QUALITY & SECURITY Praha hotel Olšanka Petr Zemánek Senior Presales Consultant. IDS/IPS - ano či ne?

Transkript

1 QUALITY & SECURITY 2007 Praha hotel Olšanka Petr Zemánek Senior Presales Consultant IDS/IPS - ano či ne?

2 Být......či nepoužít IDS/IPS? 2

3 Agenda Co na nás útočí Různé druhy útoků Jaké máme detekční mechanismy Jak se detekují jednotlivé druhy útoků Jak se rozhodovat při nákupu Jak moc potřebuji IDS/IPS? Kolik do něj investovat? Jaké koupit? 3

4 Co na nás útočí aneb Internetová havěť

5 Kudy útoky přicházejí? Útok na vaši síť je nevyhnutelný, proto je dobré se připravit, pomocí poznání sama sebe... Jsou dvě základní cesty, jak napadnout síť: Zneužití zranitelnosti Sociální inženýrství Zranitelnosti mohou být dále napadány skrz: Softwarové chyby Chyby v konfiguraci Špatná implementace 5

6 Útoky jsou stále promyšlenější Firemní síť Script Kiddies Známé útoky Více DoS útoky IP Spoofing 6 Zdroj : Juniper Networks Nedokumentované útoky Backdoor útoky TYP ÚTOKU PŘÍKLAD ÚROVEŇ ÚTOKU Známý Code Red Síťová / Aplikační No Pattern, Nové útoky Buffer overflow Síťová / Aplikační Backdoor Back Orifice Aplikační Reconnaissance nmap Síťová Script Kiddies Telnet root Síťová / Aplikační IP Spoofing IP Spoofing Síťová DoS útok Syn flood Síťová

7 Zneužití konfigurace nebo implementace Útočník zneužívá zranitelnosti v systémech vytvořené během konfigurace nebo implementace k získání dat a případně získání kontroly nad zdrojem. Internet Chráněná síť Příklad: EXPN (rozšíření skupiny jmen nebo aliasů) muže být spuštěn v defaultu, nebo v chybném nasazení při konfiguraci SMTP serveru. To dává útočníkovi přístup k uživatelským informacím. Útočník Mail CTL >expn root ÚTOK!!! Napadaný Mail server Okay 7 Zdroj : Juniper Networks

8 Zneužití známých zranitelností Útočník zneužívá známou zranitelnost k získání přístupu k serveru, změně dat, ukradení informací způsobení DoS atd. Internet Chráněná síť Příklad: Po ustanovení spojení umožní zranitelnost v programu Sendmail akceptovat příliš mnoho dat. Útočník může odeslat nadbytečná data aby přetekly serverovou vyrovnávací paměť za účelem získání root privilegií = útočník získá úplnou kontrolu Útočník Ustavení spojení Hello Odeslání dat Chci odeslat poštu z: jsmith@company.com na: sbrown@company.com Odesílá 516 bajtů dat Server očekává méně než 256 bajtů dat ÚTOK!!! Přebytek přeteče přes vyrovnávací paměť a útočník využije přetečený kód k převzetí serveru Napadaný Mail Server Hello Příjemce OK/pokračuj 8 Zdroj : Juniper Networks

9 9 Přetečení vyrovnávací paměti Útočník získá plný přístup k serveru pomocí spuštění vlastního kódu pod admin právy. Může existovat chyba v programu která nelimituje množství dat zapisovaných do bufferu umož. datům přetéct a vystavit se zranitelnosti. Příklad: Útočník zašle škodlivý kód s přístupovými daty aby přetekly buffer. Přetečení změní adresu kam jít až skončí současná procedura. Program skočí na škodlivý kód, umožňujíc tím útočníkovi spustit jeho příkazy. Zdroj : Juniper Networks Chráněná paměť počítače Odskok na Správnou adresu K bytů buffer Odskok na adresu ve chvíli kdy funkce skončí Zranitelná paměť počítače K bytů buffer Odskok na škodlivý kód Adr. škod.o kódu na kterou se odskočí ve chvíli kdy fce skončí

10 Trojské koně Útočník použije sociálního inženýrství, nebo jiné prostředky k instalaci škodlivého programu na cílovou stanici. Například útočník může odeslat se spustitelným souborem, jako například zpívající narozeninové přání nic netušícímu uživateli. Útočník Útočná aktivita Pošt.klient Když uživatel spustí soubor, ten instaluje bez ový trojan vědomí uživatele na pozadí škodlivý program. Útočník, potom využívá škodlivý program k získání kontroly nad napadenou stanicí. To mu umožňuje dělat si z poza firewallu co chce. Trojan stáhne backdoor Útočník se napojí na backdoor, a server je kompromitován. Útočník má nad servrem plnou nadvládu 10 Zdroj : Juniper Networks

11 Průzkumné útoky Útočník se pokusí kontaktovat všechny potenciální zdroje v síti, aby zjistil, které jsou k dispozici a mohl později vyzkoušet útok na dostupné zdroje. Například, útočník může zkusit kontaktovat všechny porty na veřejném serveru (port scan) nebo kontaktovat všechny porty 80 (HTTP) na určitém rozsahu adres (network scan) Útočník Scan otevřen 11 Zdroj : Juniper Networks

12 Průzkumné útoky Útočník se pokusí kontaktovat všechny potenciální zdroje v síti, aby zjistil, které jsou k dispozici a mohl později vyzkoušet útok na dostupné zdroje. Například, útočník může zkusit kontaktovat všechny porty na veřejném serveru (port scan) nebo kontaktovat všechny porty 80 (HTTP) na určitém rozsahu adres (network scan) Útočník 12 Zdroj : Juniper Networks

13 Jaké máme detekční algoritmy aneb odhmyzovače v akci Zdroj : RAID specialista proti hmyzu

14 Firewall nestačí Většina organizací je připojena k Internetu a vlastní nějakou formu firewallu Většina podniků provozuje firewall samostatně a není schopna blokovat sofistikované útoky Životní cyklus zranitelností a hrozeb Vznik zranitelnosti Oznámní zranitelnosti První zneužití První červi Stále kratší 14 Zdroj : Juniper Networks

15 Jak tedy můžeme tyto útoky detekovat? Žádný detekční algoritmus nemůže najít všechny druhy útoků Jak pracují současné detekční algoritmy a na jaké druhy útoků jsou vhodné: Paketové vs. stateful signatury Detekce protokolových anomálií Detekce zadních vrátek (backdoor) Honeypot Protokolové anomálie Ostatní 15

16 Detekce neobvyklého provozu Metoda identifikace použití neobvyklého provozu Žádné protokolové anomálie, nebo specifické vzory útoků ale neobvyklý provoz / objem provozu Příklad: Ping Sweep Skenuje síť pro identifikaci potenciálních zdrojů budoucího útoku průzkum Ping sweep z externího/podezřelého zdroje by měl být hlášen administrátorovi 16

17 Detekce protokolových anomálií Protokoly jsou definovány tak, aby bylo možné přesně popsat jejich běžné použití Zneužití nebo netypické použití protokolu je na IPS detekováno Příklad: FTP Bounce Attack Prosím otevři FTP spojení FTP Client FTP Server Prosím připoj se k x.x.x.b (neautorizovaný klient - útočník) x.x.x.a x.x.x.b není autorizovanou klientskou stanicí Možné zneužití FTP protokolu Požadavek zablokován!!! x.x.x.b 17 Zdroj : Juniper Networks

18 Stateful Signatures Dívá se na útok v kontextu Zabrání slepému skenování veškerého provozu kvůli konkrétnímu řetězci Zvýšuje efektivitu Redukuje false-positive Example: Code Red Worm Využívá k útoku HTTP GET request IDP zařízení pouze hledá tento požadavek a ne ostatní HTTP provoz 18 Zdroj : Juniper Networks

19 Detekce zadních vrátek / trojanů Známý koncept trojského koně Výzvou je identifikovat útok v případě, kdy je první linie obrany prolomena Heuristická metoda analýzy interaktivního provozu Příklad: Provoz pocházející od web serveru Webové servery typicky odpovídají na dotazy pro informaci, žádné spojení neinicializují Podpis nakaženého serveru/uzlu 19

20 Různé detekční algoritmy musí : Detekovat více útoků Mechanizmus Typ Příklad Stateful Signatures Well known EXPN Root Protocol Anomaly Unknown, No Pattern DNS Cache Poisoning Backdoor Detection Interactive Woms/Trojans Traffic Anomaly Reconnaissance Nmap Network Honeypot Script kiddies Nmap Spoof Detection IP Spoofing Snížit počet falešných alarmů Layer2 Detection Syn Flood Detection ARP Attacks Certain DoS attacks 20 Zdroj : Juniper Networks

21 IDS je skutečně druhou vrstvou obrany? Podniková síť Detekované Falešné útoky poplachy Nedetekované útoky Zakázaný provoz Zakáže některé útoky Povolený provoz Firewall poskytuje kontrolu přístupu Zdroj : Juniper Networks IDS poskytuje Monitoring útoků

22 TCP Reset Problém Útok dosáhne cíle Vždy vyžaduje prozkoumání úspěšného útoku Pouze pro TCP spojení 22 Zdroj : Juniper Networks

23 Spolupráce s firewallem 1. IDS detekuje útok 2. Odešle zprávu firewallu aby zablokoval všechen budoucí provoz z dané IP adresy Problém Útok dosáhne cíle Vždy vyžaduje prozkoumání důvodů útoku Navrženo tak, aby blokoval IP adresu i do budoucna Jestliže útočník použije, nebo spoofuje např.dresu AOL, bude zahazován veškerý provoz z AOL 23 Zdroj : Juniper Networks Dělá systém zranitelný na DoS útok

24 Aktivní odezvy - IPS Aktivní, in-line systém detekuje útok a zahazuje škodlivý provoz během detekčního procesu Výhody Zahozeno Doplňuje firewall jako druhé vrstva bezpečnosti Útok nikdy nedosáhne cíle Netřeba ztrácet čas studiem útoku Pracuje s jakýmkoliv provozem 24 Zdroj : Juniper Networks

25 Jak se rozhodovat při nákupu aneb jak být v bezpečí a neprodělat

26 Světový trh IPS Předpovědi ukazují na zaměření trhu směrem k IPS technologiím Worldwide Příjmy z IDS/IPS by měly dosáhnout kolem 800 miliónů dolarů za rok 2009 Network-based products continue to account for more than 2/3 of total revenue Celosvětové příjmy z IDS/IPS Příjmy (Milióny USD) CY01 CY02 CY03 CY04 CY05 CY06 CY07 CY08 CY09 Rok Network-based Host-based Zdroj: Network Security Appliance and Software Quarterly Worldwide Market Share and Forecast for 1Q06 26

27 S křivka optimální výše investic Vysoká Optimální výše investovaných prostředků Míra bezpečnosti Podceňování bezpečnostních rizik Investice bez výrazného růstu bezpečnosti Nízká Nízké Investice do bezpečnosti Vysoké 27

28 Jak tedy vybírat? Zvážit riziko/cena Potřebuji plnohodnotné IDS/IPS? Nástavby nad firewall Zvážit použití Volba IDS x IPS Klientská x aplikační x síťová Zajistit obsluhu Každý systém je dobrý jen tak, jako ten který ho spravuje Zvážit výrobce Každé řešení má své výhody Interoperabilita s dalšími komponenty a další 28

29 Nepoužívejte IPS podělte se o svůj počítač se zvířátky 29

30 Děkuji za pozornost váš bezpečnostní partner