Bezpečnostní analýzy provozu jako prevence před šířením virů a jiných útoků (IDPS)

Podobné dokumenty
Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Kybernetické hrozby - existuje komplexní řešení?

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

CISCO CCNA I. 8. Rizika síťového narušení

PB169 Operační systémy a sítě

Monitorování datových sítí: Dnes

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Zabezpečení v síti IP

FlowMon Monitoring IP provozu

FlowMon Vaše síť pod kontrolou

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Penetrační testy OSSTMM. Jaromír Vaněk ICQ: Jabber:

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Informační a komunikační technologie. 1.5 Malware

Flow Monitoring & NBA. Pavel Minařík

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Technické aspekty zákona o kybernetické bezpečnosti

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Výukový materiál zpracovaný v rámci projektu CZ.1.07/1.4.00/ , Modernizace výuky

QUALITY & SECURITY Praha hotel Olšanka Petr Zemánek Senior Presales Consultant. IDS/IPS - ano či ne?

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Flow monitoring a NBA

Kybernetické hrozby jak detekovat?

Firewally a iptables. Přednáška číslo 12

Bezpečnostní aspekty informačních a komunikačních systémů KS2

IPS a IDS. Martin Beránek. 17. března Martin Beránek (SSPŠ) IPS a IDS 17. března / 25

Firewall, IDS a jak dále?

Filip Navrátil PCS spol. s r.o. Divize DataGuard stánek 45 přízemí

Co se skrývá v datovém provozu?

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

IDS systémy a honeypoty. Jan Mach CESNET, z. s. p. o.

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Flow monitoring a NBA

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Vývoj Internetových Aplikací

Bezpečnostní projekt Případová studie

Obrana sítě - základní principy

Bezpečnost počítačových sítí Jan Závorka

Úvod - Podniková informační bezpečnost PS1-2

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Lehký úvod do I[DP]S. Ing. Daniel Studený CESNET,

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Strategie sdružení CESNET v oblasti bezpečnosti

Základní zabezpečení. Ing. Radomír Orkáč , Ostrava.

Bezpečnost sí, na bázi IP

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Dalibor Kačmář

Koncept BYOD. Jak řešit systémově? Petr Špringl

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry

Proč prevence jako ochrana nestačí? Luboš Lunter

Zákon o kybernetické bezpečnosti: kdo je připraven?

12. Bezpečnost počítačových sítí

Případová studie: Ochrana citlivých dat v automobilovém průmyslu

Zranitelnost databáze a ochrana vašich citlivých dat. Michal Lukanič, Database Specialist

Firewall, IDS a jak dále?

Y36SPS Bezpečnostní architektura PS

Adware ENISA. Aktivní kybernetická obrana. Aktivum. Analýza hrozeb. Analýza počítačového viru. Antispamový filtr. Antivirový program

Bezpečná a efektivní IT infrastruktura

Téma bakalářských a diplomových prací 2014/2015 řešených při

Bezpečnost webových stránek

Analýza a zabezpečení počítačové sítě

vlastnosti Výsledkem sledování je: a) Využití aplikací b) Používání internetu c) Vytížení počítačů d) Operační systém e) Sledování tisků

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

IT bezpečnost na ZČU včera, dnes a zítra Seminář CIV by Ing. Petr Žák

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Co se děje za Firewallem. Máte zajištěna data a funkce systémů před útokem z vnitřního segmentu sítě?

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Y36SPS Bezpečnostní architektura PS

BEHAVIORÁLNÍ ANALÝZA SÍŤOVÉHO PROVOZU

Flow monitoring a NBA

Co vše přináší viditelnost do počítačové sítě?

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

2. Nízké systémové nároky

Bezpečnostní technologie a jejich trendy. Simac Technik ČR, a.s.

Nejlepší přítel správce sítě! Řešení bezpečnosti Vaší sítě v Cloudu. Pavel Minařík CTO, AdvaICT,a.s.

FlowMon ADS praktické aplikace a případové studie. Pavel Minařík INVEA-TECH, a.s.

Cloud Security. Dušan Mondek. Security Specialist IBM Security Office IBM Corporation

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

IT které pomáhá a chrání. Kybernetická bezpečnost a povinnosti z ní vyplývající

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Spolehlivá ochrana Bezpečnostní brány Úplné řešení Redukce nevyžádané pošty Řízení přenosového pásma Automatická detekce napadení

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Pohledem managementu firmy.

Převezměte kontrolu nad bezpečností sítě s ProCurve

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

GDPR A INFORMAČNÍ SYSTÉM. Nadežda Andrejčíková Libor Piškula

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

Aktuální hrozby internetu. 1.Trojské koně (malware) 2.Phishing 3.Sociální sítě

Transkript:

Bezpečnostní analýzy provozu jako prevence před šířením virů a jiných útoků (IDPS) Ing. Milan Šárek, CSc. Katedra počítačových systému FIT České vysoké učení technické v Praze MI-MTI, ZS2010/11, Předn. 6 https://edux.fit.cvut.cz/ MI-MTI / prof. Evropský sociální fond. Praha & EU: Investujeme do vaší budoucnosti Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 1/29

Navazuje na obsah přednášek MT-MTI č. 4 a 5 zejména s ohledem na klasifikace internetových hrozeb Současná kybernetická rizika: nově se objevující typy útoků zkracují se časy mezi objevem zranitelnosti doba opravy zranitelného místa se nezkracuje Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 2/29

Důvody těchto útoků: od zvýšení sebevědomí některých jedinců vydírají online společnosti hrozbou závažného DDoS (Distributed Denial of Service) útoku Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 3/29

Příklady DDoS (Distributed Denial of Service) útoků: vulnerabilities (zranitelnosti), zombie recruitment (nábor zombies), attack tools (nástroje útoku), bandwith attacks (útoky na šíři pásma), SYN floods (záplavy SYN), established connection floods (záplavy založených spojení) connections-per-second floods (záplavy spojení za sekundu) Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 4/29

Nábor zombies spojen s rozvojem technologií Spybot (spy robot) setrvalý boj mezi autory spybotů a antivirů, rekompilace hrozeb podle nově vyvinutých prostředků obrany reakce na informace ze Zero zone (výhodou pokud dodavatel IPDS využívá přímo tyto informace, protože doba mezi nálezem nové zranitelnosti a reakcí velkých sw firem bývá od dvou až do šeti týdnů od tohoto data nejčastěji se v současnosti zneužívá webovských prohlížečů, IE, FireFox anti-malware (anti-adware) většinou instalují patche přímo do těchto prohlížečů (pokud používáte freewarové verze antivirů, bude zajímavé zkontrolovat svůj počítač pomocí např. Spybot - Search & Destroy, Malwarebytes' Anti-Malware) Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 5/29

Princip SYN-flood pokus o vyčerpání zdrojů serveru běžné navázání komunikace Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 6/29

Různé kombinace SYN- flood útočník podvrhne cizí adresu k útoku jsou použity zombies na infikovaných počítačích Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 7/29

Systém detekce a prevence průniků (IPS Intrusion Detection System a IPS Intrusion Prevention System): jedna z možností ochrany vnitřního perimetru sítě, podstatné rozšíření ochrany poskytované Firewallem, následná definice a popsání existujících rizik. Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 8/29

Rozdíl funkce FW (FireWall) a (IDPS Intrusion Detection and Prevention System): běžný SPI (Stateful Packet Inspection) firewall je totiž schopný vidět v paketu pouze do úrovně zdrojových a cílových portů, pro firewall korektní provoz na TCP portu 80 tak klidně může obsahovat škodlivý kód, který není firewall schopen detekovat a blokovat, systémy detekce a prevence zkoumají veškerý provoz až do sedmé vrstvy OSI protokolu, který prošel firewallem a případně i vnitřními segmenty sítě, provedou detekci, vyhodnocení úrovně hrozby a podle typu upozornění správce sítě nebo v případě prevenčních systémů přímo provedou "odfiltrování" škodlivého obsahu na základě porovnání se známými obrazci z databáze, IDPS mohou využívat heuristickou analýzu a uživatelsky definované filtry. Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 9/29

Klíčové funkce IPDS technologií záznam informací, které souvisí se zjištěným incidentem informovat administrátora bezpečnosti (správce sítě) o incidentu a jeho závažnosti Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 10/29

ZÁSADNÍ PROBLÉM IPDS ZÁPLAVA INCIDENTŮ pokud používány běžné metody notifikace formou logů, správce po určité době rezignuje nové metody vyhodnocování grafickou formou, ze které vyplývají mnohem přehledněji trendy vývoje problém těchto systémů je přehlédnutí nových hrozeb, které se nevyskytují ještě tak často, ale útočí cíleně na ještě nechráněné zranitelnosti problém rychlosti instalací nových verzí a příslušných záplat ve firemním prostředí nečekané reakce specielních aplikací zranitelnost systému pak delší dobu není chráněna a pouhá indikace problému nic neřeší Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 11/29

Příklad grafické reprezentace získané ze sondy IDS: Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 12/29

Odlišnost IDS a IPS: IDS systémy nebezpečný provoz pouze detekují, ale neodstraní jej z datového toku, IPS provádí kompletní inspekci paketů až po 7. (aplikační) vrstvu a čistí internetový nebo intranetový provoz od virů, červů, trojských koní, chrání vnitřní síť před útoky typu DoS (Denial of Service), DDoS (Distributed Denial of Service), před útoky využívajícími otevřených zadních vrátek, škodlivými aplikacemi kradoucími pásmo, i před různými smíšenými útoky. Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 13/29

IPS zastaví útok sám a to například následujícími způsoby: ukončí síťová spojení nebo uživatelskou relaci, které byly použity k inicializaci útoku blokovat přístup k cílovému zdroje (případně jinému podobnému cíli) z uživatelského účtu, IP adresy, která již v minulosti obtěžovala v případě nutnosti blokovat všechny přístupy ke zdroji, službě nebo aplikaci než bude problém vyřešen. Důležité v tomto okamžiku je, aby se napadaný server nezhroutil a bylo možné na něm vyřešit například upgrade sw nebo napojení do sítě záložní cestou. IPS změní nastavení bezpečnostního prostředí. IPS může měnou nastavení dalších bezpečnostních kontrol narušit probíhající útok. IPS může změnit obsah útoku. Některé IPS technologie mohou odstranit nebo nahradit škodlivou části útoku, tak aby se útok stal benigní. Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 14/29

Obvyklé metody detekce v systémech IPDS vyhledávání signatur o pokus o připojení telnet s username root o e-mail se subjektem Free pictures! a přiloženým soubore s názvem freepics.exe o přihlášení do operačního systému se stavovým kódem 645, který indikuje, že ověření hosta není povoleno. Detekce anomalit o IDPS využívají k detekci profily, které představují normální chování uživatelů, počítačů, připojení k síti nebo aplikací. Profily jsou vyvinuty sledování charakteristik typických činností v průběhu času. Například profil pro sítě by mohlo ukázat, že web činnost zahrnuje v průměru 13% propustnost sítě během typického pracovního dne. Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 15/29

Obvyklé metody detekce v systémech IPDS stavová analýza komunikačního protokolu o příklad: uživatel spustí File Transfer Protocol (FTP) relaci, která se zpočátku probíhá v neověřeném stavu. Neověřený uživatel by měl provádět pouze několik příkazů v tomto stavu, jako je například zobrazení informací nebo poskytnutí uživatelských jmen a hesel. Pokud uživatel začne provádět desítky příkazů v neověřeném stavu, je takové chování považováno za podezřelé a detekováno jako závadné. Po přihlášení, tedy v potvrzeném stavu, je plnění desítek příkazů považováno za korektní. Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 16/29

Systém karantény infikované stanice Zobrazí výstražnou URL stránku (transparentně v IPS) Blokuje ne-http provoz (v IPS) Přesměruje na URL (v IPS) o IPS poskytuje informace cílovému webu o typu závadného provozu z přesměrovávané stanice o Zařadí stanici do karanténní VLAN (na přístupovém přepínači) Aplikuje přístupový filtr na přepínači nebo směrovači o Blokuje provoz z nebo na IP adresu (blokuje veškerý provoz) Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 17/29

Požadavky na IDPS musí být schopna odolávat nejnáročnějším pokusům o útoky a případně na ně reagovat a případně konflikty řešit musí zajistit dostatečnou propustnost, aby zbytek sítě nepociťoval omezení z hlediska útočníka má být sonda neviditelná Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 18/29

Zapojení IPDS sensoru Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 19/29

Příklad nasazení IPS v síťové infrastruktuře Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 20/29

Příklad HW realizace IPS Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 21/29

Příklady IPS systémů Internet Security Systems (ISS) IronPort UnityOne Propustnost v současné době až 10Gb/s. Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 22/29

Pasti na útočníky honeypot Většinou postačuje do internetu napojené PC s otevřenými porty v DMZ. Provoz je možné sledovat sondou IDS, která nemá svoji IP adresu a z hlediska útočníka je neviditelná. Zajímavé je vybavit počítač AP bezdrátové sítě. Honeypots dělíme na: produkční zejména ke zvýšení vlastní bezpečnosti a informaci o úrovni a typu bezpečnostního rizika výzkumné - pozor nejen výzkumné organizace, někdy i vojáci a policie Výsledky z provozu je důležité vyhodnotit a sledovat statisticky: - kdo útočí - z jakého adresového prostoru - na jaké služby Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 23/29

Penetrační testy: jsou nedílnou součástí bezpečnostní analýzy, výsledkem těchto testů je odhalení slabých míst v ochraně informačního systému, uložených dat a infrastruktury testovaného subjektu, následná definice a popsání existujících rizik citlivé z hlediska netikety. Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 24/29

Bezdrátové IDPS řešení Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 25/29

Audit v LAN sítích - Data Loss Prevention DLP Zabránit neoprávněnému úniku dat + evidence chování v rozporu s bezpečnostní politikou firmy Bezpečnostní politika je největším problémem Příklad firmy Microsoft nakonec chrání jen to nejcennější zdrojové kódy Typické pro podnikové systémy Různé techniky realizace, ale v současné době ve formě rezidentního SW na klientské stanici stejně jako antivir Za kritické jsou považovány výstupy ven z firmy, ať už se jedná o mail, tisk, USB paměti Obvykle se hlídají počty operací, které přesahují obvyklý počet, což mimo jiné závisí i na profesi uživatele (personalista běžně pracuje s rodnými čísly, oddělení nákupu výjimečně) Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 26/29

Audit v LAN sítích Data Loss Prevention DLP Logují se nejen pokusy o provedení operací, ale také dokumenty, o které se v tomto případě jednalo následné vymazání již obvykle nepomůže Další efekty ze sledování mimořádných aktivit zaměstnanců z oblasti sociálního inženýrství například, že se zaměstnanec chystá k odchodu a snaží se soustředit citlivá data Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 27/29

Kreativita v oblasti bezpečnosti žháři stejně nezabráníš Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 28/29

Literatura: Firemní informace: Cisco, HP, IBM, RSA, Websense Scarfone k., Mell P.: Guide to Intrusion Detection and Prevention Systems (IDPS), http://csrc.nist.gov/publications/nistpubs/800-94/sp800-94.pdf. Rehak M. et al.: Adaptive Multiagent System for Network Traffic Monitoring, http://agents.felk.cvut.cz/cgibin/docarc/public.pl/document/226/rehak-camnep%20ieee%20is.pdf Ing. M. Šárek IDPS MI-MTI 2010, předn. 6 29/29

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář