzanie
oprogramowanie klienckie – BlackICE Agent, Sentry i Guard
monitoruje w czasie rzeczywistym ruch we wszystkich warstwach,
wykonuj ąc pełna analizę protokołów. W razie wykrycia działań
noszących znami ę włamania blokowany jest dostęp do chronionego
komputera i wysyła zawiadomienie o ataku do ICEcap Manager.
9
zastosowanie.
(5)
ICEcap Manager – centralny moduł zarządzający systemu.
BlackICE Agent – moduł jest instalowany na każdym komputerze
w chronionej sieci (stacja robocza, notebook ze zdalnym dostępem,
serwer).
BlackICE Sentry – agent sieciowy, instalowany na dedykowanym
komputerze, monitoruje ruch skierowany do dowolnego urządzenia
– drukarka, router, firewall.
BlackICE Guard – działa podobnie jak Sentry, z tą różnicą, że
potrafi odci ąć ruch niepożądanych pakietów.
SQLDatabase – baza zawierająca sygnatury ataków
aktualizowana on-line.
10
zastosowanie.
(6)
Cisco Secure IDS – dedykowane urządzenie sieciowe wyposażone
w oprogramowanie. Sensory Cisco IDS dostarczane są w trzech
odmianach i pracuj ą pod okrojoną wersj ą systemu Sun Solaris.
Secure Sensor – dedykowana sonda oparta na platformie jednolub dwuprocesorowej Intel Pentium III 400 MHz, zaopatrzona w
dwa interfejsy sieciowe, z których jeden komunikuje się z
Directorem, zaś drugi
nasłuchuje ruch sieciowy
(hub
pośredniczący lub przeł ącznik korzystaj ący z funkcji kopiowania
ruchu na port).
IOS Firewall IDS – router ze specjalizowanym oprogramowaniem.
Obsługuje tylko 59 sygnatur. Komunikacja z Directorem odbywa się
po ogólnym porcie i jest szyfrowana.
Director – zrządza maksymalnie 50 sensorami ale zalecane jest
15. Tworzy się systemy hierarchiczny, ze wskazaniem na jeden
odpowiedzialny za podejmowanie decyzji o działaniu na wypadek
ataku.
11
zastosowanie.
(7)
Inne systemy:
-
eTrust Intrusion Detection firmy Computer Associates
http://www3.ca.com
-
NetProwler firmy Axent Technologies (Symantec)
http://www.axent.com
-
Intruder Alert firmy Axent Technologies
http://www.symantec.com
12
zastosowanie.
Program Snort
13
zastosowanie.
Program Snort
(2)
W typowej konfiguracji Snort jest pojedynczym procesem
podsłuchuj ącym pakiety pojawiające się na wskazanych
interfejsach. Można go wi ęc wykorzystać analogicznie do typowego
sniffera takiego jak tcpdump.
Kolejną
funkcją
Snorta
jest
możliwość
zapisywania
przechwyconych pakietów w różnych formatach, co pozwala na
wykorzystanie go jako czujnika, zbieraj ącego interesuj ące ślady,
przekazywane następnie do centralnej analizy.
Jednak kluczowym elementem Snorta są właśnie moduły
przeszukiwania zebranych informacji pod kątem wydarzeń
interesuj ących z punktu widzenia bezpieczeństwa lub poprawnego
funkcjonowania sieci.
14
zastosowanie.
Program Snort
(3)
O tym, jakie pakiety będą zalogowane i ewentualnie wzbudzą alarm
decydują preprocesory. Moduły te analizują różne cechy
charakterystyczne pakietów na różnych warstwach TCP/IP, mogąc
wykrywać wszystkie ataki związane z błędną fragmentacją
pakietów IP jak i błędnym kodowaniem Unicode w zapytaniach
protokołu tak wysokiej warstwy jak HTTP. Preprocesory
przygotowuj ą także strumień danych dla kolejnych modułów IDS,
na przykład dekoduj ąc Unicode lub kodowanie stosowane przez
HTTP.
15
zastosowanie.
Program Snort
(4)
http_decode - konwertuj ąc na ASCII znaki zakodowane w postaci
szesnastkowej,
portscan - wykrywa próby skanowania portów,
frag2 - defragmentuje i normalizuje dane przychodzące w postaci
fragmentów,
stream4 - preprocesor analizuj ący strumienie TCP,
unidecode - dekoduje znaki zakodowane jako Unicode, oraz
wykrywa nielegalne kodowania,
rpc_decode - normalizuje żądania po protokole RPC,
telnet_decode - usuwa z sesji TELNET i FTP binarne ciągi mogące
utrudnić wyszukiwanie sygnatur ataków,
bo - wyszukuje w pakietach UDP próby połączeń konia trojańskiego,
arpspoof - wykrywa podejrzane pakiety ARP,
spade - eksperymentalny preprocesor wykrywający statystyczne
anomalie w ruchu TCP/IP w stosunku do charakterystyki
zaobserwowanej w ci ągu określonego przedziału czasu
16
zastosowanie.
Program Snort
(5)
Przykładowe reguły IDS:
- alarm dla wszystkich pakietów TCP przychodzących z portu 110 i
zawieraj ącego ci ągi znaków sugeruj ące, że list zawiera załącznik
VB Script, czyli najczęściej wirusa.
alert tcp any 110 -> any any
(msg:"Virus - Mail .VBS";
content:"multipart";
content:"name=";
content:".vbs";
nocase;
sid:793;
classtype:misc-activity;
rev:3;)
17
zastosowanie.
Program Snort
(6)
- podejrzenie ataku po napotkaniu pakietów IP z ustawionym bitem
flagi More Fragments oraz deklarowanym rozmiarem 408 bajtów
alert ip $EXTERNAL_NET any -> $HOME_NET any
(msg:"DOS Jolt attack";
fragbits: M;
dsize:408;
classtype:attempted-dos;
sid:268;
rev:1;)
18
zastosowanie.
Program Snort
(7)
Skąd brać reguły?
-
http://www.snort.org/snort-db/
-
http://whitehats.com/ids/
Reagowanie na ataki:
-
zapisanie zawartości do pliku,
-
przerwanie połączenia,
-
wywołanie zewnętrznych poleceń.
19
zastosowanie.
Program Snort
(8)
Alerty:
- zarejestrowanie w dzienniku systemowych (syslog)
- zarejestrowanie w pliku w postaci fast lub full
- wyświetlenie okienka
WinPopup z alertem na stacji roboczej
administratora
- wysłanie alertu na gniazdo uniksowe,
- zapisanie przechwyconego pakietu w binarnym formacie tcpdump
do analizy za pomocą popularnych narzędzi
- zapisanie alertu oraz pakietu w postaci dialektu XML znanego
jako SNMP,
- wysłanie pułapki SNMP do wskazanego hosta,
- zapisanie rekordu w formacie CSV,
- zapisywanie kompletu danych w formacie unified,
- zapisanie rekordu do lokalnej lub zewnętrznej bazy danych przez
odpowiednie ODBC
20
zastosowanie.
Program Snort
(9)
Podsumowanie:
- SnortSnarf - http://www.silicondefense.com/software/snortsnarf/
-
Silicon Defense - http://www.silicondefense.com/
-
CodeRed
21
zastosowanie.
Podsumowanie
Zdolność produktu do wykrywania intruzów zależy od jego
architektury
i
zakresu
konfigurowania
wymaganego
od
użytkownika. Wi ększość produktów oparta jest na technice
agentów, co oznacza, że wymagaj ą posadowienia modułów agentów
w newralgicznych punktach sieci. Zadaniem tych agentów jest
zbieranie informacji o możliwych atakach. Agenci wykrywają
naruszenia ustalonych reguł polityki ochrony i wysyłają
powiadomienia o takich naruszeniach na konsolę zarządzania.
Systemy oparte na agentach są lepsze dla sieci przełączanych, w
których nie istnieje pojedynczy punkt przej ścia dla całego ruchu.
Zamiast strzec pojedynczego połączenia agent monitoruje cały
ruch wychodzący i przychodzący do urządzenia, na którym
rezyduje, tak więc intruz nie może ukryć się wewnątrz
przełącznika.
22
zastosowanie.
Podsumowanie
(2)
Według szacunków IDC obroty na tym rynku wzrosły z 20 mln USD
w 1997 r. do 100 mln w roku ubiegłym, a w 2005 r. są
przewidywane na poziomie ponad 0,5 mld USD.
Przy dzisiejszych zautomatyzowanych narzędziach hakerskich,
którymi mogą posługiwać si ę nawet amatorzy, sieci korporacyjne
są szczególnie narażone na niepożądane penetracje stąd
konieczność wdrażania i utrzymywania systemów IDS.
23
zastosowanie.
Bibliografia:
-
E. Amoroso, Wykrywanie intruzów, Wydawnictwo RM, Warszawa 1999.
P. Dorosz, P. Kazienko, Systemy wykrywania intruzów, VI Krajowa Konferencja
Zastosowa ń Kryptografii ENIGMA 2002, Warszawa 14-17 maja 2002 r.
-
-
http://www.hacking.pl
-
http://www.networld.pl
-
http://www.iss.net
-
http://www.clico.pl
-
http://www.cisco.com
-
http://www.ncsa.com
-
http://www.symantec.com
-
http://www.axent.com
-
http://www3.ca.com
-
http://www-rnks.informatik.tu-cottbus.de/en/security/idsbody.html
-
http://www.snort.org
24
zastosowanie.
KONIEC
(nareszcie )
25

Bezpieczeństwo systemów komputerowych.

Transkrypt

Podobne dokumenty

proponowane tematy na szkolenie pracowników firm

Generuj PDF - Komenda Miejska Policji w Zabrzu

Komenda Miejska Policji w Zabrzu Okradał domki i mieszkania

Generuj PDF - KRP II – Mokotów, Ursynów, Wilanów

do pobrania plik PDF

ISO 14001, EMAS III - Główny Instytut Górnictwa

„Ochrona środowiska w przedsiębiorstwie na przykładzie Linde Gaz

KMP LESZNO BEZPIECZNY DOM

PDF: Kompleksowa diagnostyka i zabezpieczanie sieci IT

Załącznik 1 do Zarządzenia nr 5 Rektora z dnia 22. 01. 2001 r