slajdy - Securityinfo

Transkrypt

Michał Sobiegraj, 29.11.2005
1
[email protected]
IDS/IPS
Jakub Jarliński
Marcin Kucharczyk
Michał Sobiegraj
2
[email protected]
Wstęp
W którym dowiadujemy się, że jeśli już musimy
chodzić w za małych portkach, to dobrze byłoby
przynajmniej przedłużyć im nogawki.
3
[email protected]
Bezpieczeństwo?
●
●
●
Ochrona danych
–
oczywiste i wymierne straty
–
często konsekwencje prawne
Ochrona dostępu do zasobów
–
wykorzystanie infrastruktury sieciowej i usług
(łącze, smtp relay, etc.)
–
podszywanie się (konsekwencje prawne!)
Ochrona przed atakami typu (D)DoS
–
straty finansowe
4
[email protected]
Podejście naiwne
●
●
AAA protocol
–
Authentication (uwierzytelnianie)
–
Authorization (autoryzacja)
–
Accounting (kontrola dostępu do usług)
Firewalling
–
policy DROP (mało użyteczne)
–
stateful firewalling – nie rozwiązuje problemu
–
przepuszcza uprawniony ruch do usług
–
weryfikuje adresy, porty, stan połączenia – mało!
[email protected]
Skąd to naiwne podejście?
●
●
Błędne (?) założenia projektowe
–
zaufanie do osób pracujących w tej samej sieci
–
mechanizmy zapewniające kontrolę poprawności
transmisji
–
brak odpowiednich mechanizmów bezpieczeństwa
Efekt – próby zapewnienia bezpieczeństwa
przy pomocy mechanizmów zapewniających
poprawność transmisji
–
IP ID, TCP Sequence Number (losowanie)
5
6
[email protected]
Uzasadnienie?
●
Obszar aplikacji przerósł założenia projektowe
–
Ethernet (1980)
–
TCP/IP (1981)
–
mała skala == mała populacja użytkowników
–
dostęp praktycznie tylko dla naukowców, dużych
firm (i wojska)
–
łatwa identyfikacja (poszczególnych osób!)
[email protected]
Kiedy zaufanie to za mało
●
Implementacja mechanizmów ochrony
–
hardening OS
–
ochrona antyspoofingowa (RFC793 + losowane
Sequence Numbers)
–
kontrola dostępu (Firewalling)
–
uwierzytelnianie sesji routingu (AS, ISPs, szkielet)
–
IDS/IPS
–
mechanizmy QoS
–
mechanizmy specyficzne dla sieci, oprogramowania
7
Marcin Kucharczyk, 29.11.2005
8
IDS
9
IDS
(Intrusion Detection System)
●
IDS – systemy wykrywania włamań
●
Działanie wewnątrz sieci
●
Druga generacja zabezpieczeń sieci
10
Zadania systemu IDS
Monitorowanie systemu
- monitoring ruchu w sieci i zdarzeń na hoście
● Wykrywanie ataków
- analiza informacji
● Podjęcie działań
- zapisanie informacji o ataku
- powiadomienie administratora (konsola,e-mail)
- ewentualne przeciwdziałanie
●
11
Etapy działania IDS
Monitoring
● Przetwarzanie wstępne
● Analiza
● Reakcja
● Dostrajanie
●
Schemat standardowego systemu IDS
12
Klasyfikacja IDS ze względu
na mechanizm identyfikacji włamań
Oparte na zbiorze zasad (sygnaturach)
- wiedza o nienormalnych zachowaniach
● Wykrywające anomalie
- wiedza o normalnym zachowaniu sieci
● Monitorowanie celu
● Niewidzialne sondowanie
● Hybrydowe
●
13
Klasyfikacja IDS ze względu
na sposób monitoringu
Działające w czasie rzeczywistym
- możliwość przeciwdziałania
- analiza ruchu w sieci (nagłówki i treść)
- proste mechanizmy wykrywania (szybkość)
● Analizujące raporty systemowe
- wykrycie włamań z przeszłości
- odkrycie powtarzających się prób ataku
●
14
Klasyfikacja IDS ze względu na topologię
Autonomiczne
- jeden system IDS
● Rozproszone
- wiele osobnych IDS
- agenty
●
15
Klasyfikacja ze względu na architekturę
Jednowarstwowe
- zabezpieczenie pojedynczego hosta
- mniejsza efektywność
● Wielowarstwowe
- sensory
- agenty (analizatory, wyspecjalizowane)
- system zarządzania
●
16
17
Typy systemów IDS
Host-based IDS (HIDS)
- dane pochądzą z hosta
● Network-based IDS (NIDS)
- dane pochodzą z segmentu sieci
● Hybrydowe (np. NNIDS)
- konieczność analizowania szyfrowanego
ruchu
●
18
HIDS
19
NIDS
NNIDS (Network Node IDS)
20
21
Porównanie NIDS i HIDS
NIDS
●
Szeroki zakres działania (zachowanie
sieci)
HIDS
●
Wąski zakres działania (zachowanie hosta)
●
Złożona konfiguracja
●
Łatwiejsza konfiguracja
●
Lepsze do wykrywania ataków z wewnątrz
●
Lepsze do wykrywania ataków z
●
Droższe w implementacji
●
Działanie po utworzeniu wpisu w dzienniku
Specyficzny dla danego systemu
zewnątrz
●
Tańsze w implementacji
●
●
Działanie prawie w czasie rzeczywistym
operacyjnego
●
Niezależny od systemu operacyjnego
●
●
Wykrywanie oparte na informacjach
mogą być zebrane przez danego hosta
zdobytych z segmentu sieci
●
Wykrywanie ataków poprzez analizę
ruchu (np. zawartości pakietów)
●
Problem z szyfrowanymi danymi
●
Wykrywanie oparte na informacjach, które
Wykrywanie lokalnych ataków zanim
przedostaną się do sieci
●
Analiza szyfrowanych danych
Możliwości współczesnych IDS (1)
Detekcja poprzez sygnatury ataku
● Dekodowanie protokołów
● Wykrywanie anomalii protokołów
● Wykrywanie anomalii ruchu
● Wykrywanie ataków typu spoofing
●
22
Możliwości współczesnych IDS (2)
●
Wykrywanie obecności backdoor'ów
●
Wykrywanie ataków DoS
●
Detekcja w warstwie drugiej
●
Mechanizmy korelacji zdarzeń
●
●
Weryfikacja poziomu zabezpieczeń stacji
klienta
Praca w trybie transparentnym
23
24
Zalety systemów IDS
Potrafią wykrywać ataki z zewnątrz i z wewnątrz
sieci
● Łatwo skalowalne
● Scentralizowane zarządzanie
● Umożliwiają określenie statystyk ataków
● Dodatkowa warstwa bezpieczeństwa
●
25
Wady systemów IDS
Wykrywanie ataków, lecz brak przeciwdziałania
● Fałszywe alarmy bądź niewykrycie ataku
● Ograniczenia w bardzo szybkich sieciach
● Generują wielkie ilości danych do analizy
● Konieczny wykwalifikowany personel do obsługi
● Ograniczona obsługa ruchu szyfrowanego
● Cena
●
Jakub Jarliński, 29.11.2005
26
[email protected]
IPS
27
[email protected]
Co to jest IPS?
• IPS (Intrusion Prevention Systems)
• IPS = IDS + Firewall
• Każde narzędzie (hardware/software) potrafiące
wykrywać w sieci komputerowej zagrożenia i im
przeciwdziałać
28
[email protected]
Przewaga IPS nad IDS
• IPS (aktywny) – IDS (pasywny)
• Natychmiastowa reakcja na zagrożenie
• IDS + Firewall może eliminować zagrożenia tylko w
warstwach 1-4
29
[email protected]
Różne rozwiązania IPS
• in-line IDS (in-line NIDS)
• Przełącznik warstwy 7
• IDS + Firewall aplikacyjny
• Przełączniki hybrydowe
• Aplikacje oszukujące
30
[email protected]
in-line IDS (in-line NIDS)
– Inline Network Intrusion Detection
System
– 3 interfejsy
(WE, WY i zarządzający)
– Blokowanie znanych ataków z
możliwością dopisania nowych sygnatur
– Akcja podejmowana jest przez program
monitorujący (SNORT, HogWash itp.)
– Niewidzialny dla atakującego (np.
HogWash)
– Problemy w razie awarii
31
[email protected]
Przełącznik warstwy 7
– Działanie w warstwie 7 zamiast w 2
– Decyzja podejmowana np. na podstawie
HTML, DNS, SMTP
– Dodatkowa funkcjonalność blokowanie
(DoS DDoS)
– Blokowanie znanych ataków
– Możliwość dopisywania nowych sygnatur
przez administratora
32
[email protected]
IDS + Firewall aplikacyjny
– IPS = IDS + Firewall
– Instalowane na każdym chronionym
serwerze
– Możliwość dostosowania do każdej
aplikacji
– Tworzenie profilu zachowań użytkownika
i aplikacji w systemie
– Kontrola zachowań systemu
i użytkownika aplikacji
– Problem z błędnym profilem
i aktualizacją aplikacji
33
[email protected]
Przełączniki hybrydowe
– Połączenie funkcji IPS przełącznika
warstwy 7 oraz
firewalla aplikacyjnego + IDS
– Skanuje aplikacje i sprawdza luki w ich
zabezpieczeniach, po czym wysyła te
dane do przełącznika
– Ułatwia pracę administratora
– System „fail close”
– Optymalizacja przez wstawienie
przełącznika warstwy 7 przed
hybrydowym
34
[email protected]
Aplikacje oszukujące
– Deceptive applications
– Aplikacja monitoruje ruch TCP i
tworzy odpowiedni profil
– Do otrzymanego profilu tworzy
politykę bezpieczeństwa
– Przepuszczanie tylko dozwolonych
pakietów
– Wysyłanie zamarkowanych
odpowiedzi do intruza
35
[email protected]
LITERATURA
• Intrusion Prevention Systems: the Next Step in Evolution of IDS
(by Neil Desai)
• Najnowsze trendy w dziedzinie zabezpieczeń sieci
informatycznych. Firewalle aplikacyjne, IPS, IDS in-line
(Wojciech Dworakowski – SecuRing)
• Bezpieczeństwo w systemach operacyjnych – Mechanizmy
obronne na granicy sieci (Aleksander Siewierski)
• ITFAQ (listopad 2004) „Wykrywanie sytuacji przełamania
zabezpieczeń i innych naruszeń bezpieczeństwa” (Mariusz
Stawowski)
• COMPUTERWORLD Polska NR 39/690
„SNORT węszy kasę” (Toamsz Marcinek)
36
[email protected]
Przykładowe realizacje i
konfiguracja
Gdzie dowiadujemy się, że obkładanie samochodu
poduszkami niewiele poprawia bezpieczeństwo jazdy i
dlaczego wielkie zielone guziki też niewiele pomagają.
37
[email protected]
Wady (1)
●
●
Wykrywanie nadużyć
–
wykrywa tylko znane ataki (shellcode, etc.)
–
jest tak dobre jak pełna jest baza sygnatur ataków
–
konieczność częstej aktualizacji bazy
–
możliwe przeoczenia !
Wykrywanie anomalii
–
bazuje na analizie charakterystyki ruchu
–
częste powstawanie fałszywych alarmów →
uśpienie czujności !
38
[email protected]
Wady (2)
●
●
●
Nieskuteczne w przypadku niektórych typowych
ataków
–
(D)DoS – reakcja z opóźnieniem (→ NetFlow +
BGP Blackholing)
–
częste problemy wydajnościowe (→ Cisco SDN)
Lokalność działania
–
najwyżej pojedyncza sieć (NIDS) (?)
–
problem z szyfrowaniem > warstwy czwartej
Problemy z zagrożeniami wewnętrznymi
39
[email protected]
Co możemy zrobić?
[email protected]
Zagrożenie wewnątrz sieci
40
[email protected]
Cisco Self Defending Networks
41
42
[email protected]
Blokada stacji roboczej
[email protected]
Atak rozpoznawalny > warstwy 4.
43
44
[email protected]
Info → IPS → ACL
[email protected]
Odpowiednia reakcja na FW
45
[email protected]
Więcej oddzielnych sieci
46
47
[email protected]
Atak na jedną z sieci
[email protected]
IPS → FW + FW innych sieci
48
[email protected]
Blokada we wszystkich sieciach
49
50
[email protected]
Wnioski
●
Rozproszone wykrywanie ataków
–
●
Wiara w zielony guzik jest zgubna
–
●
z im większej liczby czujników zbierane są dane,
tym pełniejszy i szerzy obraz
konieczne jest monitorowanie wszystkich
elementów sieci i zapewnianie odpowiednich
kryteriów do ich skutecznej analizy
Im szersze spektrum monitorowanych cech,
tym większa szansa na szybką reakcję
51
[email protected]
Gdzie warto zajrzeć?
●
http://www.securityfocus.com/ids/
●
http://www.cisco.com/go/ips/
●
http://www.cisco.com/go/sdn/
52
[email protected]
Pytania?
53
[email protected]
Dziękujemy!

slajdy - Securityinfo

Transkrypt

Podobne dokumenty

komunikat techniczny