JIHOESKÁ UNIVERZITA V ESKÝCH BUDJOVICÍCH Pedagogická fakulta Katedra informatiky. IDS systém SNORT. Bakaláská práce. Ing. Ladislav Beránek, CSc.

JIHOESKÁ UNIVERZITA V ESKÝCH BUDJOVICÍCH Pedagogická fakulta Katedra informatiky IDS systém SNORT Bakaláská práce Vedoucí práce: Ing. Ladislav Beránek, CSc., MBA Autor práce: Jakub Mauric eské Budjovice 2009

Prohlášení Prohlašuji, že svoji bakaláskou práci jsem vypracoval samostatn pouze s použitím pramen a literatury uvedených v seznamu citované literatury. Prohlašuji, že v souladu s 47b zákona. 111/1998 Sb. v platném znní souhlasím se zveejnním své bakaláské práce, a to v nezkrácené podob elektronickou cestou ve veejn pístupné ásti databáze STAG provozované Jihoeskou univerzitou v eských Budjovicích na jejích internetových stránkách. V eských Budjovicích, 12. dubna 2009 Jakub Mauric 2

Abstrakt Tato práce se zabývá systémy detekce prnik. Rozdluje tyto systémy do kategorií a popisuje jejich funknost. Popisuje píklady jejich praktického nasazení. Zabývá se pedevším IDS systémem Snort, jeho obsahem i ukázkou implementace do existujícího systému. Tento dokument bude sloužit jako struný ucelený návod, který popíše potebnou teorii a možnosti praktického nasazení. Abstract This work deals with Intrusion Detection Systems. It divides them into categories and describes their functions. It describes examples of their using. It deals primary with IDS System Snort, content of them and with an example of their implementation into an existing system. This document will be used like a short compact manual which describes a necessary theory of Intrusion Detection Systems and possibilities of their practical using. 3

Podkování Dkuji všem, kteí mne podporovali, zvlášt pak panu Ing. Ladislavu Beránkovi, CSc., MBA za odborné vedení práce a dále místopedsedovi VODVAS.Net o.s. panu Jaroslavu Vazaovi za poskytnutí realizaního zázemí. 4

Obsah Slovníek zkratek, 9 1 Úvod, 10 2 Problematika IDS, 11 2.1 Intrusion Detection, 11 2.2 Efektivnost IDS, 13 2.3 Úrove implementace, 14 2.3.1 Network-Based IDS (NIDS), 14 2.3.2 Host-Based IDS (HIDS), 15 2.3.3 Distributed IDS (DIDS), 16 2.4 Metody detekce prnik, 17 2.4.1 Systémy založené na znalosti formátu prnik, 17 2.4.2 Systémy založené na znalosti chování systému, 19 2.4.3 Srovnání princip detekce prnik, 20 2.5 Dležitost použití IDS, 20 2.5.1 Monitorování pístupu k databázím, 21 2.5.2 Monitorování funkce DNS, 21 2.3.3 Ochrana e-mailového serveru, 21 3 Existující IDS systémy, 22 3.1 BRO Intrusion Detection System, 22 3.2 OSSEC Host-Based Intrusion Detection System, 23 3.3 OSIRIS Host Integrity Monitoring System, 23 5

4 Snort Intrusion Detection System, 25 4.1 Systémové požadavky, 25 4.1.1 Hardware, 25 4.1.2 Software, 26 4.2 Architektura IDS Snort, 26 4.3 Úskalí a interní bezpenost Snort, 27 4.3.1 Úskalí, 27 4.3.2 Interní bezpenost Snort, 28 4.4 Pravidla, 28 4.5 Existující analytické nástroje, 30 4.5.1 BASE, 30 4.5.2 SGUIL, 31 4.5.3 IDScenter, 32 5 Implementace systému Snort, 33 5.1 Oekávání a metodologie, 35 5.2 Instalace systému, 37 5.2.1 Operaní systém, 37 5.2.2 Píprava a aktualizace operaního systému, 40 5.2.3 Instalace a konfigurace systému Snort, 41 5.2.4 Konfigurace MySQL serveru a logování do databáze, 43 5.2.5 Nastavení SSL, 45 5.2.6 Instalace a konfigurace BASE, 46 5.2.7 Instalace a konfigurace Barnyard, 48 5.2.8 Automatizace spouštní, 50 5.2.9 Nastavení statických hodnot síového rozhraní, 50 5.3 Postehy z nasazení, 51 6 Závr, 54 6.1 Poznatky VODVAS.Net, 55 6.1.1 Bezpenostní server, 55 6.1.2 Mobilní sonda, 56 Literatura, 58 6

Seznam obrázk 2.3 Závislost mezi FNR a FPR, 13 2.3.1.1 Píklad síové topologie s NIDS, 15 2.3.2.1 Píklad síové topologie s HIDS, 16 2.3.3.1 Píklad síové topologie s DIDS, 17 4.2.0.1 Architektura IDS Snort, 26 4.4.0.1 Píklad výstrahy generované IDS Snort, 30 4.5.1.1 Architektura BASE, 31 4.5.2.1 Architektura SGUIL, 32 5.0.0.1 Architektura VODVAS.Net o.s, 34 5.1.0.1 Zapojení pevné sondy, 36 5.1.0.2 Zapojení mobilní sondy, 36 5.3.0.1 Informaní výatek z úvodního rozcestníku, 51 5.3.0.2 Klasifikace podpis proti potu alarm, 52 5.3.0.3 Detail záznamu, 52 7

Seznam tabulek 3.3.0.1 Klíové parametry uvedených systém detekce prniku, 25 4.5.0.1 Pokraování uvedených analytických nástroj, 33 5.2.2.1 Potebné balíky, 42 6.1.1.1 Záznamy bezpenostní server, 55 6.1.1.2 Záznamy mobilní sonda, 56 8

Slovníek zkratek CER Crossover Error Rate DIDS Distributed IDS FNR False Negative Rate FPR False Positive Rate HIDS Host-Based IDS HIMS Host Intergrity Monitoring System IDS Intrusion Detection System IS Information System NIDS Network-Based IDS SSH Secure Shell SSL Secure Sockets Layer 9

Kapitola 1 Úvod Cílem této práce je doplnní zabezpeení poítaové sít obanského sdružení VODVAS.Net o IDS systém Snort, piblížení problematiky IDS (Intrusion Detection System) systém a následná demonstrace vlastní realizace tohoto projektu. Tato bakaláská práce by mla sloužit jako jakýsi struný ucelený návod v eském jazyce pro pípadné další realizace bezpenostních opatení pomocí tohoto nástroje. Práv probíhající informaní revoluce není dnes tém pro nikoho žádným tajemstvím. Znaná rychlost vývoje informaních technologií je pro mnohé až udivující. Nicmén v pozadí veškerých výkonnostních pokrok jako je nap. vyšší výpoetní výkon procesor, zvyšování kapacit záznamových médií a nárst kvality záznamových zaízení probíhá ješt jeden mén znatelný, ale o to zásadnjší proces. Tímto procesem je všeobecné spojování a komunikace nejrznjších zaízení mezi sebou. Nejvyšším vrcholem se stala svtová poítaová sí Internet, jenž každému jednotlivci nabízí nepeberné množství vzdlání, zábavy, práce a dalších služeb, které mnohdy nabývají i finanního charakteru. Nová technologie neodvratn pinesla i nové hrozby v podob všemožného spyware, vir, spam atd. S pirstajícím množstvím komunikace se náležit zvyšuje i ohrožení jednotlivých úastník této komunikace. Možností ochran existuje hned nkolik. Jednak se jedná o ta nejjednodušší, mezi nž se adí rzná hesla a kódy. Dále o zabezpeení koncových zaízení ochrannými aplikacemi tzv. Antiviry, AntiSpyware. Dalším znamenitým prvkem je Firewall, který slouží k omezení komunikace a už na úrovni vlastní sít i koncové stanice. Tímto zpsobem bývá zabezpeena valná ást informaních systém. Nabízí se však možnost rozšíení o další vrstvu ochrany, touto vrstvou se rozumí Systém detekce prnik (Intrusion Detection System). 10

Kapitola 2 Problematika IDS 2.1 Intrusion Detection Slovem prnik (angl. Intrusion) bžn rozumíme akt vniknutí na njaké území nebo místo, a to bez pozvání, dostateného oprávnní i vítání. Pokud je tento pojem spojován se svtem informaních technologií, má slovo prnik význam neautorizovaného vstupu do informaního systému. Tyto nelegální aktivity je teba vas odhalit a za pomocí rzných nástroj eliminovat do takové míry, do které je to jen možné. Takto definovaná innost se nazývá detekce prnik. Systém detekce prnik (IDS) lze pirovnat nap. k zabezpeení budovy alarmem. Stejn tak jako alarm hlídá pohyb po budov, narušení oken a vstup, tak i IDS systém monitoruje komunikaci, komunikaní porty, odchylky od nadefinovaného normálu chování, porovnává práv probíhající situaci s uloženými modely chování ve své databázi tzv. signaturami. Na základ detekce prniku je dále možné aktivovat alarmy, automaticky kontaktovat administrátory, vyvolat bezpenostní odpov v podob blokace komunikace. Je tedy zejmé, že nkteré IDS systémy mohou mít pímou vazbu na firewally i antiviry a dokáží tedy odpovídajícím zpsoben elit hrozb v reálném ase za pomoci konfigurace tchto prvk. IDS je nejlepší si pedstavit jako vysoce specifikovaný hi-tech nástroj pro zprávu zabezpeení informaního systému, jež dokáže íst a interpretovat obsah logovacích soubor router, firewall, server a dalších síových zaízení. Systém detekce prnik asto shromaž uje jím zaznamenaná data v databázi, do nichž je možné kdykoli nahlédnout a vytvoit z nich odpovídající statistiky, analyzovat charaktery útok, pop. vyvodit dodatená bezpenostní opatení. Pro srovnání IDS poskytuje poítaové síti to samé, co poskytuje antivirový program pro systém. Což znamená, že prohlíží obsah síové komunikace a hledá náznaky možného útoku, stejn tak jako antivirový program prohlíží obsah píchozích soubor, v nichž pátrá po virové nákaze. 11

KAPITOLA 2. PROBLEMATIKA IDS Pro ješt lepší specifikaci systém detekce prnik slouží k detekci neoprávnných prnik do systém poítaových sítí a dalších podobn založených zdroj potencionáln citlivých dat. Stejn jako firewall i IDS mže být pln softwarový nebo kombinovat hardware i software. IDS bývá velmi asto instalován pímo na síovém zaízení (server, firewall) a tvoí tak samostatnou funkn-zabezpeující jednotku. Tímto konceptem je zajištna kvalita zabezpeení jak vlastního zaízení, na nmž IDS sonda pracuje, tak i monitorování provozu. Z tohoto dvodu je systém schopen vypoádat se s externím i interním nebezpeím. Rozeznáváme ti základní zpsoby implementace systému detekce prnik. Prvním z nich je network-based IDS, ten sleduje síové prostedí a hledá v nm objevující se signatury. Druhým je host-based IDS, jehož úkolem je obrana systému v síti, jímž je typicky stanice (poíta zapojený v síti) nebo server. Obrana je zajišována kontrolou operací a souborového systému, kde se opt pátrá po objevujících se signaturách. Konen posledním zpsobem implementace je Distributed IDS, který je založen na systému rozmístní senzor, jež posílají zprávy ídícímu systému. Prakticky se používají pedevším kombinace tchto zmínných typ. Je na první pohled zejmé, že nejlepších výsledk co se týe odhalování nebezpeí dosahují IDS monitorující jak síové prostedí, tak i systémy v této síti zapojené. Aby bylo zejmé, jakým zpsobem systém detekce prnik rozeznává hrozby, je nezbytné uvést podrobnjší vysvtlení. Pedevším existují dva zpsoby detekce. Prvním je technika nazvaná detekce signatur. Druhou je pak detekce anomálií. Detekce signatur pracuje obdobným zpsobem jako antivirové programy používající virové signatury, které se následn snaží odhalit mezi soubory, programy i webovým obsahem vstupujícím do systému. Je tedy patrné, že detekce signatur provádná systémem detekce prnik probíhá sledováním síové komunikace, její analýzou a následném porovnání s databází známých ukazatel, jež znaí pípadné bezpenostní riziko. Tato technika je velmi asto upednostována a bývá používána jako primární u vtšiny komerních IDS. Naopak detekce anomálií je založena na identifikování abnormální aktivity systému. Používá pravidla, jež definují koncept normální a abnormální aktivity systému (tzv. heuristiky), aby odhalil odklon od bžného chování. Následn pijme potebné opatení, jímž je nap. blokace komunikace i informování správce systému. Tento zpsob je ovšem náronjší na as, obslužný personál i finance. Vyžaduje znané úsilí pi ladní tzv. na míru konkrétnímu informanímu systému. Jelikož se jedná o jedno ze stžejních témat, bude tomuto tématu vnovaná samostatná kapitola (2.4 Metody detekce prnik). K problematice ladní IDS systému neodmysliteln patí i pojem efektivnost IDS systému, jež má zásadní vliv na konenou bezpenost a použitelnost IDS. Je práv jednou z nejvtších pekážek pi implementaci systému detekce prnik do informaních systém, a to z výše uvedených požadavk, které platí nejen pro variantu s detekcí anomálií, ale v menší míe i u detekce pomocí signatur. 12

KAPITOLA 2. PROBLEMATIKA IDS 2.2 Efektivnost IDS Tuto kapitolu dobe popisuje David Šumský: Praktická aplikovatelnost IDS je závislá na jejich efektivnosti (pesnosti) a efektivit (výkonnosti). Efektivností IDS rozumíme pomr mezi potem nezachycených prnik a potem falešných poplach. Oznaíme-li tyto veliiny postupn FNR a FPR, pak jejich vzájemnou závislost vyjádíme graficky takto 2.3: Z grafu vyplývá, že s rostoucí veliinou FPR, kdy roste citli- Obrázek 2.3: Závislost mezi FNR a FPR vost IDS, veliina FNR na úkor rostoucího potu falešných poplach klesá. Je zejmé, že existuje stední hodnota CER (Crossover Error Rate), která je prnikem veliin FPR a FNR a definuje optimální nastavení IDS. Formálnji mžeme prezentovanou závislost, kde veliina C udává nastavenou citlivost IDS a výraz X" resp. X# rostoucí resp. klesající hodnotu veliiny X, vyjádit takto: C => FNR ^ FPR C = CER => FNR = FPR C => FNR ^ FPR Uvdomíme-li si, že pomr mezi potem anomálních a normálních událostí IS je relativn nízký, ponvadž vznik normálních událostí je v reálném prostedí astjší, a vznik normální resp. anomální události pedchází vzniku poplachu, pak na základe zákonu podmínné pravdpodobnosti dospjeme k pekvapivému závru: Je-li IDS dostaten spolehlivý v identifikaci anomálních událostí, má nízké FNR a FPR, pak výsledná pravdpodobnost, že generovaný záznam o anomálii skuten identifikuje potenciální zneužití IS, je paradoxn nižší než pravdpodobnost odhalení tohoto zneužití. Události IS kategorizujeme jako anomální a normální. Anomální událost ozname jako jev M (Misuse) a normální jako jev M, jedná o negaci anomálního jevu M. IDS zkoumá události IS a na základe toho generuje záznamy o anomáliích píp. auditní záznamy normálních událostí. Tyto jevy 13

KAPITOLA 2. PROBLEMATIKA IDS postupn ozname jako jev A (Alarm) a jev A. Efektivnost IDS pak vychází z pravdpodobnosti dvou jev a to: 1. P(A/M) pravdpodobnost, že bude generován záznam o anomálii A, jestliže došlo ke vzniku anomální události M. 2. P(A/ M) pravdpodobnost, že bude generován záznam o anomálii A, jestliže došlo ke vzniku normální události M. Pro úplnost uveme, že jevu A/ M odpovídá veliina FPR a komplementární veliin FNR jev A/M. ([3], str. 17, 18) 2.3 Úrove implementace IDS V této kapitole budou hloubji rozebrány ti úrovn implementace IDS, o nichž bylo již zmínno nkolik obecných informací. 2.3.1 Network-Based IDS (NIDS) Jak již bylo eeno, NIDS se zaobírá monitorováním sít, resp. segmentu sít, kde je implementován. Sleduje provoz ve všesmrovém komunikaním médiu pomocí promiskuitního módu síové karty hostitelského systému. NIDS bývá instalován na strategických místech v poítaové síti tak, aby mohl co nejlépe bránit celý systém. Jeho zásadním problémem jsou pepínané sít a šifrovaná data. V pípad pepínaných sítí musí být sondy umístny na takových místech, kde mohou monitorovat celý segment (typicky router nebo bridge do této subsít) a nebo dležitý prvek, jakým je nap. server. Co se týe šifrovaných dat NIDS pracuje na úrovni tetí vrstvy ISO/OSI modelu (síová vrstva), kde nelze analyzovat data kódovaná protokoly SSH, SSL/TLS, PPTP apod. Problém se ásten eší pidáním podpory tchto protokol pímo do NIDS. Píklad zapojení v topologii sít je možné shlédnout na obr 2.3.1.1. Píklad síové topologie s NIDS. Výhody tedy jsou: Schopnost monitorovat provoz na síti, resp. subsíti. Dokáže spolehliv odhalit útok na síovou vrstvu. Analýza síového provozu dokáže spolehliv sledovat parametry TCP/IP hlaviek. Nezávislost na hostitelském systému. Sledovaný síový provoz je vi rzným implementacím TCP/IP transparentní. Nevýhody tedy jsou: Náchylnost na petížení a zahlcení hostitelského systému. Nemá pístup na Aplikaní vrstvu ISO/OSI modelu, z ehož pramení následující nedostatky. Vtšinou nerozlišuje, na které 14

KAPITOLA 2. PROBLEMATIKA IDS operaní systémy nebo aplikace byl veden útok. Mnohdy nedokáže rozlišit povahu útoku. Nedokáže urit subjekty, které jsou iniciátory spojení. Obr. 2.3.1.1. Píklad síové topologie s NIDS 2.3.2 Host-Based IDS (HIDS) Host-Base IDS je implementován na úrovni hostitelského systému. Je tedy jeho souástí, z ehož plyne jeho síla. Rozumí tomu, jak hostitelský systém funguje a reaguje. Zárove dokáže identifikovat útoky, které NIDS identifikovat neumí. Je schopen sledovat i šifrovanou komunikaci, jelikož pracuje na úrovni aplikaní vrstvy ISO/OSI modelu. Problematickou je jeho údržba. Jelikož je Host-Base IDS umístn na separátních systémech, je nutné jeho aktualizace a pípadná další nastavení aplikovat postupn všude, kde je instalován. Skuteným problémem je však selhání pi útoku na síovou vrstvu. Pokud totiž dojde k napadení nap. DoS útokem a následnému odstavení systému, je odstaven i Host-Base IDS. Z toho plyne, že pi útoku na nižší vrstvy ISO/OSI modelu tato koncepce selhává. Dalším neduhem se stává integrita vlastních dat poskytovaná hostitelským systémem. Pokud skuten dojde k situaci, kdy se útok podaí, zane IDS zpracovávat nedvryhodná data. Píklad zapojení v topologii sít je možné shlédnout na obr 2.3.2.1 Píklad síové topologie s HIDS. Výhody tedy jsou: Optimalizace pro hostitelský systém. Schopnost analyzovat podstatu útoku. Schopnost analyzovat aktivity uživatele. 15

KAPITOLA 2. PROBLEMATIKA IDS Analyzuje pouze hostitelský systém, není tedy zahlcován. Nevýhody tedy jsou: Neschopnost elit útokm na nižší vrstvy ISO/OSI modelu. Zpracovává data poskytovaná hostitelským systémem, je tedy závislý na jejich integrit. Nepenositelnost na jiné systémy. Obr. 2.3.2.1 Píklad síové topologie s HIDS 2.3.3 Distributed IDS (DIDS) Tento koncept zahrnuje oba výše popsané zpsoby implementace IDS. Distributed IDS senzory mohou být síového i systémového charakteru. Systém senzor rozmístných po topologii poítaové sít zasílá výsledky svého mení centrální ídící stanici (NIDS Management Station). Toto ešení dosahuje nejlepších výsledk, zahrnuje totiž výhody obou výše zmiovaných implementací. Píklad zapojení v topologii sít je možné shlédnout na obr 2.3.3.1 Píklad síové topologie s DIDS. Výhody tedy jsou: Odstranní vtšiny neduh samostatn stojících HIDS a NIDS. Monitorování jednotlivých systém i celé sít, resp. subsít. Souhrnný pehled o pípadných hrozbách z ídící stanice. Nevýhody tedy jsou: Interakce s procesy bžícími na síové vrstv (Firewall, VPN server apod.), které mohou vést k jejich nekorektnímu chování. 16

KAPITOLA 2. PROBLEMATIKA IDS Obr. 2.3.3.1 Píklad síové topologie s DIDS 2.4 Metody detekce prniku Tato kapitola bude dále rozvíjet a detailnji zkoumat popsané zpsoby detekce prnik. Jedná se o detekci založenou na bázi signatur (knowledgebased resp. misuse Detection system) a normálního/anomálního chování systému (behaviour-based resp. anomaly detection systems). Detekce prniku do informaního systému (IS) je založena na myšlence, že je možné probíhající útoky, resp. jejich formát definovat a následn i strojov íst. Stejn tak je možné rozeznat chování systému. Systémy detekce prniku by také mly být adaptabilní na zmnu v okolním prostedí, též by mly být škálovatelné a rozšiitelné pro rzné domény použití. 2.4.1 Systémy založené na znalosti formátu prnik Tuto problematiku opt skvle vysvtluje David Šumský: IDS založené na znalosti formátu prniku oznaujeme jako signaturové systémy a specifikaci formátu prniku výrazem signatura. Pesnji se jedná o reprezentaci uritého bitového vzorku ve vhodném tvaru, jenž se mže vyskytnout ve zkoumaných datech, která jsou ekvivalentní událostem IS. IDS pak tyto data srovnává se signaturami uloženými v bázi signatur, což je množina tech signatur, které IDS dokáže rozpoznat. Dojde-li ke shod, IDS vygeneruje záznam o anomálii o prniku do IS. 17

KAPITOLA 2. PROBLEMATIKA IDS Binární vzorek signatury odpovídá formátu prniku do IS. Formát vzorku je implementan závislý na použitém IDS, typicky se jedná o speciální jazyky umožující formáln zapsat formát prniku. Nap. vyjádení signatury LAND útoku v pirozeném jazyce vypadá takto: Signatura LAND útoku je ekvivalentní TCP/IP datagramm, které mají nastaven píznak SYN a zárove platí, že zdrojová a cílová IP adresa resp. zdrojový a cílový port se shodují. Signaturové systémy disponují omezenjšími prostedky detekce prniku z hlediska spolehlivosti v odhalování polymorfních útok. Dojde-li totiž ke zmn formátu prniku, je typicky nevyhnutelné nadefinovat signaturu novou, a to i v pípad, že se jedná o podobný prnik. Z toho vyplývá zásadní vlastnost signaturových systém, a to udržovat jejich bázi signatur aktualizovanou (v pípadn tzv. zero-day útoku to ale nepomáhá, ponvadž na útok signatura ješt neexistuje). Pedností signatur je snadnost, s jakou je mžeme vytváet díky vyjadovacím schopnostem jazyku k tomu urených. Výhodou je i to, že signaturami dokážeme zachytit pouze známé útoky. Vrátíme-li se ale k veliinám FPR a FNR, pak dojdeme k opanému závru. FPR dosahuje minimálních hodnot a hodnotu FNR není možné spolehlivé definovat, ponvadž nelze jednoduše urit, kolik prnik IDS nedokáže zachytit. Signaturovým systémm je totiž vlastní neúplnost báze signatur, kterou nikdy nepokryjeme všechny možné prniky. Nový prnik implikuje potebu definovat novou signaturu a bázi signatur aktualizovat. Prnik se mže zárove v rzných prostedích projevovat odlišn a nadefinovat univerzální signaturu tak, aby dokázala pokrýt tyto odchylky, je nemožné. Signaturové systémy jsou tak závislé na prostedí, ve kterém jsou aplikovány (nap. odlišnost H-IDS pro Unix nebo MS Windows). Mezi signaturové systémy adíme i prototypy IDS implementující praxí neovené postupy detekce prniku. Využívá se k tomu expertních systém definovaných množinou pravidel ekvivalentních s množinou podezelých událostí IS. Jím odpovídající auditní záznamy, v terminologii expertních systém dostupná fakta, jsou peložena do jazyka expertního systému. Tento postup je využíván z toho dvodu, že není nutné precizn oddlovat sémantiku záznamu od pravidel, která se tak stává pln jejich souástí. Expertní systémy jsou pro jednoúelové použití snadno programovatelné, ponvadž se typicky jedná o vyhodnocení výrazu tvaru if-then-else, a využívají se zejména pro poteby otestování prototypu. Stavové systémy lze rovnž využít k detekci prniku do IS. Prnik do IS si mžeme pedstavit jako sled akcí, kterým odpovídá pesn definovaný pechod z výchozího stavu do navazujícího stavu IS. Stav definujeme jako množinu promnných dostaten hodnotících prostedí IS z hlediska jeho bezpenosti. Každá podezelá událost je pak jednoznan zachycena scénáem ve tvaru stavového diagramu, který znázoruje stavy IS a pechody mezi nimi, resp. sled akcí nutn proveditelných pro dosažení koncového stavu došlo k prniku do IS. ([3], str. 34, 35) 18

KAPITOLA 2. PROBLEMATIKA IDS 2.4.2 Systémy založené na znalosti chování systému Druhý, principiáln odlišný zpsob, rozpoznává na základ nadefinovaných pravidel abnormální chování IS. Zde bych taktéž využil skvlé práce pana Davida Šumského, který navazuje na pedchozí citované téma: Prnik do IS je možné rozpoznat v jeho odchylkách chování. Vytvoíme-li model normálního chování IS, pak za podezelou událost považujeme každou takovou událost, která do definovaného modelu nezapadá. Detekcí odchylek v chování IS vzhledem k normálnímu resp. oekávanému chování IS pak mžeme podezelé události identifikovat a oznait záznamem o anomálii. V úvodní fázi je nutné zachytit normální stav IS, který bude pedlohou definice modelu normálního chování IS. Tento model oznaujeme jako referenní model normálního chování systému. Referenní model je vytváen v omezeném asovém intervalu a zachytíme jím všechny behaviorální aspekty IS, které se bhem tohoto intervalu v IS vyskytnou. Referenní model chování dosahuje narozdíl od signatur podstatn vyšší úplnosti, na druhou stranu není tak pesný a je u nj astjší výskyt falešných poplach veliina FPR nabývá vyšších hodnot. Zárove ale platí, že FNR je definovatelné. Tyto IDS systémy dokážou detekovat i nové útoky a nejsou tak svázány pouze s prostedím, ve kterém se podezelá událost vyskytla. Zásadní problém techniky vyplývá z peklenovacího období, kdy je nutné zachytit normální stav chování IS. Bhem tzv. fáze uení je IDS nepoužitelný a generuje více falešných poplach. Bhem této fáze zárove existuje riziko, že výskyt podezelých událostí v IS zstane neodhalen a bude pidán do referenního model Potenciální prnik do IS tak mže být pozdji vyhodnocen jako bžná událost IS. Statistické metody detekce prniku se zdají být pro úely zachycení normálního chování IS optimální. Chování entit IS je definováno množinou charakteristických promnných, jejichž hodnoty jsou meny a zpracovávány v prbhu vytváení referenního modelu normálního chování IS (nap. prmrný poet neúspšných pihlášení uživatele do IS apod.). Referenní model je dále definován tmito promnnými. Detekce prniku pak probíhá tak, že aktuální hodnoty promnných jsou porovnávány s hodnotami referenního modelu (asto vycházíme z nkolika model zárove) a pekroení stanovených mezních hodnot indikuje výskyt podezelé události, který vede ke vzniku záznamu o anomálii. Jednodušší metody založené na sledování pekroení mezních hodnot charakteristických promnných oznaujeme jako kvantitativní analýza. IS mže mít nadefinován nap. maximální poet neúspšných pihlášení do systému na uživatele. Pokroilejšími metodami jsou statistická mení. Jedná se o IDS udržující specifickou bázi profilu IS, které statisticky definují normální chování IS a které jsou pravideln aktualizovány, pitom platí, že profil je významov ekvivalentní referennímu modelu. Odchylka aktuálního chování IS od píslušného profilu signalizuje opt podezelou událost IS. IDS založené na znalosti chování IS budeme dále oznaovat jako statistické systémy. ([3], str. 35, 36) 19

KAPITOLA 2. PROBLEMATIKA IDS 2.4.3 Srovnání princip detekce prniku Srovnání tchto dvou metod detekce prnik nemá jednoznaného vítze, záleží na plánovaném prostedí a domén použití. Dalšími požadavky jsou hodnoty FNR a FPR, schopnost procentuálního odhalení prnik do IS. Pokud se správce IS rozhoduje jaký princip detekce prnik použije, je vhodné položit si otázky, které se budou týkat jednotlivých specifických vlastností obou metod. Píkladem mohou být následující ti otázky: Kolik asu a zdroj jsem ochoten investovat do správného nastavení a odladní IDS? Jsou mé odborné schopnosti na takové úrovni, abych byl schopen bezpen rozhodnout o normálním/abnormálním chováním IS? Jsem ochoten akceptovat prodlevu mezi novým zpsobem prniku do IS a vytvoením odpovídající signatury? 2.5 Dležitost a použití IDS Jestliže vám stále není jasné, pro je IDS tak dležitý a k emu se pesn hodí, vzte, že rozuzlení vám poskytne sledující podkapitola. V reálném život lovk ví, co mu mže uškodit, ale zárove stále existují, popípad vznikají i jsou objevována další nebezpeí, o nichž se postupem asu dozvídá. Stejn tak i v prostedí IS a poítaové komunikace je mnoho známých nebezpeí, nicmén je pedevším ješt vtší množství nebezpeí, která teprve vzniknou. Filosofií poítaových pirát a hacker není postupovat ve vyznaených kolejích a vymýšlet nové útoky na již známých pravidlech. Tito lidé se vyznaují pedevším enormní kreativitou mezi mnohými nazývanou umním. Smyslem IDS je pedevším reagovat na nové a neznámé hrozby, které jiné obranné mechanismy nejsou schopny zachytit. Slouží jako velice kvalitní doplnk ochrany informaního systému, jenž nemže nahradit firewall, antivir ani cokoli jiného. To co mže udlat je, že upozorní správce IS na to, co je podezelé a co firewall, antivir ani jiný prvek nedokázal zachytit a poskytnout správci IS as na ešení nov vzniklého problému ješt ped tím, než dojde k prlomu a škodám. Tím zárove ukazuje na slabiny ostatních komponent zabezpeení. V pípad absence takového systému je IS oslaben a dochází k vystavení se riziku vzniku situace, kdy se o probhlém prniku správce IS dozví až tehdy, když systém zkolabuje a databáze jsou infiltrovány. Touto situací rozumíme selhání zabezpeení IS a snažíme se jí pedejít. O nkterých možných využitích již byla e v pedešlém textu. Obecn lze však íci, že je vhodné jej využít všude tam, kde se nacházejí cenné zdroje, na strategických pozicích v sítích i tam, kde si jen pejeme ozkoušet spolehlivost ostatních prvk zabezpeení IS. O strategickém umístní v sítích již bylo napsáno dost. Nyní je vhodné pohovoit i o dalších konkrétních píkladech, které ne jen podle ([1], str. 20-23) existují. 20

KAPITOLA 2. PROBLEMATIKA IDS 2.5.1. Monitorování pístupu k databázím Databáze jsou zejm nejvíce kritickým místem informaních systém vbec. asto obsahují to nejcennjší co organizace, spolenosti i vlády vlastní. Prnik do takovéto databáze by znamenal naprostou katastrofu, a proto bývají nejpísnji chránny. U tch nejdležitjších dat ani neexistuje síové spojení pomocí poítaové sít a je k nim umožnn pístup pouze z lokálních hlídaných terminál. V pípad, že k databázím existuje síové spojení (naprostá vtšina pípad), má monitorování pístup k nim nejvyšší prioritu. Je nezbytn nutné naprosto pesn vdt, kdo kdy a k emu pistupoval a povolit pístup jen oprávnným uživatelm databáze. Napíklad IDS systém SNORT obsahuje komplexní sadu pravidel, jež umožuje chránit databázi. Nkolik píklad pro ilustraci: ORACLE drop table attempt ORACLE EXECUTE_SYSTEM attempt MYSQL root login attempt MYSQL show databases attempt 2.5.2. Monitorování funkce DNS Dležité je uvdomit si, že DNS server sít obsahuje adu citlivých informací o dané síti jako jsou jména komponent, IP adresy apod. Vhodný zásah do serveru DNS umožní útoníkovi zmapovat tuto sí nebo pesmrovat uživatele hledající na internetu. Typickým píkladem je technika zvaná pharming. Cílem této techniky je podsunout surfujícímu uživateli falešné stránky, které nejsou na první pohled rozpoznatelné od originálu. Tato technika se zamuje na podvodné získávání citlivých údaj jako jsou bankovní pístupy apod. Snort opt obsahuje adu pravidel odhalujících netypické dotazy i zásahy, aby ochránil váš jmenný prostor. Nkolik píklad pro ilustraci: DNS Name Version Attempt DNS Zone Transfer Attempt 2.5.3. Ochrana e-mailového serveru Dalším typickým terem útok je poštovní server. Tyto servery jsou asto chránny rznými antivirovými programy. Stejn tak i IDS jako je Snort mají pravidla pro detekci e-mailových vir jako je QAZ worm nebo NAVIDAD worm. Výhodou IDS v tomto pípad je opt rychlost reakce na nové hrozby. V pípad útok, které využívají prodlevy mezi jejich vypuštním po jejich zahrnutí v bezpenostních ešeních jednotlivých spoleností, je IDS opt schopen pomocí nkterých pravidel odhalit nebezpeí na základ jejich podezelého obsahu i chování. Snort mže být nastaven na blokaci útoných e- mail stejn tak dobe jako jiných hrozeb, které mohou vypnout poštovní služby. Navíc nic nebrání tomu využívat oba systémy paraleln, což je samozejm nejlepší ešení. 21

Kapitola 3 Existující IDS systémy Cílem této kapitoly je piblížit nkteré z nejbžnjších existujících systém detekce prnik. Je dležité uvdomit si, že systém Snort není zdaleka jediným ešením v této oblasti. Tchto systém existuje celá ada a to jak voln šiitelných, tak i komerních. Systémem Snort je urena tvrtá kapitola tohoto dokumentu. 3.1 BRO Intrusion Detection System BRO je open-source NIDS založený na Unixu, který pasivn monitoruje provoz a hledá podezelé aktivity. BRO pracuje tím zpsobem, že nejdíve rozebere komunikaní provoz, aby extrahoval sémantiku aplikaní vrstvy a v ní dále hledá objevující se náznaky podezelých aktivit. Tyto analýzy jsou schopny zachytit jak již známé hrozby na základ signatur, známých okolností nebo událostí, tak i oekávané hrozby na základ odepeného pístupu i spolehlivosti spojení urité služby. Jeho bezpenostní skripty jsou psány vlastním Bro jazykem a jsou schopny spouštt i nkteré akce. V pípad, že si uživatel osvojí jazyk Bro, má možnost psát skripty vlastní, pop. upravovat skripty stávající. Bro obsahuje velké množství již hotových skript, které jsou pipravené k použití a není k nim poteba znalost tohoto jazyka. Tyto skripty jsou schopny zachytit tém všechny známé hrozby a to s nízkým FPR. Bro byl pvodn vytvoen jako platforma pro výzkum detekce prnik a analýz datového provozu. I pes to, že obsahuje již existující sadu skript, není uren pro nkoho, kdo hledá jednoduché balíkové ešení. Pvodn byl uren jako nástroj pro poteby Unixových odborník, který by jim pomohl vypoádat se s technikami útoník a bezpenostní politikou. Jak již bylo eeno, Bro je open-source produkt, který funguje na bžném komerním hardware. Tímto hardware se rozumí PC hardware, u nhož platí, ím vtší je zapracovávané množství dat, tím je logicky zapotebí výkonnjšího stroje. Díky této kombinaci oteveného kódu a funknosti na PC Bro poskytuje levné ešení pro vyzkoušení alternativních technik ochrany. 22

KAPITOLA 3. EXISTJÍCÍ IDS SYSTÉMY Tento produkt má své využití i u spoleností i organizací, které již využívají nkterý z komerních IDS. Tyto možnosti jsou podle [6] následující: Ovení výsledk komerního IDS. Dosažení lepších rozhodovacích schopností. Kontrolovat kvality bezpenostní politiky, které nejsou založeny na komerním IDS. Experimentovat s novými metodami a pipojit se k výzkumu. Jako poslední zmínku je nutné uvést, že Bro obsahuje nástroj snort2bro, který je schopen konvertovat signatury ze IDS Snort a tím obohatit vlastní sadu pravidel a snížit hodnotu veliiny FPR. 3.2 OSSEC Host-Based Intrusion Detection System OSSEC je open-source HIDS, který se zabývá analýzami, kontrolami integrity, monitorováním registr Windows, detekcí nástroj, varováním v reálném ase a aktivní odezvou. Pracuje na vtšin operaních systém jako je Windows, GNU/Linux, OpenBSD, FreeBSD, MacOS a Solaris. Jedná se o rostoucí projekt využívaný nkterými poskytovateli internetu, univerzitami a spolenostmi. Poet stažení OSSEC dosahuje msín pti tisíc a stále probíhá aktivní vývoj s dobou aktualizace každé cca ti až tyi msíce. Znaí se též snadnou instalací staí se držet nkteré instalaní píruky. Též je schopen vyvolat aktivní odezvu. Souástí tohoto produktu je vlastní hlavní aplikace vyžadovaná pro DIDS nebo samostatn stojící instalace. Další aplikací je agent pro Windows, který vyžaduje konfiguraci hlavní instalace pro serverový mód. Grafický výstup je podobn jako u Snort ešen konzolovým výpisem, je však možné doinstalovat speciální aplikaci, jež umožní grafický výstup ve webovém rozhraní. Je tedy možné prohlížet graficky zpracovaná data ve svém oblíbeném prohlížei. Všeobecn je doporuováno postupovat v instalaci se standardním nastavením. Nicmén pokroilí uživatelé si samozejm mohou funkcionalitu odladit a pizpsobit ji tak svým potebám. Za zmínku stojí whitelist, ignorace uritých typ hlášení i zmna doby blokace urité IP, jež je standardn stanovena na 10 minut. Toto ešení se v prbhu asu dokalo mnoha recenzí a ocenní, jako poslední stojí za zmínku, že nap. 12. bezna 2007 byl vybrán v Top 5 open source security tools in the enterprise serverem LinuxWorld. 3.3 OSIRIS Host Integrity Monitoring System OSIRIS je open-source systém, který periodicky monitoruje jeden nebo více hostitelských systém, je možné jej provozovat na Windows i Unixových operaních systémech. Pracuje v režimu klient server, kde vlastní server 23

KAPITOLA 3. EXISTJÍCÍ IDS SYSTÉMY obsahuje databázi integrity soubor a konfigurací jednotlivých klient. V urených asových intervalech odesílá klientm konfiguraní soubor, spouští na nich sken a výsledky skenování vrací zpt serveru pro porovnání. Detekuje zmny v souborovém systému, seznamu uživatel a skupin, kernelových modulech a další. Podporuje rozliné množství funkcí jako jsou filtrace bezpenostních hlášení, manuální spouštní sken a konfigurace jejich atribut. Tyto zmny mže odesílat administrátorm pomocí e-mailu. Komunikace mezi klientem a serverem je vždy šifrovaná pomocí OpenSSL. Je vhodné udržovat centrální server co nejvíce chránný a blokovat k nmu pístup až na nkolik výjimek administrátorských vstup. Standardn je po instalaci nastaven pístup pouze z adresy 172.0.0.1. Pipojení je možné realizovat lokáln i vzdálen z definované IP adresy. V pípad napadení klienta a smazání nebo vyazení jeho OSIRIS klienty je zjištní napáchaných škod triviální. Staí pouze zprovoznit tohoto klienta a spustit na nm píslušná skenování. Po jejich dokonení budou výsledky porovnány s databází a pípadné zmny budou odhaleny. Díky šifrovanému spojení a architektue klient-server je tento monitorovací systém vhodný pro rozlehlá prostedí s velkým množstvím poíta, jež mohou být vzdáleny i tisíce kilometr. Platforma Licence Zamení BRO unix open-source NIDS OSSEC multiplatformní open-source HIDS OSIRIS multiplatformní free software HIMS Tab. 3.3.0.1 Klíové parametry uvedených systém detekce prniku 24

Kapitola 4 Snort Intrusion Detection System Snort je program urený pro síovou detekci prnik. Díky jeho vývoji pod open source licencí je možné jej provozovat bezplatn, jsou k nmu v hojné míe vytváena pravidla a není zde ani nouze o uvolování nových verzí. Je také dostupný v mnoha verzích pro rzné operaní systémy. Pvodn byl koncipován pouze jako tzv. paket sniffer, dnes již pracuje i jako tzv. paket logger a NIDS. Snort pracuje na bázi porovnávání síového provozu se svou databází pravidel, tzn. pracuje na bázi signatur. Kombinuje výhody detekce pomocí signatur, anomálií i protokol. Je možné jej používat s adou zásuvných modul (plug-in), které nap. umožují výstup do databází SQL i umožují unifikovaný výstup. 4.1 Systémové požadavky Zde je nejdíve nutné uvdomit si nkolik vcí. Jednou je, že Snort generuje znané množství dat a proto je nutné poítat s dostaten velkým pevným diskem. Další nemén dležitou potebou je bezpené monitorování systému ze vzdáleného pístupu. Vlastní ídící server i sondy mohou být a asto jsou v síti fyzicky znan vzdáleny, také se mnohdy nacházejí na nepístupných místech. Snort z tohoto dvodu používá Secure Shell (SSH) a Apache se Secure Socket Layer (SSL) pro Linux, Terminal Services (s právy uživatel k pístupu na jednotlivé poítae) a Internet Information Server (IIS) pro Windows. 4.1.1 Hardware Tento systém, jak již bylo zmínno, vyžaduje znaný úložný datový prostor. Zvlášt pak, pokud Snort pracuje v režimu NIDS. Obecn by se dalo íci, že na každou sondu je teba vylenit cca 10GB diskového prostoru. V pípad, že jsou data skladována na centrálním serveru, musí tento obsahovat alespo takový pevný disk, jako je souet všech sond, které na nm svá generovaná data shromaždují. Vlastní sondy pak vystaí pouze s prostorem pro 25

KAPITOLA 4. SNORT INTRUSION DETECTION SYSTEM pípadné malé logovací soubory, které se cyklicky pepisují. Ty lze nastavit na libovolnou velikost nap. 128 MB. Doporuováno je druhé síové rozhraní. Jedno je použito pro typické úely jako jsou síové služby, SSH a další komunikaci. Druhé, pracující v promiskuitním módu, se využívá pro úely pipojení softwarové sondy. Promiskuitním módem síové karty se rozumí mód, ve kterém karta nekontroluje cílovou MAC adresu a zpracovává veškeré pakety, které se k ní dostanou. Ob rozhraní musí disponovat potebnou propustností s ohledem na jejich vytížení. Jiné požadavky se již neuvádjí. Je bžné, že jakákoli aplikace na silnjším hardware pracuje rychleji než na hardware pomalejším. Proto je vhodné vzít v úvahu i toto a pipravit stroje dimenzované na oekávané vytížení. V pípad nedostatku výpoetního výkonu dochází k zahazování nkterých paket, což vede k nepesnému provozu a nesprávné odezv v reálném ase. 4.1.2 Software Snort je možné provozovat na jakémkoli moderním operaním systému jako je Windows, Linux, FreeBSD, OpenBSD, NetBSD, MacOS X, MkLinux, Sparc Solaris nebo HP-UX. Doplující a podprný software, dle ([1], str. 23): MySQL, Postgres, Oracle Smbclient pi použití WinPopup zpráv Apache nebo jiný webový server PHP nebo Perl, pokud jsou poteba zásuvné moduly, které je vyžadují SSH nebo Terminal Server pro vzdálený pístup 4.2 Architektura IDS Snort Obr. 4.2.0.1 Architektura IDS Snort (peloženo z [1], str. 34) 26

KAPITOLA 4. SNORT INTRUSION DETECTION SYSTEM Preprocesor, detekní jednotka a systém logování a výstrah jsou zásuvné moduly. Tyto moduly se tváí jako souásti vlastního jádra IDS Snort, nicmén jsou z dvodu potebné snadné modifikace odnímatelné. Jednotka záchytu paket (Packet Sniffer) umožuje aplikaci nebo hardwarovému zaízení naslouchat síovému provozu. Toto se ovšem netýká telefonních sítí, jež slouží pro penos hlasu. Obvykle to bývá provoz IP, ale dokáže si poradit i s IPX a AppleTalk. Je schopen poradit si s množstvím protokol vetn TCP, UDP, ICMP, roubovacích protokol a IPSec. Množství tchto jednotek interpretuje pakety do pro lidi itelné formy nebo umožuje unifikovaný výstup pro další zpracování. Preprocesor se používá pro hledání uritých nebezpeí a pípravu paket pro detekní jednotku. Preprocesor poskytuje pakety rozliným zásuvným modulm a pokud zachytí možné nebezpeí, podstoupí je detekní jednotce. Preprocesory se také používají pro paketovou defregmentaci. Pokud jsou penášena velká data, jsou pakety vtšinou rozdleny, v Ethernetové síti je hodnota MTU (Maximum Transfer Unit) 1500 bajt. Ped kontrolou je nezbytné tyto pakety nejdíve zkompletovat. Detekní jednotka je hlavní ástí IDS Snort. Pijímá data z preprocesoru i jeho zásuvných modul a porovnává je s databází pravidel. Tato pravidla jsou dlena do kategorií nap. trojské kon, pístup k rzným aplikacím, peteení zásobníku. Jakmile je zjištna shoda s jednou nebo více signaturami, jsou tato data pedána systému logování a výstrah. Systém logování a výstrah. Tato jednotka vyvolá výstrahu v závislosti na datech, která obdrží z detekní jednotky. Dále je mže zapsat do logovacích soubor, jež jsou standardn uloženy v /var/log/snort. Nebo je mže v závislosti na instalovaných zásuvných modulech odeslat na jiný poíta, uložit do SQL databáze, zobrazit pomocí webového rozhraní i odeslat e-mailem. Tím dochází k informování správc systému v reálném ase. 4.3 Úskalí a interní bezpenost Snort Snort má jako jakýkoli reálný systém i nástroj urité nedostatky, které je nutné bhem jeho nasazení brát v úvahu. 4.3.1 Úskalí Existují ti hlavní úskalí, kterými tento jinak silný nástroj trpí. Všechny tyto neduhy lze vhodným zpsobem bu eliminovat nebo znan potlait. Jsou jimi tyto: Všechny pakety nejsou zpracovány Poet nezachycených prnik Poet falešných poplach Píinou prvního jmenovaného problému mže být nedostatený výkon hardware, na kterém Snort pracuje. Mže se jednat jak o pomalé síové rozhraní, pop. pomalé v promiskuitním módu nebo o celkovou pomalost 27

KAPITOLA 4. SNORT INTRUSION DETECTION SYSTEM výpoetního systému. V takovém pípad je teba vzít v úvahu použití rychlejší NIC, procesoru nebo navýšení operaní pamti. Pokud Snort neodhalí žádné nebezpeí a pesto jiné nástroje signalizují podezelé aktivity, je naase se zamyslet nad možnými píinami. Ani tato situace není nijak ojedinlá. V takovém pípad je vhodné zkontrolovat aktuálnost používaných balík pravidel, hledat chyby v pípadných vlastních pravidlech i znovu se zamyslet nad vlastní koncepcí rozvržení sond v síti. Poet falešných poplach je nemén nebezpený. Ve velkém množství výstrah lze jen tžko sledovat, pop. provovat všechna hlášení. Je pak velmi snadné opomenout skutené nebezpeí. ešením je postupné pizpsobování pravidel síti a na ní pracujícím službám. Tento proces zabere mnoho asu a vyžádá si velké množství prostedk. To je bohužel neduhem všech existujících systém detekce prnik. 4.3.2 Interní bezpenost Snort Snort, stejn tak jako jiné systémy, je sám zranitelný. Pokud je udržován zabezpeený, jsou jím generovaná data dvryhodnjší. Pokud by došlo k prniku a Snort by byl infiltrován, stal by se nepoužitelným do té doby, než by byly všechny jeho komponenty peinstalovány a stará data vymazána. Je tedy potebné udržovat všechny jeho komponenty, zásuvné moduly i podprné aplikace aktualizované. Není na škodu jeho hlavní systém chránit firewallem. Aktualizace IDS Snort mže být problematická. Mže se zmnit syntaxe i interface. To se stalo pi vypuštní verze 2.0, která zjednodušila používání pravidel a zrychlila proces detekce až 18x. Nicmén je nutné dodat, že se takto velké zmny nedjí píliš asto. 4.4 Pravidla Jak již bylo eeno, základem celého systému jsou jeho pravidla, jde zárove o jeho nejvtší sílu. Jazyk pravidel je triviální a velmi intuitivní, lze si jej bhem krátké doby snadno osvojit. Každé pravidlo se skládá z hlaviky (head) a volby (options). Hlavika pravidla popisuje jakou akci má Snort vykonat, protokol ke kterému se váže, zdrojovou adresu a port, cílovou adresu a port. Ve volbách je pak možné pipojit popis a kontrolovat množství dalších atribut, které Snort mže zpracovávat v rozsáhlé knihovn zásuvných modul. Hlaviku je možné rozebrat na následujícím píkladu: log tcp $EXTERNAL_NET any -> $HOME_NET 21 log - tento atribut íká, že má být generovaný záznam o paketu (nikoli výstraha) uložen do logovacího souboru. Existují i další hodnoty jako alert, který generuje a zaznamená výstrahu o paketu. Pass paket ignoruje. 28

KAPITOLA 4. SNORT INTRUSION DETECTION SYSTEM tcp uruje protokol, který je v pravidle brán v potaz. Další možnosti jsou UDP, IP, ICMP. $EXTERNAL_NET je promnná zastupující IP adresu vnjší sít any znaí, že zdrojový port mže být jakýkoli. Any je možné použít i v pípad adres, pokud chceme brát v potaz všechny sít. -> je atributem urujícím smr odkud a kam má paket putovat, aby vyhovoval pravidlu. Je možné použít oboustrannou hodnotu <>, pak na smru nezáleží. $HOME_NET je promnná zastupující IP adresu vnitní sít 21 íslo na tomto míst znaí íslo cílového portu. Je také možné použít reprezentaci s dvojtekou. Tato reprezentace slouží k definování rozsah port v pravidle. 1:80 uruje rozsah port 1-80 vetn, :80 jsou všechny porty do 80 vetn, 80: pak porty 80 a více. Ve volbách pravidla jsou všechny atributy vepsány do spolené závorky, oddlují se stedníkem a mezi názvem atributu a jeho hodnotou je vepsána dvojteka. Další píklad se zabývá práv volbami pravidla: (msg: "FTP pístup"; rev: 1;) msg: FTP pístup zpráva zobrazovaná výstrahou a logem paketu. V tomto pípad je to etzec FTP pístup. rev: 1 informuje o revizi pravidla. Zde se jedná o první revizi. Výet nkterých zbylých atribut pravidel, kompletní obsáhlý seznam je možné dohledat v dokumentaci. id: íslo testuje id v hlavice paketu na hodnotu daného ísla content: " binární etzec " pátrá v paketech po výskytu uvedeného binárního etzce. logto: soubor paket bude zaznamenán do definovaného souboru nocase malá a velká písmena nebudou rozlišována priority: íslo íslo reprezentuje vážnost útoku classtype: jméno - oznauje klasifikaci události seq: íslo testuje TCP íselné sekvence na uritou hodnotu 29

KAPITOLA 4. SNORT INTRUSION DETECTION SYSTEM Celé ukázkové pravidlo tedy vypadá následovn: log tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg: "FTP pístup"; rev: 1;) Na závr kapitoly je vhodné uvést píklad výstrahy, tak jak ji generuje IDS systém Snort. Vhodnou ukázku použil pan Radomír Orká ve své semestrální práci na stran 10: Obr. 4.4.0.1 Píklad výstrahy generované IDS Snort ([20], str. 10) 4.5 Existující analytické nástroje Úinné vyhodnocování probíhajících aktivit uvnit informaního systému by bylo nemyslitelné bez patiného analytického nástroje. Vzhledem k velkému množství záznam generovaných systémem Snort v prbhu asu je potebné vést podrobné statistiky, grafy a seznamy varování. Žádoucí je i možnost odkazování se na potebné popsání každého jednotlivého incidentu. Tyto poteby zaštiují aplikace s grafickým uživatelským rozhraním. Jejich vlastnosti jsou velmi rozmanité. Od prostého prohlížení a filtrování záznam až po komplexní tvorbu statistik a graf na základ rozliných parametr. Tyto prvky zárove mají rozdílnou architekturu a i jejich urení, podpora operaních systém a potebné programové vybavení se diametráln liší. V následujících nkolika podkapitolách budou pedstaveny ti nejhlavnjší analytické nástroje. 4.5.1 BASE BASE (Basic Analysis and Security Engine) je založen na projektu ACID (Analysis Console for Intrusion Databases), který zaal stagnovat. BASE 30

KAPITOLA 4. SNORT INTRUSION DETECTION SYSTEM odstranil jeho nedostatky a stal se tak jeho vývojovým nástupcem. Tento nástroj analyzuje data zaznamenána v SQL databázi, je založen na jazyce PHP a stále se vyvíjí. Jeho vývoj zaštiuje skupina kvalifikovaných dobrovolník, která je schopná reagovat na pípadné dotazy, výhrady i upozornní. Architekturu zobrazuje obrázek 4.5.1.1 Architektura BASE. Jak je vidt, BASE analyzuje data získaná prostednictvím IDS Snort. Tato data mohu být uložena ve všech SQL databázích podporovaných PHP. Oficiáln se jedná o PostgreSQL, MySQL a Microsoft SQL Server. Databázový server i BASE s webovým serverem mohou být jak na stejném poítai, tak i na poítaích rzných. Podmínkou ovšem zstává soudržnost BASE a webového serveru na jednom stroji. Celý systém je prezentován prostednictvím webových prohlíže. Pro zajištní integrity dat a bezpenosti interní komunikace je celý systém založen na šifrované komunikací prostednictvím SSL (Secure Sockets Layer) a autentizaci (ovení totožnosti). Pístup je možné rozdlit na uživatele a administrátory, tím jim také lze upravovat pravomoci. Obr. 4.5.1.1 Architektura BASE 4.5.2 SGUIL Hlavním mottem projektu Sguil je to, že je tvoen analyzátory síové bezpenosti pro analyzátory síové bezpenosti. Ml by tedy být maximáln pizpsoben praktickému použití. Je uren ke zkoumání událostí zaznamenaných pomocí IDS Snort v reálném ase. Jeho klient je psán v tcl/tk a je možné jej provozovat na všech operaních systémech podporujících tcl/tk jako je Windows, Linux, BSD, MacOS, Solaris. Jeho problémem ovšem zstává problematická instalace. Také je nutno dodat, že poslední verze tcl/tk Sguil nepodporuje. Architekturu je možné prohlédnout na obrázku 4.5.2.1 Architektura SGUIL. Jak celý princip funguje je patrné z níže uvedeného obrázku. Senzory IDS Snort uloží své výsledky do databáze MySQL, k nimž pak pistupuje serverová aplikace Sguil, k níž se pipojují jednotliví klienti za použití jména a 31

KAPITOLA 4. SNORT INTRUSION DETECTION SYSTEM hesla. Teoreticky je možné vše provozovat na jednom poítai, to se nicmén nedoporuuje z výkonnostních dvod. Obr. 4.5.2.1 Architektura SGUIL 4.5.3 IDScenter IDScenter je aplikace urená pro IDS Snort pracující na platform Windows. Tento nástroj umožuje centralizovanou správu pravidel, výstrah, podává hlášení a umožuje další funkce v závislosti na nainstalovaných zásuvných modulech, nap. blokování paket. IDScenter nabízí vesms veškeré prvky, kterými disponují jeho UNIXoví kolegové. Disponuje webovým výstupem, editorem pravidel, uživatelskou konfigurací systému Snort, testováním konfigurace, prohlížeem záznam ze souboru, XML souboru i MySQL databáze. Ovládání je jako u vtšiny program pracujících na platform Windows velmi intuitivní. Pro svou práci potebuje pouze IDS Snort 2.x, a WinPCAP 2.3. U tchto program se vždy doporuuje používat nejnovjší verze. BASE SGUIL Platforma Licence Databáze multiplatformní multiplatformní IDScenter windows opensource opensource opensource SQL MySQL MySQL Potebné aplikace IDS Snort, SQL, Apache IDS Snort, MySQL, tcl/tk IDS Snort, WinPCAP 2.3 Poet uživatelských stanic mnoho mnoho jedna Tab. 4.5.0.1 Porovnání uvedených analytických nástroj 32