2007.11_Niekonwencjonalne metody wykrywania włamań.pdf

Obrona

Niekonwencjonalne

metody wykrywania

włamań

Grzegorz Błoński

stopień trudności

W każdej irmie system informatyczny jest niezbędny do

jej prawidłowego funkcjonowania w dzisiejszych czasach.

Utrzymanie bezpieczeństwa takiego systemu jest więc

koniecznością. W ostatnich latach zwiększyła się liczba prób

ataków na przeróżne systemy informatyczne, a wszystko to za

sprawą bardzo szybkiego rozwoju technologii informatycznych.

piej zabezpieczać swoje Sieci i sys-

temy komputerowe przed takimi ata-

kami. Najbardziej obszerny i skomplikowany

jest temat zabezpieczeń technicznych zawar-

tych w oprogramowaniu,sprzęcie kompute-

rowym i urządzeniach telekomunikacyjnych.

Trudno jest wykryć atak w jego pierwszych fa-

zach tym bardziej jeśli nasz system nie posia-

da odpowiedniego zabezpieczenia i bazuje tyl-

ko na programowym irewallu. Przeglądanie lo-

gów serwera w celu znalezienia czegoś podej-

rzanego jest czasochłonnym i żmudnym zaję-

ciem.

stąpić. Schematyczny opis działania strategii

SKiP przedstawiono na Rysunku 1.

W SKiP proces zarządzania bezpieczeń-

stwem rozpoczyna się od analizy i wzmoc-

nienia obecnych w systemie środków bezpie-

czeństwa. Następnie należy przygotować się

na określone zdarzenia, monitorować system

celem wykrywania incydentów, wreszcie tak

poprawiać zabezpieczenia, aby ataki się nie

powtórzyły. Dwie wyżej opisane strategie cie-

szą się największą popularnością wśród ad-

ministratorów oraz są najczęściej wdrażane.

Techniczne zabezpieczenia systemu informa-

Strategie i warstwy

Istnieją różne strategie ochrony systemów in-

formatycznych. Jedna z nich to tradycyjna stra-

tegia opierająca się o analizę ryzyka. Identy-

ikuje ona obszary systemu, w których wyma-

gane jest wprowadzenie zabezpieczeń. Druga

strategia, oparta na metodach praktycznych,

nazywana jest w skrócie SKiP od sformułowa-

nia Security Knowledge in Practice . Strategia

została opracowana przez CERT i zakłada, że

system powinien być przygotowany do obsłu-

gi nadużyć bezpieczeństwa, które mogą wy-

Z artykułu dowiesz się

• co to są strefy zdemilitaryzowane ( DMZ ),

• jak działa typowy Intrusion Detection System ,

• jakie są rodzaje IDS,

• jak działa honeypot – pułapka na hakera.

Co powinieneś wiedzieć

• znać szkieletową budowę Sieci,

• znać zasadę działania irewalli.

hakin9 Nr 11/2007

www.hakin9.org

A dministratorzy chcą jednak coraz le-

Niekonwencjonalne metody wykrywania włamań

WZMOCNIJ

ZABEZPIECZ

PRZYGOTUJ

SIĘ NA ATAKI

WYKRYWAJ

PRÓBY

ATAKÓW

ODPOWIADAJ

NA ATAKI

POPRAWIAJ

ZABEZPIECZENIA

tycznego często dzieli się umownie

na tak zwane warstwy ochrony, do

których jako podstawowe zalicza-

ją się:

Rysunek 1. Schemat działania SKiP

• warstwa zabezpieczeń systemu

operacyjnego,

• warstwa zabezpieczeń systemu

baz danych,

• warstwa zabezpieczeń aplikacji,

• warstwa zabezpieczeń siecio-

wych.

��

Prawidłowe współdziałanie wszyst-

kich warstw ma ogromny wpływ na

poziom bezpieczeństwa ochraniane-

go systemu. Bardzo ważne są logicz-

nie skonstruowane powiązania mię-

dzy warstwami, tak aby nie dopro-

wadzać do sytuacji, w której na przy-

kład zabezpieczenia warstwy siecio-

wej pozwolą na dokonanie ataku na

serwer bazy danych posiadającym

jakąś lukę.

��

Strefy

zdemilitaryzowane

Tworzenie stref bezpieczeństwa to

kolejna metoda ochrony przed ata-

kami. DMZ ( DeMilitarized Zone ) to

strefa zdemilitaryzowana, w której

umieszcza się serwery najbardziej na-

rażone na ataki z Internetu (WWW,

E-Mail, FTP). Gdy nastąpi włama-

nie na serwer położony w takiej stre-

ie, nie otwiera to drogi do zasobów

znajdujących się w wewnętrznej sie-

ci irmy.

��

Rysunek 2. Strefa DMZ

��

Rysunek 3. Schemat blokowy systemu IDS

www.hakin9.org

hakin9 Nr 11/2007

Obrona

Systemy IDS / IPS

W celu wczesnego wykrywania wła-

mań powstało kilka technik, które

swój początek biorą od jednego sys-

temu nazwanego IDS ( Intrusion De-

tection System – system wykrywania

intruzów). Typowe systemy IDS dzia-

łają podobnie jak sniffer , zbierając

pakiety krążące w sieci i poddając

je analizie. Niestety, proces bada-

nia przechwyconych ramek jest tyleż

skomplikowany, co narażony na po-

myłki, co znacznie wpływa na niską

wydajność takich systemów.

O jakości systemów IDS decydu-

je kilka własności:

• Trafic Anomalies – rozpoznawa-

nie działań w sieci, które są nie-

dozwolone lub podejrzane (np.

skanowanie portów),

• Spooing Detection – wykrywanie

ruchu sieciowego ze sfałszowa-

nymi adresami IP (IP Spooing),

• Layer 2 Detection – wykrywanie

działań i ataków na poziomie 2

warstwy modelu OSI oraz adre-

sów MAC ( ARP cache poisoning ),

• Denial of Service Detection – wy-

krywanie ataków destabilizują-

cych pracę sieci oraz destrukcyj-

nych ( DoS, SYN-Flood ),

• Honeypot – maszyna, która uda-

je serwer lub urządzenie siecio-

we. Pracuje jako przynęta, uda-

jąc w pełni sprawną i wartościo-

wą część infrastruktury siecio-

wej. Jednocześnie rejestruje każ-

dą próbę ataku (jak np. skanowa-

nie portów) i informuje o tych po-

czynaniach administratora.

Istnieją także systemy nazywane inli-

ne IDS, które są połączeniem sniffe-

ra i irewalla. W przypadku takich sys-

temów klasyikacja aktywności sie-

ciowej jest o wiele bardziej zaawan-

sowana niż w przypadku irewalli.

IDS stosuje do tego wiele technolo-

gii. Ogólnie mówi się, że IDS-y działa-

ją na podstawie dopasowywania sy-

gnatur ataków. Jest to duże uprosz-

czenie. W żadnym wypadku nie

• wykrywalność ataków,

• liczba fałszywych alarmów,

• wydajność,

• baza sygnatur i jej aktualizacja,

• zakres reakcji,

• dostrajanie zabezpieczeń,

• zarządzanie zabezpieczeniami.

Architektura sieci z Host IDS

LAN

Konsola

zarządzania

HIDS

Strefa

DMZ

Hosty z agentami

HIDS

Hosty z agentami HIDS

Systemy IDS dzielimy na trzy głów-

ne grupy:

WWW

MTA DNS

Koncentrator

• HIDS – Host-based IDS , system

IDS bazujący na maszynie, na

której działa,

• NIDS – Network-based IDS , sys-

tem IDS bazujący na sieci, w któ-

rej działa,

• NNIDS – Network Node IDS , sys-

tem hybrydowy – połączenie obu

powyższych.

Router

Koncentrator

FIREWALL

+ agent HIDS

INTERNET

Rysunek 4. HIDS

Dobrej klasy systemy IDS wykorzy-

stują przeróżne metody identyikacji

ataków. Do najczęściej wykorzysty-

wanych należą między innymi:

Architektura sieci z Network IDS

LAN

Konsola

zarządzania

NIDS

Strefa

DMZ

• Stateful signatures – wykrywa-

nie oparte o bazę pełnostano-

wych sygnatur, które zawierają

informacje na temat wzorca ata-

ku oraz rodzaju komunikacji,

• Protocol Anomalies – wykrywa-

nie niezgodności ruchu sieciowe-

go ze standardami określonych

protokołów,

• Backdoor Detection – wykrywa-

nie aktywności koni trojańskich

poprzez analizę ruchu sieciowego

i porównanie z wzorcami, a także

analizę heurystyczną pakietów,

Hosty

WWW

MTA DNS

Sonda IDS

Koncentrator

Sonda IDS

Router

Koncentrator

FIREWALL

INTERNET

Rysunek 5. NIDS

hakin9 Nr 11/2007

www.hakin9.org

Niekonwencjonalne metody wykrywania włamań

Architektura sieci z Network Node IDS

sygnatur i dokonywane jest porów-

nywanie. Jeśli czynności rozpozna-

ne podczas ataku są zgodne z tymi

zapisanymi w bazie, są one klasyi-

kowane jako atak. Wysoka skutecz-

ność tej metody znajduje zastosowa-

nie w rozwiązaniach komercyjnych,

takich jak Stalker czy Real-Source .

Sieci Petriego to kolejny ze spo-

sobów detekcji. Wykorzystuje on ko-

lorowane sieci do graicznej repre-

zentacji wykrytych ataków. Metoda ta

została zaimplementowana w syste-

mie wykrywania włamań IDIOT opra-

cowanym na Uniwersytecie Purdue.

Następna technika opiera się na

analizie przejść – stanów. Atak opi-

sywany jest jako zbiór podcelów

i przejść między nimi. Nie doczekała

się ona komercyjnych zastosowań.

Są to tylko wybrane metody, któ-

re doczekały się praktycznego wy-

korzystania w systemach wykrywa-

nia włamań.

LAN

Konsola

zarządzania

NNIDS

Strefa

DMZ

Hosty z agentami

NNIDS

Hosty z agentami NNIDS

WWW

MTA DNS

Koncentrator

Router

Koncentrator

FIREWALL

+ agent NNIDS

INTERNET

Rysunek 6. NNIDS

oznacza to, że IDS ma dokładny wzo-

rzec każdego ataku i z taką bazą da-

nych konfrontuje nadzorowany ruch.

Jeśli by tak było, to IDS-y dałoby się

bardzo łatwo oszukać. Przykłado-

wo, jeśli IDS analizowałby zapytania

SQL, to wstawienie jednej lub wię-

cej spacji spowodowałoby brak dopa-

sowania reguły i udałoby się obejść

zabezpieczenie. W rzeczywistości

współczesne IDS-y stosują wiele róż-

nych technik detekcji prób ataku – np.

normalizatory i interpretery poszcze-

gólnych protokołów, sygnatury opiso-

we w miejsce konkretnych wzorców

oraz metody heurystyczne.

Przykładem systemu IDS dla Li-

nuksa może być bardzo znany i ce-

niony SNORT, na temat którego moż-

na więcej przeczytać na stronie http://

www.snort.org . Jeśli chodzi o podobne

systemy dla środowiska Windows, to

warto wspomnieć o NetScreen IDP ir-

my Juniper Networks, który łączy w so-

bie różne metody wykrywania ataków

sieciowych i zapewnia wysoki poziom

bezpieczeństwa wykorzystując efekt

synergii tych metod.

Powstają nowe odmiany syste-

mów IDS, które są poszerzane o no-

we funkcje. Przykładem może być

DIDS – Distributed IDS , rozproszo-

ny system, w którym na każdym ho-

ście w chronionej sieci działają od-

powiednie czujniki.

Coraz większą popularnością cie-

szą się systemy IPS – Intrusion Pre-

vention Systems .

Czym są IPS? To sprzętowe lub

programowe rozwiązania, których

zadaniem jest nie tylko wykrywanie

ataków na system komputerowy, ale

także jednoczesne przeciwdziała-

nie i uniemożliwianie takich ataków.

Od strony technicznej można powie-

dzieć, że IPS to połączenie funkcjo-

nalności zapory sieciowej (irewall)

oraz systemu IDS.

Honeypot – Garnek

Miodu

W ostatnim czasie ogromnym zain-

teresowaniem cieszą się wspomnia-

ne wcześniej honeypoty ( honeypot

to angielskie słowo określające gar-

nek miodu). Spełniają one rolę przy-

nęty, wabika, którym ma się zainte-

resować potencjalny atakujący. Tego

rodzaju systemy wczesnego ostrze-

gania o atakach są bardzo dobrym

rozwiązaniem ze względu na moż-

liwości, jakie dają administratorom.

Takie przynęty – a mogą nimi być

odpowiednio skonigurowane pece-

ty, routery, przełączniki lub serwery

oparte o maszyny wirtualne – są co-

raz bardziej popularne.

Ze względu na to, że honeypot

nie jest maszyną produkcyjną (czy-

li nie bierze czynnego udziału w pra-

cy systemu informatycznego irmy),

ataki, które go dotykają, nie czynią

szkód w sieci produkcyjnej irmy. Od-

powiednio skonigurowany honeypot

zbiera informacje o ataku i przesyła

je do administratora w celu podjęcia

odpowiednich działań.

Jednym z najbardziej znanych

komercyjnych systemów typu ho-

neypot jest KFSensor irmy KeyFo-

cus ( www.keyfocus.net ), bardzo czę-

Techniki przetwarzania

danych

Do analizy włamań w sieciach wyko-

rzystywanych jest wiele technik prze-

twarzania, które często są ze sobą

łączone w różnych rozwiązaniach.

Duża ilość danych zbieranych i reje-

strowanych przez systemy IDS oraz

IPS powoduje, że wyłowienie z nich

prawdziwego ataku czy skanowania

portów zajmuje dużo czasu, a wiele

wykrytych anomalii jest tak napraw-

dę fałszywym alarmem. Aby zmini-

malizować takie pomyłki, stosuje się

między innymi systemy ekspertowe,

których baza wiedzy jest zbiorem re-

guł opisujących atak. Wychwycone

poprzez IPS/IDS zdarzenia są kla-

syikowane jako atak (lub nie) po do-

konaniu sprawdzenia i porównania

z bazą systemu ekspertowego.

Kolejną metodą jest analiza sy-

gnatur, w której – podobnie jak

w systemach ekspertowych – korzy-

sta się z pozyskiwania wiedzy o ata-

ku. Opis ataku jest transformowany

do postaci zgodnej z formatem bazy

www.hakin9.org

hakin9 Nr 11/2007

Obrona

sto uaktualniany oraz wyposażony

w szereg mechanizmów wykrywa-

jących ataki. Inne znane rozwiąza-

nia to PatriotBox ( www.alkasis.com )

oraz Specter:A ( www.specter.com ).

W przypadku systemów Unix/

Linux znane jest rozwiązanie Open

Source o nazwie Honeyd ( www.ho-

neyd.org ). Technologia wykorzysta-

nia honeypotów rozwija się w kierun-

ku automatyzacji procesu ich imple-

mentacji w danym systemie czy sie-

ci. Dynamiczne honeypoty mogą zre-

wolucjonizować rynek zabezpieczeń.

Założenia takich rozwiązań to samo-

uczenie się topologii i ruchu w sieci,

łatwiejsze integrowanie się z syste-

mem, wreszcie nawet automatyczna

implementacja nowych honeypotów.

to: Pehunter, Google Hack Honeypot,

Honeymole oraz Honeystick.

Ostatnia z przedstawionych na

stronie grup narzędzi to Data Ana-

lysis . Jak sama nazwa wskazuje, są

to narzędzia do analizy danych prze-

chwyconych przez honeypoty. Znaj-

dują się tutaj dwa narzędzia: Honey-

snap oraz Capture BAT.

Po dokładniejsze opisy wszyst-

kich narzędzi odsyłam na stronę pro-

jektu. ( http://project.honeynet.org )

ocenami użytkujących je instytucji,

irm czy administratorów.

Przykładem takiego rozwiązania

jest produkt irmy Checkpoint o na-

zwie IPS-1.

Korzysta on z hybrydowego sil-

nika wykrywania ( Hybrid Detection

Engine ), który doskonale sprawdza

się w rzeczywistym działaniu. Roz-

wiązanie Checkpointa zostało opar-

te o technologię przejętą od irmy

NFR Security. IPS-1 integruje w so-

bie irewalla, VPN, UTM i wspomnia-

ne rozwiązanie NFR Security.

Niewątpliwą zaletą rozwoju tech-

nologii wykorzystywanych do zabez-

pieczania sieci i systemów informa-

tycznych jest fakt możliwości wybo-

ru takiej, która odpowiada naszym

wymogom, założeniom i potrzebom.

Niestety, równolegle rozwijają się

technologie włamań i ataków, któ-

re są wykorzystywane przez hake-

rów. Nacisk na bezpieczeństwo po-

winien w dzisiejszych czasach być

na tyle duży, aby spowodować im-

plementowanie rozwiązań zapew-

niających nieprzerwaną pracę sys-

temu informatycznego – bez zakłó-

ceń i przerw spowodowanych przez

próby ataku.

Trudno jest wybrać drogę i me-

todologię stosowania rozwiązań

bezpieczeństwa, nie analizując je-

go obecnego stanu w systemie, któ-

ry chcemy lepiej chronić. Dokładne

i dogłębne przyjrzenie się słabym

punktom w naszej sieci, znalezienie

miejsc bardziej narażonych na ata-

ki, wyizolowanie stref mniej i bardziej

bezpiecznych ułatwi dokonanie wy-

boru stosownego rozwiązania. l

Hybrydy

Zabezpieczeniom stawia się wyma-

gania nie tylko odnośnie poziomu

bezpieczeństwa chronionych zaso-

bów, ale także ich wydajności. Nie

powinny one powodować opóźnień

w transmisji danych. Systemy zapo-

rowe irewall są newralgicznym ele-

mentem, jeśli chodzi o wydajność.

Na rynku rozwiązań hybrydo-

wych prym wiodą takie rozwiązania,

które integrują w sobie kilka techno-

logii naraz – Stateful Inspection , Ap-

plication Gateway oraz Intrusion De-

tection . Dodatkowym elementem ta-

kich rozwiązań staje się często mo-

duł ochrony kryptograicznej trans-

misji danych VPN. Pracę irewal-

li można przyśpieszać programo-

wo poprzez wykonywanie podsta-

wowych algorytmów kontroli ruchu

sieciowego na niskim poziomie jądra

systemu operacyjnego.

Istnieją także sprzętowe sposoby

przyśpieszania, których przykładem

może być układ scalony ASIC ( Ap-

plication Speciic Integrated Circuit ),

pozwalający na uzyskanie przepływ-

ności irewalla na poziomie 12Gb/s.

Projekt Honeynet

Na stronach projektu Honeynet ( http://

project.honeynet.org ) można znaleźć

narzędzia, które pomogą nam w za-

stosowaniu takich rozwiązań.

Podzielono je na grupy. Pierwsza

z nich, High-Interaction , przedstawia

rozwiązania, które nie emulują ni-

czego – są zwyczajnymi systemami

spotykanymi w domowych kompute-

rach czy irmowych stacjach robo-

czych. Ich zaletą jest zdolność do

zebrania większej ilości informa-

cji o atakach. Możemy tam znaleźć

dwa programy przydatne do tworze-

nia takich honeypotów – Honeywall

oraz Sebek.

Druga grupa, Low-Interaction ,

charakteryzuje się tym, że w pełni

emuluje komputery, usługi czy funk-

cjonalności serwerów produkcyjnych.

Takie honeypoty łatwiej jest zaimple-

mentować, natomiast zbierają one

mniej typów informacji. W tej grupie

znajdziemy na wspomnianej stronie

Nepenthes, Honeyd oraz Honeytrap.

Trzecia grupa, Client , to narzę-

dzia inicjujące połączenie z serwe-

rem i zbierające informacje o zdarze-

niach w aplikacjach klienckich usług

takich, jak E-mail czy WWW. Mamy

do wyboru dwa programy – Captu-

reHPC oraz HoneyC.

Kolejna grupa to Infrastructure . Za-

wiera ona narzędzia wspomagające

wdrażanie i zarządzanie honeypotami.

Dostępny zestaw narzędzi do wyboru

Podsumowanie

Ciągła rozbudowa i zwiększanie się

stopnia komplikacji systemów infor-

matycznych powoduje, że do ich

ochrony potrzebne są coraz bar-

dziej złożone zabezpieczenia. Fir-

my zajmujące się opracowywaniem

rozwiązań bezpieczeństwa dla sieci

i systemów informatycznych starają

się ciągle doskonalić swoje produk-

ty, aby nadążały one za technikami

wykorzystywanymi przez hakerów.

Wiele rozwiązań staje się popular-

nych, ciesząc się do tego dobrymi

O autorze

Grzegorz Błoński z wykształce-

nia jest informatykiem, certyiko-

wanym specjalistą IBM. Pracuje

w dużej irmie o zasięgu światowym.

Zajmuje się administracją oraz bez-

pieczeństwem sieciowym. Należy

do międzynarodowych organizacji

ISOC oraz ISACA, zajmujących się

szeroko pojętym bezpieczeństwem

IT. Kontakt z autorem: mancymo-

nek@wp.pl

hakin9 Nr 11/2007

www.hakin9.org

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: