IPS a IDS. Martin Beránek. 17. března 2014. Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 1 / 25

IPS a IDS Martin Beránek Střední Smíchovská průmyslová škola 17. března 2014 Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 1 / 25

Gnuskola Tato prezentace je vytvořena pomocí svobodného software v rámci projektu Gnuskola.cz Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 2 / 25

Autorství Prezentace čerpá z látky CISCO Security na portálu netacad.com Napsal Martin Beránek 2012 Částečně poupravil Jakub Kolář 2014 Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 3 / 25

Úvod IPS a IDS systémy Konfigurace IPS Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 4 / 25

IDS IDS - Intrusion Detection Systems Takový antivirus na síti Funguje pomocí senzorů Loguje a snaží se posílat signály ostatním zařízením IDS neleží v cestě nebezpečné komunikace Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 5 / 25

IPS IPS - Intrusion Prevention Systems Antivirus na síti co přímo reaguje na nebezpečí (inline) Funguje pomocí senzorů Loguje a snaží se posílat signály ostatním zařízením IPS leží mezi hosty a routerem, dokáže odstranit nebezpečí dřív, než se dostane k hostům Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 6 / 25

IDS & IPS Oba fungují pomocí senzorů Obsahují signatury virů a nebezpečí Oba vidí atomické shody se signaturou v bázi jednoho paketu, či kompozitní v rámci více paketů Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 7 / 25

Senzory ISR router - s IPS modulem ASA firewall - s IPS modulem Switch s IDS modulem Oba systémy zvyšují zátěž systému. V praxi se pro cisco IPS sahá pokud má firma velký rozpočet. Nejpoužívanější jsou IPS v ISR routerech, nejlevnější. Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 8 / 25

IPS závěr Chybí jakákoliv reflexe - jsou v síti, neví, jak jsou na tom klienti Je to samostnatné zařízení Není viditelný pro útočníky Neotevře zakryptovanou komunikaci Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 9 / 25

Typy signatur Atributy Type - typ hrozny Trigger (alarm) - zalogování, zapnutí alarmu Action - reakce na hrozbu Typy signatur Atomické - nejjednoduší signatura, reaguje na jeden paket Kompozitní - reaguje na spousty událostí, které spolu nějak souvisí Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 10 / 25

Signatury Je nutné jednou za čas aktualizovat databázi signatur na IPS systémech Baĺıček obsahuje spousty signatur, které se týkají aktualních hrozeb Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 11 / 25

Baĺıčky Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 12 / 25

Alarmy Vzorová shoda - detekuje podle shody regulárního výrazu (jednoduché, nepozná nové hrozby, těžko se donastavuje, často moc chyb) Anomální detekce - detekuje na základě podivných událostí (umí se učit, musí se vytvořit pravidla) Detekce podle pravidla - detekuje podle překročení pravidel (pravidla se musí nastavit a to je někdy nemožné pro velkou sít ) Detekce podle medového úlu - útok se provádí na uměle oslabený server Je nutné si doladit signatury podle důležitosti, potom se taky změní reakce na hrozby Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 13 / 25

Alarmy Vytvoření výstrahy - syslog, event store,... Zalogování aktivity - syslog, event store pro podivnou aktivitu Zahození a zakázání aktivity - zahození možné škodlivé komunikace Resetování TCP spojení - zaslání RST Blokování budoucí aktivity - možné vytvoření ACL Povolení aktivity Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 14 / 25

Korelace IPS senzorů Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 15 / 25

Instalace Stáhnout IPS soubory Vytvoření IPS složky na /flash Konfigurace crypto IPS kĺıčů Povolení IPS Nahrání signatur Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 16 / 25

Stažení IPS baĺıčků IOS-Sxxx-CLI.pkg - poslední signatury realm-cisco.pub.key.txt - Tpro crypto kĺıče mkdir ips Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 17 / 25

Stažení IPS baĺıčků copy+paste na txt s krypto kĺıčem do terminálu no crypto key pubkey-chain rsa a no named-key realm-cisco.pub pokud už jsou nahrané nějaké staré soubory Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 18 / 25

Stažení IPS baĺıčků ip ips name <JMÉNO IPS PROCESU> <ACL PRO VYHRAZENÍ PROVOZU PRO IPS> ip ips config location flash:ips - kde jsou soubory ips ip http server ip ips notify sdee - pro Security Device Event Exchange ip ips notify log - pro logování Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 19 / 25

IPS pravidla v důchodu Kategorie all by neměla být nikdy spuštěna, nevejde se celá do paměti podkategorie basic většinou stačí Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 20 / 25

IPS pravidla v důchodu Nasazujte IPS systémy na vhodné rozhraní komunikace se tím zbytečně vzpomaluje Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 21 / 25

Poslední krok: nahrání signatur na router copy ftp://ftp user:password@server IP address/signature package idconf Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 22 / 25

Vypínání jednotlivých signatur Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 23 / 25

Změna reakcí na jednotlivé signatury Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 24 / 25

Změna reakcí na skupiny Martin Beránek (SSPŠ) IPS a IDS 17. března 2014 25 / 25