Systemy wykrywania włamań w aspekcie pogłębionej architektury systemu bezpieczeństwa teleinformatycznego
Transkrypt
Systemy wykrywania włamań w aspekcie pogłębionej architektury systemu bezpieczeństwa teleinformatycznego
Warszawska Wyższa Szkoła Informatyki Systemy wykrywania włamań w aspekcie pogłębionej architektury systemu bezpieczeństwa teleinformatycznego 1 dr inż. Krzysztof Różanowski [email protected] Bezpieczeństwo Systemów Teleinformatycznych Wprowadzenie Celem jakichkolwiek działań z zakresu bezpieczeństwa teleinformatycznego jest ochrona informacji, a nie komputerów! 2 Bezpieczeństwo Systemów Teleinformatycznych Wprowadzenie Dlaczego chronimy informację? 1. Ponieważ jest towarem (może mieć znaczenie strategiczne) 2. Jest podstawowym elementem procesów biznesowych 3. Ze względu na obowiązujące wymagania prawne 3 Bezpieczeństwo Systemów Teleinformatycznych Określenie zagrożenia – przed czym się bronimy? 1. Włamywacz odczytuje poufne dane 2. Włamywacz zmienia dane 3. Włamywacz usuwa dane 4. Odmowa usługi 4 5. Włamywacz przeprowadza inne ataki z wykorzystaniem zaatakowanego komputera Bezpieczeństwo Systemów Teleinformatycznych Kim są wrogowie? 1. 2. 3. 4. 5. 6. 7. 5 Krakerzy i hakerzy Rozczarowani pracownicy Rozczarowani byli pracownicy Konkurencja Szpiedzy Przestępcy Ekstremiści oraz terroryści Bezpieczeństwo Systemów Teleinformatycznych Informacja Ze względu na znaczenie dla użytkownika całą wykorzystywaną przez niego, jak również jego dotyczącą informację, dzieli się na wrażliwą i niewrażliwą. Informacja wrażliwa – informacja mogąca zostać wykorzystana przeciwko interesom podmiotu przez ujawnienie, nie udostępnienie lub manipulację, np.: - wszystkie informacje, które muszą być chronione ze względu na obowiązujące przepisy prawne (Ustawa o ochronie danych osobowych) 6 Bezpieczeństwo Systemów Teleinformatycznych Informacja c.d. - informacje, które w połączeniu z innymi informacjami stają się istotne - informacje, dotyczące życia prywatnego członków zarządu Informacja Informacje wrażliwe I. niejawne 7 Rys. Rodzaje informacje [1] Dane osobowe Bezpieczeństwo Systemów Teleinformatycznych Bezpieczeństwo teleinformatyczne Bezpieczeństwo teleinformatyczne dotyczy zakresu form wymiany, przechowywania i przetwarzania informacji ograniczonego do technicznych środków łączności (sieci i systemy teleinformatyczne). Definicja: Bezpieczeństwo teleinformatyczne: poziom uzasadnionego zaufania, że potencjalne straty wynikające z niepożądanego (przypadkowego lub świadomego) ujawnienia, modyfikacji, zniszczenia lub uniemożliwienia przetwarzania informacji przechowywanej lub przesyłanej za pomocą systemów teleinformatycznych nie zostaną poniesione 8 Bezpieczeństwo Systemów Teleinformatycznych Bezpieczeństwo teleinformatyczne Atrybuty informacji związane z jej bezpieczeństwem 1. Poufność – opisuje stopień ochrony jakiej ma ona podlegać. Stopień ten jest określany przez osoby lub organizacje dostarczające i otrzymujące informację. 2. Integralność – oznacza, że dane i informacje są poprawne, nienaruszone i nie zostały poddane manipulacji. 3. Dostępność – właściwość systemu teleinformatycznego oznaczająca dostępność danych, procesów lub aplikacji zgodnie z wymaganiami użytkownika 9 Bezpieczeństwo Systemów Teleinformatycznych Bezpieczeństwo teleinformatyczne Bezpieczeństwa teleinformatycznego nie można rozpatrywać w oderwaniu, uważając iż szeroko rozumiane bezpieczeństwo informacji nas nie interesuje, gdyż zajmujemy się tylko tym co związane jest z systemami i sieciami komputerowymi. Takie podejście prowadzi do budowania dziurawych systemów bezpieczeństwa i jest nie zgodne z uznanymi praktykami w tym zakresie, zapisanymi, np.: w postaci normy ISO/IEC 17799 (http://www.iso.org/iso/en/ISOOnline.frontpage). 10 Bezpieczeństwo Systemów Teleinformatycznych Bezpieczeństwo teleinformatyczne Bezpieczeństwo informacji: informacje we wszelkiej znanej postaci Bezpieczeństwo teleinformacyjne: informacja przekazywana za pomocą technicznych środków łączności Bezpieczeństwo teleinformatyczne: informacja przetwarzana, przechowywana i przesyłana w systemach teleinformatycznych 11 Rys. Związki między różnymi rodzajami bezpieczeństwa informacji [1] Bezpieczeństwo Systemów Teleinformatycznych Bezpieczeństwo teleinformatyczne Osiągnięcie założonego poziomu bezpieczeństwa teleinformatycznego można przedstawić na trójetapowym schemacie: 1.Planowanie bezpieczeństwa teleinformatycznego 2.Wdrażanie koncepcji bezpieczeństwa teleinformatycznego 3.Utrzymywanie bezpieczeństwa teleinformatycznego 12 Bezpieczeństwo Systemów Teleinformatycznych Zagrożenia - wewnętrzne Przeciętnie około ¾ wszystkich incydentów związanych z naruszaniem zasad bezpieczeństwa kojarzonych jest z pracownikami danej firmy Przeciętnie około 80% inwestycji związanych z bezpieczeństwem w przedsiębiorstwach dotyczą ochrony przed atakami z zewnątrz. Ataki wewnętrzne (główne przyczyny): 13 -Kradzież danych -Szpiegostwo -Sabotaż -Zła wola Bezpieczeństwo Systemów Teleinformatycznych Zagrożenia wewnętrzne Najczęstsze efekty działań: -usuwanie wartościowych danych przedsiębiorstwa -publikowanie lub rozpowszechnianie danych poufnych -zmiana uprawnień, haseł, itd.. -obraźliwe maile Anatomia ataku wewnętrznego: Kradzież kopii zapasowych (oprogramowania systemowego, sprzętu)->atak na sieć lub system 14 Bezpieczeństwo Systemów Teleinformatycznych Zagrożenia zewnętrzne Atak zewnętrzny – atak zainicjowany ze stacji pracującej poza zaporą firewall. Anatomia ataku zewnętrznego: 15 Pozyskiwanie informacji o konfiguracji środowiska, sieci (próby komunikacji z SNMP w celu uzyskania informacji o routerach i zaporach)->Gromadzenie danych (adresy IP, adresy MAC, informacje o trasach)->Zbieranie informacji o pracujących w sieci systemach (np,: nmap (freeware) ->Naruszenie pierwszego pojedynczego systemu w sieci wewnętrznej (np..: uruchomienie na jednej ze stacji sieciowej oprogramowania typu backdoor. Bezpieczeństwo Systemów Teleinformatycznych Zagrożenia zewnętrzne Script kiddies – osoby korzystające z gotowych narzędzi. White hat hakers – osoby wyszukujące luk w zabezpieczeniach systemów (możliwa współpraca z producentami oprogramowania) Black hat hakers – osoby wykorzystujące swoją wiedzę do łamania systemów bezpieczeństwa 16 Bezpieczeństwo Systemów Teleinformatycznych Bezpieczeństwo wewnętrzne i zewnętrzne Środki ochrony systemu: 1. Statyczne 2. Dynamiczne Ad. 1 Instalacja i sposób zabezpieczenia systemu wraz z opracowaniem dokumentacji Ad. 2 Gromadzenie aktualnych informacji o lukach w zabezpieczeniach oraz wprowadzanie niezbędnych korekt w konfiguracji 17 Bezpieczeństwo Systemów Teleinformatycznych Zagrożenia internetowe 18 - Wirusy Robaki Trojany Spam Dialery Spyware Adware - Wykradanie tożsamości - Pharming - Phishing - Skrypty ActiveX i HTTP - Szkodliwa zawartość WWW - Sieci Botnet - Exploity Ataki DOS i DDOS - Backdoors - Ataki typu Buffer Overflow - Rootkity Luki w zabezpieczeniach Bezpieczeństwo Systemów Teleinformatycznych Złośliwe oprogramowanie Termin złośliwe oprogramowanie, obejmuje wirusy, robaki i konie trojańskie, których celem jest dokonanie działań złośliwych na systemach komputerowych. -Koń trojański (zwany również kodem trojańskim lub trojanem) Program który na pierwszy rzut oka wygląda na użyteczny bądź nieszkodliwy, posiada jednak ukryty kod zaprojektowany tak, aby wykorzystać luki w zabezpieczeniach systemu bądź uszkodzić go. Trojany są najczęściej dostarczane za pośrednictwem poczty elektronicznej i podszywają się pod jakiś znany program. Uszkadzają system poprzez wykonanie załączonego, ukrytego programu. 19 http://www.microsft.com Bezpieczeństwo Systemów Teleinformatycznych Złośliwe oprogramowanie 20 -Robak używa do replikacji własnych mechanizmów, przez co jest w stanie w sposób całkowicie niezależny rozprzestrzeniać się w sieci. Efektem działania robaków jest np. zużywanie zasobów systemowych zainfekowanych komputerów, co może przerodzić się w atak typu „odmowa obsługi” (ang. Denial of Service, DoS). Niektóre robaki są w stanie samoczynnie się uruchamiać i rozprzestrzeniać; są również takie, które wymagają bezpośredniego uruchomienia kodu przez użytkownika. Poza replikacją robaki mogą również podejmować inne działania. -Wirus wykorzystuje kod stworzony do samoreplikacji. Wirusy rozprzestrzeniają się poprzez dołączanie swojego kodu do programunosiciela. Mogą uszkodzić sprzęt, oprogramowanie oraz dane. W przypadku uruchomienia nosiciela, uruchamiany jest również kod wirusa, który infekuje następnie nowe programy; czasami również podejmuje dodatkowe działania. http://www.microsft.com Bezpieczeństwo Systemów Teleinformatycznych Złośliwe oprogramowanie – diagram identyfikacji oprogramowania malware 21 http://www.microsft.com Bezpieczeństwo Systemów Teleinformatycznych „Sniffer (ang. wąchacz) jest to program komputerowy, którego zadaniem jest przechwytywanie i ewentualne analizowanie danych przepływających w sieci. Wspólną cechą wielu takich analizatorów jest przełączenie karty sieciowej w tryb promiscous, w którym urządzenie odbiera wszystkie ramki z sieci, także te nie adresowane bezpośrednio do niego; sniffery mogą jednak być uruchamiane także na ruterze, lub na komputerze będącym jedną ze stron komunikacji sieciowej - i w tych przypadkach, tryb promiscuous nie jest konieczny.” (http://pl.wikipedia.org) 22 Bezpieczeństwo Systemów Teleinformatycznych Skanery- przykłady: Najczęściej używanymi programami tego typu są: • windump • nessus • tcpdump • niffit • ettercap • dsniff • ethereal • snort (pełni także funkcję sieciowego systemu wykrywania intruzów) 23 Bezpieczeństwo Systemów Teleinformatycznych Typ usługi Porty TCP Usługi logowania Telnet: 23 Porty UDP SSH: 22 FTP: 21 NetBIOS: 139 rlogin: 512, 513,514 RPC i NFS 24 Portmap/rcpbind: 111 Portmap/rcpbind: 111 NFS: 2049 NFS: 2049 Lockd: 4045 Lockd: 4045 X Window Od 6000 do 6255 Usługi nazewnicze DNS: blokowanie transferów sieciowych poza zewnętrznymi drugorzędnymi DNS: blokowanie UDP 53 dla wszystkich komputerów, które nie są serwerami DNS LDAP: 389 LDAP: 389 Bezpieczeństwo Systemów Teleinformatycznych Typ usługi Porty TCP Poczta elektroniczna SMTP: 25 Porty UDP POP: 109, 110 IMAP: 143 WWW HTTP: 80 HTTPS: 443 Poza zewnętrznymi serwerami WWW. Uwzględnić typowe porty wybierane do komunikacji 8000,8080,8888 Rożne ICMP 25 Finger: 79 TFTP: 69 NNTP: 119 NTP: 123 SNMP: 161, 162 SNMP: 161.162 Blokowanie nadchodzących żądań echo (ping i traceroute) Bezpieczeństwo Systemów Teleinformatycznych Skanowanie sieci Za pomocą skanowania można poznać topologię sieci i konfigurację urządzeń dostępowych, np. listy dostępu (ACL) czy tablice routingu. Zaawansowane techniki pozwalają ominąć urządzenia filtrujące oraz ukryć źródło skanowania. Zrozumienie tego procesu wymaga pewnej wiedzy o budowie i działaniu protokołów warstwy transportowej i sieciowej. Protokoły TCP oraz UDP korzystają z tej samej warstwy sieciowej IP. Protokół TCP jest bardziej użyteczny podczas skanowania, gdyż realizuje połączenia typu connection-oriented. Narzędzia skanujące śledzą numery sekwencyjne pakietów oraz odpowiedzi systemu po otrzymaniu pakietów TCP z włączonymi określonymi flagami. 26 Bezpieczeństwo Systemów Teleinformatycznych Protokół TCP/IP Kapsułkowanie danych TCP w IP * 27 * - www.pckurier.pl Datagram IP * Bezpieczeństwo Systemów Teleinformatycznych Protokół TCP/IP Najważniejsze pola w datagramie IP: - TTL (długość życia pakietu) - znaczniki -przesunięcie fragmentacji Pole TTL określa liczbę urządzeń przełączających warstwy sieciowej (najczęściej routerów), przez które dany pakiet może być przesłany. Pozostałe dwa pola odpowiadają za obsługę fragmentacji datagramów IP. 28 Bezpieczeństwo Systemów Teleinformatycznych Protokół TCP/IP Nagłówek TCP * 29 * - www.pckurier.pl Bezpieczeństwo Systemów Teleinformatycznych Flagi nagłówka TCP 30 URG - znacznik ważności pola wskaźnik ponaglający (jeśli jest ustawiony, to pole jest sprawdzane); oznacza, że w normalnym potoku danych umieszczone zostały dane pilne; ACK - znacznik ważności pola numer potwierdzenia (jeśli jest ustawiony, pole jest sprawdzane); PSH - oznacza, że dane po odebraniu powinny zostać przekazane procesowi wyższej warstwy, który je przetwarza bez czekania na wypełnienie się bufora lub kolejne segmenty. Znacznik ustawiany jest przez proces wysyłający (aplikację). Jeśli jest ustawiony u nadawcy, nakazuje on wysłać wszystko z bufora nadawczego, niezależnie od stopnia jego wypełnienia; RST - natychmiastowe (jednostronne) zamknięcie połączenia; SYN - synchronizacja numerów sekwencyjnych w celu inicjalizacji połączenia; FIN - znacznik określający zamiar zamknięcia połączenia (druga strona musi potwierdzić zamknięcie). Bezpieczeństwo Systemów Teleinformatycznych Proces nawiązywania połączenia - TCP 31 * - www.pckurier.pl Bezpieczeństwo Systemów Teleinformatycznych Proces nawiązywania połączenia - TCP 1. Host wysyła pakiet z flagą SYN, inicjując numer sekwencyjny związany z wybranym portem - flaga informuje, że należy odczytać pole numer sekwencyjny, w którym umieszczany jest początkowy numer sekwencyjny (ISN - Initial Sequence Number). Wartość ISN jest istotna i powinna być losowa 2. Jeśli docelowy port jest otwarty, to host odbierający generuje pakiet z flagą SYN, własnym numerem sekwencyjnym oraz flagą ACK. W pole numer potwierdzenia wpisywana jest wartość pola numer sekwencyjny (z pakietu hosta inicjującego połączenie) powiększona o jeden (ACK = SYN+1). Jeśli port nie jest otwarty, host docelowy zobowiązany jest wysłać pakiet z ustawionymi bitami RST oraz ACK 32 Bezpieczeństwo Systemów Teleinformatycznych Proces nawiązywania połączenia - TCP 3. Host inicjujący połączenie odpowiada pakietem z ustawioną flagą ACK informującą, że należy odczytać pole numer potwierdzenia, w którym wpisana jest wartość równa ISN+1. Od tego momentu połączenie jest nawiązane i gotowe do transmisji danych. 33 Bezpieczeństwo Systemów Teleinformatycznych Techniki skanowania portów z wykorzystaniem TCP: - TCP connect - TCP SYN - SYN/ACK - FIN - XMAS - NULL - Inverse Mapping - Spoofed Inverse Mapping - IP ID idle scan 34 Podstawowe zadania narzędzi skanowania: - ominąć filtry pakietów (ACL), - nie dać się wykryć przez systemy IDS, - ukryć się w typowym ruchu sieci. Bezpieczeństwo Systemów Teleinformatycznych Technika TCP connect Metoda TCP connect wykorzystuje pełne połączenie z odległym portem. Jeśli w fazie nawiązywania połączenia serwer odpowie flagami SYN/ACK, oznacza to, że port jest otwarty w trybie nasłuchu - flaga RST/ACK wskazuje na zamknięty port. Skanowanie kończy pakiet RST, czyli czyste zamknięcie połączenia. Spostrzeżenie to wykorzystuje technika półotwarcia - TCP SYN. 35 Bezpieczeństwo Systemów Teleinformatycznych Technika TCP SYN Metoda TCP SYN polega na wysłaniu pakietu RST zaraz po otrzymaniu w drugiej fazie połączenia pakietu SYN/ACK lub RST/ACK. Zaleta: utrudniona wykrywalność Wada - konieczność posiadania uprawnień zastrzeżonych dla administratora. Technika ta zbliżona jest do ataku DoS SYN Flood, dlatego też jest często wykrywana przez systemy IDS (np. Snort) lub odfiltrowywana na bramkach dostępowych. 36 Bezpieczeństwo Systemów Teleinformatycznych Technika SYN/ACK Metoda SYN/ACK wykorzystuje pakiety wysłane na wybrany port z flagami SYN/ACK bez wcześniejszego zainicjowania połączenia pakietem SYN. Wartość ACK w tym pakiecie odnosi się do nieistniejącego połączenia. Skanowany system, jeśli odbierze taki pakiet na otwartym porcie, zignoruje go, traktując jako uszkodzony. Jeśli pakiet trafi na port zamknięty, wygenerowany zostanie pakiet RST. Wada: - konieczność posiadania uprawnień administratora - większość zapór ogniowych blokuje pakiety SYN/ACK na zabronione porty, a skanowanie jest łatwo wykrywalne przez programy, np. synlogger, courtney. 37 Bezpieczeństwo Systemów Teleinformatycznych Technika FIN Metoda FIN wykorzystuje flagę FIN. Reakcja skanowanego systemu jest identyczna jak w przypadku techniki SYN/ACK. Metoda ta wykorzystuje błąd w obsłudze stosu TCP/IP, przez co działa jedynie w systemach, gdzie błąd ten nie został poprawiony niektóre implementacje (np. Windows) są na nią odporne. Zaleta: trudność detekcji i zablokowania. 38 Bezpieczeństwo Systemów Teleinformatycznych Technika XMAS Metoda XMAS wykorzystuje wszystkie flagi w pakiecie. Otrzymując tak udziwniony pakiet, skanowany system odpowiada jak w poprzednim przypadku, lecz dotyczy to również systemu Windows. 39 Bezpieczeństwo Systemów Teleinformatycznych Technika NULL Metoda NULL wykorzystuje pakiety bez ustawionej żadnej flagi. Zgodnie z zaleceniami RFC 793, wszystkie hosty zobowiązane są odpowiedzieć pakietem RST, jeżeli port jest zamknięty. Wada: niektóre systemy (m.in. w Windows, CISCO, BSDI, HP/UX, MVS i IRIX) z powodu niewłaściwej implementacji TCP/IP nie ignorują pakietów NULL skierowane pod adresem otwartego portu, lecz odpowiadają pakietem RST. 40 Bezpieczeństwo Systemów Teleinformatycznych Technika Inverse Mapping Metoda Inverse Mapping wykorzystuje wysyłanie pakietów z ustawioną flagą RST. HostSkanujacy -> {Pakiet RST} -> Router -> {zapytanie ARP o adresie MAC} -> SUBNET <- {ICMP host unreachable (ICMP time exceeded)} Jeśli byłby to typowy pakiet (np. ping lub SYN/ACK), zostałby zapisany w logach. Jeśli natomiast będzie to pakiet z ustawioną flagą RST i losowym numerem ACK, istnieje duże prawdopodobieństwo, że zostanie on zignorowany przez system ochrony, a wygeneruje komunikat zwrotny. 41 Wada: brak odpowiedzi może oznaczać aktywność hosta, choć równie prawdopodobne jest to, że router nie wygenerował komunikatu ICMP, komunikat się zgubił lub wysłany przez skanującego pakiet został odfiltrowany w drodze powrotnej. Bezpieczeństwo Systemów Teleinformatycznych Technika Spoofed Inverse Mapping Metoda Spoofed Inverse Mapping polega na wykorzystaniu do skanowania jeszcze jednego komputera. Host B skanuje, a host A jest dodatkowym komputerem. Wszystkie pakiety wysyłane z hosta A powinny przechodzić przez host B, co w praktyce oznacza, że oba hosty muszą znajdować się w jednym segmencie sieci. Możliwe są dwie metody postępowania: 42 Bezpieczeństwo Systemów Teleinformatycznych Technika Spoofed Inverse Mapping 1. Wysyłać do hosta A pakiety z włączoną flagą ACK i sfałszowanym adresem źródłowym wskazującym na host C. Host A odpowie na takie pakiety segmentami RST skierowanymi do hosta C. Ponieważ skanujący host znajduje się po drodze do hosta A, będzie on w stanie wychwycić odpowiedź hosta C na pakiety RST. 2. Aby nie zostawić śladu w logach na komputerze A, można od razu wysyłać pakiety RST z fałszywym adresem źródła (wskazującym na host A) do hosta C. Jeśli bramka wyśle komunikat ICMP wskazujący na brak hosta C, skanujący host B może go odczytać. 43 Bezpieczeństwo Systemów Teleinformatycznych Implementacja stosu TCP/IP Analiza otrzymanego pakietu RST poprzez ocenę: - wielkości okna TCP - pola TTL (Time To Live) Odpowiedź RST można otrzymać na przykład wysyłając pakiet FIN na wybrany port. Niektóre systemy operacyjne zwracają pakiet RST z ustawionym polem TTL o wartości wyższej dla portów zamkniętych. Porty otwarte zwrócą pakiet RST z niższą wartością TTL. W poniższym przykładzie odpowiedź z portu 22 zawiera wartość TTL mniejszą niż 64, co zdradza otwarty port: 44 pakiet 1: host XXX.XXX.XXX.XXX port 20: F:RST -> ttl: 70 win: 0 => port zamknięty pakiet 2: host XXX.XXX.XXX.XXX port 21: F:RST -> ttl: 70 win: 0 => port zamknięty pakiet 3: host XXX.XXX.XXX.XXX port 22: F:RST -> ttl: 40 win: 0 => port otwarty pakiet 4: host XXX.XXX.XXX.XXX port 23: F:RST -> ttl: 70 win: 0 => port zamknięty Bezpieczeństwo Systemów Teleinformatycznych Implementacja stosu TCP/IP Sprawdzanie wielkości okna - różna od zera oznacza otwarty port. Działa ona w systemach z rodziny BSD (FreeBSD, OpenBSD) oraz Unix (AIX, DGUX), choć pojawiły się łaty w ich ostatnich wersjach. W tym przypadku można zauważyć, że pole TTL nie zdradza stanu portu, za to analiza wielkości okna daje dobre rezultaty: pakiet 6: host XXX.XXX.XXX.XXX port 20: F:RST -> ttl: 64 win: 0 => port zamknięty pakiet 7: host XXX.XXX.XXX.XXX port 21: F:RST -> ttl: 64 win: 0 => port zamknięty pakiet 8: host XXX.XXX.XXX.XXX port 22: F:RST -> ttl: 64 win: 512 => port otwarty pakiet 9: host XXX.XXX.XXX.XXX port 23: F:RST -> ttl: 64 win: 0 => port zamknięty 45 Metoda ta jest trudna do wykrycia. Pakiet RST może wygenerować system skanowany w bardzo wielu przypadkach. Zadanie skanującego ogranicza się wtedy do znalezienia takiego pakietu, który nie zostanie zapisany w logach routera i zapory ogniowej (względnie systemu IDS), ale spowoduje zwrócenie pakietu RST. Bezpieczeństwo Systemów Teleinformatycznych IP ID idle scan Metoda IP ID idle scan zależna jest od implementacji stosu TCP/IP konkretnego systemu operacyjnego. Wykorzystuje ona wcześniej opisaną technikę skanowania SYN, czyli nawiązywania połączenia TCP. Różnica polega na wykorzystaniu trzeciego hosta jako źródła pakietów, co pozwala na ukrycie własnego adresu. Aby skorzystać z tej techniki, trzeba zlokalizować w Internecie tzw. niemy (dumb) host, który nie wysyła i nie odbiera żadnych pakietów. W tym scenariuszu biorą udział trzy hosty: 1. A - skanujący, 2. B - niemy, 3. C - skanowany, czyli cel. 46 Bezpieczeństwo Systemów Teleinformatycznych IP ID idle scan Technika ta wykorzystuje to, że wiele systemów operacyjnych wpisuje kolejne liczby w pole IP ID nagłówka pakietu IP. Windows NT zwiększa to pole stopniowo o wartość 256, Linux o 1. Jedynie system OpenBSD losuje te wartości, przez co nie można go wykorzystać jako niemy host. Skanowanie zaczyna host A, wysłając do hosta B pakiety ping i sprawdzając wartości pola IP ID. W przypadku Linuksa wartości te powinny rosnąć o jeden, co oznacza, że host B nie wysyła ani nie odbiera żadnych pakietów: 47 #hping B -r HPING B (eth0 xxx.yyy.zzz.jjj): no flags are set, 40 data bytes 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=0 ttl=64 id=41660 win=0 time=1.2 ms 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=1 ttl=64 id=+1 win=0 time=75 ms 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=2 ttl=64 id=+1 win=0 time=91 ms 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=3 ttl=64 id=+1 win=0 time=90 ms 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=4 ttl=64 id=+1 win=0 time=91 ms 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=5 ttl=64 id=+1 win=0 time=87 ms Bezpieczeństwo Systemów Teleinformatycznych IP ID idle scan Host A wysyła do hosta C na dowolny port pakiet SYN/ACK (pierwsza faza nawiązywania połączenia TCP) ze sfałszowanym adresem nadawcy wskazującym na host B sprawdzając IP ID. Host C odpowiada na taki pakiet w sposób zdefiniowany w RFC: -SYN/ACK, jeśli port jest otwarty w trybie nasłuchu. Na taki pakiet host B, który nic nie wie o połączeniu, odpowie pakietem RST, a więc zwiększone będzie pole ID IP o więcej niż 1. 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=17 ttl=64 id=+1 win=0 time=96 ms 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=18 ttl=64 id=+1 win=0 time=80 ms 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=19 ttl=64 id=+2 win=0 time=83 ms 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=20 ttl=64 id=+3 win=0 time=94 ms 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=21 ttl=64 id=+1 win=0 time=92 ms 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=22 ttl=64 id=+2 win=0 time=82 ms 48 Bezpieczeństwo Systemów Teleinformatycznych IP ID idle scan -RST/ACK, jeśli docelowy port na hoście C jest zamknięty. Host B zignoruje taki pakiet. 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=52 ttl=64 id=+1 win=0 time=85 ms 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=53 ttl=64 id=+1 win=0 time=83 ms 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=54 ttl=64 id=+1 win=0 time=93 ms 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=55 ttl=64 id=+1 win=0 time=74 ms 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=56 ttl=64 id=+1 win=0 time=95 ms 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=57 ttl=64 id=+1 win=0 time=81 ms Host A przez cały czas analizował zmiany w polu IP ID z hosta B. Jeśli pole zwiększyło się o więcej niż jeden w kolejnym pakiecie, znaczy to, że host B odpowiedział pakietem RST na połączenie z hosta C, zdradzając w ten sposób, że port jest otwarty. 49 Bezpieczeństwo Systemów Teleinformatycznych Oszukiwanie wykrywaczy Metody ukrywania skanowania portów. - Skanowanie portów w losowej kolejności:: niektóre systemy IDS wykrywają sekwencyjne połączenia z jednego adresu źródłowego z kolejnymi portami. Wystarczy wprowadzić losowość przy wyborze portów do skanowania, by ominąć to zabezpieczenie 50 - Powolne skanowanie: system IDS lub dowolny inny stwierdzi próbę skanowania systemu, jeśli wykryje kolejne połączenia z jednego źródła do różnych portów w określonym czasie, np. za skanowanie uważana będzie próba nawiązania 5 połączeń na różne porty z jednego adresu w czasie 3 sekund - wiedząc to, można uniknąć wykrycia poprzez skanowanie 5 połączeń w ciągu 4 sekund. W przypadku nieznanych ustawień można skanowanie spowolnić do kilku pakietów na dzień Bezpieczeństwo Systemów Teleinformatycznych Oszukiwanie wykrywaczy 51 - Fragmentacja pakietów: część istniejących systemów IDS nie składa defragmentowanych pakietów bądź to w obawie przed atakiem DoS, bądź z braku takiej funkcji. Dokument RFC791 określa minimalny rozmiar zdefragmentowango pakietu na 8 oktetów, czyli mniej niż nagłówek TCP + IP, przez co flagi TCP znajdują się w innym fragmencie niż nagłówek (segment TCP jest hermetyzowany w pakiecie IP). Nie widząc całego pakietu, system nie jest w stanie poprawnie go rozpoznać. Rozwiązaniem problemu jest skonfigurowanie bramki (zapory ogniowej lub routera), tak by składała w całość wszystkie zdefragmentowane pakiety - Odwrócenie uwagi: polega na stworzeniu obfitego strumienia skanujących pakietów ze sfałszowanymi adresami nadawcy. Wśród tych pakietów co jakiś czas znajdować się będzie adres prawdziwego hosta inicjującego skanowanie Bezpieczeństwo Systemów Teleinformatycznych Oszukiwanie wykrywaczy 52 - Fałszowanie adresu nadawcy: komputer skanujący fałszuje wszystkie adresy nadawcy, dbając jedynie o to, by przynajmniej jeden z fałszowanych adresów znajdował się w jego podsieci. Dzięki temu host skanujący jest w stanie podsłuchiwać pakiety zwrotne, nie zdradzając swojego adresu - Skanowanie rozproszone: skoordynowane skanowanie może być wykorzystane w połączeniu z powolnym skanowaniem w celu wykonania praktycznie niewykrywalnego skanowania w rozsądnym czasie. Technika ta wymaga jednak wcześniejszych przygotowań i znacznych zasobów. Bezpieczeństwo Systemów Teleinformatycznych Ewolucja zagrożeń internetowych Front rosnący: - Narzędzia szpiegowskie - Targetowane ataki - Rootkity - Sieci typu Botnet - Targetowany phishing Front stabilny: - Robaki - Spam - Spyware Front zanikający: -Wirusy 53 Bezpieczeństwo Systemów Teleinformatycznych Aktywność złośliwych programów Liczba nowych modyfikacji złośliwych programów wykrytych w ciągu jednego miesiąca 54 * Na podstawie http://www.kaspersky.pl Klasa Udz. % Zmiana TrojWare 91,79 +2,79% VirWare 4,70 -1,3% MalWare 3,51 -1,49% Bezpieczeństwo Systemów Teleinformatycznych Aktywność złośliwych programów Liczba nowych modyfikacji oprogramowania klasy TrojWare, wykrywanych każdego miesiąca przez analityków firmy Kaspersky Lab 55 * Na podstawie http://www.kaspersky.pl Bezpieczeństwo Systemów Teleinformatycznych Aktywność złośliwych programów Liczba nowych programów z klasy VirWare wykrywanych przez analityków firmy Kaspersky Lab w poszczególnych miesiącach 56 * Na podstawie http://www.kaspersky.pl Bezpieczeństwo Systemów Teleinformatycznych Nowoczesna ochrona Metoda proaktywna kontroluje następującą aktywność*: 1. Podejrzane zachowanie: analizuje wszystkie procesy załadowane w systemie, zapisuje zmiany wykonywane w rejestrze i systemie plików. 2. Uruchamianie przeglądarki internetowej z parametrami: przechwytywanie ukrytych uruchomień przeglądarki internetowej z parametrami. 3. Ingerencja w inny proces: przechwytuje wszystkie próby dodania kodu do innych aplikacji. 57 * Na podstawie http://www.kaspersky.pl Bezpieczeństwo Systemów Teleinformatycznych Nowoczesna ochrona 4. Ukryte procesy (rootkit): wykrywa modyfikacje wykonywane przez rootkity, które mają na celu ukrycie przed użytkownikiem plików i folderów, kluczy i wartości rejestru, uruchamianych programów, usług systemowych, sterowników, połączeń i aktywności sieciowej. 5. Window Hook: przechwytuje próbę ingerencji biblioteki (*.dll) w procesy systemowe. 6. Podejrzane wpisy w rejestrze: przechwytuje próbę stworzenia “ukrytych” wpisów w rejestrze, które nie są wykrywane przez standardowe programy (np.: do edycji rejestru) . 58 7. Podejrzana aktywność systemu: wykrywa zmiany w systemie wskazujące na obecność aktywnego szkodliwego kodu. Bezpieczeństwo Systemów Teleinformatycznych IDS - Intrusion Detection System Zadanie systemu wykrywania intruzów polega na identyfikacji i reagowaniu na nieautoryzowaną działalność skierowaną przeciwko chronionym zasobom sieciowym. Wyróżnia się trzy główne rodzaje systemów IDS: - hostowe (HIDS - Host IDS) - sieciowe (NIDS - Network IDS) - hybrydowe (NNIDS - Network Node IDS). Różnią się one lokalizacją w sieci oraz zakresem działania. 59 Bezpieczeństwo Systemów Teleinformatycznych Internet Firewall HIDS Serwer WWW 60 HIDS HIDS Serwer poczty HIDS Serwer WWW HIDS HIDS Serwer DNS Bezpieczeństwo Systemów Teleinformatycznych Internet NIDS NIDS Firewall Serwer WWW Serwer poczty Serwer WWW NIDS 61 Serwer DNS Bezpieczeństwo Systemów Teleinformatycznych Internet NIDS 1 NIDS 2 Firewall Serwer WWW Serwer poczty Serwer WWW NIDS 3 NIDS Prywatna sieć zarządzania 62 Serwer DNS Prywatna sieć zarządzania Centralny system zarządzający NIDS NIDS 4 Bezpieczeństwo Systemów Teleinformatycznych IDS - Intrusion Detection System Systemy HIDS można podzieli na trzy kategorie: 1. Tradycyjne - z programem agenta zainstalowanym na każdej chronionej maszynie. Agent nadzoruje logi systemowe, dziennik zdarzeń, kluczowe pliki systemowe oraz inne zasoby, które mogą podlegać weryfikacji. Podejrzane działania wykrywane są po ich zarejestrowaniu przez system. Ostrzeżenia o nadużyciach i zauważonej nieautoryzowanej działalności wysyłane są poprzez sieć do centralnej konsoli. 63 Bezpieczeństwo Systemów Teleinformatycznych IDS - Intrusion Detection System Systemy HIDS można podzieli na trzy kategorie: 2. Programy badające integralność plików - sprawdzają status kluczowych plików systemowych oraz rejestru. Zapamiętują stan wybranych plików (najczęściej poprzez stworzenie bazy z sumami kontrolnymi) i w określonym czasie dokonują porównania ze stanem bieżącym. Taki sposób działania pozwala wykryć podmiany plików (np. na konia trojańskiego) oraz zmiany w konfiguracji. Przykładem takiego programu jest Tripwire. 64 Bezpieczeństwo Systemów Teleinformatycznych IDS - Intrusion Detection System Systemy HIDS można podzieli na trzy kategorie: 3. Systemy zapobiegania włamaniom (IPS – Intrusion Protect System) – przyjmują aktywną postawę w stosunku do zagrożeń integrują się z systemem operacyjnym, przechwytując wywołania systemowe jądra lub interfejsów programowych API. W momencie wykrycia podejrzanych działań programy IPS są w stanie zablokować wywołanie danej funkcji i udaremnić atak. 65 Bezpieczeństwo Systemów Teleinformatycznych IDS - Intrusion Detection System Z punktu widzenia systemów IDS istnieją trzy kategorie ataków: 66 1. Ataki rozpoznawcze - takie jak rozpoznanie sieci, tworzenie mapy systemu z uwzględnieniem jej krytycznych punktów, np. serwerów DNS, kontrolerów domeny. 2. Właściwe ataki - polegające na próbie wykorzystania znanych i nieznanych luk w systemach operacyjnych i aplikacjach. Najczęściej wykorzystuje się w tym celu przepełnienie bufora w aplikacji lub błędy w interpretacji nietypowych danych wejściowych. 3. Ataki typu odmowa dostępu do usług (Denial of Service) Bezpieczeństwo Systemów Teleinformatycznych IDS - Intrusion Detection System Istnieją też trzy podstawowe techniki wykrywania ataków stosowane w klasycznych systemach IDS: 1. Sygnatury - dopasowywanie wzorców: zestawów bajtów, wyrażeń regularnych (regular expression). 2. Badanie częstości zdarzeń i przekraczania pewnych limitów w określonej jednostce czasu. 67 3. Wykrywanie anomalii statystycznych, np. nagłe odstępstwo rozmiarów pakietów IP od przeciętnego rozmiaru obserwowanego w danej sieci. Bezpieczeństwo Systemów Teleinformatycznych Podsumowanie Do głównych (priorytetowych) zadań systemów IDS należy: 68 analiza aktywności systemu i użytkowników wykrywanie zbyt dużych przeciążeń analiza plików dziennika rozpoznawanie standardowych działań włamywacza natychmiastowa reakcja na wykryte zagrożenie tworzenie i uruchamianie pułapek systemowych wykrywanie podatności systemu na ataki ocena integralności poszczególnych części systemu wraz z danymi Bezpieczeństwo Systemów Teleinformatycznych System Fedora Linux posiada możliwość monitorowania i zapisywania prawie każdego działania, które ma miejsce w systemie. 69 Bezpieczeństwo Systemów Teleinformatycznych LogSentry Pakiet LogSentry to narzędzie, które ułatwia zarządzanie systemem plików dzienników. LogSentry zwraca uwagę administratora, na rzeczy które mogłoby być niezauważone. Sprawdza pliki dzienników generowane przez standardowe narzędzie systemu Linux, syslog, filtruje wiadomości, które informują o zagrożeniach dla systemu, a następnie porządkuje je według kategorii i przesyła w postaci komunikatu do administratora systemu. 70 Bezpieczeństwo Systemów Teleinformatycznych LogSentry Domyślnie LogSentry sprawdza wiadomości w plikach dzienników messages, secure, mail (/var/log). Istnieje możliwość zmiany wykorzystywanych plików dzienników, funkcji, które monitoruje pakiet, poziom monitorowania syslog oraz częstotliwość generowanych raportów. 71 Bezpieczeństwo Systemów Teleinformatycznych Demon syslogd Tab. Poziomy wiadomości Poziom alert crit wymagana jest natychmiastowa interwencja stan krytyczny debug szczegółowe informacje o stanie przetwarzania emerg system w stanie niestabilnym err wystąpienie błędu info informacyjny notice 72 Co oznacza warning ważne, ale nie informuje o wystąpieniu błędu potencjalna możliwość wystąpienia błędu Bezpieczeństwo Systemów Teleinformatycznych Zawartość pliku konfiguracyjnego /etc/syslog.conf 73 Bezpieczeństwo Systemów Teleinformatycznych LogSentry 1. Pobieranie i instalacja pakietu LogSentry # rpm –Uhv logsentry* 2. Pliki konfiguracyjne: - logsentry.cron (uruchamia skrypt logcheck.sh /etc/cron.d/) - logtail, logcheck.sh (/usr/bin) - README (/usr/share/doc/logcheck*) 74 Bezpieczeństwo Systemów Teleinformatycznych LogSentry - korzystanie Wiadomości przesyłane w postaci komunikatu e-mail do administratora są uporządkowane według następujących kategorii: •Active System Attack Alerts – wskazują na próby, które mogą być włamaniami do systemu •Security Violations – informacje o błędach i naruszeniach zabezpieczeń, które mogą wskazywać na istnienie problemów, ale niekoniecznie muszą być włamaniami do systemu •Unusual System Events – zawiera wszystkie wiadomości dziennika zdarzeń, które nie pasują do powyższych kategorii, ale nie mogą być pominięte. 75 Bezpieczeństwo Systemów Teleinformatycznych LogSentry - dopasowanie Modyfikacja skryptu /usr/sbin/logcheck.sh odbywa się poprzez zmianę wartości zmiennych wewnątrz skryptu: - SYSADMIN: definiuje konto użytkownika root - TMPDIR: definiuje miejsce, w którym zapisywane są pliki tymczasowe - GREP: wskazuje na polecenie, które jest wykorzystywane do przeszukiwania plików dzienników 76 - MAIL: wiadomość jest wysyłana przez LogSentry z wykorzystaniem polecenia mail Bezpieczeństwo Systemów Teleinformatycznych LogSentry – dopasowanie c.d - Filter files: LogSentry definiuje 4 pliki filtrów. Każdy z nich zawiera słowa kluczowe wykorzystywane do odszukiwania wiadomości lub ich pomijania: - HACKING FILE=/etc/logsentry/logcheck.hacking - VIOLATIONS FILE=/etc/logsentry/logcheck.violations - VIOLATIONS_IGNORE FILE= =/etc/logsentry/logcheck.violations.ignore - IGNORE_FILE=/etc/logsentry/logcheck.ignore 77 Bezpieczeństwo Systemów Teleinformatycznych LogSentry – dopasowanie c.d -Log files: domyślnie skrypt logcheck.sh uruchamia polecenie logtail do sprawdzania zawartości plików messages, secure, maillog (/var/log). Następujące linie definiują, które pliki dzienników są sprawdzane oraz miejsce, gdzie logtail zapisuje pliki tymczasowe: - 78 $logtail /var/log/messages > $TMPDIR/check.$$ $logtail /var/log/secure > $TMPDIR/check.$$ $logtail /var/log/maillog > $TMPDIR/check.$$ Bezpieczeństwo Systemów Teleinformatycznych LogSentry – modyfikacja plików filtrów 79 1. /etc/logsentry/logcheck.hacking – zawiera słowa kluczowe znajdujące się w wiadomościach dzienników zdarzeń, które wskazują na włamanie do systemu 2. /etc/logsentry/logcheck.ignore – zawiera słowa kluczowe odpowiadające wiadomościom, które powinny być zawsze pomijane 3. /etc/logsentry/logcheck.violations – zawiera słowa kluczowe odpowiadające próbom naruszenia systemu zabezpieczeń, które nie koniecznie muszą odpowiadać włamaniom do systemu 4. /etc/logsentry/logcheck.violations.ignore – zawiera słowa kluczowe odpowiadające wiadomościom, które należy pomijać, chociaż informują o naruszeniach bezpieczeństwa Bezpieczeństwo Systemów Teleinformatycznych Plik /etc/logsentry/logcheck.hacking 80 Bezpieczeństwo Systemów Teleinformatycznych Plik /etc/logsentry/logcheck.ignore 81 Bezpieczeństwo Systemów Teleinformatycznych Plik /etc/logsentry/logcheck.violations 82 Bezpieczeństwo Systemów Teleinformatycznych Plik /etc/logsentry/logcheck.violations.ignore 83 Bezpieczeństwo Systemów Teleinformatycznych LogSentry logging 84 Bezpieczeństwo Systemów Teleinformatycznych LogSentry logging <- nessus 85 Bezpieczeństwo Systemów Teleinformatycznych LogSentry logging <- nessus 86 Bezpieczeństwo Systemów Teleinformatycznych LogSentry logging <- nessus 87 Bezpieczeństwo Systemów Teleinformatycznych LogSentry logging <- nessus Raport Nessus 88 Bezpieczeństwo Systemów Teleinformatycznych PortSentry PortSentry podejmuje aktywny udział w ochronie systemu przed włamaniami z poziomu sieci. Narządzie PortSentry może być wykorzystane do monitorowania wybranych portów TCP i UDP, a także może reagować na próby uzyskania dostępu do tych portów. PortSentry działa jako uzupełnienie LogSentry poprzez aktywne wyszukiwania włamań do portów sieciowych. 89 Bezpieczeństwo Systemów Teleinformatycznych PortSentry 90 PortSentry działa w kilku różnych trybach: 1. Basic – to tryb, którego narzędzie używa standardowo. Wybrane porty TCP i UDP w tym trybie są powiązane z PortSentry, dzięki czemu monitorowane porty wyglądają jakby oferowały usługi dla sieci. 2. Stealth – w tym trybie PortSentry nasłuchuje portów na poziomie warstwy gniazda (zamiast wiązać się z portami). Ten tryb może wykrywać różne techniki skanowania (SYN, FIN, XMAS). Może czasami generować fałszywe alarmy. Bezpieczeństwo Systemów Teleinformatycznych PortSentry PortSentry działa w kilku różnych trybach: 3. Advanced Stealth – tryb oferuje tę samą metodę detekcji co tryb stealth, ale zamiast monitorować tylko wybrane porty, monitoruje wszystkie porty poniżej wybranego (domyślnie jest to port 1023). Można wyłączyć monitorowanie określonych portów. 91 Bezpieczeństwo Systemów Teleinformatycznych PortSentry - instalacja Instalacja pakietu: #rpm –Uhv portsentry* Zainstalowany pakiet składa się z plików konfiguracyjnych znajdujących się w katalogu: /etc/portsentry, skryptu uruchomieniowego portsentry (/etc/init.d/portsentry), polecenia portsentry (/usr/sbin) oraz plików README znajdujące się w katalogu (/usr/share/doc/portsentry*) 92 Bezpieczeństwo Systemów Teleinformatycznych PortSentry - korzystanie 1. Skrypt uruchomieniowy /etc/init.d/portsentry jest uruchamiany automatycznie podczas startu systemu na poziomie 3, 4, 5. 2. Istnieje ciąg portów zdefiniowanych domyślnie, który jest monitorowany. 93 3. W odpowiedzi na ataki (za które uznawane jest skanowanie monitorowanych portów) wszystkie kolejne próby połączenia się z usługami protokołu TCP (UDP) będą blokowane. Bezpieczeństwo Systemów Teleinformatycznych PortSentry - korzystanie Komputery, których dostęp do systemu został zablokowany, są wymienione w plikach portsentry.blocked.tcp lub portsentry.blocked.udp znajdujące się w katalogu /var/portsentry. Usunięcie określonych wpisów powoduje przywrócenie dostępu dla wybranych komputerów. 94 Bezpieczeństwo Systemów Teleinformatycznych PortSentry - konfiguracja Konfiguracja narzędzia PortSentry możliwa jest poprzez modyfikację pliku /etc/portsentry/portsentry.conf. W pliku tym istnieje możliwość wyboru: -plików, które mają być monitorowane -trybu monitorowania -sposobu działania po wykryciu próby skanowania. 95 Odpowiedzi mogą obejmować: -blokowanie dostępu dla zdalnego komputera -przekierowanie wiadomości pochodzących od zdalnego komputera do nieaktywnego komputera -dopisanie reguły firewalla blokującej pakiety pochodzące od zdalnego komputera. Bezpieczeństwo Systemów Teleinformatycznych PortSentry – konfiguracja (wybór portów) Istnieje możliwość modyfikacji pliku /etc/portsentry/portsentry.modes do zmiany trybu uruchamiania narzędzia PortSentry. 96 Plik portsentry.conf definiuje porty, które są monitorowane w trybach basic i stealth. Opcje TCP_PORTS i UDP_PORTS definiują, które porty są monitorowane. Porty przypisane do monitorowania są wybierane na podstawie kilku różnych kryteriów. Porty niższe (1,11,15, itd.) są wybierane do przechwytywania skanerów portów, które zaczynają działania od portu 1. Kolejną metodą jest dołączenie portów, które są testowane przez włamywaczy, ponieważ związane z nimi usługi są podatne na ataki (systat – port 11, netstat – port 15). Bezpieczeństwo Systemów Teleinformatycznych PortSentry – konfiguracja (wybór portów) Jeżeli następuje zmiana trybu pracy z basic na stealth portami monitorowanymi są porty wskazywane przez opcje: ADVANCED_PORT_TCP i ADVANCED_PORT_UDP. Domyślna wartość to: ADVANCED_PORT_TCP=”1023” ADVANCED_PORT_UDP=”1023” Można wyłączyć porty ze skanowania za pomocą opcji: ADVANCED_EXCLUDE_TCP i ADVANCED_EXCLUDE_UDP. Domyślne ustawienia: ADVANCED_EXCLUDE_TCP=”111,113,139” ADVANCED_EXCLUDE_UDP=”520,138,137,67” 97 Bezpieczeństwo Systemów Teleinformatycznych PortSentry – konfiguracja (wybór portów) Domyślnie usługi ident i NetBIOS dla TCP -porty 111,113,139 Domyślnie usługi route, NetBIOS, Bootp dla UDP –porty 520,138,127,67 Porty te są wyłączone z zaawansowanego skanowania, ponieważ zdalny komputer może odwołać się do tych portów bez wrogich zamiarów. 98 Bezpieczeństwo Systemów Teleinformatycznych PortSentry – identyfikacja plików konfiguracyjnych Oprócz pliku portsentry.conf istnieją inne pliki konfiguracyjne wykorzystywane przez PortSentry. Pliki te zdefiniowane są w pliku portsentry.conf: # Ignorowane komputery IGNORE_FILE=/etc/portsentry/portsentry.ignore # Komputery, którym odmówiono dostępu (historia) HISTORY_FILE=/etc/portsentry/portsentry.history # Komputery, którym odmówiono dostępu tylko w tej sesji (tymczasowo) BLOCKED_FILE=/var/portsentry/portsentry.blocked 99 Bezpieczeństwo Systemów Teleinformatycznych PortSentry – określenie reakcji 10 0 Opcje BLOCK_TCP i BLOCK_UDP definiują reakcję na skanowanie portów. Domyślnie definicje tych opcji mają postać: BLOCK_TCP=”2” BLOCK_UDP=”2” -wartość „2” (wartość domyślna) powoduje tymczasowe zablokowanie dostępu do usług skanowanego portu oraz zapisanie zdarzenia w dzienniku zdarzeń. Jeżeli jakieś polecenia zostały zdefiniowane przez opcję KILL_RUN_CMD to polecenie jest uruchamiane. -wartość „0” powoduje zapisanie dziennika zdarzeń, ale nie prowadzi do zablokowania zdalnego dostępu -wartość „1” powoduje uruchomienie opcji KILL_ROUTE i KILL_HOSTS_DENY. Bezpieczeństwo Systemów Teleinformatycznych PortSentry – określenie reakcji Domyślnie kolejne żądania nadchodzące od zdalnego komputera zostaną przekierowane do nieaktywnego komputera, a adres IP zdalnego komputera zostanie dopisany do pliku /etc/hosts.deny, co spowoduje zablokowanie dostępu do usług sieciowych. KILL_ROUTE – opcja uruchamia polecenie /sbin/route. Domyślne ustawienie: KILL_ROUTE=”/sbin/route add –host $TARGET$ gw 127.0.0.1 ” 10 1 KILL_HOSTS_DENY – opcja jest wykorzystywana do odrzucania żądań skierowanych do usług sieciowych, które są chronione. Ta opcja jest domyślnie zdefiniowana następująco: KILL_HOSTS_DENY=”ALL: $TARGET$” Bezpieczeństwo Systemów Teleinformatycznych PortSentry – określenie reakcji KILL_RUN_CMD – definicja dowolnego polecenia wykonywanego jako odpowiedź na działanie. Wartość opcji powinna być pełną ścieżką do skryptu PORT_BANNER – można wysłać wiadomość do osoby, która uruchamia monitor PortSentry Np.: PORT_BANNER=”**Unauthorized access prohibited** Your connection attemp has been logged. Go away.” 10 2 SCAN_TRIGGER – liczba skanowań pochodzących od komputera zdalnego przed uruchomieniem „odpowiedzi” PortSentry. Domyślnie wartość wynosi 0. Bezpieczeństwo Systemów Teleinformatycznych PortSentry – modyfikacja portsentry.modes 10 3 Plik /etc/portsentry/portsentry.modes definiuje tryby uruchamiania PortSentry podczas włączania systemu: tcp udp #stcp #sudp #atcp #audp Opcje tcp i udp to podstawowe tryby pracy PortSentry. Pozostałe obejmują stealth (stcp) i advanced (atcp). Jednocześnie może działać tylko jeden tryb pracy. Bezpieczeństwo Systemów Teleinformatycznych Skanowanie zdalnego hosta 10 4 Bezpieczeństwo Systemów Teleinformatycznych Info Mail z wykrycia procesu skanowania 10 5 Bezpieczeństwo Systemów Teleinformatycznych Zablokowanie dostępu do skanowanego hosta 10 6 Bezpieczeństwo Systemów Teleinformatycznych LogSentry logging <- nessus Raport Nessus 10 7 Bezpieczeństwo Systemów Teleinformatycznych Wylistowania reguł firewall’a 10 8 Bezpieczeństwo Systemów Teleinformatycznych Modyfikacja reguły firewall – uzyskanie dostępu 10 9 Bezpieczeństwo Systemów Teleinformatycznych Ochrona sieci - podsumowanie Strategia nowego podejścia: 1. Konieczność stosowania technologii proaktywnych, skanowanie oparte o sygnatury jest niewystarczające 2. Konieczność stosowania rozbudowanych, zintegrowanych systemów ochrony, sam antywirus jest niewystarczający 3. Konieczność stosowania ochrony wszystkich elementów sieci (stacje robocze, serwery, bramy internetowe) 11 0 4. Konieczność stosowania systemu ochrony z centralnym zarządzaniem, dostępnym z poziomu ujednoliconego interfejsu. Bezpieczeństwo Systemów Teleinformatycznych Ochrona sieci - podsumowanie Wielomodułowa ochrona: 1.Antivirus + Antispare + Antiphishing + Antispam 2.Technologie proaktywne (heurystyka genetyczna) 3.Ochrona sieci – sprzęt typy Network Secure 4.Zaawansowana polityka bezpieczeństwa: IPS, Firewall, Dostęp do plików i zasobów systemowych 11 1 Bezpieczeństwo Systemów Teleinformatycznych Dziękuję za uwagę 11 2