6 Z VLHFL - Krzysztof Szczypiorski

Politechnika Warszawska
Instytut Telekomunikacji
*ãyZQHFHOHSUH]HQWDFML
Przedstawienie ogranicze wyst
pujcych w
rzeczywistych systemach wykrywania wáama
 8wiadomienie u*ytkownikom tych systemów,
*e automatyczne (bezmylne) stosowanie tego
typu zabezpiecze nie ma *adnego sensu
 Wskazanie potencjalnych kierunków rozwoju
V\VWHPyZZ\NU\ZDQLDZáDPD

6\VWHP\Z\NU\ZDQLDZãDPD>
ZSUDNW\FH
Piotr Kijewski, Krzysztof Szczypiorski
E-mail: {P.Kijewski, K.Szczypiorski}@tele.pw.edu.pl
Secure 2001 – Warszawa, 7-8 listopada 2001
Kijewski, Szczypiorski - IT PW
3ODQSUH]HQWDFML
6\VWHP\Z\NU\ZDQLDZáDPDZSUDNW\FH
8PLHMVFRZLHQLHV\VWHPX,'6ZVLHFL
Rola V\VWHPyZZ\NU\ZDQLDZáDPD
(=systemów IDS – Intrusion Detection System)
 ']LDáDQLHLGHDOQHJRV\VWHPX,'6
 &]WHU\IXQGDPHQWDOQHS\WDQLD]ZL]DQH]
G]LDáDQLHPV\VWHPyZ,'6
 :SRGVXPRZDQLXQDMZD*QLHMV]HZQLRVNLGOD
twórców/administratorów

8VáXJLRFKURQ\LQIRUPDFML
Firewall: NRQWURODGRVW
SXLQQH
IDS:
audyt
Metody komplementarne
IDS
Kijewski, Szczypiorski - IT PW
6\VWHP\Z\NU\ZDQLDZáDPDZSUDNW\FH
2
3
Kijewski, Szczypiorski - IT PW
6\VWHP\Z\NU\ZDQLDZáDPDZSUDNW\FH
= sensor IDS
4
-DNG]LDãDLGHDOQ\V\VWHP,'6"
&]WHU\IXQGDPHQWDOQHS\WDQLD
QDNWyUHRGSRZLHP\SU]H]SU\]PDWG]LDãDQLDV\VWHPXLGHDOQHJR
&RPPRQ,QWUXVLRQ'HWHFWLRQ)UDPHZRUN
Pyt. 1. &RWRMHVW]GDU]HQLHZ\JOGDMFHQDZáDPDQLH"
Pyt. 2. -DNUR]SR]QDü]GDU]HQLHZ\JOGDMFHQD
ZáDPDQLH"
Pyt. 3. 2F]\PSRZLQLHQLQIRUPRZDüV\VWHP,'6"
Pyt. 4. -DNQDOH*\UHDJRZDüQDWHLQIRUPDFMH"
:\QLN5HDNFMDQD]GDU]HQLDV\VWHPRZH
:\QLN]GDU]HQLD
V\VWHPRZHQD
Z\VRNLPSR]LRPLH
-HGQRVWNL
UHDJXMFH
5ER[HV
:\QLNVNáDGRZDQLH]GDU]H
$QDOL]DWRU\
]GDU]H
$ER[HV
%D]\GDQ\FK
'ER[HV
*HQHUDWRU\
]GDU]H
V\VWHPRZ\FK
(ER[HV
:\QLN]GDU]HQLDV\VWHPRZH
QDQLVNLPSR]LRPLH
'UyGáR]GDU]H]HZQ
WU]Q\FK
Kijewski, Szczypiorski - IT PW
6\VWHP\Z\NU\ZDQLDZáDPDZSUDNW\FH
5
Kijewski, Szczypiorski - IT PW
3\W&RWRMHVW]GDU]HQLH
Z\JOGDMFHQDZãDPDQLH"
Zdarzenie wygldajce na wâamanie mo*e byü
nadu+yciem lub anomali
 1DGX+\FLH – zachowanie rozpoznane jako znany,
skatalogowany atak na system teleinformatyczny
 Anomalia - wszelkie zachowania niezgodne z
przyj
tymi zasadami np.:
 wi
ksze
wykorzystanie mocy obliczeniowej
 u*ycie przez u*ytkownika niestandardowej sekwencji komend
 wykorzystanie przez aplikacj
nietypowego dla niej wywoáania
systemowego lub ich sekwencji)
6\VWHP\Z\NU\ZDQLDZáDPDZSUDNW\FH
6
3\W-DNUR]SR]QDþ]GDU]HQLH
Z\JOGDMFHQDZãDPDQLH"

Kijewski, Szczypiorski - IT PW
6\VWHP\Z\NU\ZDQLDZáDPDZSUDNW\FH
7

Wykrywanie nadu+yý - posiadanie wiedzy w
postaci bazy danych o typowych atakach,
typowych sekwencjach pojawiajcych si
w
okolicznociach ataku, ale
(ródáo
ataku PR*HE\ürozproszone Uy*QHDGUHV\
atak PR*HE\üUR]FLJQL
W\ w czasie
QLHVSyMQRüVHPDQW\F]QD
QLH]QDMRPRüVHPDQW\NLQSZSá\ZV]\IURZDQLD
Kijewski, Szczypiorski - IT PW
6\VWHP\Z\NU\ZDQLDZáDPDZSUDNW\FH
8
3\W-DNUR]SR]QDþ]GDU]HQLH
Z\JOGDMFHQDZãDPDQLH"
3\W2F]\PSRZLQLHQ
LQIRUPRZDþV\VWHP,'6"
Wykrywanie anomalii - brak jednoznacznego modelu
zachowania systemu teleinformatycznego
 Zdefiniowanie anomalii wymaga RNUHOHQLD

 parametrów
oraz progów, które odró*niaj zachowanie typowe od
uznawanego za anomali

Np. prymitywny system wykrywania wáama
Czy system IDS powinien informowaü o
wszystkich zdarzeniach, które s uznane za
anomali
lub nadu*ycie?
 )DâV]\ZHDODUP\ – paradoks:

F]
VWRWOLZRü– ZLHUQRüWHVWXZLDU\JRGQRüZ\QLNXSRWZLHUG]DMFHJRa
 SU]\ZL
NV]HMF]
VWRWOLZRFL– ZLDU\JRGQRü
tylko ~91%
 parametr:
iloü nieudanych prób zalogowania si
do systemu w
cigu okrelonego czasu
 próg: 3 próby w cigu godziny
 wykrycie 3 nieudanych logowa w cigu 1 minuty – anomalia - jak
LQWHUSUHWRZDüW
DQRPDOL
"
Kijewski, Szczypiorski - IT PW
6\VWHP\Z\NU\ZDQLDZáDPDZSUDNW\FH
9

Kijewski, Szczypiorski - IT PW
3\W2F]\PV\VWHP,'6
SRZLQLHQLQIRUPRZDþ"

bajka Ezopa o pastuchu, wilkach i owcach
 VNXWNLIDáV]\Z\FKDODUPyZ
 utopia systemu automatycznego
 NOXF]RZDURODZ\NV]WDáFRQHJRSHUVRQHOX
REVáXJXMFHJRV\VWHP,'6
 G]LDáDQLDZVSRPDJDMFH

zestaw reguá wykrywajcych nadu+ycia powinien byü bardzo
precyzyjny, ale przesadna dokáadnoü mo*e doprowadziü do
tego, *e dziaáania pozostan nie wykryte
 brak ogólnych wyznaczników do wykrywania anomalii - ró*ne
cechy modeli zachowania systemu teleinformatycznego – ró*ne
parametry, progi i zale*noci mi
dzy nimi

6\VWHP\Z\NU\ZDQLDZáDPDZSUDNW\FH
10
3\W-DNQDOHo\UHDJRZDþQD
LQIRUPDFMHRZãDPDQLX"
Wnioski dla twórców/administratorów systemów IDS nie
s jednoznaczne:
Kijewski, Szczypiorski - IT PW
6\VWHP\Z\NU\ZDQLDZáDPDZSUDNW\FH
11
Kijewski, Szczypiorski - IT PW
6\VWHP\Z\NU\ZDQLDZáDPDZSUDNW\FH
12
:QLRVNL
Systemy IDS w obecnej formie s uáomne praktyczne zastosowanie ich jako narz
dzi
samodzielnych jest wtpliwe
 Káopotliwe wykrywanie/definiowanie anomalii
 Niejednoznacznoü semantyczna
 Puáapka faászywych alarmów
 Automatyzacja a czynnik ludzki
 Czy warto stosowaü IDS czy nie?

Kijewski, Szczypiorski - IT PW
6\VWHP\Z\NU\ZDQLDZáDPDZSUDNW\FH
13
3\WDQLD"
Piotr Kijewski, Krzysztof Szczypiorski
E-mail: {P.Kijewski,K.Szczypiorski}@tele.pw.edu.pl