QUALITY & SECURITY 2007 Praha hotel Olšanka - 14.3 2007 Petr Zemánek Senior Presales Consultant IDS/IPS - ano či ne?
Být......či nepoužít IDS/IPS? 2
Agenda Co na nás útočí Různé druhy útoků Jaké máme detekční mechanismy Jak se detekují jednotlivé druhy útoků Jak se rozhodovat při nákupu Jak moc potřebuji IDS/IPS? Kolik do něj investovat? Jaké koupit? 3
Co na nás útočí aneb Internetová havěť
Kudy útoky přicházejí? Útok na vaši síť je nevyhnutelný, proto je dobré se připravit, pomocí poznání sama sebe... Jsou dvě základní cesty, jak napadnout síť: Zneužití zranitelnosti Sociální inženýrství Zranitelnosti mohou být dále napadány skrz: Softwarové chyby Chyby v konfiguraci Špatná implementace 5
Útoky jsou stále promyšlenější Firemní síť Script Kiddies Známé útoky Více DoS útoky IP Spoofing 6 Zdroj : Juniper Networks Nedokumentované útoky Backdoor útoky TYP ÚTOKU PŘÍKLAD ÚROVEŇ ÚTOKU Známý Code Red Síťová / Aplikační No Pattern, Nové útoky Buffer overflow Síťová / Aplikační Backdoor Back Orifice Aplikační Reconnaissance nmap Síťová Script Kiddies Telnet root Síťová / Aplikační IP Spoofing IP Spoofing Síťová DoS útok Syn flood Síťová
Zneužití konfigurace nebo implementace Útočník zneužívá zranitelnosti v systémech vytvořené během konfigurace nebo implementace k získání dat a případně získání kontroly nad zdrojem. Internet Chráněná síť Příklad: EXPN (rozšíření skupiny jmen nebo aliasů) muže být spuštěn v defaultu, nebo v chybném nasazení při konfiguraci SMTP serveru. To dává útočníkovi přístup k uživatelským informacím. Útočník Mail CTL >expn root ÚTOK!!! Napadaný Mail server Okay 7 Zdroj : Juniper Networks
Zneužití známých zranitelností Útočník zneužívá známou zranitelnost k získání přístupu k serveru, změně dat, ukradení informací způsobení DoS atd. Internet Chráněná síť Příklad: Po ustanovení spojení umožní zranitelnost v programu Sendmail akceptovat příliš mnoho dat. Útočník může odeslat nadbytečná data aby přetekly serverovou vyrovnávací paměť za účelem získání root privilegií = útočník získá úplnou kontrolu Útočník Ustavení spojení Hello Odeslání dat Chci odeslat poštu z: jsmith@company.com na: sbrown@company.com Odesílá 516 bajtů dat Server očekává méně než 256 bajtů dat ÚTOK!!! Přebytek přeteče přes vyrovnávací paměť a útočník využije přetečený kód k převzetí serveru Napadaný Mail Server Hello Příjemce OK/pokračuj 8 Zdroj : Juniper Networks
9 Přetečení vyrovnávací paměti Útočník získá plný přístup k serveru pomocí spuštění vlastního kódu pod admin právy. Může existovat chyba v programu která nelimituje množství dat zapisovaných do bufferu umož. datům přetéct a vystavit se zranitelnosti. Příklad: Útočník zašle škodlivý kód s přístupovými daty aby přetekly buffer. Přetečení změní adresu kam jít až skončí současná procedura. Program skočí na škodlivý kód, umožňujíc tím útočníkovi spustit jeho příkazy. Zdroj : Juniper Networks Chráněná paměť počítače Odskok na Správnou adresu K bytů buffer Odskok na adresu ve chvíli kdy funkce skončí Zranitelná paměť počítače K bytů buffer Odskok na škodlivý kód Adr. škod.o kódu na kterou se odskočí ve chvíli kdy fce skončí
Trojské koně Útočník použije sociálního inženýrství, nebo jiné prostředky k instalaci škodlivého programu na cílovou stanici. Například útočník může odeslat e-mail se spustitelným souborem, jako například zpívající narozeninové přání nic netušícímu uživateli. Útočník Útočná aktivita Pošt.klient Když uživatel spustí soubor, ten instaluje bez E-mailový trojan vědomí uživatele na pozadí škodlivý program. Útočník, potom využívá škodlivý program k získání kontroly nad napadenou stanicí. To mu umožňuje dělat si z poza firewallu co chce. Trojan stáhne backdoor Útočník se napojí na backdoor, a server je kompromitován. Útočník má nad servrem plnou nadvládu 10 Zdroj : Juniper Networks
Průzkumné útoky Útočník se pokusí kontaktovat všechny potenciální zdroje v síti, aby zjistil, které jsou k dispozici a mohl později vyzkoušet útok na dostupné zdroje. Například, útočník může zkusit kontaktovat všechny porty na veřejném serveru (port scan) nebo kontaktovat všechny porty 80 (HTTP) na určitém rozsahu adres (network scan) Útočník Scan otevřen 11 Zdroj : Juniper Networks
Průzkumné útoky Útočník se pokusí kontaktovat všechny potenciální zdroje v síti, aby zjistil, které jsou k dispozici a mohl později vyzkoušet útok na dostupné zdroje. Například, útočník může zkusit kontaktovat všechny porty na veřejném serveru (port scan) nebo kontaktovat všechny porty 80 (HTTP) na určitém rozsahu adres (network scan) Útočník 12 Zdroj : Juniper Networks
Jaké máme detekční algoritmy aneb odhmyzovače v akci Zdroj : RAID specialista proti hmyzu
Firewall nestačí Většina organizací je připojena k Internetu a vlastní nějakou formu firewallu Většina podniků provozuje firewall samostatně a není schopna blokovat sofistikované útoky Životní cyklus zranitelností a hrozeb Vznik zranitelnosti Oznámní zranitelnosti První zneužití První červi Stále kratší 14 Zdroj : Juniper Networks
Jak tedy můžeme tyto útoky detekovat? Žádný detekční algoritmus nemůže najít všechny druhy útoků Jak pracují současné detekční algoritmy a na jaké druhy útoků jsou vhodné: Paketové vs. stateful signatury Detekce protokolových anomálií Detekce zadních vrátek (backdoor) Honeypot Protokolové anomálie Ostatní 15
Detekce neobvyklého provozu Metoda identifikace použití neobvyklého provozu Žádné protokolové anomálie, nebo specifické vzory útoků ale neobvyklý provoz / objem provozu Příklad: Ping Sweep Skenuje síť pro identifikaci potenciálních zdrojů budoucího útoku průzkum Ping sweep z externího/podezřelého zdroje by měl být hlášen administrátorovi 16
Detekce protokolových anomálií Protokoly jsou definovány tak, aby bylo možné přesně popsat jejich běžné použití Zneužití nebo netypické použití protokolu je na IPS detekováno Příklad: FTP Bounce Attack Prosím otevři FTP spojení FTP Client FTP Server Prosím připoj se k x.x.x.b (neautorizovaný klient - útočník) x.x.x.a x.x.x.b není autorizovanou klientskou stanicí Možné zneužití FTP protokolu Požadavek zablokován!!! x.x.x.b 17 Zdroj : Juniper Networks
Stateful Signatures Dívá se na útok v kontextu Zabrání slepému skenování veškerého provozu kvůli konkrétnímu řetězci Zvýšuje efektivitu Redukuje false-positive Example: Code Red Worm Využívá k útoku HTTP GET request IDP zařízení pouze hledá tento požadavek a ne ostatní HTTP provoz 18 Zdroj : Juniper Networks
Detekce zadních vrátek / trojanů Známý koncept trojského koně Výzvou je identifikovat útok v případě, kdy je první linie obrany prolomena Heuristická metoda analýzy interaktivního provozu Příklad: Provoz pocházející od web serveru Webové servery typicky odpovídají na dotazy pro informaci, žádné spojení neinicializují Podpis nakaženého serveru/uzlu 19
Různé detekční algoritmy musí : Detekovat více útoků Mechanizmus Typ Příklad Stateful Signatures Well known EXPN Root Protocol Anomaly Unknown, No Pattern DNS Cache Poisoning Backdoor Detection Interactive Woms/Trojans Traffic Anomaly Reconnaissance Nmap Network Honeypot Script kiddies Nmap Spoof Detection IP Spoofing Snížit počet falešných alarmů Layer2 Detection Syn Flood Detection ARP Attacks Certain DoS attacks 20 Zdroj : Juniper Networks
IDS je skutečně druhou vrstvou obrany? Podniková síť 00000000000000000000000 0000 00000000000000000000000 0000 00000000000000000000000 0000 000000000000000000000000000 Detekované Falešné útoky poplachy Nedetekované útoky Zakázaný provoz Zakáže některé útoky 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 Povolený provoz 00000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 00000000000000000000000000000 000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 21 Firewall poskytuje kontrolu přístupu Zdroj : Juniper Networks IDS poskytuje Monitoring útoků
TCP Reset Problém Útok dosáhne cíle Vždy vyžaduje prozkoumání úspěšného útoku Pouze pro TCP spojení 22 Zdroj : Juniper Networks
Spolupráce s firewallem 1. IDS detekuje útok 2. Odešle zprávu firewallu aby zablokoval všechen budoucí provoz z dané IP adresy Problém Útok dosáhne cíle Vždy vyžaduje prozkoumání důvodů útoku Navrženo tak, aby blokoval IP adresu i do budoucna Jestliže útočník použije, nebo spoofuje např.dresu AOL, bude zahazován veškerý provoz z AOL 23 Zdroj : Juniper Networks Dělá systém zranitelný na DoS útok
Aktivní odezvy - IPS Aktivní, in-line systém detekuje útok a zahazuje škodlivý provoz během detekčního procesu Výhody Zahozeno Doplňuje firewall jako druhé vrstva bezpečnosti Útok nikdy nedosáhne cíle Netřeba ztrácet čas studiem útoku Pracuje s jakýmkoliv provozem 24 Zdroj : Juniper Networks
Jak se rozhodovat při nákupu aneb jak být v bezpečí a neprodělat
Světový trh IPS Předpovědi ukazují na zaměření trhu směrem k IPS technologiím Worldwide Příjmy z IDS/IPS by měly dosáhnout kolem 800 miliónů dolarů za rok 2009 Network-based products continue to account for more than 2/3 of total revenue Celosvětové příjmy z IDS/IPS Příjmy (Milióny USD) 900 800 700 600 500 400 300 200 100 277 384 427 544 603 667 752 790 819 0 CY01 CY02 CY03 CY04 CY05 CY06 CY07 CY08 CY09 Rok Network-based Host-based Zdroj: Network Security Appliance and Software Quarterly Worldwide Market Share and Forecast for 1Q06 26
S křivka optimální výše investic Vysoká Optimální výše investovaných prostředků Míra bezpečnosti Podceňování bezpečnostních rizik Investice bez výrazného růstu bezpečnosti Nízká Nízké Investice do bezpečnosti Vysoké 27
Jak tedy vybírat? Zvážit riziko/cena Potřebuji plnohodnotné IDS/IPS? Nástavby nad firewall Zvážit použití Volba IDS x IPS Klientská x aplikační x síťová Zajistit obsluhu Každý systém je dobrý jen tak, jako ten který ho spravuje Zvážit výrobce Každé řešení má své výhody Interoperabilita s dalšími komponenty a další 28
Nepoužívejte IPS...... podělte se o svůj počítač se zvířátky 29
Děkuji za pozornost petr.zemanek@nextiraone.cz váš bezpečnostní partner