Transcript IDS
Slide 1
Sieci lokalne – metody
zwiększania bezpieczeństwa
Bezpieczeństwo informacji w systemach
komputerowych - PJWSTK
Rafał Więckowski
paździenik 2005
Slide 2
Polityka bezpieczeństwa
ogólnie
Działania mające na celu zabezpieczenie
systemu przed:
ryzykiem utraty poufności
(zdarzenie mogące doprowadzić do ujawnienia
informacji przetwarzanej przez system
informatyczny nieautoryzowanemu
użytkownikowi)
2
Slide 3
Polityka bezpieczeństwa
ogólnie
Działania mające na celu zabezpieczenie
systemu przed:
ryzykiem utraty dostępności
(zdarzenie mogące doprowadzić do braku
dostępu w określonym czasie do systemu
informatycznego, programu lub informacji dla
autoryzowanych użytkowników)
3
Slide 4
Polityka bezpieczeństwa
ogólnie
Działania mające na celu zabezpieczenie
systemu przed:
ryzykiem utraty integralności
(zdarzenie mogące doprowadzić do
nieautoryzowanej modyfikacji lub zniszczenia
danych przetwarzanych przez system
informatyczny)
4
Slide 5
Polityka bezpieczeństwa
ochrona fizyczna wrażliwych elementów
Ochrona fizyczna wrażliwych elementów
systemu komputerowego takich jak np.
pomieszczenie, w którym pracuje serwer, czy
stacja robocza administratora sieci.
Nawet ogromne pieniądze wydane na
zabezpieczenia nie przyniosą rezultatów jeżeli
nieuprawniony personel będzie miał dostęp
do urządzeń typu konsola operatora.
5
Slide 6
Polityka bezpieczeństwa
bezpieczeństwo systemu operacyjnego
Powstały pojęcia poziomów bezpieczeństwa
systemów operacyjnych oraz sposoby
certyfikacji tych systemów. Na przykład
systemy takie jak UNIX czy Microsoft
Windows NT uzyskały certyfikat klasy C2.
Oznacza to, że systemy te wyposażono w
mechanizmy kontroli dostępu,
gwarantowania zezwoleń na czytanie i zapis
kartotek oraz plików przez określonych
użytkowników oraz notowanie (auditing)
dostępów i autoryzacji.
6
Slide 7
Polityka bezpieczeństwa
podstawowe działania
Blokowanie wejść na stacjach roboczych
Instalacja oprogramowania
antywirusowego
FireWall
Budowa LAN w oparciu o Switche
Aktualizacja oprogramowania
7
Slide 8
Polityka bezpieczeństwa
Każde zabezpieczenie można
obejść.
Istotne jest, żeby wiedzieć o tym, że
ktoś nieautoryzowany uzyskał
dostęp do naszej sieci.
8
Slide 9
Systemy IDS
co to jest?
IDS – Intrusion Detection System
System wykrywający próby włamań.
Jeżeli posłużymy się analogią, to firewalle
pełnią rolę zamków a IDS jest systemem
alarmowym wykrywającym włamanie do
systemu informatycznego.
9
Slide 10
Systemy IDS
jak to działa?
IDS działa na zasadzie ciągłego
monitorowania zdarzeń.
Potrafi w przetwarzanych danych
wykryć cechy charakterystyczne dla
próby nieautoryzowanego dostępu do
systemu.
10
Slide 11
Systemy IDS
jak to działa?
IDSy zbierają informacje z różnych
źródeł. Najczęściej spotykane, to:
podsłuch
ruchu sieciowego
dane spływające do logów
systemowych
dane o działaniach podejmowanych
przez użytkowników
11
Slide 12
Systemy IDS
rodzaje IDSów
Ze względu na rodzaj informacji
wejściowych dzielimy IDSy na:
Systemowe
– HIDS (Host IDS)
Sieciowe – NIDS (Network IDS)
Stacji Sieciowej – NNIDS (Network
Node IDS)
12
Slide 13
NIDS – Network IDS
zasada działania
Agent NIDS ustawia interfejs
sieciowy w tryb podsłuchu i analizuje
cały ruch, jaki się na nim pojawia.
(uwaga: właściwe umiejscowienie IDSa w strukturze
sieci)
Agent NIDS działa w czasie
zbliżonym do rzeczywistego.
(uwaga: wydajność platformy sprzętowo systemowej)
13
Slide 14
NIDS – Network IDS
zasada działania
Ruch sieciowy jest analizowany w celu
wykrycia fragmentów charakterystycznych
dla:
różnych typów ataków (np. ping of
death)
pewnych działań, które same w sobie
nie są atakiem, lecz stanowią
przygotowanie do ataku (np.
skanowanie portów)
14
Slide 15
NIDS – Network IDS
techniki wykrywania włamań
Pattern matching
Każdy podsłuchany pakiet jest porównywany
bajt po bajcie z bazą, zawierającą fragmenty
ruchu sieciowego charakterystyczne dla
określonych sposobów atakowania systemów
(tzw. sygnatury ataków).
(uwaga: wymaga sporej wydajności systemu. Zależność
pomiędzy liczbą przetwarzanych danych lub liczbą
wykrywanych ataków a zapotrzebowaniem na moc
obliczeniową jest wykładnicza.)
15
Slide 16
NIDS – Network IDS
techniki wykrywania włamań
Analiza protokołów
Agent NIDS monitorujący ruch zna protokoły
sieciowe, w związku z czym może wykryć pewne
typy ataków przez wykrywanie pakietów o
dziwnej strukturze.
Np. dla ataku ping of death, który polega na
wysłaniu bardzo długiego pakietu ICMP-echo
(ping), agent zauważy nietypowy (bardzo długi)
pakiet ICMP-echo.
16
Slide 17
NIDS – Network IDS
techniki wykrywania włamań
Analiza protokołów c.d.
Agenci NIDS posiadają mechanizmy, które
umożliwiają:
analizę zależności pomiędzy kolejnymi
pakietami (wykrywają m.in. flooding,
skanowanie w poszukiwaniu otwartych
portów)
defragmentację pakietów (wykrywają atak
ukryty w wielu sfragmentowanych pakietach –
technika stosowana przy oszukiwaniu
prostych firewalli)
17
Slide 18
NIDS – Network IDS
techniki wykrywania włamań
Analiza sesji
Agent wykrywa anomalie charakterystyczne dla
całej sesji sieciowej (rekonstruuje strumień
danych zaszyty w pakietach).
Dzięki tej technice można wykryć anomalie
charakterystyczne dla całej sesji sieciowej, a nie
tylko dla pojedynczych pakietów.
W ten sposób można np. wychwycić próby
manipulowania numerami sekwencyjnymi, czy
też próby obejścia firewalli stateful-in-spection
18
Slide 19
NIDS – Network IDS
techniki wykrywania włamań
Analiza protokołów wysokopoziomowych
Wykrywanie ataków np. na serwer www
opartych na wysyłaniu określonych komend do
znanego skryptu CGI (np. test.cgi lub
showcode.asp).
19
Slide 20
NIDS – Network IDS
działania aktywne
Systemy NIDS nie tylko potrafią wykrywać atak,
lecz także aktywnie mu zapobiegać.
Zwykle stosuje się przerwanie sesji sieciowej.
Zaawansowane IDSy potrafią współpracować z
firewallami (np. Cisco NetRanger i routery
Cisco) i blokować ruch ze źródła, z którego
nadszedł atak.
(uwaga: podatność na DoS)
20
Slide 21
NIDS – Network IDS
wiedza NIDSa
NIDSy opierają się na bazie sygnatur ataków.
Kluczową sprawą w zarządzaniu NIDSem jest
możliwe częste aktualizowanie bazy ataków.
Pamiętajmy o tym, że jeżeli IDS nie będzie
nauczony danego sposobu atakowania
systemów, to nie będzie również w stanie go
wykryć.
21
Slide 22
NIDS – Network IDS
rozmieszczenie NIDSa w systemie informatycznym
NIDS działa prawidłowo tylko w domenie
kolizyjnej (tylko wtedy ma możliwość
monitorować wszystkie pakiety krążące w
danym segmencie LAN).
Stacja przeznaczona na instalację NIDSa
powinna być jak najmniej widoczna (musi
być maksymalnie utrudnione wykrycie jej
przez potencjalnego intruza)
22
Slide 23
NIDS – Network IDS
rozmieszczenie NIDSa w systemie informatycznym
Nieprawidłowe podłączenie IDSa w sieci
23
Slide 24
NIDS – Network IDS
rozmieszczenie NIDSa w systemie informatycznym
Prawidłowe podłączenie IDSa w sieci
24
Slide 25
NIDS – Network IDS
rozmieszczenie NIDSa w systemie informatycznym
IDS sprzężony z Firewall’em
25
Slide 26
NIDS – Network IDS
problem
Głównym kłopotem przy eksploatacji oprogramowania
IDS jest kwestia false-positives, czyli fałszywych
alarmów.
Sygnatury ataków są przeważnie regułami o małym
stopniu szczegółowości i skomplikowania. W związku z
tym może się zdarzyć, że normalny, dozwolony ruch
sieciowy wyzwoli alarm systemu IDS.
Jeżeli administrator, który jest odpowiedzialny za
reagowanie na alarmy IDS, jest przyzwyczajony do tego,
że system generuje dużą liczbę fałszywych alarmów,
bardzo często może zignorować komunikat informujący
o realnym zagrożeniu.
26
Slide 27
Bezpieczeństwo segmentów
bezprzewodowych sieci LAN
Podstawowe zasady bezpieczeństwa:
ograniczanie zasięgu sieci do bezpiecznego
minimum
nadanie SSID nazwy będącej trudnej do
odgadnięcia
wyłączony broadcast SSID
blokowanie dostępu do sieci urządzeniom
sieciowym, których adres MAC nie widnieje
na liście uprawnionych
27
Slide 28
Bezpieczeństwo segmentów
bezprzewodowych sieci LAN
Podstawowe zasady bezpieczeństwa (c.d.):
regularne uaktualnianie firmware’u punktu
dostępowego i kart sieciowych
zastosowanie kodowania WEP z możliwie
najdłuższym kluczem szyfrującym
jeżeli to możliwe stosowanie kodowania WPA
jeżeli to możliwe, do autoryzacji połączeń
stosowanie serwera RADIUS
28
Slide 29
Bezpieczeństwo segmentów
bezprzewodowych sieci LAN
Podstawowe zasady bezpieczeństwa (c.d.):
regularne uaktualnianie firmware’u punktu
dostępowego i kart sieciowych
zastosowanie kodowania WEP z możliwie
najdłuższym kluczem szyfrującym
jeżeli to możliwe stosowanie kodowania WPA
jeżeli to możliwe, do autoryzacji połączeń
stosowanie serwera RADIUS
29
Slide 30
Bezpieczeństwo segmentów
bezprzewodowych sieci LAN
WEP (Wired Equivalent Privacy)
zabezpieczenia
zalety
wady
szyfrowanie RC4,
statyczne klucze,
opcjonalne (tylko)
uwierzytelnienie
802.1x
duża popularność,
standard
akceptowany przez
większość urządzeń
802.11 a/b/g
proste do złamania
statyczne klucze
szyfrujące, brak
mechanizmów
integralności ramek
(intruz może dokładać
własne pakiety), dla
zapewnienia
bezpieczeństwa
niezbędne są
dodatkowe środki np.:
VPN
30
Slide 31
Bezpieczeństwo segmentów
bezprzewodowych sieci LAN
WPA (WiFi Protected Access)
zabezpieczenia
zalety
wady
szyfrowanie RC4,
dynamiczna
wymiana kluczy
szyfrujących
(protokół TKIP),
obowiązkowe
uwierzytelnianie
802.1x (EAP,
RADIUS) lub
współużytkowany
klucz (mechanizm
WPA-PSK)
bezpieczniejszy niż
WEP, możliwość
łatwej integracji z
istniejącymi sieciami
bezprzewodowymi
jest to tylko
tymczasowe
rozwiązanie
problemów
bezpieczeństwa,
wprowadzone jako
łata dla systemu
WEP, starsze
urządzenia wireless
mogą nie obsługiwać
WPA
31
Slide 32
Dziękuję za uwagę!
Rafał Więckowski
32
Sieci lokalne – metody
zwiększania bezpieczeństwa
Bezpieczeństwo informacji w systemach
komputerowych - PJWSTK
Rafał Więckowski
paździenik 2005
Slide 2
Polityka bezpieczeństwa
ogólnie
Działania mające na celu zabezpieczenie
systemu przed:
ryzykiem utraty poufności
(zdarzenie mogące doprowadzić do ujawnienia
informacji przetwarzanej przez system
informatyczny nieautoryzowanemu
użytkownikowi)
2
Slide 3
Polityka bezpieczeństwa
ogólnie
Działania mające na celu zabezpieczenie
systemu przed:
ryzykiem utraty dostępności
(zdarzenie mogące doprowadzić do braku
dostępu w określonym czasie do systemu
informatycznego, programu lub informacji dla
autoryzowanych użytkowników)
3
Slide 4
Polityka bezpieczeństwa
ogólnie
Działania mające na celu zabezpieczenie
systemu przed:
ryzykiem utraty integralności
(zdarzenie mogące doprowadzić do
nieautoryzowanej modyfikacji lub zniszczenia
danych przetwarzanych przez system
informatyczny)
4
Slide 5
Polityka bezpieczeństwa
ochrona fizyczna wrażliwych elementów
Ochrona fizyczna wrażliwych elementów
systemu komputerowego takich jak np.
pomieszczenie, w którym pracuje serwer, czy
stacja robocza administratora sieci.
Nawet ogromne pieniądze wydane na
zabezpieczenia nie przyniosą rezultatów jeżeli
nieuprawniony personel będzie miał dostęp
do urządzeń typu konsola operatora.
5
Slide 6
Polityka bezpieczeństwa
bezpieczeństwo systemu operacyjnego
Powstały pojęcia poziomów bezpieczeństwa
systemów operacyjnych oraz sposoby
certyfikacji tych systemów. Na przykład
systemy takie jak UNIX czy Microsoft
Windows NT uzyskały certyfikat klasy C2.
Oznacza to, że systemy te wyposażono w
mechanizmy kontroli dostępu,
gwarantowania zezwoleń na czytanie i zapis
kartotek oraz plików przez określonych
użytkowników oraz notowanie (auditing)
dostępów i autoryzacji.
6
Slide 7
Polityka bezpieczeństwa
podstawowe działania
Blokowanie wejść na stacjach roboczych
Instalacja oprogramowania
antywirusowego
FireWall
Budowa LAN w oparciu o Switche
Aktualizacja oprogramowania
7
Slide 8
Polityka bezpieczeństwa
Każde zabezpieczenie można
obejść.
Istotne jest, żeby wiedzieć o tym, że
ktoś nieautoryzowany uzyskał
dostęp do naszej sieci.
8
Slide 9
Systemy IDS
co to jest?
IDS – Intrusion Detection System
System wykrywający próby włamań.
Jeżeli posłużymy się analogią, to firewalle
pełnią rolę zamków a IDS jest systemem
alarmowym wykrywającym włamanie do
systemu informatycznego.
9
Slide 10
Systemy IDS
jak to działa?
IDS działa na zasadzie ciągłego
monitorowania zdarzeń.
Potrafi w przetwarzanych danych
wykryć cechy charakterystyczne dla
próby nieautoryzowanego dostępu do
systemu.
10
Slide 11
Systemy IDS
jak to działa?
IDSy zbierają informacje z różnych
źródeł. Najczęściej spotykane, to:
podsłuch
ruchu sieciowego
dane spływające do logów
systemowych
dane o działaniach podejmowanych
przez użytkowników
11
Slide 12
Systemy IDS
rodzaje IDSów
Ze względu na rodzaj informacji
wejściowych dzielimy IDSy na:
Systemowe
– HIDS (Host IDS)
Sieciowe – NIDS (Network IDS)
Stacji Sieciowej – NNIDS (Network
Node IDS)
12
Slide 13
NIDS – Network IDS
zasada działania
Agent NIDS ustawia interfejs
sieciowy w tryb podsłuchu i analizuje
cały ruch, jaki się na nim pojawia.
(uwaga: właściwe umiejscowienie IDSa w strukturze
sieci)
Agent NIDS działa w czasie
zbliżonym do rzeczywistego.
(uwaga: wydajność platformy sprzętowo systemowej)
13
Slide 14
NIDS – Network IDS
zasada działania
Ruch sieciowy jest analizowany w celu
wykrycia fragmentów charakterystycznych
dla:
różnych typów ataków (np. ping of
death)
pewnych działań, które same w sobie
nie są atakiem, lecz stanowią
przygotowanie do ataku (np.
skanowanie portów)
14
Slide 15
NIDS – Network IDS
techniki wykrywania włamań
Pattern matching
Każdy podsłuchany pakiet jest porównywany
bajt po bajcie z bazą, zawierającą fragmenty
ruchu sieciowego charakterystyczne dla
określonych sposobów atakowania systemów
(tzw. sygnatury ataków).
(uwaga: wymaga sporej wydajności systemu. Zależność
pomiędzy liczbą przetwarzanych danych lub liczbą
wykrywanych ataków a zapotrzebowaniem na moc
obliczeniową jest wykładnicza.)
15
Slide 16
NIDS – Network IDS
techniki wykrywania włamań
Analiza protokołów
Agent NIDS monitorujący ruch zna protokoły
sieciowe, w związku z czym może wykryć pewne
typy ataków przez wykrywanie pakietów o
dziwnej strukturze.
Np. dla ataku ping of death, który polega na
wysłaniu bardzo długiego pakietu ICMP-echo
(ping), agent zauważy nietypowy (bardzo długi)
pakiet ICMP-echo.
16
Slide 17
NIDS – Network IDS
techniki wykrywania włamań
Analiza protokołów c.d.
Agenci NIDS posiadają mechanizmy, które
umożliwiają:
analizę zależności pomiędzy kolejnymi
pakietami (wykrywają m.in. flooding,
skanowanie w poszukiwaniu otwartych
portów)
defragmentację pakietów (wykrywają atak
ukryty w wielu sfragmentowanych pakietach –
technika stosowana przy oszukiwaniu
prostych firewalli)
17
Slide 18
NIDS – Network IDS
techniki wykrywania włamań
Analiza sesji
Agent wykrywa anomalie charakterystyczne dla
całej sesji sieciowej (rekonstruuje strumień
danych zaszyty w pakietach).
Dzięki tej technice można wykryć anomalie
charakterystyczne dla całej sesji sieciowej, a nie
tylko dla pojedynczych pakietów.
W ten sposób można np. wychwycić próby
manipulowania numerami sekwencyjnymi, czy
też próby obejścia firewalli stateful-in-spection
18
Slide 19
NIDS – Network IDS
techniki wykrywania włamań
Analiza protokołów wysokopoziomowych
Wykrywanie ataków np. na serwer www
opartych na wysyłaniu określonych komend do
znanego skryptu CGI (np. test.cgi lub
showcode.asp).
19
Slide 20
NIDS – Network IDS
działania aktywne
Systemy NIDS nie tylko potrafią wykrywać atak,
lecz także aktywnie mu zapobiegać.
Zwykle stosuje się przerwanie sesji sieciowej.
Zaawansowane IDSy potrafią współpracować z
firewallami (np. Cisco NetRanger i routery
Cisco) i blokować ruch ze źródła, z którego
nadszedł atak.
(uwaga: podatność na DoS)
20
Slide 21
NIDS – Network IDS
wiedza NIDSa
NIDSy opierają się na bazie sygnatur ataków.
Kluczową sprawą w zarządzaniu NIDSem jest
możliwe częste aktualizowanie bazy ataków.
Pamiętajmy o tym, że jeżeli IDS nie będzie
nauczony danego sposobu atakowania
systemów, to nie będzie również w stanie go
wykryć.
21
Slide 22
NIDS – Network IDS
rozmieszczenie NIDSa w systemie informatycznym
NIDS działa prawidłowo tylko w domenie
kolizyjnej (tylko wtedy ma możliwość
monitorować wszystkie pakiety krążące w
danym segmencie LAN).
Stacja przeznaczona na instalację NIDSa
powinna być jak najmniej widoczna (musi
być maksymalnie utrudnione wykrycie jej
przez potencjalnego intruza)
22
Slide 23
NIDS – Network IDS
rozmieszczenie NIDSa w systemie informatycznym
Nieprawidłowe podłączenie IDSa w sieci
23
Slide 24
NIDS – Network IDS
rozmieszczenie NIDSa w systemie informatycznym
Prawidłowe podłączenie IDSa w sieci
24
Slide 25
NIDS – Network IDS
rozmieszczenie NIDSa w systemie informatycznym
IDS sprzężony z Firewall’em
25
Slide 26
NIDS – Network IDS
problem
Głównym kłopotem przy eksploatacji oprogramowania
IDS jest kwestia false-positives, czyli fałszywych
alarmów.
Sygnatury ataków są przeważnie regułami o małym
stopniu szczegółowości i skomplikowania. W związku z
tym może się zdarzyć, że normalny, dozwolony ruch
sieciowy wyzwoli alarm systemu IDS.
Jeżeli administrator, który jest odpowiedzialny za
reagowanie na alarmy IDS, jest przyzwyczajony do tego,
że system generuje dużą liczbę fałszywych alarmów,
bardzo często może zignorować komunikat informujący
o realnym zagrożeniu.
26
Slide 27
Bezpieczeństwo segmentów
bezprzewodowych sieci LAN
Podstawowe zasady bezpieczeństwa:
ograniczanie zasięgu sieci do bezpiecznego
minimum
nadanie SSID nazwy będącej trudnej do
odgadnięcia
wyłączony broadcast SSID
blokowanie dostępu do sieci urządzeniom
sieciowym, których adres MAC nie widnieje
na liście uprawnionych
27
Slide 28
Bezpieczeństwo segmentów
bezprzewodowych sieci LAN
Podstawowe zasady bezpieczeństwa (c.d.):
regularne uaktualnianie firmware’u punktu
dostępowego i kart sieciowych
zastosowanie kodowania WEP z możliwie
najdłuższym kluczem szyfrującym
jeżeli to możliwe stosowanie kodowania WPA
jeżeli to możliwe, do autoryzacji połączeń
stosowanie serwera RADIUS
28
Slide 29
Bezpieczeństwo segmentów
bezprzewodowych sieci LAN
Podstawowe zasady bezpieczeństwa (c.d.):
regularne uaktualnianie firmware’u punktu
dostępowego i kart sieciowych
zastosowanie kodowania WEP z możliwie
najdłuższym kluczem szyfrującym
jeżeli to możliwe stosowanie kodowania WPA
jeżeli to możliwe, do autoryzacji połączeń
stosowanie serwera RADIUS
29
Slide 30
Bezpieczeństwo segmentów
bezprzewodowych sieci LAN
WEP (Wired Equivalent Privacy)
zabezpieczenia
zalety
wady
szyfrowanie RC4,
statyczne klucze,
opcjonalne (tylko)
uwierzytelnienie
802.1x
duża popularność,
standard
akceptowany przez
większość urządzeń
802.11 a/b/g
proste do złamania
statyczne klucze
szyfrujące, brak
mechanizmów
integralności ramek
(intruz może dokładać
własne pakiety), dla
zapewnienia
bezpieczeństwa
niezbędne są
dodatkowe środki np.:
VPN
30
Slide 31
Bezpieczeństwo segmentów
bezprzewodowych sieci LAN
WPA (WiFi Protected Access)
zabezpieczenia
zalety
wady
szyfrowanie RC4,
dynamiczna
wymiana kluczy
szyfrujących
(protokół TKIP),
obowiązkowe
uwierzytelnianie
802.1x (EAP,
RADIUS) lub
współużytkowany
klucz (mechanizm
WPA-PSK)
bezpieczniejszy niż
WEP, możliwość
łatwej integracji z
istniejącymi sieciami
bezprzewodowymi
jest to tylko
tymczasowe
rozwiązanie
problemów
bezpieczeństwa,
wprowadzone jako
łata dla systemu
WEP, starsze
urządzenia wireless
mogą nie obsługiwać
WPA
31
Slide 32
Dziękuję za uwagę!
Rafał Więckowski
32