Bezpečnostní analýzy provozu jako prevence před šířením virů a jiných útoků (IDPS)

Transkript

1 Bezpečnostní analýzy provozu jako prevence před šířením virů a jiných útoků (IDPS) Ing. Milan Šárek, CSc. Katedra počítačových systému FIT České vysoké učení technické v Praze MI-MTI, ZS2010/11, Předn. 6 MI-MTI / prof. Evropský sociální fond. Praha & EU: Investujeme do vaší budoucnosti Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 1/29

2 Navazuje na obsah přednášek MT-MTI č. 4 a 5 zejména s ohledem na klasifikace internetových hrozeb Současná kybernetická rizika: nově se objevující typy útoků zkracují se časy mezi objevem zranitelnosti doba opravy zranitelného místa se nezkracuje Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 2/29

3 Důvody těchto útoků: od zvýšení sebevědomí některých jedinců vydírají online společnosti hrozbou závažného DDoS (Distributed Denial of Service) útoku Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 3/29

4 Příklady DDoS (Distributed Denial of Service) útoků: vulnerabilities (zranitelnosti), zombie recruitment (nábor zombies), attack tools (nástroje útoku), bandwith attacks (útoky na šíři pásma), SYN floods (záplavy SYN), established connection floods (záplavy založených spojení) connections-per-second floods (záplavy spojení za sekundu) Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 4/29

5 Nábor zombies spojen s rozvojem technologií Spybot (spy robot) setrvalý boj mezi autory spybotů a antivirů, rekompilace hrozeb podle nově vyvinutých prostředků obrany reakce na informace ze Zero zone (výhodou pokud dodavatel IPDS využívá přímo tyto informace, protože doba mezi nálezem nové zranitelnosti a reakcí velkých sw firem bývá od dvou až do šeti týdnů od tohoto data nejčastěji se v současnosti zneužívá webovských prohlížečů, IE, FireFox anti-malware (anti-adware) většinou instalují patche přímo do těchto prohlížečů (pokud používáte freewarové verze antivirů, bude zajímavé zkontrolovat svůj počítač pomocí např. Spybot - Search & Destroy, Malwarebytes' Anti-Malware) Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 5/29

6 Princip SYN-flood pokus o vyčerpání zdrojů serveru běžné navázání komunikace Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 6/29

7 Různé kombinace SYN- flood útočník podvrhne cizí adresu k útoku jsou použity zombies na infikovaných počítačích Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 7/29

8 Systém detekce a prevence průniků (IPS Intrusion Detection System a IPS Intrusion Prevention System): jedna z možností ochrany vnitřního perimetru sítě, podstatné rozšíření ochrany poskytované Firewallem, následná definice a popsání existujících rizik. Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 8/29

9 Rozdíl funkce FW (FireWall) a (IDPS Intrusion Detection and Prevention System): běžný SPI (Stateful Packet Inspection) firewall je totiž schopný vidět v paketu pouze do úrovně zdrojových a cílových portů, pro firewall korektní provoz na TCP portu 80 tak klidně může obsahovat škodlivý kód, který není firewall schopen detekovat a blokovat, systémy detekce a prevence zkoumají veškerý provoz až do sedmé vrstvy OSI protokolu, který prošel firewallem a případně i vnitřními segmenty sítě, provedou detekci, vyhodnocení úrovně hrozby a podle typu upozornění správce sítě nebo v případě prevenčních systémů přímo provedou "odfiltrování" škodlivého obsahu na základě porovnání se známými obrazci z databáze, IDPS mohou využívat heuristickou analýzu a uživatelsky definované filtry. Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 9/29

10 Klíčové funkce IPDS technologií záznam informací, které souvisí se zjištěným incidentem informovat administrátora bezpečnosti (správce sítě) o incidentu a jeho závažnosti Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 10/29

11 ZÁSADNÍ PROBLÉM IPDS ZÁPLAVA INCIDENTŮ pokud používány běžné metody notifikace formou logů, správce po určité době rezignuje nové metody vyhodnocování grafickou formou, ze které vyplývají mnohem přehledněji trendy vývoje problém těchto systémů je přehlédnutí nových hrozeb, které se nevyskytují ještě tak často, ale útočí cíleně na ještě nechráněné zranitelnosti problém rychlosti instalací nových verzí a příslušných záplat ve firemním prostředí nečekané reakce specielních aplikací zranitelnost systému pak delší dobu není chráněna a pouhá indikace problému nic neřeší Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 11/29

12 Příklad grafické reprezentace získané ze sondy IDS: Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 12/29

13 Odlišnost IDS a IPS: IDS systémy nebezpečný provoz pouze detekují, ale neodstraní jej z datového toku, IPS provádí kompletní inspekci paketů až po 7. (aplikační) vrstvu a čistí internetový nebo intranetový provoz od virů, červů, trojských koní, chrání vnitřní síť před útoky typu DoS (Denial of Service), DDoS (Distributed Denial of Service), před útoky využívajícími otevřených zadních vrátek, škodlivými aplikacemi kradoucími pásmo, i před různými smíšenými útoky. Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 13/29

14 IPS zastaví útok sám a to například následujícími způsoby: ukončí síťová spojení nebo uživatelskou relaci, které byly použity k inicializaci útoku blokovat přístup k cílovému zdroje (případně jinému podobnému cíli) z uživatelského účtu, IP adresy, která již v minulosti obtěžovala v případě nutnosti blokovat všechny přístupy ke zdroji, službě nebo aplikaci než bude problém vyřešen. Důležité v tomto okamžiku je, aby se napadaný server nezhroutil a bylo možné na něm vyřešit například upgrade sw nebo napojení do sítě záložní cestou. IPS změní nastavení bezpečnostního prostředí. IPS může měnou nastavení dalších bezpečnostních kontrol narušit probíhající útok. IPS může změnit obsah útoku. Některé IPS technologie mohou odstranit nebo nahradit škodlivou části útoku, tak aby se útok stal benigní. Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 14/29

15 Obvyklé metody detekce v systémech IPDS vyhledávání signatur o pokus o připojení telnet s username root o se subjektem Free pictures! a přiloženým soubore s názvem freepics.exe o přihlášení do operačního systému se stavovým kódem 645, který indikuje, že ověření hosta není povoleno. Detekce anomalit o IDPS využívají k detekci profily, které představují normální chování uživatelů, počítačů, připojení k síti nebo aplikací. Profily jsou vyvinuty sledování charakteristik typických činností v průběhu času. Například profil pro sítě by mohlo ukázat, že web činnost zahrnuje v průměru 13% propustnost sítě během typického pracovního dne. Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 15/29

16 Obvyklé metody detekce v systémech IPDS stavová analýza komunikačního protokolu o příklad: uživatel spustí File Transfer Protocol (FTP) relaci, která se zpočátku probíhá v neověřeném stavu. Neověřený uživatel by měl provádět pouze několik příkazů v tomto stavu, jako je například zobrazení informací nebo poskytnutí uživatelských jmen a hesel. Pokud uživatel začne provádět desítky příkazů v neověřeném stavu, je takové chování považováno za podezřelé a detekováno jako závadné. Po přihlášení, tedy v potvrzeném stavu, je plnění desítek příkazů považováno za korektní. Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 16/29

17 Systém karantény infikované stanice Zobrazí výstražnou URL stránku (transparentně v IPS) Blokuje ne-http provoz (v IPS) Přesměruje na URL (v IPS) o IPS poskytuje informace cílovému webu o typu závadného provozu z přesměrovávané stanice o Zařadí stanici do karanténní VLAN (na přístupovém přepínači) Aplikuje přístupový filtr na přepínači nebo směrovači o Blokuje provoz z nebo na IP adresu (blokuje veškerý provoz) Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 17/29

18 Požadavky na IDPS musí být schopna odolávat nejnáročnějším pokusům o útoky a případně na ně reagovat a případně konflikty řešit musí zajistit dostatečnou propustnost, aby zbytek sítě nepociťoval omezení z hlediska útočníka má být sonda neviditelná Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 18/29

19 Zapojení IPDS sensoru Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 19/29

20 Příklad nasazení IPS v síťové infrastruktuře Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 20/29

21 Příklad HW realizace IPS Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 21/29

22 Příklady IPS systémů Internet Security Systems (ISS) IronPort UnityOne Propustnost v současné době až 10Gb/s. Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 22/29

23 Pasti na útočníky honeypot Většinou postačuje do internetu napojené PC s otevřenými porty v DMZ. Provoz je možné sledovat sondou IDS, která nemá svoji IP adresu a z hlediska útočníka je neviditelná. Zajímavé je vybavit počítač AP bezdrátové sítě. Honeypots dělíme na: produkční zejména ke zvýšení vlastní bezpečnosti a informaci o úrovni a typu bezpečnostního rizika výzkumné - pozor nejen výzkumné organizace, někdy i vojáci a policie Výsledky z provozu je důležité vyhodnotit a sledovat statisticky: - kdo útočí - z jakého adresového prostoru - na jaké služby Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 23/29

24 Penetrační testy: jsou nedílnou součástí bezpečnostní analýzy, výsledkem těchto testů je odhalení slabých míst v ochraně informačního systému, uložených dat a infrastruktury testovaného subjektu, následná definice a popsání existujících rizik citlivé z hlediska netikety. Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 24/29

25 Bezdrátové IDPS řešení Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 25/29

26 Audit v LAN sítích - Data Loss Prevention DLP Zabránit neoprávněnému úniku dat + evidence chování v rozporu s bezpečnostní politikou firmy Bezpečnostní politika je největším problémem Příklad firmy Microsoft nakonec chrání jen to nejcennější zdrojové kódy Typické pro podnikové systémy Různé techniky realizace, ale v současné době ve formě rezidentního SW na klientské stanici stejně jako antivir Za kritické jsou považovány výstupy ven z firmy, ať už se jedná o mail, tisk, USB paměti Obvykle se hlídají počty operací, které přesahují obvyklý počet, což mimo jiné závisí i na profesi uživatele (personalista běžně pracuje s rodnými čísly, oddělení nákupu výjimečně) Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 26/29

27 Audit v LAN sítích Data Loss Prevention DLP Logují se nejen pokusy o provedení operací, ale také dokumenty, o které se v tomto případě jednalo následné vymazání již obvykle nepomůže Další efekty ze sledování mimořádných aktivit zaměstnanců z oblasti sociálního inženýrství například, že se zaměstnanec chystá k odchodu a snaží se soustředit citlivá data Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 27/29

28 Kreativita v oblasti bezpečnosti žháři stejně nezabráníš Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 28/29

29 Literatura: Firemní informace: Cisco, HP, IBM, RSA, Websense Scarfone k., Mell P.: Guide to Intrusion Detection and Prevention Systems (IDPS), Rehak M. et al.: Adaptive Multiagent System for Network Traffic Monitoring, Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 29/29