IDS systémy a honeypoty. Jan Mach CESNET, z. s. p. o.

IDS systémy a honeypoty Jan Mach CESNET, z. s. p. o.

http://www.cesnet.cz/ Založen v roce 1996 CESNET (1) Sdružení, 25 českých univerzit a Akademie věd Hlavní cíle: Provoz a rozvoj páteřní akademické počítačové sítě České republiky - CESNET2 Podpora vědy a výzkumu v oblasti pokročilých síťových technologií a aplikací Podpora a šíření vzdělanosti, kultury a poznání 21. 10. 2011 IDS systémy a honeypoty 2

CESNET (2) 2004 2010: Výzkumný záměr Optická síť národního výzkumu a její nové aplikace 2011 2015: Projekt Velká Infrastruktura, zaměřen na vývoj v následujících oblastech: Sítě Programovatelný HW Sledování provozu sítí Bezpečnost (AAI, PKI, CSIRT) Datová úložiště Gridy Multimédia 21. 10. 2011 IDS systémy a honeypoty 3

CESNET-CERTS http://csirt.cesnet.cz/, certs@cesnet.cz CSIRT (Computer Security Incident Response Team) Ustanoven v roce 2003 Základní služby: Řešení a koordinace řešení bezpečnostních incidentů v síti CESNET2 Rozvoj a provoz IDS a Audit systém Organizace seminářů a školení pro uživatele a administrátory CESNET2 21. 10. 2011 IDS systémy a honeypoty 4

IDS systémy a honeypoty Konečně začínáme 21. 10. 2011 IDS systémy a honeypoty 5

Obsah Co jsou to IDS systémy a honeypoty? LaBrea Kippo SIEM systémy Prelude 21. 10. 2011 IDS systémy a honeypoty 6

IDS Intrusion Detection System = Systém pro detekci průniků Přesněji pro detekci útoků (útok průnik) Monitorování a vyhodnocování aktivit systému a/nebo sítě 21. 10. 2011 IDS systémy a honeypoty 7

IDS - Přehled Aktivní IDS = I(D)PS (Intrusion Prevention System) přerušení spojení, automatická rekonfigurace firewallu, změna obsahu paketu, Detekce pomocí signatur nutno vědět, co hledáme Detekce anomálií co je normální stav? heuristiky, neuronové sítě, matem. modely 21. 10. 2011 IDS systémy a honeypoty 8

NIDS (network) Sledování síťového provozu, detekce (síťová vrstva) Scan, sweep (D)DOS Pokusy o přetečení zásobníku, injekci shellkódu Jiné detekce anomálií, např. na základě statistik provozu Typické Snort, Bro Cca stovky Mb/s, na rychlejší sítě třeba HW podpora (Několik projektů v rámci CESNETu.) 21. 10. 2011 IDS systémy a honeypoty 9

HIDS (host-based) Na sledovaném systému běží nějaký AGENT, který monitoruje aktivity a stav systému Kontrola logů Swatch, Logcheck, Logwatch, Prelude LML,... Kontrola integrity souborového systému Samhain, Tripwire, Aide, Integrit,... Hledání rootkitů chkrootkit, rkhunter,... Detekce anomálií Promiskuitní mód, skryté procesy, zátěž procesoru, otevřené porty Samhain,... 21. 10. 2011 IDS systémy a honeypoty 10

Monitorovaný systém Honeypoty Past, návnada pro útočníky Využití: Detekce útoků a trendů útoků Informace o způsobech průniků do systému Hledání nových slabých míst aplikací Informace o technikách a nástrojích útočníků, maskování průniků v napadeném systému Sběr vzorků mallware, spamu, phishingu Low Interaction / High Interaction 21. 10. 2011 IDS systémy a honeypoty 11

LaBrea (1) http://labrea.sourceforge.net/ tarpit, sticky honeypot (low interaction) Monitoruje nějaký nepoužívaný rozsah IP adres Vytváří virtuální stroje, které umí: Odpovědět na PING Dokončit TCP handshake a navázat spojení Na SYN/ACK odpovídají paketem RST Na nepoužívané IP adresy by neměla jít žádná legitimní komunikace = prakticky žádná falešná pozitiva 21. 10. 2011 IDS systémy a honeypoty 12

LaBrea (2) Na příchozí TCP spojení odpovídá následujícím způsobem: TARPITTING naváže spojení a všechno další ignoruje CONNECTION TRAPPING naváže spojení a požaduje velmi malé TCP okno (CESNET) DDoS HANDLING na SYN/ACK odpovídá RST Útočníci většinou používají automatické skenery Pokusy o spojení jsou logovány 21. 10. 2011 IDS systémy a honeypoty 13

Ukázka logu LaBrey: LaBrea (3) 1289563442 Initial Connect - tarpitting: 178.92.241.145 3875 -> aaa.bbb.ccc.ddd 445 1289563442 Initial Connect - tarpitting: 78.191.24.207 3588 -> aaa.bbb.ccc.ddd 445 * 1289563442 Initial Connect - tarpitting: 78.63.66.175 3238 -> aaa.bbb.ccc.ddd 445 * 1289563442 Initial Connect - tarpitting: 78.63.66.175 3244 -> aaa.bbb.ccc.ddd 445 * 1289563442 Initial Connect - tarpitting: 79.120.203.213 50860 -> aaa.bbb.ccc.ddd 445 1289563442 Initial Connect - tarpitting: 81.213.142.111 1431 -> aaa.bbb.ccc.ddd 4899 1289563442 Initial Connect - tarpitting: 97.78.229.153 3702 -> aaa.bbb.ccc.ddd 445 * 1289563442 Responded to a Ping: 81.213.142.111 -> aaa.bbb.ccc.ddd 1289563442 Responded to a Ping: 81.213.142.111 -> aaa.bbb.ccc.ddd 1289563443 Inbound SYN/ACK: 174.36.55.66 7711 -> aaa.bbb.ccc.ddd 3072 1289563443 Initial Connect - tarpitting: 174.96.169.242 49584 -> aaa.bbb.ccc.ddd 36446 1289563443 Initial Connect - tarpitting: 187.74.68.202 1524 -> aaa.bbb.ccc.ddd 445 * 21. 10. 2011 IDS systémy a honeypoty 14

Pavel CESNET IDS (1) Vachekhttp://www.cesnet.cz/doc/techzpravy/2007/ces net-ids/ LaBrea monitoruje dva /22 bloky = 2 x 1022 IP Několik spolupracujících Perlovských skriptů periodicky analyzuje logy LaBrey Incidenty z rozsahu Cesnetu (AS 2852) jsou automaticky posílány odpovědným správcům Ostatní incidenty jsou hlášeny na DSHIELD http://www.dshield.org/ 21. 10. 2011 IDS systémy a honeypoty 15

Statistiky - Ping CESNET IDS (2) 21. 10. 2011 IDS systémy a honeypoty 16

Statistiky - DDOS CESNET IDS (3) 21. 10. 2011 IDS systémy a honeypoty 17

CESNET IDS (4) Statistiky z provozu pro AS Cesnetu 57 x odesláno hlášení do podsítí Detekovány útoky ze 63 IP adres (45 unikátních) 46 444 pokusů o připojení k virtuálním strojům 21. 10. 2011 IDS systémy a honeypoty 18

Kippo (1) http://code.google.com/p/kippo/ SSH honeypot (low interaction) SSH útoky jsou velmi častým typem útoku = nasazení SSH honeypotu může být velkým přínosem Vlastnosti: Falešný filesystém s možností manipulovat se soubory Záznam celého útočníkova sezení Uchovávání souborů stažených pomocí wget Exit neukončí session, ssh předstírá http://iwatchedyourhack.org/ 21. 10. 2011 IDS systémy a honeypoty 19

Možnosti využití: Kippo (2) Automatické generování firewalových pravidel Generování toplistu hesel Sbírání vzorků malware Edukativní účely Nástroje útočníků Postupy útočníků po kompromitaci systému 21. 10. 2011 IDS systémy a honeypoty 20

Kippo (3) Statistiky za 3 týdny testovacího provozu 21. 10. 2011 IDS systémy a honeypoty 21

SIEM Security Information and Event Management systém Nástroj pro centralizaci sběru a zpracování informací generovaných IDS a jinými systémy Užitečné pro správce: Jednotné uživatelské rozhraní (většinou i GUI) Většinou nativně umí Syslog a SNMP protokoly Agregace, thresholding, korelace zpráv/událostí Automatická upozornění a akce Statistické přehledy,... Prelude, OSSEC, OSSIM 21. 10. 2011 IDS systémy a honeypoty 22

Prelude (1) www.preludetechnologies.com/en/welcome/index.html IDS a SIEM Datový model IDMEF (RFC 4765) Komponenty: Manager LML Correlator Prewikka Nativní podpora: 21. 10. 2011 IDS systémy a honeypoty 23

Obrázek nelze zobrazit. V počítači pravděpodobně není k dispozici dostatek paměti pro otevření obrázku nebo byl obrázek poškozen. Restartujte počítač a otevřete příslušný soubor znovu. Pokud se opět zobrazí červený křížek, bude nutné obrázek odstranit a vložit jej znovu. Prelude (2) Prelude LML (Log Monitoring Lackey) 21. 10. 2011 IDS systémy a honeypoty 24

Prelude (3) 21. 10. 2011 IDS systémy a honeypoty 25

Závěr Nasazení nějakého IDS systému se pomalu stává poviností Nejsou potřeba žádné komplikované, nebo komerční systémy Jednoduchý IDS systém lze vytvořit nasazením honeypotu a jeho analýzou Vyplatí se používat nějaký systém typu SIEM pro zpracování informací z více IDS 21. 10. 2011 IDS systémy a honeypoty 26

Technické zprávy Cesnetu http://www.cesnet.cz/doc/techzpravy/ Snort http://www.snort.org/ Bro http://www.bro-ids.org/ LaBrea http://labrea.sourceforge.net/ Logcheck http://logcheck.org/ Swatch http://swatch.sourceforge.net/ Logwatch iles/ Samhain Tripwire Aide Integrit grit.html Osiris er.html Odkazy Kippo Kojoney Nepenthes Dionaea http://sourceforge.net/projects/logwatch/f OSSEC http://www.la-samhna.de/samhain/ http://sourceforge.net/projects/tripwire/ http://www.cs.tut.fi/~rammer/aide.html http://integrit.sourceforge.net/texinfo/inte http://osiris.shmoo.com/ OSSIM Prelude http://www.rootkit.nl/projects/rootkit_hunt http://code.google.com/p/kippo/ http://kojoney.sourceforge.net/ http://nepenthes.carnivore.it/ http://dionaea.carnivore.it/ http://www.ossec.net/ http://www.alienvault.com/community http://www.preludeids.com/en/welcome/index.html Monit 21. 10. 2011 http://mmonit.com/monit/ IDS systémy a honeypoty 27 Aanval

Děkuji za pozornost. Dotazy??? 21. 10. 2011 IDS systémy a honeypoty 28

Obcházení IDS Řetězcová manipulace (kódování, perl, úpravy cest) GET /etc/./passwd GET %65%74%63/%70%61%73%73%77%64 Polymorfní shellkód Session splicing (dělení do krátkých packetů) G E T / e t c GET /index.html Fragmentace /etc/passwd (překryv/přepis, pořadí) (D)DOS 21. 10. 2011 IDS systémy a honeypoty 29

Nasazení Záleží na požadavcích a možnostech Objem sledovaného provozu Datový obsah Sledování na perimetru / uvnitř Směr provozu Online / post-mortem Lidské sledování + informovaná reakce / automatika Specifické situace (LIR) 21. 10. 2011 IDS systémy a honeypoty 30

Další dělení (A)PIDS analýza aplikačního protokolu Hybridní systémy Prelude IDMEF Intrusion Detection Message Exchange Format Expertní systémy Predikce událostí na základě naučených vzorů Neuronové sítě Pasivní / Reaktivní Riziko DOS 21. 10. 2011 IDS systémy a honeypoty 31