2007.11_Niekonwencjonalne metody wykrywania włamań.pdf
(
1155 KB
)
Pobierz
439176474 UNPDF
Obrona
Niekonwencjonalne
metody wykrywania
włamań
Grzegorz Błoński
stopień trudności
W każdej irmie system informatyczny jest niezbędny do
jej prawidłowego funkcjonowania w dzisiejszych czasach.
Utrzymanie bezpieczeństwa takiego systemu jest więc
koniecznością. W ostatnich latach zwiększyła się liczba prób
ataków na przeróżne systemy informatyczne, a wszystko to za
sprawą bardzo szybkiego rozwoju technologii informatycznych.
piej zabezpieczać swoje Sieci i sys-
temy komputerowe przed takimi ata-
kami. Najbardziej obszerny i skomplikowany
jest temat zabezpieczeń technicznych zawar-
tych w oprogramowaniu,sprzęcie kompute-
rowym i urządzeniach telekomunikacyjnych.
Trudno jest wykryć atak w jego pierwszych fa-
zach tym bardziej jeśli nasz system nie posia-
da odpowiedniego zabezpieczenia i bazuje tyl-
ko na programowym irewallu. Przeglądanie lo-
gów serwera w celu znalezienia czegoś podej-
rzanego jest czasochłonnym i żmudnym zaję-
ciem.
stąpić. Schematyczny opis działania strategii
SKiP
przedstawiono na Rysunku 1.
W SKiP proces zarządzania bezpieczeń-
stwem rozpoczyna się od analizy i wzmoc-
nienia obecnych w systemie środków bezpie-
czeństwa. Następnie należy przygotować się
na określone zdarzenia, monitorować system
celem wykrywania incydentów, wreszcie tak
poprawiać zabezpieczenia, aby ataki się nie
powtórzyły. Dwie wyżej opisane strategie cie-
szą się największą popularnością wśród ad-
ministratorów oraz są najczęściej wdrażane.
Techniczne zabezpieczenia systemu informa-
Strategie i warstwy
Istnieją różne strategie ochrony systemów in-
formatycznych. Jedna z nich to tradycyjna stra-
tegia opierająca się o analizę ryzyka. Identy-
ikuje ona obszary systemu, w których wyma-
gane jest wprowadzenie zabezpieczeń. Druga
strategia, oparta na metodach praktycznych,
nazywana jest w skrócie
SKiP
od sformułowa-
nia
Security Knowledge in Practice
. Strategia
została opracowana przez
CERT
i zakłada, że
system powinien być przygotowany do obsłu-
gi nadużyć bezpieczeństwa, które mogą wy-
Z artykułu dowiesz się
• co to są strefy zdemilitaryzowane (
DMZ
),
• jak działa typowy
Intrusion Detection System
,
• jakie są rodzaje IDS,
• jak działa honeypot – pułapka na hakera.
Co powinieneś wiedzieć
• znać szkieletową budowę Sieci,
• znać zasadę działania irewalli.
52
hakin9 Nr 11/2007
www.hakin9.org
A
dministratorzy chcą jednak coraz le-
Niekonwencjonalne metody wykrywania włamań
WZMOCNIJ
I
ZABEZPIECZ
PRZYGOTUJ
SIĘ NA ATAKI
WYKRYWAJ
PRÓBY
ATAKÓW
ODPOWIADAJ
NA ATAKI
POPRAWIAJ
ZABEZPIECZENIA
tycznego często dzieli się umownie
na tak zwane warstwy ochrony, do
których jako podstawowe zalicza-
ją się:
Rysunek 1.
Schemat działania SKiP
• warstwa zabezpieczeń systemu
operacyjnego,
• warstwa zabezpieczeń systemu
baz danych,
• warstwa zabezpieczeń aplikacji,
• warstwa zabezpieczeń siecio-
wych.
��������
��������
���
Prawidłowe współdziałanie wszyst-
kich warstw ma ogromny wpływ na
poziom bezpieczeństwa ochraniane-
go systemu. Bardzo ważne są logicz-
nie skonstruowane powiązania mię-
dzy warstwami, tak aby nie dopro-
wadzać do sytuacji, w której na przy-
kład zabezpieczenia warstwy siecio-
wej pozwolą na dokonanie ataku na
serwer bazy danych posiadającym
jakąś lukę.
����������
����
��
�����������
����
�
����������
Strefy
zdemilitaryzowane
Tworzenie stref bezpieczeństwa to
kolejna metoda ochrony przed ata-
kami. DMZ (
DeMilitarized Zone
) to
strefa zdemilitaryzowana, w której
umieszcza się serwery najbardziej na-
rażone na ataki z Internetu (WWW,
E-Mail, FTP). Gdy nastąpi włama-
nie na serwer położony w takiej stre-
ie, nie otwiera to drogi do zasobów
znajdujących się w wewnętrznej sie-
ci irmy.
���
�����������
Rysunek 2.
Strefa DMZ
��������
����������������
��������������
�������
���������
��������
����������
��������������
�����������
��������
���
����
������
��������
Rysunek 3.
Schemat blokowy systemu IDS
www.hakin9.org
hakin9 Nr 11/2007
53
Obrona
Systemy IDS / IPS
W celu wczesnego wykrywania wła-
mań powstało kilka technik, które
swój początek biorą od jednego sys-
temu nazwanego IDS (
Intrusion De-
tection System
– system wykrywania
intruzów). Typowe systemy IDS dzia-
łają podobnie jak
sniffer
, zbierając
pakiety krążące w sieci i poddając
je analizie. Niestety, proces bada-
nia przechwyconych ramek jest tyleż
skomplikowany, co narażony na po-
myłki, co znacznie wpływa na niską
wydajność takich systemów.
O jakości systemów IDS decydu-
je kilka własności:
•
Trafic Anomalies
– rozpoznawa-
nie działań w sieci, które są nie-
dozwolone lub podejrzane (np.
skanowanie portów),
•
Spooing Detection
– wykrywanie
ruchu sieciowego ze sfałszowa-
nymi adresami IP (IP Spooing),
•
Layer 2 Detection
– wykrywanie
działań i ataków na poziomie 2
warstwy modelu OSI oraz adre-
sów MAC (
ARP cache poisoning
),
•
Denial of Service Detection
– wy-
krywanie ataków destabilizują-
cych pracę sieci oraz destrukcyj-
nych (
DoS, SYN-Flood
),
•
Honeypot
– maszyna, która uda-
je serwer lub urządzenie siecio-
we. Pracuje jako przynęta, uda-
jąc w pełni sprawną i wartościo-
wą część infrastruktury siecio-
wej. Jednocześnie rejestruje każ-
dą próbę ataku (jak np. skanowa-
nie portów) i informuje o tych po-
czynaniach administratora.
Istnieją także systemy nazywane inli-
ne IDS, które są połączeniem sniffe-
ra i irewalla. W przypadku takich sys-
temów klasyikacja aktywności sie-
ciowej jest o wiele bardziej zaawan-
sowana niż w przypadku irewalli.
IDS stosuje do tego wiele technolo-
gii. Ogólnie mówi się, że IDS-y działa-
ją na podstawie dopasowywania sy-
gnatur ataków. Jest to duże uprosz-
czenie. W żadnym wypadku nie
• wykrywalność ataków,
• liczba fałszywych alarmów,
• wydajność,
• baza sygnatur i jej aktualizacja,
• zakres reakcji,
• dostrajanie zabezpieczeń,
• zarządzanie zabezpieczeniami.
Architektura sieci z Host IDS
LAN
Konsola
zarządzania
HIDS
Strefa
DMZ
Hosty z agentami
HIDS
Hosty z agentami HIDS
Systemy IDS dzielimy na trzy głów-
ne grupy:
WWW
MTA
DNS
Koncentrator
• HIDS –
Host-based IDS
, system
IDS bazujący na maszynie, na
której działa,
• NIDS –
Network-based IDS
, sys-
tem IDS bazujący na sieci, w któ-
rej działa,
• NNIDS –
Network Node IDS
, sys-
tem hybrydowy – połączenie obu
powyższych.
Router
Koncentrator
FIREWALL
+ agent HIDS
INTERNET
Rysunek 4.
HIDS
Dobrej klasy systemy IDS wykorzy-
stują przeróżne metody identyikacji
ataków. Do najczęściej wykorzysty-
wanych należą między innymi:
Architektura sieci z Network IDS
LAN
Konsola
zarządzania
NIDS
Strefa
DMZ
•
Stateful signatures
– wykrywa-
nie oparte o bazę pełnostano-
wych sygnatur, które zawierają
informacje na temat wzorca ata-
ku oraz rodzaju komunikacji,
•
Protocol Anomalies
– wykrywa-
nie niezgodności ruchu sieciowe-
go ze standardami określonych
protokołów,
•
Backdoor Detection
– wykrywa-
nie aktywności koni trojańskich
poprzez analizę ruchu sieciowego
i porównanie z wzorcami, a także
analizę heurystyczną pakietów,
Hosty
WWW
MTA
DNS
Sonda IDS
Koncentrator
Sonda IDS
Router
Koncentrator
FIREWALL
INTERNET
Rysunek 5.
NIDS
54
hakin9 Nr 11/2007
www.hakin9.org
Niekonwencjonalne metody wykrywania włamań
Architektura sieci z Network Node IDS
sygnatur i dokonywane jest porów-
nywanie. Jeśli czynności rozpozna-
ne podczas ataku są zgodne z tymi
zapisanymi w bazie, są one klasyi-
kowane jako atak. Wysoka skutecz-
ność tej metody znajduje zastosowa-
nie w rozwiązaniach komercyjnych,
takich jak
Stalker
czy
Real-Source
.
Sieci Petriego to kolejny ze spo-
sobów detekcji. Wykorzystuje on ko-
lorowane sieci do graicznej repre-
zentacji wykrytych ataków. Metoda ta
została zaimplementowana w syste-
mie wykrywania włamań IDIOT opra-
cowanym na Uniwersytecie Purdue.
Następna technika opiera się na
analizie przejść – stanów. Atak opi-
sywany jest jako zbiór podcelów
i przejść między nimi. Nie doczekała
się ona komercyjnych zastosowań.
Są to tylko wybrane metody, któ-
re doczekały się praktycznego wy-
korzystania w systemach wykrywa-
nia włamań.
LAN
Konsola
zarządzania
NNIDS
Strefa
DMZ
Hosty z agentami
NNIDS
Hosty z agentami NNIDS
WWW
MTA
DNS
Koncentrator
Router
Koncentrator
FIREWALL
+ agent NNIDS
INTERNET
Rysunek 6.
NNIDS
oznacza to, że IDS ma dokładny wzo-
rzec każdego ataku i z taką bazą da-
nych konfrontuje nadzorowany ruch.
Jeśli by tak było, to IDS-y dałoby się
bardzo łatwo oszukać. Przykłado-
wo, jeśli IDS analizowałby zapytania
SQL, to wstawienie jednej lub wię-
cej spacji spowodowałoby brak dopa-
sowania reguły i udałoby się obejść
zabezpieczenie. W rzeczywistości
współczesne IDS-y stosują wiele róż-
nych technik detekcji prób ataku – np.
normalizatory i interpretery poszcze-
gólnych protokołów, sygnatury opiso-
we w miejsce konkretnych wzorców
oraz metody heurystyczne.
Przykładem systemu IDS dla Li-
nuksa może być bardzo znany i ce-
niony SNORT, na temat którego moż-
na więcej przeczytać na stronie
http://
www.snort.org
. Jeśli chodzi o podobne
systemy dla środowiska Windows, to
warto wspomnieć o NetScreen IDP ir-
my Juniper Networks, który łączy w so-
bie różne metody wykrywania ataków
sieciowych i zapewnia wysoki poziom
bezpieczeństwa wykorzystując efekt
synergii tych metod.
Powstają nowe odmiany syste-
mów IDS, które są poszerzane o no-
we funkcje. Przykładem może być
DIDS –
Distributed IDS
, rozproszo-
ny system, w którym na każdym ho-
ście w chronionej sieci działają od-
powiednie czujniki.
Coraz większą popularnością cie-
szą się systemy IPS –
Intrusion Pre-
vention Systems
.
Czym są IPS? To sprzętowe lub
programowe rozwiązania, których
zadaniem jest nie tylko wykrywanie
ataków na system komputerowy, ale
także jednoczesne przeciwdziała-
nie i uniemożliwianie takich ataków.
Od strony technicznej można powie-
dzieć, że IPS to połączenie funkcjo-
nalności zapory sieciowej (irewall)
oraz systemu IDS.
Honeypot – Garnek
Miodu
W ostatnim czasie ogromnym zain-
teresowaniem cieszą się wspomnia-
ne wcześniej honeypoty (
honeypot
to angielskie słowo określające gar-
nek miodu). Spełniają one rolę przy-
nęty, wabika, którym ma się zainte-
resować potencjalny atakujący. Tego
rodzaju systemy wczesnego ostrze-
gania o atakach są bardzo dobrym
rozwiązaniem ze względu na moż-
liwości, jakie dają administratorom.
Takie przynęty – a mogą nimi być
odpowiednio skonigurowane pece-
ty, routery, przełączniki lub serwery
oparte o maszyny wirtualne – są co-
raz bardziej popularne.
Ze względu na to, że honeypot
nie jest maszyną produkcyjną (czy-
li nie bierze czynnego udziału w pra-
cy systemu informatycznego irmy),
ataki, które go dotykają, nie czynią
szkód w sieci produkcyjnej irmy. Od-
powiednio skonigurowany honeypot
zbiera informacje o ataku i przesyła
je do administratora w celu podjęcia
odpowiednich działań.
Jednym z najbardziej znanych
komercyjnych systemów typu
ho-
neypot
jest KFSensor irmy KeyFo-
cus (
www.keyfocus.net
), bardzo czę-
Techniki przetwarzania
danych
Do analizy włamań w sieciach wyko-
rzystywanych jest wiele technik prze-
twarzania, które często są ze sobą
łączone w różnych rozwiązaniach.
Duża ilość danych zbieranych i reje-
strowanych przez systemy IDS oraz
IPS powoduje, że wyłowienie z nich
prawdziwego ataku czy skanowania
portów zajmuje dużo czasu, a wiele
wykrytych anomalii jest tak napraw-
dę fałszywym alarmem. Aby zmini-
malizować takie pomyłki, stosuje się
między innymi systemy ekspertowe,
których baza wiedzy jest zbiorem re-
guł opisujących atak. Wychwycone
poprzez IPS/IDS zdarzenia są kla-
syikowane jako atak (lub nie) po do-
konaniu sprawdzenia i porównania
z bazą systemu ekspertowego.
Kolejną metodą jest analiza sy-
gnatur, w której – podobnie jak
w systemach ekspertowych – korzy-
sta się z pozyskiwania wiedzy o ata-
ku. Opis ataku jest transformowany
do postaci zgodnej z formatem bazy
www.hakin9.org
hakin9 Nr 11/2007
55
Obrona
sto uaktualniany oraz wyposażony
w szereg mechanizmów wykrywa-
jących ataki. Inne znane rozwiąza-
nia to PatriotBox (
www.alkasis.com
)
oraz Specter:A (
www.specter.com
).
W przypadku systemów Unix/
Linux znane jest rozwiązanie
Open
Source
o nazwie Honeyd (
www.ho-
neyd.org
). Technologia wykorzysta-
nia honeypotów rozwija się w kierun-
ku automatyzacji procesu ich imple-
mentacji w danym systemie czy sie-
ci. Dynamiczne honeypoty mogą zre-
wolucjonizować rynek zabezpieczeń.
Założenia takich rozwiązań to samo-
uczenie się topologii i ruchu w sieci,
łatwiejsze integrowanie się z syste-
mem, wreszcie nawet automatyczna
implementacja nowych honeypotów.
to: Pehunter, Google Hack Honeypot,
Honeymole oraz Honeystick.
Ostatnia z przedstawionych na
stronie grup narzędzi to
Data Ana-
lysis
. Jak sama nazwa wskazuje, są
to narzędzia do analizy danych prze-
chwyconych przez honeypoty. Znaj-
dują się tutaj dwa narzędzia: Honey-
snap oraz Capture BAT.
Po dokładniejsze opisy wszyst-
kich narzędzi odsyłam na stronę pro-
jektu. (
http://project.honeynet.org
)
ocenami użytkujących je instytucji,
irm czy administratorów.
Przykładem takiego rozwiązania
jest produkt irmy Checkpoint o na-
zwie IPS-1.
Korzysta on z hybrydowego sil-
nika wykrywania (
Hybrid Detection
Engine
), który doskonale sprawdza
się w rzeczywistym działaniu. Roz-
wiązanie Checkpointa zostało opar-
te o technologię przejętą od irmy
NFR Security. IPS-1 integruje w so-
bie irewalla, VPN, UTM i wspomnia-
ne rozwiązanie NFR Security.
Niewątpliwą zaletą rozwoju tech-
nologii wykorzystywanych do zabez-
pieczania sieci i systemów informa-
tycznych jest fakt możliwości wybo-
ru takiej, która odpowiada naszym
wymogom, założeniom i potrzebom.
Niestety, równolegle rozwijają się
technologie włamań i ataków, któ-
re są wykorzystywane przez hake-
rów. Nacisk na bezpieczeństwo po-
winien w dzisiejszych czasach być
na tyle duży, aby spowodować im-
plementowanie rozwiązań zapew-
niających nieprzerwaną pracę sys-
temu informatycznego – bez zakłó-
ceń i przerw spowodowanych przez
próby ataku.
Trudno jest wybrać drogę i me-
todologię stosowania rozwiązań
bezpieczeństwa, nie analizując je-
go obecnego stanu w systemie, któ-
ry chcemy lepiej chronić. Dokładne
i dogłębne przyjrzenie się słabym
punktom w naszej sieci, znalezienie
miejsc bardziej narażonych na ata-
ki, wyizolowanie stref mniej i bardziej
bezpiecznych ułatwi dokonanie wy-
boru stosownego rozwiązania.
l
Hybrydy
Zabezpieczeniom stawia się wyma-
gania nie tylko odnośnie poziomu
bezpieczeństwa chronionych zaso-
bów, ale także ich wydajności. Nie
powinny one powodować opóźnień
w transmisji danych. Systemy zapo-
rowe irewall są newralgicznym ele-
mentem, jeśli chodzi o wydajność.
Na rynku rozwiązań hybrydo-
wych prym wiodą takie rozwiązania,
które integrują w sobie kilka techno-
logii naraz –
Stateful Inspection
,
Ap-
plication Gateway
oraz
Intrusion De-
tection
. Dodatkowym elementem ta-
kich rozwiązań staje się często mo-
duł ochrony kryptograicznej trans-
misji danych VPN. Pracę irewal-
li można przyśpieszać programo-
wo poprzez wykonywanie podsta-
wowych algorytmów kontroli ruchu
sieciowego na niskim poziomie jądra
systemu operacyjnego.
Istnieją także sprzętowe sposoby
przyśpieszania, których przykładem
może być układ scalony ASIC (
Ap-
plication Speciic Integrated Circuit
),
pozwalający na uzyskanie przepływ-
ności irewalla na poziomie 12Gb/s.
Projekt Honeynet
Na stronach projektu Honeynet (
http://
project.honeynet.org
) można znaleźć
narzędzia, które pomogą nam w za-
stosowaniu takich rozwiązań.
Podzielono je na grupy. Pierwsza
z nich,
High-Interaction
, przedstawia
rozwiązania, które nie emulują ni-
czego – są zwyczajnymi systemami
spotykanymi w domowych kompute-
rach czy irmowych stacjach robo-
czych. Ich zaletą jest zdolność do
zebrania większej ilości informa-
cji o atakach. Możemy tam znaleźć
dwa programy przydatne do tworze-
nia takich honeypotów – Honeywall
oraz Sebek.
Druga grupa,
Low-Interaction
,
charakteryzuje się tym, że w pełni
emuluje komputery, usługi czy funk-
cjonalności serwerów produkcyjnych.
Takie honeypoty łatwiej jest zaimple-
mentować, natomiast zbierają one
mniej typów informacji. W tej grupie
znajdziemy na wspomnianej stronie
Nepenthes, Honeyd oraz Honeytrap.
Trzecia grupa,
Client
, to narzę-
dzia inicjujące połączenie z serwe-
rem i zbierające informacje o zdarze-
niach w aplikacjach klienckich usług
takich, jak E-mail czy WWW. Mamy
do wyboru dwa programy – Captu-
reHPC oraz HoneyC.
Kolejna grupa to
Infrastructure
. Za-
wiera ona narzędzia wspomagające
wdrażanie i zarządzanie honeypotami.
Dostępny zestaw narzędzi do wyboru
Podsumowanie
Ciągła rozbudowa i zwiększanie się
stopnia komplikacji systemów infor-
matycznych powoduje, że do ich
ochrony potrzebne są coraz bar-
dziej złożone zabezpieczenia. Fir-
my zajmujące się opracowywaniem
rozwiązań bezpieczeństwa dla sieci
i systemów informatycznych starają
się ciągle doskonalić swoje produk-
ty, aby nadążały one za technikami
wykorzystywanymi przez hakerów.
Wiele rozwiązań staje się popular-
nych, ciesząc się do tego dobrymi
O autorze
Grzegorz Błoński z wykształce-
nia jest informatykiem, certyiko-
wanym specjalistą IBM. Pracuje
w dużej irmie o zasięgu światowym.
Zajmuje się administracją oraz bez-
pieczeństwem sieciowym. Należy
do międzynarodowych organizacji
ISOC oraz ISACA, zajmujących się
szeroko pojętym bezpieczeństwem
IT. Kontakt z autorem:
mancymo-
nek@wp.pl
56
hakin9 Nr 11/2007
www.hakin9.org
Plik z chomika:
teresarobert
Inne pliki z tego folderu:
2003.02_Sieciowa analiza powłamaniowa - krok po kroku.pdf
(724 KB)
2007.10_Audyt systemów informatycznych.pdf
(165 KB)
2008.06_Monitoring zabezpieczeń.pdf
(420 KB)
2009.11_Audyt i kontrola danych osobowych.pdf
(272 KB)
2009.11_Informatyka śledcza.pdf
(357 KB)
Inne foldery tego chomika:
► Corel VideoStudio Ultimate X9 19
Aikido
Akademia Morska
angielski brytyjski
Angielski dla leniwych
Zgłoś jeśli
naruszono regulamin